SlideShare a Scribd company logo

Elasticsearchによるリモートワーク時代のセキュリティ対策

Elasticsearch, profile picture
Elasticsearch

セキュリティレベルにばらつきのあるリモートワーク環境では、サイバー攻撃の脅威にさらされる危険性が高まります。 本セッションでは、Elastic Machine Learningを活用して、不正アクセスやマルウェア感染などを自動検知する方法を解説します。

Technology
1 of 22
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
1 2020/06/10 Acroquest Technology株式会社 シニアコンサルタント 吉岡 洋 Elasticsearchによる リモートワーク時代のセキュリティ対策
2 自己紹介 • Acroquest Technology株式会社 • 吉岡 洋(@Hirosh_Yoshioka) • 業務 ‒ Elastic Stackのコンサルティング全般 (全文検索/ログ分析/セキュリティ分析/可視化) • その他 ‒ 世界初のElastic Certified Engineer ‒ 日本初のElastic社認定コンサルタント ‒ Elastic User Group Tokyo運営
3 Acroquest Technology株式会社 • 新横浜にあるITベンチャー ①Great Place To Work(R) Institute Japan実施 働きがいのある会社ランキング第1位(3回受賞) • 事業(データ活用ビジネス) ①Elastic Stack活用コンサルティングサービス ‒ 検証/設計/構築/運用支援など ‒ Elastic Certified Engineer:5名 ②IoTデータ分析プラットフォーム ③機械学習/AI
4 目次 リモートワークにおけるセキュリティリスク1 SIEMをスケールアップする際の注意点3 統合セキュリティ基盤「Elastic SIEM」を活用する2
5 1.リモートワークにおけるセキュリティリスク
66 QUESTION
77 みなさんの職場では リモートワークを導入していますか?
8 リモートワークの構成例 リモートワーク端末からVPNやSSHを経由して企業内ネットワークにアクセス リモートワーク 端末 自宅 企業 リモート接続用 サーバ 業務サーバ 業務端末
9 リモートワークで増大するセキュリティリスク リモートワーク 端末への サイバー攻撃 企業内 ネットワークへの アクセス経路増 インシデントの 解決速度の低下 • 端末によってセキュリティ レベルの差が大きい • セキュリティルールの 徹底が難しい • マルウェア感染端末が 社内ネットワークに 接続する可能性が増える • 社内端末への感染拡大 • オフィスワークに比べて セキュリティ管理者への インシデント報告が 遅くなる傾向
10 検知すべきサイバー攻撃の例 マルウェアのインストールから情報流出までに様々な検知が必要 攻撃フェーズ サイバー攻撃 検知方法の例 インストール マルウェアのダウンロード WSH経由でのPowerShellの実行 遠隔操作 遠隔操作通信 DNSトンネリング 侵入拡大 各種サーバへの不正アクセス 大量のログイン要求 権限昇格のアプローチ Process Injection 情報流出 様々なプロトコルを使った情報集出 SMB/FTP/SMTP/IRC
11 2.統合セキュリティ基盤 「Elastic SIEM」を活用する
12 統合セキュリティ基盤「Elastic SIEM」 データ収集からセキュリティ分析/異常検知までをワンストップで実現 Kibana Elasticsearch Beats • 様々なデータソースに対応 • データ収集/加工が簡単(自動) • Elastic Common Schema • クロスソース検索 • 高度な異常検知(ルール/モデルベース) • 高度な分析UI(Elastic SIEM App) Logstash MITRE ATT&CKに 基づいた異常検知
