Enviar búsqueda
Cargar
Amazon Inspector v2で脆弱性管理を始めてみた
•
0 recomendaciones
•
228 vistas
C
cluclu_land
Seguir
2022年12月20日開催「nakanoshima.dev #33 - LT Night!」での発表資料です。
Leer menos
Leer más
Presentaciones y charlas públicas
Denunciar
Compartir
Denunciar
Compartir
1 de 18
Recomendados
Amazon Inspectorについて
Amazon Inspectorについて
Amazon Web Services Japan
AWSからのメール送信
AWSからのメール送信
Amazon Web Services Japan
Amazon Redshift 概要 (20分版)
Amazon Redshift 概要 (20分版)
Amazon Web Services Japan
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue
Amazon Web Services Japan
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
AWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPC
Amazon Web Services Japan
AWS セキュリティとコンプライアンス
AWS セキュリティとコンプライアンス
Amazon Web Services Japan
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
Recomendados
Amazon Inspectorについて
Amazon Inspectorについて
Amazon Web Services Japan
AWSからのメール送信
AWSからのメール送信
Amazon Web Services Japan
Amazon Redshift 概要 (20分版)
Amazon Redshift 概要 (20分版)
Amazon Web Services Japan
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue
Amazon Web Services Japan
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
AWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPC
Amazon Web Services Japan
AWS セキュリティとコンプライアンス
AWS セキュリティとコンプライアンス
Amazon Web Services Japan
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
AWSのセキュリティについて
AWSのセキュリティについて
Yasuhiro Horiuchi
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
Amazon Web Services Japan
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
Amazon Web Services Japan
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
Amazon Web Services Japan
AWS IoTアーキテクチャパターン
AWS IoTアーキテクチャパターン
Amazon Web Services Japan
AWSで作る分析基盤
AWSで作る分析基盤
Yu Otsubo
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
Amazon Web Services Japan
AWSでEC2上にMTAを構築した話
AWSでEC2上にMTAを構築した話
康宏 緒方
AWSではじめるDNSSEC
AWSではじめるDNSSEC
Tomohiro Nakashima
Amazon Kinesis Familyを活用したストリームデータ処理
Amazon Kinesis Familyを活用したストリームデータ処理
Amazon Web Services Japan
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
Amazon Web Services Japan
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
Cognitoハンズオン
Cognitoハンズオン
Shinji Miyazato
AWS初心者向けWebinar AWS上でのDDoS対策
AWS初心者向けWebinar AWS上でのDDoS対策
Amazon Web Services Japan
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
Amazon Pinpoint × グロースハック活用事例集
Amazon Pinpoint × グロースハック活用事例集
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWSへのネットワーク接続とAWS上のネットワーク内部設計
AWS Black Belt Online Seminar 2017 AWSへのネットワーク接続とAWS上のネットワーク内部設計
Amazon Web Services Japan
AWS Black Belt Techシリーズ Amazon Kinesis
AWS Black Belt Techシリーズ Amazon Kinesis
Amazon Web Services Japan
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Amazon Web Services Japan
AWS CloudFormation Guardで遊んでみた
AWS CloudFormation Guardで遊んでみた
cluclu_land
Osc spring 20220311
Osc spring 20220311
Yasuaki Sera
Más contenido relacionado
La actualidad más candente
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
AWSのセキュリティについて
AWSのセキュリティについて
Yasuhiro Horiuchi
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
Amazon Web Services Japan
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
Amazon Web Services Japan
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
Amazon Web Services Japan
AWS IoTアーキテクチャパターン
AWS IoTアーキテクチャパターン
Amazon Web Services Japan
AWSで作る分析基盤
AWSで作る分析基盤
Yu Otsubo
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
Amazon Web Services Japan
AWSでEC2上にMTAを構築した話
AWSでEC2上にMTAを構築した話
康宏 緒方
AWSではじめるDNSSEC
AWSではじめるDNSSEC
Tomohiro Nakashima
Amazon Kinesis Familyを活用したストリームデータ処理
Amazon Kinesis Familyを活用したストリームデータ処理
Amazon Web Services Japan
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
Amazon Web Services Japan
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
Cognitoハンズオン
Cognitoハンズオン
Shinji Miyazato
AWS初心者向けWebinar AWS上でのDDoS対策
AWS初心者向けWebinar AWS上でのDDoS対策
Amazon Web Services Japan
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
Amazon Pinpoint × グロースハック活用事例集
Amazon Pinpoint × グロースハック活用事例集
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWSへのネットワーク接続とAWS上のネットワーク内部設計
AWS Black Belt Online Seminar 2017 AWSへのネットワーク接続とAWS上のネットワーク内部設計
Amazon Web Services Japan
