重大なセキュリティ検出結果への対応

重大なセキュリティ検出結果に関するアラーム

Amazon SNS を介したメールメッセージ、または AWS Lambda を使用した Slack などのインスタントメッセージングサービスへの統合を通じて、重大なセキュリティ検出結果に関するアラートを設定することをお勧めします。

検出結果の一元化とアラームへの対応

検出された重大なセキュリティ検出結果に対し、組織内の誰かが対応可能であることを確認してください。Amazon GuardDuty などの発見的統制でセキュリティポスチャが改善されるのは、誰かが検出結果を分析し、対策を講じる場合にのみです。クイックウィンとしては少なくとも重要度が CRITICAL と HIGH の検出結果は対応してください。

重大なセキュリティ検出結果を一元的に可視化し、複数のサービスに対するこれらのアラームの設定を簡素化する簡単な方法は、AWS Security Hub を有効にしてセキュリティ検出結果を一元化し、自動通知を設定することです。(Security Hub への検出結果の取り込みは、東京リージョンで、最初の 10,000 イベント/アカウント/リージョン/月は無料で、これを超えると料金は 1 イベントあたり USD 0.00003 です。詳細はSecurity Hub の料金をご確認下さい。)

組織内にすでに SIEM ソリューションがある場合、Amazon GuardDuty やその他のソースからのセキュリティ検出結果を SIEM に送信し、そこからアラートを発生させることもできます。

インシデント対応方法

重大な検出結果にどう対応すべきかわからず、アカウントが侵害されている可能性があると思われる場合は、サポートチケットを開き、AWS カスタマーインシデント対応チーム (AWS CIRT) に連絡してください。CIRT チームは、セキュリティインシデントが発生しているお客様に対して、インシデント対応に関する無料のサポートを提供しています。エンタープライズサポートをご利用の場合は、テクニカルアカウントマネージャーにも連絡してください。

即時対応すべき重大な検出結果の例

  • AWS から不正使用通知の受信 (お客様の AWS アカウントから、他の AWS のお客様を攻撃している場合などで、アカウントが侵害されている可能性が高いです)。
  • アクセスキーの漏洩 (AWS Trusted Advisor 経由で通知されます)。
  • C&C サーバーへの接続や TOR クライアントなど、Amazon GuardDuty で検出した重大な検出結果 (マルウェア感染が疑われる検出結果です。詳細は GuardDutyのドキュメント で確認できます)

主なリスクと軽減

  • リスクを特定するセキュリティコントロールや検出コントロールは、誰か (人間) 、または何か (システム自動対応) が脅威を調査し封じ込めるためのアクションを取らなければ、脅威は残ります。検出結果に対応することで追加のセキュリティ改善がされます。

評価のガイダンス

  • この業務を担当する人や部署は定義されていますか?
  • その業務を行うためのトレーニングを受けていますか?
  • アラームは複数人に届くよう設定されていますか?
  • 組織全体、全リージョンで AWS Security Hub にセキュリティ検出結果を一元化していますか?
  • AWS CIRT の存在を知っていますか?
  • あなたのチームはリスクとアクティブなセキュリティインシデントを区別できますか?

料金

  • AWS Security Hub の料金
    • Security Hub には 30 日間の無料トライアル期間があります。
    • 現在の使用状況を確認し、将来の使用量を見積もるためのページがあります。