13 MITRE ATT&CK 攻撃者が使う戦術やテクニックを 体系化したナレッジベース 背景 ・サイバー攻撃の手口は高度化/巧妙化 ・攻撃者の侵入を100%防ぐのは困難 対策 ・侵入された後のフェーズにフォーカス (12の戦略、330の手法をナレッジベース化) ・侵入を許した後に、 いかに素早く検知するかを重視
14 Prebuild Rule セキュリティ専門家によって 作成/保守されている 脅威の検知ルール プレビルドされている検知ルールおよび機械学習Job Prebuild Rule 130のうち79が MITRE ATT&CKに基づき 作成された検知ルール Prebuild Job 疑わしいプロセス/通信、 侵入試行/拡大を 検知する機械学習Job 130 79 19 ※ Elastic Stack Version.7.7時点の情報
15 検知すべきサイバー攻撃の例 マルウェアのインストールから情報流出までに様々な検知が必要 攻撃フェーズ サイバー攻撃 検出方法の例 インストール マルウェアの ダウンロード WSH経由での PowerShellの実行 遠隔操作 遠隔操作通信 DNSトンネリング 侵入拡大 各種サーバへの 不正アクセス 大量のログイン要求 権限昇格の アプローチ Process Injection 情報流出 様々なプロトコルを 使った情報集出 SMB/FTP/SMTP/IRC チューニングの例 Download関連メソッドの 呼び出し検知 DNSクエリのサブドメイン ユニーク数急増検知Job 認証失敗イベントの 急増検知Job TGT取得イベント検知 Proxy認証失敗の 急増検知Job + Prebuild Rule/Job
1616 Elastic SIEM活用のポイント ①適切な検知ルール/Jobの選択 ②誤検知を防止するチューニング
17 3.SIEMをスケールアップする際の注意点
18 対象データの拡大に合わせて クラスタの最適化が必要 よくある運用課題 ・データ登録エラー(Reject)が発生 ・検索が遅い/タイムアウトする ・ボトルネックの原因が分からない よくある疑問 ・性能を向上させるために、 クラスタ構成をどう変更すればよいのか? ・予算が限られているので、最低限の ノード追加にしたい。何台必要? ・インデックス設計/シャード設計って どうやるの?
19 サービス概要 ・月1回の運用診断レポートの提出 ・統合監視ダッシュボードの提供 チェックポイント例 ・クラスタ構成 ・クラスタパラメータ ・インデックス/シャード設計 ・各ノードのリソース/負荷状況 ・インデクシング性能 ・検索性能 ・JVM Heap/GC ・各種ログ
20 まとめ • リモートワークはセキュリティリスクが増大する ‒ サイバー攻撃ごとに異なる検知/対策が必要 • セキュリティ対策にはElastic SIEMの活用がおすすめ ‒ データ収集からセキュリティ分析/異常検知までをワンストップで実現 ‒ 約150の「検知ルール/異常検知Job」がプリインストール ‒ 適切な検知ルール/Jobの選択、誤検知を防止するチューニングが必要 • 対象データの拡大に合わせてクラスタの最適化が必要 ‒ 各種指標を元にクラスタ構成やインデックス/シャード設計を見直す ‒ 弊社、運用診断サービスのチェックポイントをご参考ください
21 2020/06/10 Acroquest Technology株式会社 シニアコンサルタント 吉岡 洋 ご清聴ありがとうございました
22 Acroquest Technologyでは Elasticsearchを盛り上げたい エンジニアを募集しています 興味を持たれた方は @Hirosh_Yoshioka までご連絡ください。