AWS Black Belt Techシリーズ Amazon Kinesis
AWS Black Belt Techシリーズ Amazon Kinesis
Amazon Web Services Japan
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Amazon Web Services Japan
La actualidad más candente
(20)
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
AWSのセキュリティについて
AWSのセキュリティについて
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
AWS IoTアーキテクチャパターン
AWS IoTアーキテクチャパターン
AWSで作る分析基盤
AWSで作る分析基盤
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
AWSでEC2上にMTAを構築した話
AWSでEC2上にMTAを構築した話
AWSではじめるDNSSEC
AWSではじめるDNSSEC
Amazon Kinesis Familyを活用したストリームデータ処理
Amazon Kinesis Familyを活用したストリームデータ処理
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Cognitoハンズオン
Cognitoハンズオン
AWS初心者向けWebinar AWS上でのDDoS対策
AWS初心者向けWebinar AWS上でのDDoS対策
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Pinpoint × グロースハック活用事例集
Amazon Pinpoint × グロースハック活用事例集
AWS Black Belt Online Seminar 2017 AWSへのネットワーク接続とAWS上のネットワーク内部設計
AWS Black Belt Online Seminar 2017 AWSへのネットワーク接続とAWS上のネットワーク内部設計
AWS Black Belt Techシリーズ Amazon Kinesis
AWS Black Belt Techシリーズ Amazon Kinesis
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Similar a Amazon Inspector v2で脆弱性管理を始めてみた
AWS CloudFormation Guardで遊んでみた
AWS CloudFormation Guardで遊んでみた
cluclu_land
Osc spring 20220311
Osc spring 20220311
Yasuaki Sera
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
Hayato Kiriyama
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"
Kazuki Ueki
実践 bashによるサイバーセキュリティ対策を読んでみた(公開版)
実践 bashによるサイバーセキュリティ対策を読んでみた(公開版)
cluclu_land
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
Amazon Web Services Japan
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
Shinichiro Kawano
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Microsoft Azure Update 20151112
Microsoft Azure Update 20151112
Ayako Omori
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
Masaya Tahara
アマゾンにおけるAWSを用いた社内システム移行事例
アマゾンにおけるAWSを用いた社内システム移行事例
SORACOM, INC
S3 Client-Side Encryption by AWS SDK for Java/Ruby
S3 Client-Side Encryption by AWS SDK for Java/Ruby
真吾 吉田
AWSでセキュリティを高める!
AWSでセキュリティを高める!
Serverworks Co.,Ltd.
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
ストレージサービスからの情報漏えいにサヨナラ
ストレージサービスからの情報漏えいにサヨナラ
Masato Nakamura
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
schoowebcampus
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
Masamitsu Maehara
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント
Kotaro Tsukui
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
真吾 吉田
Reinforce2021 recap session2
Reinforce2021 recap session2
Shogo Matsumoto
Similar a Amazon Inspector v2で脆弱性管理を始めてみた
(20)
AWS CloudFormation Guardで遊んでみた
AWS CloudFormation Guardで遊んでみた
Osc spring 20220311
Osc spring 20220311
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"
実践 bashによるサイバーセキュリティ対策を読んでみた(公開版)
実践 bashによるサイバーセキュリティ対策を読んでみた(公開版)
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Microsoft Azure Update 20151112
Microsoft Azure Update 20151112
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
アマゾンにおけるAWSを用いた社内システム移行事例
アマゾンにおけるAWSを用いた社内システム移行事例
S3 Client-Side Encryption by AWS SDK for Java/Ruby
S3 Client-Side Encryption by AWS SDK for Java/Ruby
AWSでセキュリティを高める!
AWSでセキュリティを高める!
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
ストレージサービスからの情報漏えいにサヨナラ
ストレージサービスからの情報漏えいにサヨナラ
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
Reinforce2021 recap session2
Reinforce2021 recap session2
Más de cluclu_land
レトロゲーム攻略本を読んで当時を振り返ってみた
レトロゲーム攻略本を読んで当時を振り返ってみた
cluclu_land
読書会やったらパーカーもらえた話
読書会やったらパーカーもらえた話
cluclu_land
作業用BGMに使っているレトロゲームサントラCDひたすら晒す(公開版)
作業用BGMに使っているレトロゲームサントラCDひたすら晒す(公開版)
cluclu_land
IT技術書のオススメLT会×Kobe #01
IT技術書のオススメLT会×Kobe #01
cluclu_land
マッスルタワーに挑んでみた(普及版)
マッスルタワーに挑んでみた(普及版)
cluclu_land
セキュリティの○○○を買ってみた
セキュリティの○○○を買ってみた
cluclu_land
Firefox OSアプリをタブレット端末で動かしてみた
Firefox OSアプリをタブレット端末で動かしてみた
cluclu_land
Más de cluclu_land
(7)
レトロゲーム攻略本を読んで当時を振り返ってみた
レトロゲーム攻略本を読んで当時を振り返ってみた
読書会やったらパーカーもらえた話
読書会やったらパーカーもらえた話
作業用BGMに使っているレトロゲームサントラCDひたすら晒す(公開版)
作業用BGMに使っているレトロゲームサントラCDひたすら晒す(公開版)
IT技術書のオススメLT会×Kobe #01
IT技術書のオススメLT会×Kobe #01
マッスルタワーに挑んでみた(普及版)
マッスルタワーに挑んでみた(普及版)
セキュリティの○○○を買ってみた
セキュリティの○○○を買ってみた
Firefox OSアプリをタブレット端末で動かしてみた
Firefox OSアプリをタブレット端末で動かしてみた
Amazon Inspector v2で脆弱性管理を始めてみた
1.
