4/6に神戸であった、大和セキュリティの勉強会「AWSインシデント対応入門」に参加してきたというレポ。

質の高い勉強会で定評のある、またWindowsイベントログの解析ツールHayabusaの開発で知られる大和セキュリティの勉強会である。前回のオフライン勉強会は昨年3月の2023年 TMCIT × 大和セキュリティ WELA忍者チャレンジであったので実に1年ぶりのオフライン開催である。今回の開催地は神戸で移動と宿泊が必要になるが、翌日に姫路城での花見も予定されていたため旅行気分で行こうと申し込んだら当選したので行ってきた。

講師はうどん大好きうどん先生。翌日の花見の後、香川県にうどんを食べに旅立っていかれた。うどん愛がすごい。

勉強会のお題はAWSのインシデント対応。オンプレミスでのインシデント対応技術はそれなりに経験があるけれど、AWSというかクラウド全般はまだまだよくわかってないことが多いのでこういう勉強会は助かる。

今回の勉強会は以下のような内容だった。

AWSの基礎

IAMまわり、リージョン、ARNなど。この辺は理解しているつもりでもわかってなくて、話を聞くたびになるほどーとなる。

AWSのセキュリティサービス

CloudTrailやGuardDutyなどについて。またセキュリティサービス利用時の注意点について、など。

AWSログの分析に使うサービス

CloudTrailなどのログの分析に使うサービスの説明。OpenSearchについて。

攻撃者の戦略

AWSアカウントの侵害の起点について。また侵害後、攻撃者はどのような活動をするか。

演習

シナリオベースのインシデント対応演習。

感想。
AWSのセキュリティについては何度か学ぶ機会があったものの、なかなかIAMなどアクセス権周りがうまく理解しきれないままであった。過去の教育資料や今回の資料を学びなおしてちゃんと正しい理解をできるようになりたい。

また、当然といえば当然だが、AWSの対応をするためにはAWSについての膨大な知識と深い理解が必要になり、同様の事情がクラウドベンダの数だけ存在する、ということを実感した。オンプレの場合はWindowsやLinuxあたりがわかればいい（と簡単に言えるものでもない）が、クラウドに対応するためにはそれに加えて別次元の学習が必要になる。クラウドセキュリティを強めるのはなかなか道が険しい。

その上、AWSにはAWS特有の癖があったりするのである。GuardDutyはリージョンごとに有効にしないといけないので全リージョンそれぞれで有効にしないと穴がある状態になってしまう、とか罠にもほどがある。

シナリオベースの演習も良かった。実際に起こりうるケースとして演習をすることで高いリアリティを感じられる。調査を進めていく際の着眼点も参考になった。これをノーヒントでできるかというと当然できないので、できるようになるためにはこのような演習などで知見を蓄えて勘所を育てていくことが必要なのだ。

学びの多い良い勉強会だった。世の中これだけクラウドが使われている中で、守る側の人間が何も知らないでいいわけがないので、しっかり学んでいこうと思う。まだまだひよっこですがよろしくお願いします。ぴよぴよ。

次はAzureの会があるようなので、興味のある方は是非申し込みしよう。けじめとしてこの記事を書き終えたので私も申し込むよ。