Amazon Web Services ブログ

AWS re:Inforce 2023におけるthe threat detection and incident response track のガイド

本BlogはCeleste BishopとHimanshu Vermaによる原文を翻訳しています。

AWS re:Inforceが帰ってきました!私たちは、6月13-14日にカリフォルニア州アナハイムでセキュリティビルダーを歓迎するのが待ちきれません。AWS re:Inforceは、クラウドセキュリティ、コンプライアンス、アイデンティティ、プライバシーに関するスキルと自信を身につけることができるセキュリティの学習型カンファレンスです。参加者は、何百ものテクニカルおよびノンテクニカルなセッション、AWSのエキスパートやAWS Security Competenciesを持つセキュリティパートナーが参加するExpo、セキュリティリーダーによる基調講演やリーダーシップセッションにアクセスできます。 re:Inforce 2023では、以下の6分野にわたるコンテンツが紹介されています:

  • Data protection
  • Governance, risk, and compliance
  • Identity and access management
  • Network and infrastructure security
  • Threat detection and incident response
  • Application security

Threat detection and incident responseは、AWS、お客様、パートナーがどのように潜在的なセキュリティリスクをインテリジェントに検知し、大規模なセキュリティ管理を集中化・効率化し、環境全体のセキュリティインシデントを調査して迅速に対応し、ハイブリッドクラウド環境のセキュリティ革新を実現できるかを紹介するように設計されています。

ブレイクアウトセッション、チョークトーク、ライトニングトーク

TDR201 | Breakout session | How Citi advanced their containment capabilities through automation

AWS環境の信頼性とセキュリティを維持するためには、インシデントレスポンスが重要です。Citiは、クラウド環境における28のAWSサービスをサポートするため、AWS上のワークロード用に特別に設計された、拡張性の高いクラウドインシデント対応フレームワークを実装しました。NISTのガイドラインに従い、また、AWS Step FunctionsAWS Lambdaを使用することにより自動化・組織化されたCitiのインシデントレスポンスプランは、セキュリティイベントへの対応時間を大幅に改善されました。本セッションでは、AWS Step Functionsやその他のAWSサービスを使用して、スケーラブルなインシデントレスポンスソリューションを効果的に構築・設計する方法について、実際のシナリオや事例から学びます。

TDR202 | Breakout session | Wix’s layered security strategy to discover and protect sensitive data

Wixは、パーソナライズされたプロフェッショナルなウェブプレゼンスでユーザーがオンラインになることを支援する、主要なクラウドベースの開発プラットフォームです。このセッションでは、WixのセキュリティチームがAmazon MacieAWS Security HubAWS Identity and Access Management Access AnalyzerなどのAWSセキュリティサービスにより、機密データの適切な取り扱いと利用を継続的に可視化する方法についてご紹介します。AWSセキュリティサービスを利用することで、WixはAWSやパブリッククラウド、SaaSアプリケーションに保存されたテラバイト単位のデータから機密情報を発見、分類、保護し、何百人もの社内開発者にWixプラットフォーム上でのイノベーションを推進する力を与えています。

TDR203 | Breakout session | Vulnerability management at scale drives enterprise transformation

大規模な脆弱性管理を自動化することで、修復までの平均時間を短縮し、ビジネスに影響を与える可能性のある問題を早期に特定することができます。本セッションでは、大規模かつ複雑な環境における脆弱性管理に取り組む際に組織が直面する主要な課題を探り、それを克服するためにAWSが提供する革新的なソリューションについて検討します。Amazon InspectorなどのAWSサービスを利用して、脆弱性検出の自動化、修復作業の合理化、コンプライアンス態勢の改善を実現しているお客様の事例をご紹介します。脆弱性管理を始めたばかりでも、既存のアプローチを最適化しようとしている場合でも、AWSでイノベーションを推進し、セキュリティ体制を強化するための貴重な洞察とインスピレーションを得ることができます。

TDR204 | Breakout session | Continuous innovation in AWS detection and response services

このセッションに参加して、検出と応答における最新の進歩と最新のAWSのローンチについて学びましょう。このセッションでは、自動脅威検出、継続的な脆弱性管理、継続的なクラウドセキュリティポスチャマネジメント(CSPM)、統合セキュリティデータ管理などのユースケースに焦点を当てます。これらの事例を通して、AWSサービスを既存のセキュリティフレームワークにシームレスに統合し、より大きな制御と洞察を得て、セキュリティリスクに迅速に対処し、AWS環境のセキュリティを維持する方法について深く理解してください。