Amazon Inspector v2で 脆弱性管理を始めてみた 2022年12月20日 chocopurin nakanoshima.dev
#33 - LT Night !
2.
自己紹介 ⚫ 名前:chocopurin ⚫ 職業:とある企業の一般社員 ⚫
主なお仕事歴 ○ 某SIer サーバ構築, 認証ツール開発, システム開発ルールの策定 コンテナの研究, Webアプリ脆弱性診断 ○ 現職 ITインフラの構築/維持管理, セキュア開発基盤の整備, 永遠のAWS見習い ⚫ 直近の出没歴 AWSエバンジェリストシリーズ, 総関西サイバーセキュリティLT大会 Security-JAWS, OWASP Kansai, レトロゲーム勉強会 etc
3.
はじめに 本日のLT内容は、表現の都合上、フィクションとノンフィクション が入り混じっています。予めご了承ください。
4.
情報セキュリティの全体像とLT内容の範囲 【出典】日本CISO協会 情報セキュリティにおける4つの領域と関係性 だいたいこの辺
5.
システムとLT内容の範囲 だいたい この辺 【出典】 新人エンジニアのためのインフラ入門 ーBFT道場 Think
IT支部 第1回 ITインフラの全体像を理解しよう
6.
自社サービスの提供形態の変遷と本件の対象 サービス利用者 オンプレDC サーバ群(約200台) オンプレDC サーバ群 (約160台) 本件の対象 EC2群 (約60台) サーバレス 中心 サービス利用者 サービス利用者
7.
自社サービスの現状と課題 ⚫ サポート切れのインフラソフトウェアを利用し続けているサー バがあり、メンテナンス性が欠如している ○ OS(Linuxディストリビュージョンとバージョン) ○
ミドルウェア ○ ライブラリ ⚫ 過去の経緯から、特にEC2には作りっぱなしで運用担当のアサ インが宙ぶらりんのサーバがいる セキュリティに限らず各種不具合の是正がしづらく、対応未実施に よるリスクの受容もしくは余計な追加作業を余儀なくされる。 また、その状態であることに気づきにくい。
8.
改善案 ⚫ サーバを下記仕様で管理し、Q毎に全社のセキュリティ管理部署 によるチェックを受ける 管理項目 管理対象
管理方法 ● 運用開始日 ● 機器の保守サポート期間 ● 稼働しているOS/MWのバージョン ● 不特定多数のネットワークからの インバウンド通信が可能か否か (プロトコル不問) EC2 ● AWS CLIによる台 数増減確認 ● スキャンツールに よるOS/MWの 状況把握 (本件の対象) オンプレ 機器一覧(運用中) その他 アンケート調査 (運用中)
9.
スキャンツール選定の背景:要件整理 ⚫ ツールに求める機能 ○ スキャン結果と脆弱性への対応状況を一覧で見ることができる ○
取得した結果を外部ファイル化して加工できる ○ 管理対象の動作に影響を与えない ◼ 管理対象を攻撃しない(プラットフォーム脆弱性診断のようなことをしない) ◼ 解析やレポーティング作業が管理対象に負荷を与えない ⚫ ツール候補 ○ Amazon Inspector v2:EC2とECRに対応 ◼ 選定開始当初はInspector v2に脆弱性管理機能があることを知らず、土俵にも 上がってこなかった ○ 某社ツールいくつか:オンプレからクラウドのサーバまで幅広く対応
10.
スキャンツール選定の背景:ツールの比較 ⚫ 料金体系 ○ 契約形態:月額利用料
or 年間契約 ○ 課金単位:台数ないしスキャン回数 ⚫ 自社の運用状況 ○ オンプレサーバに新たに管理の仕組みを入れるメリットが見込めない ◼ オンプレサーバでは、インフラ管理部署による既存の機器一覧の運用が回っている ◼ サービスのフルAWS化により、オンプレサーバはシュリンクする ○ AWS契約の範疇内で決着すると諸々ラク ⚫ TechJoy(技術的に面白いか) ○ 解析方法 ○ トリアージ方法 etc どのツールも概ねこのパターンの いずれかで、半ば価格勝負
11.
