View a markdown version of this page

未知のリスク - AWS セキュリティインシデント対応ガイド

未知のリスク

アラートの調整、自動化によるインシデント対応手順の改善、セキュリティ防御の改善に既に集中して取り組んでいる場合、次に何を改善すべきかと悩むことでしょう。図 3 の未知のカテゴリが示す未知のリスクについて気になるかもしれません。未知のリスクは、以下の方法で軽減できます。

  • セキュリティアサーションを定義する - 何を真実としてアサートできるか。 環境で絶対的に真実であるべきセキュリティプリミティブは何であるか。 これらを明確に定義すると、逆のものを探すことができます。これは、セキュリティアサーションを後でリバースエンジニアリングするよりも、クラウドジャーニーの早い段階で行う方が簡単です。

  • 教育、コミュニケーション、リサーチ - クラウドセキュリティのエキスパートをスタッフから生み出すか、エキスパートパートナーを参加させることで環境を精査してもらいます。前提を疑い、微妙な根拠に用心します。プロセスにフィードバックループを設け、エンジニアリングチームがセキュリティチームとコミュニケーションをとるメカニズムを提供します。また、アプローチを拡大して、関連するセキュリティメーリングリストや情報セキュリティの漏えいをモニタリングします。

  • 攻撃面の減少 - 防御力を高めてリスクを回避し、未知の攻撃に備える時間を増やします。攻撃者をブロックして鈍化させ、目立たせます。

  • 脅威インテリジェンス - 世界中の最新の脅威および関連する脅威、リスク、指標の継続的なフィードを購読します。

  • アラート - 異常な、悪意のある、または費用のかかるアクティビティについて警告する通知を生成します。例えば、使用していないリージョンやサービスで発生したアクティビティに関する通知を作成できます。

  • 機械学習 - 機械学習を使用して、特定の組織や個人のペルソナに関する複雑な異常を特定します。異常な動作を特定しやすくするために、ネットワーク、ユーザー、システムの正常な特性をプロファイリングすることもできます。

盲点や誰にも知られていない未知を考慮する場合は、脅威インテリジェンスが主要なトピックになります。Johari ウィンドウは知っていることと知らないことを分類する方法を示しますが、脅威インテリジェンスはまだ知らないことを説明する方法を示します。脅威インテリジェンスは、企業が脅威モデルを詳細に把握し、企業がまだ存在を認識していない可能性がある脅威を見つけるのに役立つ分野です。

通常、脅威インテリジェンスを構成する要素は以下のとおりです。

  1. 新しい脅威の発見。

  2. 新しいパターンの定義。

  3. 新しい自動取得手法の定義

  4. これらのプロセスの繰り返し。

この種の方法は役に立ちますが、脅威インテリジェンスチームのケアとメンテナンスは、大企業を含む多くのエンタープライズに過度な負担をかける可能性があります。最終的には、脅威モデル、規模、リスク回避を調和させることが問題になります。以下の質問を検討します。

  • 脅威モデルは、自社が属する標準的な業種と大きく異なっているか?

  • リスク選好度は、そのようなチームを必要とするほど低いか?

  • チームを運営するのは自社にとって財政的に健全であるか?

  • リスク特性は、自社の目的に適切な人材を引き付けるぐらい興味深いものであるか?

これらの質問のいずれかに「いいえ」と回答した場合は、ほぼ例外なく、脅威インテリジェンスパートナーを見つける必要があります。このサービスは、多くの大企業や有名企業が競合して提供しています。

AWS は、これらの問題を自分で管理するためのツールとサービスを提供しています。機械学習を使用して悪意のあるパターンを特定することは、よく調査された研究分野であり、対応パターンは、お客様、AWS Professional Services、AWS パートナーによって実装され、さらに Amazon GuardDuty や Amazon Macie などの AWS のサービスを通じて実装されています。これらのパターンの一部は、AWS re: Invent カンファレンスセッションで議論されています。詳細については、このホワイトペーパーの「メディア」セクションを参照してください。

また、お客様は、セキュリティデータレイクを開発する際に、従来のビジネス中心のデータレイクを拡張して同様のアーキテクチャパターンを活用しています。また、セキュリティ運用チームは、Amazon OpenSearch Service や OpenSearch Dashboards などの従来のログ記録やモニタリングツールの使用を、ビッグデータアーキテクチャにまで拡張しています。

これらのお客様は、AWS CloudTrail イベントログ、VPC フローログ、Amazon CloudFront アクセスログ、データベースログ、アプリケーションログから内部データを収集し、これらのデータをパブリックデータや脅威インテリジェンスと組み合わせています。お客様は、この貴重なデータを利用することで、セキュリティ運用チームにデータサイエンスとデータエンジニアリングのスキルを導入しています。また、Amazon EMR、Amazon Kinesis Data Analytics、Amazon Redshift、Amazon QuickSight、AWS Glue、Amazon SageMaker、Apache MXNet on AWS などのツールを活用して、自社のビジネス特有の異常を特定して予測するカスタムソリューションを構築するようになっています。

最後に、「セキュリティパートナーソリューション」を参照し、AWS パートナーが提供する数百の業界屈指の製品をご覧ください。これらの製品は、オンプレミス環境の既存のコントロールと同等、同一であるか、統合されています。これらの製品は、AWS の既存のサービスを補完し、クラウドとオンプレミスにわたって包括的なセキュリティアーキテクチャと、よりシームレスなエクスペリエンスをデプロイできるようにします。