Zenn
🚑

AWS認定セキュリティ インシデント対応

2021/06/13に公開
AWS
tech

こんにちは!
現在AWS認定セキュリティ試験の勉強中です。
今回は試験範囲の1つであるインシデント対応で出題される可能性があるサービスの特徴などをまとめていきたいと思います。
基本的にはNRIネットコム株式会社の「要点整理から攻略する『AWS認定 セキュリティ-専門知識』」という本を使って勉強しております。とてもわかりやすいのでおすすめです。

目次

  • SystemsManager
  • Trusted Advisor
  • CloudTrail
  • Macie
  • GuardDuty
  • SecurityHub
  • Detective
  • まとめ

SystemsManager

EC2やオンプレミスのサーバーを制御、管理するサービスです。
色々な機能があるので一部だけ紹介したいと思います。

SessionManager

セキュリティーグループでの許可やSSHキーなしでサーバーにssh接続することができます。
以前私も試しに使ってみたので詳しくはその時の記事をご覧ください。
Session Managerで起動中のEC2に接続してみた

RunCommand

複数のサーバーに一括であるコマンドを実行することができます。
例えば複数のEC2で使用しているEC2キーペアをなくした時に、RunCommandを使用してキーのリセットをまとめて行うことができます。

Automation

複数の処理を自動で実行することができます。
例えばCloudTrailを有効化したり、パブリックになっているS3バケットを無効化したりすることができます。AWSConfigと組み合わせると、変更を検知したときに自動で修復するように設定することが可能です。

StatuManager

サーバーをあらかじめ定義された状態に保つための機能です。
定期的にあるコマンドを実行したり、定期的にソフトウェアをアップデートしたりすることができます。

インベントリ

サーバーにインストールされているソフトウェアの一覧を表示できる機能です。

PatchManager

パッチの適用状況の確認、自動適用を行うことができます

パッチとは??

ソフトウェアの修正や機能追加を後付けで行ってくれるものです。
参考記事: https://wa3.i-3-i.info/word14131.html

Trusted Advisor

AWSが推奨するベストプラクティスに従い以下5つの観点からアドバイスを受けることができます。

  • コストの最適化
  • パフォーマンス
  • セキュリティ
  • 耐障害性
  • サービスの制限

セキュリティに関する項目だと、
セキュリティーグループに無制限アクセスが設定されていないか、ルートアカウントのMFAが設定されているかなどをチェックしてくれます。

CloudWatchイベントを利用すると、ベストプラクティスに従っていない項目を検知するとリアルタイムで通知を送ることができます。

CloudTrail

AWS上での操作履歴が保存されます。CloudWatchと組み合わせるとIAMユーザーの作成やアクセスキーが発行されたときに検知を行ったりすることができます。

Macie

S3バケットにある個人情報をなどの機密データを自動的に発見し、通知や保護処理を実行することができるサービスです。
機械学習の自然言語処理(NLP)が使われているようです。

以下のような情報を検知できます。

  • 氏名フルネーム
  • メールアドレス
  • クレジットカード番号
  • 生年月日
  • AWSシックレットキー

GuardDuty

AWS上で発生する不正やセキュリティイベントなどの脅威を検出するサービスです。
CloudTrail, VPCFlowLogs, DNSLogsから収集されたデータからセキュリティを脅かすものを検出する。
あくまでもAWSリソースの動きを見て脅威を検出するサービスなので、EC2やLambdaのセキュリティイベントは検出できません。

SecurityHub

AWS上のセキュリティ情報を一か所でまとめて確認できるサービスです。
例えば以下のようなサービスで取得されたデータを一元管理することができます。

  • GuardDuty
  • Macie
  • Inspector
  • FirewallManager
  • IAM Access Analyzer

Detective

VPCFlowLogs, CloudTrail, GuardDutyなどの他のAWSサービスの情報をもとに潜在的なセキュリティ問題を分析・調査できるサービスです。

GuardDutyは発生したイベントベースでの調査を行うことになるが、Detectiveでは過去のログやイベント情報といった時系列の観点を含みグラフなどで視覚化することが可能です。

まとめ

インシデント対応の項目で紹介されているサービスは、全く使ったことがないものが多かったです。今回AWS認定セキュリティ試験を受けようと思っていなかったらずっと知らないままだったかもしれません。

業務では使うことがない知識を学ぶことができるのも資格試験の勉強をする効果ですね。やっぱり業務に関係のあるものばかりを勉強してしまいますから。今は業務では使わないこれらの知識がいつか業務で使えるようになることを願います。

Discussion