AWSセキュリティインシデント擬似体験ワークショップ参加レポ

本記事は株式会社ニーリーアドベントカレンダー4日目の記事です！ SREチームの大木です👋 寒くなってくるとスノボを感じてワクワクしてきますね 🏂

2024年10月24日に開催されたAWSセキュリティインシデント擬似体験ワークショップに参加してきました！色々学びを得られたので、テックブログとして残そうと思います🙌 具体的な内容に関してはネタバレになってしまうので、その辺りはぼかしつつレポしていく所存ではあります。

インシデント擬似体験WSとは？

AWSさんが提供するワークショップの中でも、複数人が集まって行うセッション形式のワークショップです。セキュリティインシデントを再現したAWS環境が用意され、出題されるクイズに答えながらインシデント調査の技術を習得することができるものです。クイズ終了後は講師の方によるインシデント調査方法の解説があり、そこでより学びを深めることができます。

今回は合計35チームが参加しており、弊社からもプラットフォームGの有志で参加させていただきました。

実際のインシデント問題の調査はOpenSearch ServiceのDashboardを使用して行いました。VPC FlowLogsや CloudTrail、SecurityHubのログが集約して閲覧、検索ができるようになっており、使いこなすことを前提としたワークショップになっていました。ですが、導入時点で操作方法の丁寧な説明があるため、自分も該当のDashboardを使うのは初めてでしたが問題ありませんでした💪

学びと気づき

セキュリティインシデント調査の勘所

セキュリティインシデント調査は「どのようなことが発生して、何が行われたのか」の仮説を立て、そこから検証するトライアル＆エラーを繰り返すことが大切だと学びました。ここの仮説を立てるという行為ですが、一切セキュリティインシデントの経験がない人には「どのようなことが発生して何が行われることがあるのか」という知識の幅が狭く、どうしても仮説の質も量も乏しいものになってしまいそうです。その点を今回のワークショップにて、実際のインシデントを模したシナリオを体験できたことはとても良かったです 🙌

セキュリティ関連ログを集約して検索できることの強み

今回のインシデントワークショップでは複数のログが集約され検索できるログ基盤が存在することは、セキュリティインシデント発生時にとても有力だと強く感じました。特に、OpenSearch Dashboardは検索クエリやタイムレンジを設定したまま別のログソースを見ることができる点はとても快適でした。具体的には、GuardDutyで怪しいIPを見つけてタイムレンジを絞った後に、そのままその設定でAWS Configのログを検索することができる機能です。

セキュリティインシデント発生時には複数のサービスの莫大なログを追っていくことになるので、ログのフィルタリングや集計をどれだけ上手くやれるかみたいなところがあり、その辺りOpenSearch Dashboardはかなり体験が良かったです。

また、今回使ったAWSサービスの中では Amazon GuardDutyの初動対応に対する有用性を強く感じました。この辺り弊社も導入し、検出結果を日々確認してはいますが、今回の経験により一つの検出結果から背景を類推する力が少しでも身についたのは良かったです。