セキュリティインシデント疑似体験 調査ワークショップに参加してみました

AWS

情報システム部でAWS周りの運用保守をしている「ねぎ」です、こんにちは!

AWSさんに開催していただいた、セキュリティインシデント疑似体験 調査ワークショップに参加した内容について今回はお話していきたいと思います。

pages.awscloud.com

いざセキュリティインシデントが発生した際には

  • どこから手を付ければ良いのか

  • どういった順序でログを追えば良いのか

を普段から実践している人じゃないと、いきなり実施するのは難しいのではないでしょうか?

そういった人たち向けにゲーム感覚で調査を学んでみる良いワークショップだったので、ご興味ある方はこちらのブログを参考にしていただければと思います。

まえがき

本ワークショップは、SIEM on Amazon OpenSearch Serviceをベースに各種ログを調査していくようなワークショップです。

github.com

当日は200人近い参加者が参加されており、ワークショップでは各「会社」ごとにチームが分かれてゲーム感覚で各クイズを解いていくようなものとなっています。

当日弥生からの参加者は、、、私一人でした・・・
(悲しい一言を会社のSlackへ投稿したのが以下です)

会社の人達に向けたワークショップの参加状況

最初から大きなハンデ戦となってしまいましたが、そこはあくまでゲーム感覚で学ぶということで、楽しんでいこうとポジティブに考えるようにしてその後のワークショップに臨みました!

オープニング / 速習ログ分析 / ゲームルールの解説

まずは本ワークショップに関する説明をAWSさんよりしていただきました。

OpenSearchダッシュボードの簡単な使い方の説明で、

  • 調査をする際にどういった項目で絞りこんだら良さそうか

  • ログの相関分析のやり方

といった説明とこの後のゲームに関するルールの説明がありました。

ゲーム開始にあたって使用するツールは、ゲームポータル(各インシデント調査に関するクイズが出てくるWeb画面)、OpenSearchの2つでした。

この後、いよいよ私は孤独な戦いに挑むのでした。。。

ゲーム開始

会社単位のチーム(Zoomのブレイクアウトルーム)に分かれてゲーム開始となります!

当日はZoomのブレイクアウトルームが70程度あったので、そのくらいのチームに分かれたのかと思います。
(改めて私は1人です。。。ー_ー)

ゲームポータルに各インシデントシナリオに沿った設問が表示されるので、取り掛かれるところからやっていきます。

最初の方はヒント付きの設問となっているため、とっつきやすく、軽快に解いていけます♪

何かセキュリティ調査のスペシャリストになった感覚で楽しんで進められます。

しかし、そうは甘くありませんw

進むにつれて当然、ノーヒントの設問が・・・。

後半はかなり苦しく、2時間のゲーム時間もあっという間に過ぎ去りましたが、全部は解けませんでした(44問中、32問でした)

ゲーム終了時のスコア

設問の詳細は記載を控えますが(今後のワークショップのネタバレになってしまうため)、例として以下のような設問です。

  • AWSトリビアに関する設問

  • インシデント調査した結果、疑いのあった通信が〇件あったか?

などです。意外にニッチで難しいトリビアもあって勉強になりましたw

解説とクロージング

ゲーム終了後、個人で一番多く設問を説いた人(MVP賞)と、チームで一番スコアが高かったチーム(チーム賞)の簡単な表彰がありました!
(MVP賞は別の方が取られていました、悔しい。。。)

こういった表彰があるだけでも、楽しんでやれるように工夫されているなと感じました。

その後は、本ワークショップの各インシデントシナリオについて一通り解説をいただきました。
(詳細を記載してしまうと、次回のワークショップでネタバレになってしまうので控えております。ご了承ください。)

ここまでで詳細解説は不要な人のために一旦クロージングという話がありましたが、このタイミングでワークショップを退席された方はほとんどいらっしゃらなかったようでした。

詳細解説

そして詳細解説です。各インシデントシナリオに対して、こういう意図の攻撃だったのでこういう調査が必要、といった調査方法や攻撃手法に関する少し技術的な話も含めての詳細解説でした。

解説の中でいくつか実際にOpenSearchを使って調査方法を実演もいただけたのですが、個人的にはこのスピードが早くて追いつくだけでいっぱいいっぱいでした。

1時間という枠だったのですが、個人的には90分くらいの時間を使ってやってもらえると、初学者向けにはいいのかなと思いました。

ただこの詳細解説は、AWSでよくあるようなインシデントに関するお話が聞けたのでとても有意義でした。

今後のセキュリティ対策検討に向けてもとても役立つと感じました。

そして改めて「ログは可能な限り全て取っておくべき」というのが身に染みた1時間でした。

あとがき

いかがでしたでしょうか?

インシデントシナリオの詳細については本ブログで紹介出来ないのですが、普段からAWSを使われている方は

  • セキュリティ

  • ガバナンス

  • ログ保全・分析

といった項目は頭を悩まされているネタではないでしょうか?

何も準備出来ていない、といった方には今回のワークショップの題材になっていて、本ブログの冒頭でも紹介した

「SIEM on Amazon OpenSearch Service」を

とりあえず導入してみるというのも手だと思います。

普段実際にインシデントが発生しないと、各種ログの調査や分析をやってみるという機会もそうそうないと思います。

調査、分析のやり方、各種ログのどういったところを見れば良いか、というのをゲーム感覚で学べるとても良い場だと思いました。

是非興味がある方は次回以降のワークショップ参加を検討してみてはいかがでしょうか?

<その後>

AWSさんより以下の画面キャプチャをいただきました!

ゲーム終了30分前にはチーム順位としては27位でしたが、一時的ではありましたが私がMVPだったようです!!。(私以外の方はマスキングしています)

チーム順位-30分前

MVP順位-30分前

最終的には、チーム順位としては36位、個人3位でした。(私以外の方はマスキングしています)

チーム順位-最終結果

MVP順位-最終結果

一緒に働く仲間を募集しています

herp.careers