More Related Content

PDF
リクルート流Elasticsearchの使い方
Recruit Technologies
 
PDF
Elastic Community Conference
Hiroshi Yoshioka
 
PPTX
Elasticsearch workshop 23_sql
shinhiguchi
 
PPTX
Elasticsearch勉強会_NLPQA.pptx
shinhiguchi
 
PPTX
Evolution of Observability and APM with using Elastic and Microsoft Azure
Shotaro Suzuki
 
PDF
Supervised Machine Learning of Elastic Stack
Hiroshi Yoshioka
 
PPTX
検索サービスにSudachiを適用して運用コストを削減した話
Takashi Sasaki
 
PDF
Elastic Aquia Joint webinar-20211006
Shotaro Suzuki
 
リクルート流Elasticsearchの使い方
Recruit Technologies
 
Elastic Community Conference
Hiroshi Yoshioka
 
Elasticsearch workshop 23_sql
shinhiguchi
 
Elasticsearch勉強会_NLPQA.pptx
shinhiguchi
 
Evolution of Observability and APM with using Elastic and Microsoft Azure
Shotaro Suzuki
 
Supervised Machine Learning of Elastic Stack
Hiroshi Yoshioka
 
検索サービスにSudachiを適用して運用コストを削減した話
Takashi Sasaki
 
Elastic Aquia Joint webinar-20211006
Shotaro Suzuki
 

Similar to Elasticsearchによるリモートワーク時代のセキュリティ対策 (20)

PDF
Elastic ML Introduction
Hiroshi Yoshioka
 
PDF
Learn, build, and scale with elastic - realizing great programming experience...
Shotaro Suzuki
 
PDF
情報システムの性能マネジメントについて
Takashi Natsume
 
PDF
T字形ER手法とOracle APEXで超高速開発
Taku Iwamura
 
PDF
Autonomous選手権システムエグゼ社発表資料
Mai Nagahisa
 
PDF
Building Software Reliability through Distributed Tracing.pdf
Shotaro Suzuki
 
PDF
メディアコンテンツ向け記事検索DBとして使うElasticsearch
Yasuhiro Murata
 
PDF
Paradigm shifts in QA for AI products
Yasuharu Nishi
 
PDF
Elasticsearchで教師あり機械学習
shinhiguchi
 
PDF
Logstashを愛して5年、370ページを超えるガチ本を書いてしまった男の話.
Hibino Hisashi
 
PPTX
第45回elasticsearch勉強会 BERTモデルを利用した文書分類
shinhiguchi
 
PDF
Elasticsearchを使ったTwitter監視アプリ
YuichiArisaka
 
PDF
16.02.08_Hadoop Conferece Japan 2016_データサイエンスにおける一次可視化からのSpark on Elasticsear...
LINE Corp.
 
PDF
OSC2016.Enterprise OpenStack & Cloud Native Applications
irix_jp
 
PDF
Elastic Stack を網羅する ハンズオンワークショップを 作ってみた.pdf
Koji Kawamura
 
PDF
Elasticsearchの機械学習機能を使ってみた
YuichiArisaka
 
PDF
[data analytics showcase] B11: ビッグデータを高速に検索・分析する「Elasticsearch」~新プラグイン「Graph」...
Insight Technology, Inc.
 
PDF
Ingest node scripting_deep_dive
Hiroshi Yoshioka
 
PDF
Utilizing elasticcloudforallusecases
Shotaro Suzuki
 
PDF
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
Akira Ikeda
 
Elastic ML Introduction
Hiroshi Yoshioka
 
Learn, build, and scale with elastic - realizing great programming experience...
Shotaro Suzuki
 
情報システムの性能マネジメントについて
Takashi Natsume
 
T字形ER手法とOracle APEXで超高速開発
Taku Iwamura
 
Autonomous選手権システムエグゼ社発表資料
Mai Nagahisa
 
Building Software Reliability through Distributed Tracing.pdf
Shotaro Suzuki
 
メディアコンテンツ向け記事検索DBとして使うElasticsearch
Yasuhiro Murata
 
Paradigm shifts in QA for AI products
Yasuharu Nishi
 
Elasticsearchで教師あり機械学習
shinhiguchi
 
Logstashを愛して5年、370ページを超えるガチ本を書いてしまった男の話.
Hibino Hisashi
 
第45回elasticsearch勉強会 BERTモデルを利用した文書分類
shinhiguchi
 
Elasticsearchを使ったTwitter監視アプリ
YuichiArisaka
 
16.02.08_Hadoop Conferece Japan 2016_データサイエンスにおける一次可視化からのSpark on Elasticsear...
LINE Corp.
 
