はじめに

咋年 12 月に 「AWS 継続的セキュリティ実践ガイド　ログの収集／分析による監視体制の構築」
という書籍を翔泳社より刊行しました。

https://www.shoeisha.co.jp/book/detail/9784798176635

もうすぐ半年が経ちますが、改めて執筆当時の想いや刊行後の反響などを文章にまとめてみました。すでに多くの方々に手に取っていただき、読んでいただいていますが、まだこれからという方には読むきっかけになってくれると嬉しいです。

本書を書くに至った動機

まず、そもそもログが大好きだからというのは大前提です（笑）

そのあたりの想いは、本書の「おわりに」に 1 ページ使ってエモい文章を綴っています。本書をご購入いただき、その 1 ページだけでも読んでいただければ、私としては大満足です。ログへの愛はこのぐらいにしまして、執筆というそれなりに覚悟のいる決断に至った経緯についてご説明します。

本書の前書きにあたる「はじめに」にも書きましたが、著者が関わっていた現場では AWS 上に構築するシステムの設計フェーズにおいて、担当する部署やチームが案件ごとに異なっていたため、毎回似たような比較検討が行われていました。

セキュリティのログ監視基盤について、毎回同じような比較検討をしているのを目にし、貴重なコンサルタントやエンジニアのリソースを費やしたくないという気持ちが強くなり、本書を執筆するに至りました。

具体的には、下記のような案による比較検討です。

• CloudWatch Logs を利用する案
• Athena と QuickSight を利用する案
• Amazon OpenSearch Service を利用する案
• EC2 で Elastic Stack を構築する案
• Elastic Cloud を利用する案

また、どのログを取り込むべきかについても毎回調査していました。
AWS の公式ドキュメントは Google Cloud ^[1]とは異なり、サービス単位で独立しているため
サービスを横断してログに関する情報がまとまっているページがありません。

そこで 2020 年に下記ブログを書いてみて、AWS のサービスログに関する体系的な情報にニーズがあるのかを仮説検証してみたところ、一定のバズりを見せたため、本格的に書籍を執筆する覚悟を決めました。

https://qiita.com/hssh2_bin/items/6d2d7cfe7c45412f1634

どんな書籍なのか

AWS を題材に、クラウド上のシステムのセキュリティ運用に必要な「検知」にフォーカスを当てた内容になっています。

本書は全 6 章で構成されています。

目次

本書を読む前に「AWS ではじめるクラウドセキュリティ（テッキーメディア刊）」^[2]を読むと理解が進むと思います。

1 章: 継続的セキュリティとは

1 章では、そもそもの継続的セキュリティとは、何者なのかについて説明しています。
絶えず変化するシステム環境や外部からのアクセスに晒されるリスクのあるクラウドでは、動的な監視が必要になります。背景やその考え方、対策に関する方法論について解説した序章的な位置付けになります。

翔泳社が運営する CodeZine ^[3]にて、その内容の一部を抜粋した記事が公開されています。
本書に掲載している図版も載っていますので、興味を持っていただいた方にはぜひ一読いただきたいです。

2 章: 継続的監視に必要なログとは

本章と次章がログに関する章になります。
2 章では、ログ基盤に取り込む対象のデータソースであるログについての解説をしています。

【本書で紹介しているログ】

1. CloudTrail 監査ログ
2. セッションアクティビティログ（Session Manager）
3. S3 サーバアクセスログ/オブジェクトレベルログ
4. RDS/Aurora SQL クエリ監査ログ
5. CloudFront アクセスログ（標準ログ/リアルタイムログ）
6. ALB アクセスログ
7. API Gateway アクセスログ
8. AWS WAF トラフィックログ
9. NetworkFirewall アラートログ
10. VPC Flow Logs フローログ
11. EC2、ECS/Fargate の各種 OS ログ

本書では重要性の高い上記ログについて、ログフォーマット、フィールドの説明、取得方法、主な利用用途など重点的に解説しています。

また、上記以外のログについても、セキュリティ用途で利用する可能性のあるログについて、その内容と出力先（3 章で解説）も表にまとめています。その情報だけでもログアーキテクチャを設計する上での価値あるネタになるはずです。

ログ全体概要図

3 章: セキュリティにおけるログの活用方法

3 章は引き続きログの話になりますが、こちらは ログ活用のための集約方法（保存）・活用方法（分析/可視化/監視） の解説になります。いわゆるログ基盤の考え方やアーキテクチャに関する内容となっています。

ログ活用の全体像

集約については、よく話題に上がる保存するなら S3 と CloudWatch Logs どっちが良いのか問題についても著者なりの考え方を記載しています。

また、比較的新めのサービスである Security Lake の使い方にも触れています。本書では書き切れなかった Security Lake の深掘りはその後の Security-JAWS Meetup #32 で補足させていただきました。

https://speakerdeck.com/hssh2_bin/securityjaws-shi-jian-qie-reteshu-kiqie-renakatutaocsfnoxing-kumo-toha

ログの活用では、よく比較される Athena + QuickSight と Amazon OpenSearch Service の使い分けや初歩的な使い方の説明をマネジメントコンソールの画面をふんだんに使いながら丁寧に解説したつもりです。ハンズオン的に試して頂けると嬉しいです。

4 章: AWS サービスによる継続的監視

ここからはログの話から少し離れまして、ログをセキュリティのユースケースに合わせてさらに進化させた Findings（検出結果） の話です。

4 章では主に Security Hub ^[4]の話をしています。この Security Hub が Findings を扱う上での中心的登場人物となりますので、まずここからおさえて頂きたいです。Secutiy Hub で扱っているセキュリティ基準、コントロール、Findings のそれぞれの概念や用語の意味など解説しています。

