誰もがデジタルサービスに触れることが当たり前になっている昨今、サービスのデジタル化に伴い、不正アクセスによる情報漏洩や業務停止など、セキュリティインシデントの被害が急増しています。2019年以降、今も継続的に被害を出しているマルウェア「Emotet(エモテット)」や、国内の病院や港湾施設といった重要な社会インフラを次々と狙って世間を騒がせたランサムウェアなどの脅威を覚えている方も多いはずです。こうしたセキュリティインシデントを検知するために、ログ解析や分析スキルを常日頃から磨いておくことが以前にも増して重要になってきています。当社でも、お客様のシステム構築や運用などを担っていくなかで、高度なセキュリティの知見を求められることが増えており、当社全体として、スキル向上に努めています。
今回は、当社のAmazon Web Services(AWS)エンジニア4名が、現在の実力の確認や日頃の研鑽の成果を測る目的で、AWSが主催するセキュリティワークショップに参加してきましたので、概要のご紹介や参加して得られた学びを皆さんに共有します!
今回参加したのは、AWS Partner Network(APN)参加企業に所属しているAWSエンジニアを対象として開催されたAWSパートナー限定イベント「AWSセキュリティインシデント疑似体験調査ワークショップ」です(2023年10月25日開催)。ワークショップはいわゆるCTF※形式のオンライン開催で、今回は計34チームが2時間で数十問からなる課題に挑み、合計点数を競いました。課題の題材となっていたのはAWS環境上で実際に発生したであろうインシデントを模したもので、参加者はAmazon OpenSearch Serviceを用いてインシデントのログを分析し、課題の回答を導き出す過程で実際のインシデント調査の流れを追体験できるようになっていました。
*同ワークショップはCTF形式であり、かつ今後は一般公開も検討されているということなので、課題内容そのものについては紹介を控えます。
※CTF(キャプチャー・ザ・フラッグ)
参加条件は以下のとおりです。当社は「チーム周瑜」として参加しました。
<参加条件>
イベント当日は自社の会議室に集合しオフラインでのコミュニケーションも可能な状態で挑みました。課題がセクション分けされていたので、大まかに担当を振ってそれぞれで解いていく方針で挑みましたが、実際に問題を解き進めてみると、セクション分けされているとはいえセクション間のつながりを追う必要があり、終盤は難問にてこずる羽目になってしまいました。ポイントとなる点をホワイトボード等に記して見える化・チーム内共有をしておけば、もう少し順調に問題が解けたかもしれません。それでも当社はなんとか1位に入賞することができ、日々の自己研鑽と向上心の成果を実感しました!
さて、今回のワークショップを通して得た学びが2つあります。1つ目はインシデントにおける準備の重要性です。ワークショップでは必要なサービスやログが調査しやすいよう予め設定がされていましたが、実際はそうとは限りません。ワークショップを通じて、AWSの各サービスやログを活用したインシデントの仮説立案&検証のサイクルを体験することができ、各サービスやログを普段から有効化しておくことの重要性を改めて痛感しました。今後アーキテクチャーの設計やレビューをしていく上で、インシデントへの備えは十分なのか?という観点でより厳重に確認したいと思いますし、社内の教育施策にも得られた知見を反映していこうと思います。
2つ目の学びはログ分析の具体的なテクニックです。取得した大量のログの中から必要な情報を探り当てるためには各ログの構造を把握した上で、適切な値でフィルタリングしていく必要があります。特にインシデントの封じ込めは時間との勝負です。時間がかかればかかるほど被害が拡大する可能性があります。ワークショップのおかげで、ある事象を調べたい場合に、どこで出力されたログをどんな値でフィルタリングしていけばよいのか、というイメージがより具体的に湧くようになりました。今後も普段からログを分析することでテクニックを磨いていきたいと思います。
当社はAWSをはじめ、セキュリティ対策の導入支援やお客様のシステム構築・運用を担わせていただいております。日々、刻一刻と進化・多様化するセキュリティインシデントに対応するために、当社のエンジニアもタイムリーなスキル向上に努めています。今後も、こうした社外での取り組みから得た知見を積極的に取り入れながら、お客様がシステムを安心して稼働させることができるよう、高品質なセキュリティ対策のご提案とご提供に邁進していきたいと思います。