TDR205 | Breakout session | Build your security data lake with Amazon Security Lake, featuring Interpublic Group

セキュリティチームは、潜在的な脅威や脆弱性を積極的に特定するために、組織全体のセキュリティ活動の可視性を高めたいと考えています。Amazon Security Lakeは、クラウド、オンプレミス、カスタムのソースからセキュリティデータをお客様のアカウントに保存された専用のデータレイクに自動的に集中させ、業界をリードするAWSやサードパーティの分析およびMLツールを使用してデータから洞察を得て、早急に対処すべきセキュリティリスクを特定できるようにします。Security Lakeがどのようにセキュリティロギングの統合と効率化をスケールとスピードで実現するのか、AWSのお客様であるInterpublic Group(IPG)様の事例をご紹介します。

TDR209 | Breakout session | Centralizing security at scale with Security Hub & Intuit’s experience

組織がワークロードをクラウドに移行するにつれ、クラウドリソース全体のセキュリティを一元的に把握することがますます重要になってきています。AWS Security Hubは、AWSアカウントとリージョン全体のセキュリティ姿勢とコンプライアンス状況を可視化する強力なツールです。本セッションでは、セキュリティの一元化と運用を簡素化するSecurity Hubの新機能について学びます。また、大手金融ソフトウェア企業であるIntuit社から、セキュリティ管理を一元化するためにSecurity Hubをセットアップして使用する際の経験やベストプラクティスを紹介します。

TDR210 | Breakout session | Streamline security analysis with Amazon Detective

Amazon Detectiveでセキュリティ調査業務を効率化し、根本原因分析を行う方法をご紹介します。Detectiveのグラフ分析技術を活用して、関連する調査結果やリソースを特定し、それらを一緒に調査してインシデント分析を加速させる方法をご紹介します。また、Amazon GuardDutyから自動的に取り込まれた調査結果を分析するためにDetectiveを使用した経験に関するお客様の話を聞き、サンプルセキュリティ調査をウォークスルーします。

TDR310 | Breakout session | Developing new findings using machine learning in Amazon GuardDuty

Amazon GuardDutyは、大規模な脅威検知を提供し、実用的なインサイトとコンテキストでセキュリティ問題を迅速に特定し、対応することを支援します。このセッションでは、目的に応じた機械学習モデルを使用して、GuardDutyがインテリジェントな脅威検出機能を継続的に強化する方法について学びます。新しいデータソースに対して、新しい機械学習技術を使用して新しい知見を開発し、それをどのように厳格に評価するのかをご覧ください。GuardDutyの検出事項の識別から発見事項の生成に至るまでの舞台裏を紹介し、このサービスがお客様のセキュリティポスチャの強化にどのように役立つかを学びます。

TDR311 | Breakout session | Securing data and democratizing the alert landscape with an event-driven architecture

セキュリティイベントモニタリングは、大規模に運用する企業にとって、複数の検知ツールを使用しながら、既存のセキュリティ監視システムに検知を統合することを求めるユニークな課題となっています。本セッションでは、組織が幅広い検出ツールで関連するクラウドセキュリティの発見事項をトリアージし、サーバーレスにセキュリティチームに結果を提供する方法を学ぶことができます。データのセキュリティポスチャを評価し、潜在的な脅威からデータを保護し、コンプライアンス要件に役立つ対応と修復を自動化するために、多層化されたセキュリティアプローチを適用する方法について説明します。

TDR231 | Chalk talk | Operationalizing security findings at scale

AWS Organizations全体とすべてのAWSリージョンで、AWS Security Hubの標準とチェックを有効にしましたら、次には何をすべきでしょうか?CriticalやHighに分類される検出事項がゼロになることを期待すべきでしょうか?理想的な状態はどのようなものでしょうか?検出事項をゼロとすることは可能でしょうか?このチョークトークでは、Security Hubの発見をトリアージするために実装できるフレームワークについて学びます。このフレームワークを、一般的なCriticalやHighに分類される検出事項にどのように適用できるかを検討し、セキュリティの検出事項に優先順位を付けて大規模に対応するためのメカニズムを学びます。