OSC2016.Enterprise OpenStack & Cloud Native Applications
irix_jp
 
Elastic Stack を網羅する ハンズオンワークショップを 作ってみた.pdf
Koji Kawamura
 
Elasticsearchの機械学習機能を使ってみた
YuichiArisaka
 
[data analytics showcase] B11: ビッグデータを高速に検索・分析する「Elasticsearch」~新プラグイン「Graph」...
Insight Technology, Inc.
 
Ingest node scripting_deep_dive
Hiroshi Yoshioka
 
Utilizing elasticcloudforallusecases
Shotaro Suzuki
 
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
Akira Ikeda
 
Ad

More from Elasticsearch (20)

PDF
An introduction to Elasticsearch's advanced relevance ranking toolbox
Elasticsearch
 
PDF
From MSP to MSSP using Elastic
Elasticsearch
 
PDF
Cómo crear excelentes experiencias de búsqueda en sitios web
Elasticsearch
 
PDF
Te damos la bienvenida a una nueva forma de realizar búsquedas
Elasticsearch
 
PDF
Tirez pleinement parti d'Elastic grâce à Elastic Cloud
Elasticsearch
 
PDF
Comment transformer vos données en informations exploitables
Elasticsearch
 
PDF
Plongez au cœur de la recherche dans tous ses états.
Elasticsearch
 
PDF
Modernising One Legal Se@rch with Elastic Enterprise Search [Customer Story]
Elasticsearch
 
PDF
An introduction to Elasticsearch's advanced relevance ranking toolbox
Elasticsearch
 
PDF
Welcome to a new state of find
Elasticsearch
 
PDF
Building great website search experiences
Elasticsearch
 
PDF
Keynote: Harnessing the power of Elasticsearch for simplified search
Elasticsearch
 
PDF
Cómo transformar los datos en análisis con los que tomar decisiones
Elasticsearch
 
PDF
Explore relève les défis Big Data avec Elastic Cloud
Elasticsearch
 
PDF
Comment transformer vos données en informations exploitables
Elasticsearch
 
PDF
Transforming data into actionable insights
Elasticsearch
 
PDF
Opening Keynote: Why Elastic?
Elasticsearch
 
PDF
Empowering agencies using Elastic as a Service inside Government
Elasticsearch
 
PDF
The opportunities and challenges of data for public good
Elasticsearch
 
PDF
Enterprise search and unstructured data with CGI and Elastic
Elasticsearch
 
An introduction to Elasticsearch's advanced relevance ranking toolbox
Elasticsearch
 
From MSP to MSSP using Elastic
Elasticsearch
 
Cómo crear excelentes experiencias de búsqueda en sitios web
Elasticsearch
 
Te damos la bienvenida a una nueva forma de realizar búsquedas
Elasticsearch
 
Tirez pleinement parti d'Elastic grâce à Elastic Cloud
Elasticsearch
 
Comment transformer vos données en informations exploitables
Elasticsearch
 
Plongez au cœur de la recherche dans tous ses états.
Elasticsearch
 
Modernising One Legal Se@rch with Elastic Enterprise Search [Customer Story]
Elasticsearch
 
An introduction to Elasticsearch's advanced relevance ranking toolbox
Elasticsearch
 
Welcome to a new state of find
Elasticsearch
 
Building great website search experiences
Elasticsearch
 
Keynote: Harnessing the power of Elasticsearch for simplified search
Elasticsearch
 
Cómo transformar los datos en análisis con los que tomar decisiones
Elasticsearch
 
Explore relève les défis Big Data avec Elastic Cloud
Elasticsearch
 
Comment transformer vos données en informations exploitables
Elasticsearch
 
Transforming data into actionable insights
Elasticsearch
 
Opening Keynote: Why Elastic?
Elasticsearch
 
Empowering agencies using Elastic as a Service inside Government
Elasticsearch
 
The opportunities and challenges of data for public good
Elasticsearch
 
Enterprise search and unstructured data with CGI and Elastic
Elasticsearch
 
Ad

Elasticsearchによるリモートワーク時代のセキュリティ対策