サイト内の現在位置

AWS re:Invent2019（Security Jam&新サービス）

NECセキュリティブログ

2019年12月20日

こんにちは。NEC セキュリティ技術センターの杉本、山田です。私達は12/1~12/6にラスベガスで開催された、AWS最大のイベントであるre:Inventに参加してきました。今回はそこで開催されたSecurity Jamという競技の参加記を杉本が、そして新たに発表されたサービスを山田がご紹介します。

ラスベガスのとあるホテル。このニューヨークの街並みに見える部分全てが1つのホテルです。
ラスベガスのホテルは総じて規模が規格外です。

re:Inventとは

AWS(Amazon Web Service)が毎年ラスベガスで開催しているAWS最大のグローバルカンファレンスで、基調講演での発表、トレーニングプログラム、2,000を超えるセッション、Expoやパーティなどが開催されます。特に基調講演は、毎年大量の新サービスが発表されることもあり、非常に注目されています。今年はラスベガスにある6つのホテルの会議室やカンファレンスルームを貸し切って開催され、各ホテル間は無料のシャトルバスが約15分間隔で運行されていました。

会場の1つであるミラージュホテル。写真より左側の敷地内には動物園もあり、敷地面積はかなり巨大。この規模のホテルが6つも会場になっています。 — 会場の1つであるミラージュホテル。写真より左側の敷地内には動物園もあり、敷地面積はかなり巨大。
この規模のホテルが6つも会場になっています。

Security Jamとは

ここからは杉本がSecurity Jamの参加記をご紹介します。Security Jamとは、運営側が用意したAWS上のセキュリティインシデント問題を最大4人のチームが協力して解決し、スコアを競うイベントです。問題は全部で10問ほどあり、問題ごとにeasy~hardの難易度が設定されていて、難易度が高い問題ほどスコアが高くなっています。
ただし、各問題に3つ用意されているヒントを使用したり、誤答してしまうと減点となります。AWS上で行なう競技なので、問題毎にリソースや権限管理が設定されたAWSアカウントが用意されています。ちなみに問題は日本語表示も可能です。

4時間半の長丁場のためか、会場にはお菓子や飲み物が用意されていました。以下は参加申し込み時に記載されていた公式の概要です。
“Join us for a security jam. We provide the music and the incident response scenarios and give you the opportunity to practice your skills and learn new ones against a set of simulated security incidents. Can you identify what caused the security event? What would you do differently? How can you architect multiple AWS services to prevent it from happening again? How do you automate the incident response? Take part in our jam to find out. This hands-on event is designed for individuals of all skill levels, and the AWS security community is available to help you.”

参加チームとwarm-up

私はソロで参加したのですが、せっかく海外に来ているので3人で参加していた外国人チームに混ぜていただきました。私のチームメンバーは、3人共普段同じ会社で働いているセキュリティエンジニアということで非常に頼りになりました。

自己紹介を終えた後、私は競技のポータルサイトにログインしました。ポータルサイトでは、スコアボード、チームメンバーとのチャットツール、問題の選択画面などが用意されていました。問題の選択画面では、Jam開始まで暇を持て余さないためかwarm-up問題が用意されていました。もちろん難易度はeasyです。

早速warm-up問題に取り組み始め、少し悩んで「この辺のサービス使えば解けそうかな？」と解決策を思いつきましたが、そのサービスは権限がロックされていて使用できませんでした。実はSecurity Jamで用意されている環境は、問題として想定されていないサービスや機能は使用できないようにロックがかかっているのです。

その後、約20分経っても私達のチームは誰も解くことが出来ず、「これのどこがwarm-upなんだ？」「うちの環境壊れてないか？」とメンバー全員で笑い合いつつ頭を悩ませていました。

Jamスタート

とうとうwarm-up問題が解けないままJam本番がスタートしました。既に気分はcool-downです。用意された問題は11問あり、その中には、解くことが出来たチームはご褒美が貰えるという特別問題もありました。

そのうちにメンバーの1人が特別問題を解いてくれたので、スタッフが私たちのテーブルにやってきました。どうやらリカバリーキットというアイテムをいただけるようです。「ヒント使用で減点されたスコアを取り戻せるアイテムかな？」などと予想して色めき立つチームメンバー達。

しかし、実際に渡されたのはビタミン剤や絆創膏などが入っている救急キットでした。まさかの物理的なリカバリーキットの登場にチームは笑いに包まれました。

リカバリーキットで息抜き出来た私達のチームは再び問題に取り組みました。warm-up問題が解けなかった時はどうなることかと思いましたが、最終的に私達のチームはwarm-up含めた12問中10問を解き、結果は23位でした（全チーム数は確認できなかったですが、おそらく50~60チーム）。私達のチームは互いの健闘を讃え、競技会場を後にしました。