TDR232 | Chalk talk | Act on security findings using Security Hub’s automation capabilities

頻発するアラートへの対応、熟練スタッフの不足、ダイナミックなクラウドリソースへの対応など、お客様がAWSでセキュリティ目標を成功裏に達成するためには、あらゆる課題が存在します。目標を達成するためには、クラウドベースのリソースに関連するセキュリティの発見事項に対処する必要があります。本セッションでは、AWS Security Hubに集約されたセキュリティの発見事項に自動的に、または半自動的に対処する方法を学び、多様なアカウントとリージョンにまたがる組織のクラウド資産を保護するのに役立てます。

TDR233 | Chalk talk | How LLA reduces incident response time with AWS Systems Manager

Liberty Latin America(LLA)は、ラテンアメリカとカリブ海地域の20カ国以上で事業を展開する大手通信会社です。LLAは、ビデオ、ブロードバンドインターネット、テレフォニー、モバイルサービスなど、通信とエンターテインメントのサービスを提供しています。このチョークトークでは、LLAがAWS Systems Manager Incident ManagerAWS Organizations、Amazon GuardDuty、AWS Security Hubを使って、社内関係者やサードパーティパートナーがアクセスする180以上のAWSアカウントでセキュリティ問題を検出しインシデント対応を自動化するセキュリティフレームワークを実装した方法を紹介します。

TDR432 | Chalk talk | Deep dive into exposed credentials and how to investigate them

このチョークトークでは、公開された認証情報による不正アクセスのような一般的なセキュリティイベントを発見し、調査するために、検出と調査のスキルを磨くことができます。このようなイベントの指標を認識する方法、および不正ユーザーが検出を回避するために使用するログやテクニックを学びます。本セッションでは、お客様が自らの環境のセキュリティ調査の準備をすぐに行えるように、知識とリソースを提供します。

TDR332 | Chalk talk | Speed up zero-day vulnerability response

このチョークトークでは、複数のアカウントとAWSリージョンにまたがるAmazon EC2の脆弱性管理を拡張する方法について学びます。Amazon Inspector、AWS Systems Manager、AWS Security Hubを使用してゼロデイ脆弱性に対応する方法を説明し、プロアクティブおよびリアクティブな修復を計画、実行、報告する方法について学びます。

TDR333 | Chalk talk | Gaining insights from Amazon Security Lake

セキュリティデータレイクを作成しデータをインジェスする際、そのデータを使って、組織内で何が起きているのかを把握、調査やインシデント対応を支援するにはどうすればよいのでしょうか。このトークでは、分析サービスやセキュリティ情報・イベント管理(SIEM)ソリューションが、Amazon Security Lakeに保存されたデータに接続して使用することで、セキュリティイベントを調査し、組織全体の傾向を特定する方法について説明します。Amazon Security Lakeを他のビジネスインテリジェンスや分析ツールと統合して、セキュリティデータから貴重な洞察を得て、セキュリティイベントにより効果的に対応する方法について、より深く理解することができます。

TDR431 | Chalk talk | The anatomy of a ransomware event

ランサムウェアのイベントは、政府、非営利団体、企業に数十億ドルの損害を与え、業務を中断させる可能性があります。早期発見と自動応答は、組織の被害を最小限に抑えることができる重要なステップです。このチョークトークでは、Amazon RDSに常駐するデータを標的としたランサムウェアイベントの構造を検証し、検出、応答、回復、および保護のための詳細なベストプラクティスを得ることができます。

TDR221 | Lightning talk | Streamline security operations and improve threat detection with OCSF

セキュリティオペレーションセンター(SOC)は、多様なソースからのセキュリティテレメトリデータを監視・分析する上で大きな課題に直面しています。その結果、セキュリティ運用が断片的でサイロ化したアプローチになり、インシデントの特定と調査が困難になることがあります。このライトニングトークでは、Open Cybersecurity Schema Framework(OCSF)とその分類構成について紹介し、この正規化フレームワークがSOCのセキュリティ運用の効率と効果を向上させる方法について簡単なデモをご覧に入れます。

TDR222 | Lightning talk | Security monitoring for connected devices across OT, IoT, edge & cloud