Security Hub 連携図

Security Hub では下記 5 つのセキュリティ基準を用いて、自分たちの AWS 環境がどれだけセキュアに構築できているのかをリアルタイムに監査できるようになっています。日頃、セキュリティのコンプライアンスやガバナンスに関わる業務に従事していない方にとっては聞きなれないものだと思います。本書では、それぞれの基準の特徴や使い分けについて丁寧に説明したつもりです。

【Security Hub が扱うセキュリティ基準】

• CIS AWS Foundaitions Benchmark v1.2.0 ^[5]
• PCI DSS v3.2.1 ^[6]
• AWS 基礎セキュリティのベストプラクティス v1.0.0 ^[7]
• CIS AWS Foundaitions Benchmark v1.4.0 ^[5:1]
• NIST Special Publication 800-53（SP800-53） Rev.5 ^[8]

マルチアカウント・マルチリージョン環境下の統合管理や Slack などのチャットツールへの通知方法など、実運用で必須となる機能の解説や運用上のコツについてもここで触れています。

クラウド設定ミスによるインシデント事案が絶えないご時世において、Security Hub をはじめとした CSPM の需要が高まっています。手軽に始めやすい Security Hub でその感触を掴んだ上でその先どうしていくのかを検討するのも良いのではないでしょうか。

5 章: AWS によるセキュリティの検出結果

5 章では、前章で解説した Security Hub に連携可能な以下の AWS マネージドサービスについて解説しています。

【連携可能な AWS サービス】

• GuardDurty ^[9]
• AWS Config ^[10]
• Macie ^[11]
• Inspector ^[12]
• IAM Access Analyzer ^[13]

Findings の連携に使われるフォーマットである AWS Security Finding Format（ASFF） のフィールド構造について説明しつつ、上記の各サービスで検出させる Findings のサンプルを使った解説を行っています。Security Hub で Findings 統合して運用する際に、Findings をどのフィールドをどのように見れば良いかのヒントをまとめています。

6 章: セキュリティインシデント調査

最後の 6 章は、セキュリティインシデントの具体的なリスクシナリオを 3 つ 例に、Security Hub や SIEM on Amazon OpenSearch Service、Amazon Detective を使った調査方法について解説しています。

リスクシナリオの概要

Slack 通知をトリガーにインシデント対応を行います。ログは SIEM on Amazon OpenSearch Service、Findings は Security Hub と Amazon Detective を使って原因特定まで行い、その後の回復措置についても触れています。

インシデント調査環境

本書をご購入いただいた方から「この 6 章の内容はそのまま現場でも使えそう」というコメントもいただき、役に立ちそうと思っていただけたことを嬉しく思っています。実際にこれまでの現場で調査した時のナレッジを活かしたものとなっています。

発売後の反響について

Amazon のレビュー評価や評価コメント、X（旧twitter）をエゴサーチしてしまうのは精神衛生上良くなかったりしますが、概ね高好評をいただいており、大変嬉しく思っています。

ここではいくつか代表的なもののリンクを貼らせていただきます。

https://twitter.com/yuuhu04/status/1744360824817303860

https://twitter.com/328__/status/1741470063935488466

https://twitter.com/legoboku/status/1739488142091260301

おわりに

本書は、「AWS ではじめるクラウドセキュリティ（テッキーメディア刊）」の著者のお一人である元 AWS の畠中亮さんに全面的に査読いただきました。当時「速く発売されてほしい。人にこの本をお勧めしたい」と言って頂けたことでかなりの自信になったことを今でも覚えています。いやぁ、ホントありがたいですね。

オンプレミス環境からクラウドへの移行がおこなわれ、いよいよクラウドのセキュリティ運用を本格的に考えなければならない企業において、特に SRE チームは多くのタスクを抱えており、セキュリティのことだけにそんなに多くの時間が割けないと思っています。本書はそんなユーザーにとっての近道になってほしいと思っています。

「このツールを使えば大丈夫」のような"銀の弾丸"はありません。「どんなスキルの人がログを使って何をしたいか」によって"最適"は異なります。AWS によって多くの選択肢が用意されている中で自分たちにとっての最適を選べるようにその考え方を整理したつもりです。最適を選ぶためのスキルは必要になってしまいますが、原理原則を理解すればそれなりのショートカットはできると考えています。

本書の刊行と近い時期にサイバーセキュリティクラウド社が CloudFastener という 24/365の AWS セキュリティマネージドサービスをリリースしました。内容的には本書の範囲とほぼ被っていますので、今後は CloudFastener のようなサービスを活用する上で本書を片手に業務をして頂けると良いかもしれないですね。

https://cloud-fastener.com/

本書をお読み頂いた方にはどんな意見でも構いません。今後の励みになるので、書評や Amazon でのレビューを頂けると幸いです。

最後までお読みいただき、ありがとうございました！

脚注

1. 監査ログを使用する Google Cloud サービス ↩︎

2. AWS ではじめるクラウドセキュリティ（テッキーメディア刊） ↩︎

3. AWSによるシステムの安全性を高めるために、なぜ「継続的セキュリティ」が必要なのか（CodeZine） ↩︎

4. AWS Security Hub（公式サイト） ↩︎

5. CIS AWS Foundaitions Benchmark（公式サイト） ↩︎ ↩︎

6. PCI DSS （公式サイト） ↩︎

7. AWS 基礎セキュリティのベストプラクティス（公式サイト） ↩︎

8. NIST Special Publication 800-53（SP800-53） Rev.5（公式サイト） ↩︎

9. Amazon GuardDuty（公式サイト） ↩︎

10. AWS Config（公式サイト） ↩︎

11. Amazon Macie（公式サイト） ↩︎

12. Amazon Inspector（公式サイト） ↩︎

13. AWS IAM Access Analyzer（公式サイト） ↩︎