スキャンツール選定の背景:ツールの比較 ⚫ 料金体系 ○ 契約形態:月額利用料
or 年間契約 ○ 課金単位:台数ないしスキャン回数 ⚫ 自社の運用状況 ○ オンプレサーバに新たに管理の仕組みを入れるメリットが見込めない ◼ オンプレサーバでは、インフラ管理部署による既存の機器一覧の運用が回っている ◼ サービスのフルAWS化により、オンプレサーバはシュリンクする ○ AWS契約の範疇内で決着すると諸々ラク ⚫ TechJoy(技術的に面白いか) ○ 解析方法 ○ トリアージ方法 etc どのツールも概ねこのパターンの いずれかで、半ば価格勝負 技術的には某ツールを採用したかったが、 他の要素でAmazon Inspector v2が優位すぎた
12.
Amazon Inspector v2 ⚫
ざっくり動作の流れ※1 1. 管理対象に導入されたSystems Manager(SSM)Agentが、サーバ内 の情報を吸い上げて、それをAmazon Inspectorに投げる 2. Amazon Inspectorは投げられた情報を、各種脆弱性情報や稼働してい るネットワーク環境の状況などを踏まえて診断する 3. (必要に応じて)診断結果はCSVやJSON形式でエクスポートできる ⚫ 必要なもの※2 ○ 管理対象へのSSM Agentの導入 ◼ Amazon Linux 2ならデフォルトで導入済み ◼ 個別導入の場合もyumなどのパッケージ管理コマンド一発で入る ○ 管理対象へのAmazonSSMManagedInstanceCoreポリシーを含んだ ロールのアタッチ ※1※2:細かい部分は公式ドキュメントや先駆者のやってみた記事を見れば何とかなる
13.
Amazon Inspector v2 Amazon Inspector SSM Agent Amazon
EC2 Instances Amazon ECS Container KMS key Amazon S3 Backet ブラウザ閲覧 サーバ情報 SSM Agent サーバ情報 Inspector利用者 CSV or JSON ファイル … 解析 ⚫ 基本的な流れ
14.
Amazon Inspector v2 【例】2022年11月2日公開のOpenSSL(libssl3) 脆弱性やインスタンス毎にソートや フィルタしてトリアージができる 結果をS3経由でCSVや JSONに出力可能
15.
Amazon Inspector v2 【例】CSVレポート
16.
Amazon Inspector v2による脆弱性管理 Amazon Inspector SSM Agent Amazon
EC2 Instances Amazon ECS Container KMS key Amazon S3 Backet ブラウザ閲覧 サーバ情報 CSV or JSON ファイル … SSM Agent サーバ情報 インフラ管理者 全社セキュリティ 管理者 CSV or JSON ファイル … 解析 経営層
17.
Inspector導入における課題と対策 サーバ種別 問題点 対処方法 既存
大半がオンプレのVMをポーティングした 非Amazon Linuxである NW構成を見ながら優先度をつけて導入する (お客さまに近いものを優先する) OSバージョンが古すぎてSSM Agentの システム要件を満たさない そもそも廃止かリプレースするべしの旨で合意形成 できるように仕向ける 新規 運用担当アサインやパッチ適用などの運用 ルールが不十分である 最低限のサーバ運用要件を再整備したうえで、全社の PJルールにする 新規サーバにSSM Agentと AmazonSSMManagedInstanceCoreポリシーがデ フォルトで導入される仕組みを整える ・Amazon Linuxをベースにする ・(非Amazon Linuxの場合)構築スクリプト パッチ適用の自動化(OSもしくはInspectorの機能) ⚫ 課題:SSM Agent未導入のサーバが存在する (今後も増える可能性がある) ⚫ 対策:地道にルールと仕組みの両輪で縛る
18.
まとめ ⚫ サーバスキャンツール導入時に発生する事項をまとめた ⚫ これまで手付かずだったEC2の脆弱性管理を実現できるめどが ついたことで、自社の課題解決に一歩近づいた ⚫
今回の仕組みを継続運用する方法の整備が次の課題である ○ 既存の仕組みとの整合性の調整 【例】脆弱性のトリアージ ◼ CVSSやAWS独自指標の考え方 ◼ 優先度付けルール ○ Amazon LinuxのEOL問題(2024年6月) ⚫ 本日のLT内容は情報セキュリティ全体およびITシステム全体の ほんの一部分を扱ったにすぎず、今回の内容だけで自社のセ キュリティは万事OKでは決してありません