サイバーセキュリティの脅威を先取りする責任があるため、CIOやCISOは、企業の運用技術(OT)側のデバイスを含む接続デバイスのサイバーセキュリティリスクを管理することをますます求められています。本ライトニングトークでは、既存のサードパーティ製セキュリティツールへのセキュリティ投資を保護しながら、OT、IoT、エッジ、クラウドを含む脅威サーフェイス全体の脅威を監視、検出、対応することをよりシンプルに実現するAWSの仕組みをご紹介します。

TDR223 | Lightning talk | Bolstering incident response with AWS Wickr enterprise integrations

セキュリティイベント中は1秒1秒が大切です。AWS Wickrはエンドツーエンドの暗号化通信を提供し、セキュリティイベント中にインシデントレスポンダーが危険なネットワーク上でも安全にコラボレーションできるように支援します。このライトニングトークでは、AWS WickrをAmazon GuardDutyやAWS WAFなどのAWSセキュリティサービスと統合する方法について説明します。GuardDutyの調査結果を専用チームの安全な帯域外通信チャネルに組み込む統合ワークフローを作成することで、インシデント対応能力を強化する方法をご紹介します。

TDR224 | Lightning talk | Securing the future of mobility: Automotive threat modeling

既存の自動車業界のサイバーセキュリティ脅威インテリジェンスの多くは、今日の自動車サイバーセキュリティ脅威の状況に必要なコネクテッドモビリティの洞察に欠けています。このライトニングトークに参加すると、自動車のバリューチェーン全体で使用および採用するための脅威インテリジェンスの洞察を積極的に収集、分析、推論するAWS AI/MLサービスを使用して、自動車業界の車載型、ドメイン固有の脅威インテリジェンスソリューションを開発するAWSのアプローチについて学ぶことができます。

ハンズオンセッション(ビルダーズセッション、ワークショップ)

TDR251 | Builders’ session | Streamline and centralize security operations with AWS Security Hub

AWS Security Hubは、AWSアカウント、リージョン、およびサービス全体からセキュリティデータを収集することにより、AWSリソースのセキュリティ状態の包括的なビューを提供します。このビルダーズセッションでは、セキュリティ態勢の管理、セキュリティアラートの優先順位付け、洞察の生成、対応の自動化、調査結果の充実のためにSecurity Hubを使用するためのベストプラクティスを探ります。Security Hubの機能の使い方をより深く理解し、この強力なサービスを最大限に活用するための実践的なヒントを得ることができるはずです。

TDR351 | Builders’ session | Broaden your scope: Analyze and investigate potential security issues

このビルダーズセッションでは、セキュリティの発見とアカウント、IAMプリンシパル、IPアドレス、Amazon S3バケット、Amazon EC2インスタンスなどの関連するエンティティとの関係をダイナミックに視覚的に表現し、潜在的なセキュリティ問題をより効率的にトリアージする方法について学びます。Amazon Detectiveの発見グループを使用すると、関連するAmazon GuardDutyの発見をグループ化して、セキュリティ調査や潜在的な問題の範囲の把握に費やす時間を短縮できます。このハンズオンセッションでは、インシデントの根本原因を迅速に調査して発見する方法を知ることができます。

TDR352 | Builders’ session | How to automate containment and forensics for Amazon EC2

このビルダーズセッションでは、セルフサービスのAutomated Forensics Orchestrator for Amazon EC2 Solutionを導入し、拡張する方法を学びます。このソリューションは、Amazon EC2のセキュリティイベントに対応するための標準化された自動フォレンジックオーケストレーションワークフロー機能を提供します。実施する上での前提条件と、ソリューションを自分の環境にカスタマイズする方法を探ります。

TDR353 | Builders’ session | Detecting suspicious activity in Amazon S3

AWSアカウントでの不正な活動のエビデンスを発見する方法を困ったことはありませんか?このビルダーズセッションでは、AWSカスタマーインシデントレスポンスチーム(CIRT)と一緒に、不正なデータ流出やAmazon S3バケットとオブジェクトデータの削除を含むAWSアカウント内の疑わしい活動のシミュレーションをガイド付きで行います。AWS CloudTrailAmazon Athena、Amazon GuardDuty、Amazon CloudWatchなどのAWSサービスや、AWS Billingなどの非従来型の脅威検出サービスを使って、この悪意のある活動を検出し対応する方法を学び、不正使用の証拠を明らかにします。