感想

今まであまりイメージできていなかったAWS上でのインシデント対応や、使い方をよく知らなかったサービスを学ぶことが出来たのは非常に有意義でした。また、日本だとなかなか外国の方とチームを組んで何かに取り組むことはないので貴重な経験でした。

競技的には、概要に”This hands-on event is designed for individuals of all skill levels（このハンズオンイベントは全てのスキルレベルの方が対象です）”とありましたが、レベルはeasy問題でもけっこう高めだと感じました。権限管理やログの追跡、ネットワークなど様々なジャンルの問題が出題されるので、AWSサービスへの理解とインシデント対応力の両方を求められます。

と書くとハードルの高いイベントのように聞こえますが、かなり親切なヒントが用意されている問題もありますし、上位を狙わなくてもAWS上のインシデント対応について自分で手を動かしながら学べる中々無い機会ですので、AWSをある程度触ったことのある方なら積極的に参加する価値のあるイベントだと思います。

re:Invent期間中に発表された新サービス

re:Invent期間中には、多数の新しい製品、機能、サービスが発表されます。今年は77の製品、機能、サービスが発表されました。ここからは山田が、注目した新サービスをご紹介します。

Amazon Detective

Amazon Detectiveはセキュリティの調査に活用できるサービスです。AWS CloudTrail、Amazon VPCフローログから自動的に収集した情報を元に機械学習、統計分析、グラフ理論を使用することで、インシデントの抽出、情報の可視化を行います。Amazon GuardDutyと連携し、GuardDutyで検出された脅威の情報を分析することも可能です。
これまで、セキュリティ調査には高度なスキルとコストが必要でしたが、このAmazon Detectiveにより自動分析や可視化が行われるようになります。

具体的に以下のようなユースケースが紹介されていました。

アラートのトリアージ

どれだけのデータ量が流れたのか
現在のトラフィックが正常か否か
少し前に何が起こったのか
APIコール失敗が観測されたが、これは正常なのか

インシデント調査

APIがどこのIPから呼び出されたか
このAPIコールが偵察行為なのか否か
どのIPがメインに使用されていたか
どのインスタンスがそういったIPとやりとりしていたか

スレットハンティング

脅威レポートに載っているIPが過去に自分のインスタンスとやりとりしてなかったか知りたい
怪しいユーザが行なったAPIコールを全て表示したい

サービス紹介セッションでは、CloudTrailの無効化、SSHへのブルートフォース攻撃の2つを例にデモが行われ、API呼び出しの成功、失敗数や呼び出しの増加量などの可視化、呼び出し元のIPなど、関連する情報を直感的な操作で追う様子が見られました。

現在はプレビュー版を試せるため、今後触ってみたいと思います。

Amazon CodeGuru

Amazon CodeGuruはコードレビューとパフォーマンス改善の推奨事項を提案するサービスです。こちらも機械学習を活用しているサービスです。CodeGuru Reviewerでは、AWS APIとSDK使用のためのベストプラクティスからの逸脱の検出や、サニタイズ処理の漏れ、機密データの不適切な処理などの検出が可能です。CodeGuru Profilerでは、CPU使用率の削減、計算コストの削減が可能なコードを特定し、リソースの利用コストの最適化、パフォーマンスの改善をすることができます。

Amazon内では2年前から利用されており、325%のCPU効率の改善、40%近くのコスト最適化を達成したそうです。

Amazon Outposts

Amazon OutpostsはAWSのサービス、インフラストラクチャをオンプレミスで利用できるというサービスです。これまで、ネットワーク遅延や機密情報をクラウド環境に置くことへの懸念によりオンプレミス環境を利用していた物でも、AWSサービスを利用することが可能になります。
オンプレミス構築であっても、AWSサービスを利用するという選択肢が増え、エンジニアとしてAWSの知識を持っていなければいけないという場面が増えるのではないかと感じました。

感想

初参加のre:Inventでしたが、会場のホテルの大きさ、参加人数の多さ（今年は過去最大の65,000人以上参加）といった規模の大きさ、基調講演の時に、バンドが生演奏しその歌詞を枕にして講演を行う演出など驚くことばかりでした。
発表された新サービスでは、セキュリティ調査や機械学習のモデル作成といった、これまで高度なスキルを持った専門家が行っていた部分を、機械学習によって容易に行えるようにできるサービスが印象的でした。このようなサービスは今後ますます増えていくのではないかと感じました。
また、AWS上での機械学習向けに性能が向上した新製品も数多く発表されました。AWS上でのビッグデータの活用が今より進むようになると、それに合わせて守るべき対象も増えることになるので、セキュリティの担保された安全なものを作る必要があると、改めて感じました。

執筆者プロフィール

杉本元輝（すぎもと　げんき）
セキュリティ技術センター　セキュリティ実装技術チーム

社内のセキュア開発推進や、
社内SEへのセキュリティ技術支援に従事。