NTT東日本株式会社は8月6日、AWSコンソールへの不正アクセスの可視化についての解説記事を発表した。
同記事では、AWS CloudTrailによって記録されたAWSアカウントの膨大な操作ログの中から不正アクセスの兆候をあぶり出し、誰もが直感的に状況を理解できる「可視化」のアプローチに焦点を当て、その考え方と実践方法について解説している。
同記事では、検知すべき「不審な兆候」の具体例として下記を挙げ、可視化ダッシュボードで重点的に監視することを推奨している。
・地理的な異常:普段と違う場所からのアクセス
普段は日本国内からしか利用がないはずのアカウントに、海外のIPアドレスからログインされている。
・時間的な異常:ありえない時間帯でのアクセス
深夜や早朝、休日など、通常の業務時間外にコンソールへのログインやAPI操作が行われている。
・量的な異常:短時間での大量の試行
特定のIPアドレスやユーザーから、短時間に大量のログイン失敗が記録されている(ブルートフォース攻撃の可能性)。
・権限に関する異常:特権アカウントの不審な利用
普段は使わないはずのルートアカウントが利用されている、または特定のIAMユーザーによる不審な権限昇格の試みなどが記録されている。
また、不正アクセスの兆候を捉え、可視化するために中心的な役割を果たすAWSのネイティブサービスとして下記を紹介している。
サービス名:AWS CloudTrail
役割:記録(監視カメラ)
解説:AWSアカウント内で行われたほぼ全ての操作を記録するサービス。
利用シーン例:全ての分析の基礎として、AWSアカウントの操作を記録・保存。
サービス名:Amazon GuardDuty
役割:検知(賢い警備員)
解説:CloudTrailログなどを機械学習で自動的に分析し、悪意のあるアクティビティや不正な振る舞いを検出するサービス。
利用シーン例:専門家がいなくても、手軽に脅威の自動検知を始めたい。
サービス名:Amazon Athena
役割:分析(データ分析官)
解説:S3に保存されたログに対し、標準的なSQLを用いて直接クエリを実行できるサービス。
利用シーン例:GuardDutyの検知をきっかけに、特定のインシデントをSQLで深掘り調査したい。
サービス名:Amazon QuickSight
役割:可視化(レポーター)
解説:Athenaでの分析結果などを基に、グラフやマップで構成されたインタラクティブなダッシュボードを作成するBIサービス。
利用シーン例:分析結果をダッシュボードで可視化し、関係者へ定常的に状況を報告・共有したい。
同記事では、効果的な可視化ダッシュボードを設計を設計するには、「何を発見したいのか」という目的意識が重要で、「サマリー」「地理」「時間」「詳細」といった複数の視点を組み合わせて構成することが、状況把握の質を高めることにつながるとしている。
