セキュリティインシデントの調査が簡単に!Amazon Detectiveとは?
セキュリティインシデントの調査が簡単に!Amazon Detectiveとは?
Amazon Detectiveは、AWSサービスにおけるセキュリティインシデントや脅威を分析、調査し原因特定を簡単に行うことのできるサービスです。インシデント(incident)はもともと英語で「事件」「出来事」という意味があり、 英語でも「重大な事件に至る危険のあった小事件」というニュアンスで使われています。 今まででも、セキュリティインシデントの調査はAmazon GuardDuty、Amazon Macie、AWS Security Hub などの AWS セキュリティサービス、およびパートナーセキュリティ製品を利用することで可能ではありました。しかし、これらのサービスは何か問題がある場合にアラートを受け取り、修正箇所を特定する、用途は限定的なものでした。更に調査を進めるためには、セキュリティに関する調査結果を受け取って、さらに深く掘り下げ、より多くの情報を分析することで、根本原因を特定して対処する必要がある場合もあります。セキュリティ異常の根本原因を特定することは、多くの場合、多くの個別のデータソースからログを収集して結合することを伴う複雑なプロセスになる可能性があります。
AWSではこのセキュリティ調査における課題として、以下の要素が挙げられていました。(AWS re:Invent 2019のAmazon Detectiveの紹介映像より)
・Signal to noise ratio……直訳すると「信号に対するノイズの比率」ですが、セキュリティ調査の際には、膨大なデータから調査に必要な価値あるデータを見つけることの困難さを表しています。
・Complexity……「複雑さ」セキュリティの脅威の根本的な原因を特定するためには、複雑なデータを紐解いていかなければなりません。
・Skills shortage……「スキル不足」原因調査にはデータやインフラに対する知識、そして適格な判断が必要であり、非常に高度なスキルが求められるのです。
・Costs……「コスト」このコストとはログを分析するための高価なサードパーティ製のツールを導入、運用する為の「金銭的な面でのコスト」とセキュリティログを分析し、ツールを運用して時間を掛けながら地道に調べていくための「労力としてのコスト」の二つを表しています。
これらの課題を克服し、セキュリティの異常に対する原因特定を容易にするものとしてAmazon Detectiveが誕生したのです。
Amazon Detectiveの特徴
Amazon Detectiveの特徴を公式サイトの概要より、紹介していきます。
すべての AWS アカウントにわたる自動データ収集
Amazon Detective は、有効なすべてのアカウントから関連データを自動的に取り込み、処理します。データソースを設定または有効化する必要はありません。 Amazon Detective は、AWS CloudTrail、VPC Flow Logs、Amazon GuardDuty の結果などのデータソースからイベントを収集および分析し、分析のために集計データを最大 1 年間保持します。
今まではデータを収集するアカウントやデータを指定する必要がある場合も少なくなかったのですが、Amazon Detectiveを利用することで複雑な設定も不要となります。
簡単な高度なグラフ化
Amazon Detective は、IP トラフィック、AWS 管理操作、悪意のあるアクティビティや不正なアクティビティに関する数多くのデータソースから個別に何兆ものイベントを分析します。これにより、機械学習、統計的分析、グラフ理論を使用してログデータを抽出するグラフモデルを構築し、リンクされたデータセットを作成して、セキュリティ調査が行えます。
Amazon Detectiveでは事前に構築されたグラフモデルを基にデータを視覚的に整理することができ、原因調査に役立てることができるのです。
効率的な調査のためのインタラクティブな視覚化
Amazon Detective はインタラクティブな視覚化を提供するため、少ない労力で問題をより迅速、徹底的かつ簡単に調査できます。
一例として公式サイトにも挙げられているのが、アクセスの位置情報マップです。普段のアクセスとは異なる場所からのアクセスを検知した場合には、オレンジ色の円で表示され異常なアクセスであることが一目でわかるようになっています。そのアクセスにドリルダウン(データの集計レベルを1つずつ掘り下げて集計項目をさらに詳細にする)を行うことで、APIがどの時間帯にどのように呼び出されているかなどをグラフを基に調査することができます。
セキュリティに関する調査結果を調べるためのシームレスな統合
Amazon Detective は、Amazon GuardDuty や AWS Security Hub などの AWS セキュリティサービス、および AWS パートナーセキュリティ製品と統合されており、これらのサービスで特定されたセキュリティの調査結果をすばやく調べることができます。 これらの統合サービスからシングルクリックすると、Amazon Detective に移動し、調査結果に関連するイベントをすぐに確認し、関連する履歴アクティビティにドリルダウンして問題を調査できます。
例えばAmazon GuardDutyで異常を検知した時に、Amazon Detectiveをわざわざ起動するような操作は必要なく、「Investigate」をクリックするだけでAmazon Detectiveを起動し、原因の調査ができるようになります。
事前にデータソースを統合したり、複雑な設定を維持したりする必要のないシンプルなデプロイ
Amazon Detective は AWS マネジメントコンソールで数回クリックするだけで有効にできます。ソフトウェアをデプロイしたり、エージェントをインストールしたり、複雑な設定を維持する必要はありません。
非常にシンプルでユーザーライクなサービスとしてのこだわりが感じられますね。
ユースケース
セキュリティ問題のトリアージ
医療現場でよく耳にする「トリアージ」ですが、今回のケースでは、セキュリティの異常を検知した際にそれが「誤検知」なのか「セキュリティの問題」であるのかを素早く判断することができます。
インシデント調査
AWSセキュリティサービスによって検出結果が識別されると、Amazon Detectiveに情報を共有し、検出に関連するデータをすぐに確認できます。そして関連する履歴アクティビティに掘り下げて異常を特定し、根本的な原因を迅速に特定することができるのです。
脅威ハンティング
脅威ハンティングは、特定の手がかりや仮説に基づいて隠れた脅威を発見するための積極的な分析です。Amazon Detective は、IP アドレス、AWS アカウント、VPC、EC2 インスタンスなどの特定のリソースに注意を向け、それらのリソースに関連するアクティビティを詳細に視覚化することで脅威を事前に把握することができるようになります。
料金について
Amazon Detectiveを運用する際にかかるコストは「取り込まれたデータ量に対して」となっています。分析の為にログソースを有効にしたり、保存されたデータを有効にしたりするのに追加料金はかかりません。また、30日間の無料トライアルも利用できます。
料金表
これはアジアパシフィック(東京)リージョンでの料金となっています。
AWS CloudTrail、Amazon VPC Flow Logs、Amazon GuardDuty から取り込まれたデータ | |
---|---|
最初の 1,000 GB/アカウント/リージョン/月 | 2.70USD/GB |
次の 4,000 GB/アカウント/リージョン/月 | 1.35USD/GB |
次の 5,000 GB/アカウント/リージョン/月 | 0.68USD/GB |
10,000 GB 以上/アカウント/リージョン/月 | 0.34USD/GB |
これは一例ですが、Amazon Detective がアジアパシフィック (東京) リージョンで AWS CloudTrail、VPC Flow Logs、Amazon GuardDuty の結果から取り込まれた 500 GB のデータを処理する場合は
料金: 500 x 2.70 USD (最初の 1,000 GB/アカウント/リージョン/月) = 1,350 USD/月 となります。
まとめ
Amazon Detectiveを利用することで、セキュリティの脅威に対する根本的な原因の調査分析がスムーズに行えるようになります。30日間のトライアルも利用できるので、ぜひ試してみてはいかがでしょうか。
参考文献:
https://hacknote.jp/archives/54899/
https://dev.classmethod.jp/articles/new-reinvent2019-amazon-detective/