今日を知り、明日を変えるシステム運用メディア

ラスベガスから講演レポートなどお届け

【AWS re:Invent 2024】Respond and recover faster with AWS Security Incident Response(講演レポート)

AWS re:Invent とは?

re:Inventとは、Amazon Web Services(以下、AWS)が主催するAWSに関する技術的なセッションや、展示ブース、試験準備のためのブートキャンプ、ゲーム化された演習などを通じて、参加者が主体的に学習できるAWS最大のイベントです。

2024年は12月2日から6日までの5日間開催されており、日本をはじめ世界中から多くの人が参加しています。

セッション情報

セッション名Respond and recover faster with AWS Security Incident Response(AWS Security Incident Responseによる迅速な対応と復旧)
セッション概要セキュリティインシデントからの迅速な対応と復旧を支援する新サービス、AWS Security Incident Responseをご紹介します。Security Incident Responseが、Amazon GuardDutyやその他の検知サービスから発見された脅威をどのようにトリアージし、対応を調整および自動化するためのサービスネイティブなツールをどのように提供するかをご紹介します。非常に複雑なインシデントに対しては、24時間365日対応可能なAWSセキュリティエキスパートにアクセスできます。Security Incident Responseがどのように既存のセキュリティツールやサービスを補完し、インシデント対応時間を数日から数分に短縮できるかをご覧ください。
(※公式サイトより翻訳)
登壇者Nooms Charania
Robert Saul

はじめに

AWSは先日、セキュリティインシデントに迅速かつ効果的に対応するためのサービス「AWS Security Incident Response」を発表しました。このサービスは、顧客がセキュリティインシデントを準備、対応、復旧するのをサポートします。

AWS Security Incident Response

※詳細はこちらをご参照下さい。

Security Incident Responseサービスの背景

AWSのSecurity Incident Response(以下、SIR)チームは、顧客が直面するセキュリティインシデントに対して、長年にわたりサポートを提供してきました。年間約1,500件の顧客をサポートし、ログの分析や封じ込めの戦略を行っていました。しかし、顧客からのフィードバックを通じて、コミュニケーションの難しさやアラート疲れ(alert fatigue)といった課題が浮き彫りになりました。

Security Incident Responseサービスの背景

また、IBMの報告によるとSOCチームは平均してアラートの50%しか調査できていないそうです。

Security Incident Responseサービスの背景

最終的な調査結果を返すのには、平均で277日もかかるそうです。これでは、攻撃者に多くの時間を与えてしまいます。

インシデント対応のストレスや疲労

インシデント対応はとても大変な仕事であり、84%のセキュリティの専門家がストレスや燃え尽き症候群、疲労を報告しています。これでは、新しい人が参加することができないという負のスパイラルが懸念されます。

Security Incident Responseの特徴

SIRサービスは、以下の3つの主要な機能によって構成されます。

Security Incident Responseの特徴

プロアクティブなインシデント対応

Amazon GuardDutyやAWS Security Hubからのセキュリティの発見を自動的に監視し、顧客特有のメタデータを使用してアラートを優先順位付けします。

コラボレーションとコミュニケーションプラットフォーム

インシデントレスポンスを効率的に管理するためのプラットフォームを提供します。これにより、関係者全員がリアルタイムで情報を共有し、迅速に対応できます。

24/7の顧客インシデントレスポンスチームへのアクセス

AWSの専門家チーム(Customer Incident Response Team、CIRT)が、セキュリティインシデントの調査と解決をサポートします。

利用方法

このサービスは、準備、対応、回復の3つのステップで構成されています。

準備、対応、回復の3つのステップ

準備

セキュリティインシデントが発生した際に、迅速に対応できるように必要なフレームワークを提供します。

対応

セキュリティイベントを自己発信またはプロアクティブにエスカレーションする方法を提供します。

セキュリティイベントを自己発信またはプロアクティブにエスカレーションする方法

Ingest

Amazon GuardDutyを使用して、脅威や異常な行動を検出します。また、Security Hubを通じて、サードパーティのセキュリティツールと統合します。

Triage

顧客のメタデータ(IPアドレスや、Account IDなど)を使用して、トリアージします。

Investigate

脅威を確認・検出します。また、顧客の許可を得て環境をスキャンし、検証を行います。

Escalate

重要度、優先順位をつけ顧客へエスカレーションします。

復旧

サポートチームと連携し、迅速にビジネスを正常に戻すための支援を行います。

復旧

必要なIAMロールを渡すと、初期対応をAWS側で行ってくれます。具体的には、EC2インスタンスの隔離やIAMロールのリソース通信との分離、S3のアクセスポリシーの変更などを行ってくれます。これで、一次対応の手間が省けますね。

実際の例と全体図

実際の例が全体図と共に紹介されていました。

おわりに

Security Incident Responseサービスを利用することで、セキュリティ担当者の負担がこれまで以上に減るだけでなく、迅速で的確な対応が可能になりますね。コストはかかりますが、ご環境に応じて導入を検討してみてはいかがでしょうか。

この記事を含む特集

AWS re:Invent 2024の発表内容などを現地からお届け!

人気の記事

最新情報をお届けします!

最新のITトレンドやセキュリティ対策の情報を、メルマガでいち早く受け取りませんか?ぜひご登録ください

メルマガ登録