TDR354 | Builders’ session | Simulate and detect unwanted IMDS access due to SSRF

適切なセキュリティコントロールを使用することで、Webアプリケーションの不正使用のリスクを大幅に低減することができます。このビルダーズセッションでは、サーバーサイドリクエストフォージェリ(SSRF)脆弱性がどのように機能するか、不正なユーザーがどのように利用しようとするか、そして最も重要なことは、どのようにそれを検出し、インスタンスメタデータサービス(IMDS)へのアクセスに使用されるのを防ぐかを知ることです。また、AWSカスタマーインシデントレスポンスチーム(CIRT)がこのような性質のセキュリティイベントに対応する際に行う検出活動の一部も学んでください。

TDR341 | Code talk | Investigating incidents with Amazon Security Lake & Jupyter notebooks

このコードトークでは、エキスパートがJupyterノートブック、Amazon Security Lake、Pythonコードを使用して、AWS環境のインシデントレスポンスプレイブックを実際のコードで構築する様子をご覧いただけます。セキュリティイベントを調査し、対応する方法と、より効果的かつ迅速に混乱に対応するためにこれらの技術を使用する方法について、より良い理解を得るために出発します。

TDR441 | Code talk | How to run security incident response in your Amazon EKS environment

このコードトークに参加すると、AWSのエキスパートが複数のAmazon EKSクラスタ上で動作するアプリケーションのライブエクスプロイトを実行し、Amazon GuardDutyのアラートを呼び出すため、敵側と防御側の両方の視点が得られる。そして、インシデントの検出、抑制、回復をほぼリアルタイムで行うインシデント対応手順を説明します。Amazon EKS固有のインシデントに対応し、回復する方法について、イベントの展開を見ながら理解を深めることができます。

TDR271-R | Workshop | Chaos Kitty: Gamifying incident response with chaos engineering

最後にインシデントのシミュレーションをしたのはいつですか?このワークショップでは、カオスエンジニアリングでインシデントレスポンスをゲーム化するためのサンドボックス環境を構築する方法を学びます。このサンドボックスを使って、検知機能のテスト、インシデントレスポンスのランブックの作成、AWSリソースと物理デバイスの統合方法などを説明することができます。インシデントレスポンスの開始方法と、カオスエンジニアリングの原則を使用してインシデントレスポンスプロセスを改善できるメカニズムを作成する方法を理解することができます。

TDR371-R | Workshop | Threat detection and response on AWS

Amazon GuardDuty、AWS Security Hub、Amazon Detectiveを使用した、AWSエキスパートによる脅威の検知と対応のハンズオンワークショップにご参加ください。このワークショップでは、さまざまなタイプのリソースや行動に対するセキュリティイベントをシミュレートし、AWS Lambdaを使用した手動および自動応答の両方を説明します。AWS上で脅威の検知と対応を運用することで、セキュリティ体制を向上させる方法を学びましょう。

TDR372-R | Workshop | Container threat detection with AWS security services

AWSのエキスパートと一緒に、AWSの脅威検出とレスポンスサービスを使用したコンテナセキュリティのハンズオンワークショップを開催します。このワークショップでは、Amazon EKSを使用しながらシナリオとセキュリティイベントをシミュレートし、イベントの検出と応答、およびセキュリティプラクティスを改善するためにさまざまなAWSセキュリティサービスを使用する方法を実演しています。Amazon EKS上でワークロードを実行する際のセキュリティポスチャを改善する方法について、ぜひご参加ください。

re:Inforceのフルカタログを閲覧して、ゲーミフィケーション学習、リーダーシップセッション、パートナーセッション、ラボなど、イベントでの追加セッションやコンテンツの詳細をご確認ください。

最新の脅威検知およびインシデントレスポンスのベストプラクティスと最新情報を学びたい方は、re:Inforce 2023に登録してイベントに参加ください。皆様のご参加をお待ちしております!

本BlogはCeleste Bishop、Product Marketing Manager in AWS SecurityとHimanshu Verma、 Worldwide Specialist for AWS Security Services、による原文を松本照吾、Head of Security Japan, が翻訳いたしました。