[参加レポート] とある診断員とSecurity-JAWS #02 ~俺のリアルなAWSインシデントレスポンス体験は、ちっとばっか響くぞ~

12/12（土）に行われた、とある診断員とSecurity-JAWS #02 に参加しました。その模様をレポートしましたのでぜひご覧ください。

はじめに

Security-JAWS とは？

Security-JAWS は、AWS (Amazon Web Services) が提供するクラウドコンピューティングを利用する人々の集まるコミュニティ「 JAWS-UG（AWS User Group – Japan）」のいくつかあるグループの一つであり、専門支部です。

AWS を活用する上でのセキュリティを特化し、攻撃系・監査系・暗号化認証系など、様々な分野のスペシャリスト達が、どのようにしてAWSを活用しているのか情報を共有し、より一層AWSを安全に使えるようにしていくために活動を行っています。

2016年に発足され、今ではコミュニティ登録メンバーは2500人を超えるコミュニティです。今年の初旬頃までは東京を中心にイベントは開催されていましたが、最近ではオンライン開催が行われ、全国からどこでも参加できるようになったこともあり毎回たくさんの方が参加されています。

今回のイベント概要

イベントタイトル：とある診断員とSecurity-JAWS #02 / 〜俺のリアルなAWSインシデントレスポンス体験は、ちっとばっか響くぞ〜
日時：12/12（土）9:30 ~ 18:00
イベントページ：https://tigersecjaws.connpass.com/event/196448/
Twitter まとめ：https://togetter.com/li/1635563

スピーカー

洲崎俊さん

三井物産セキュアディレクション株式会社に所属
ペネトレーションテストなどを中心としたセキュリティサービス提供に従事する
とあるセキュリティエンジニア
Twitter：@tigerszk

臼田佳祐さん

クラスメソッド株式会社 AWS事業本部ソリューションアーキテクトセキュリティチームリーダー
Security-JAWS 運営
好きなサービス：AWS WAF マネージドルール
Twitter：@ke_ni_

勉強会について

主な勉強会の流れ

今回の勉強会は、休日開催の特別編です。前回は昨年の11/17に行われていた「とある診断員とSecurity-JAWS #01〜AWSセキュリティは難しいという甘えた幻想をぶち壊す☆〜」同様に長時間使ったハンズオン形式の勉強会です。

第二回目を迎える「とある診断員とSecurity-JAWS #02 / 〜俺のリアルなAWSインシデントレスポンス体験は、ちっとばっか響くぞ〜」は、今年オンライン開催された「セキュリティ・キャンプ全国大会2020」の「なぜ、Webサイトは乗っ取られたのか？AWS環境における実践的なインシデントレスポンス」講師をされていた臼田さんと洲崎さんが一般のコミュニティ向けにアレンジして執り行われました。

参加者は、参加時に案内される Security-JAWS の Slack に入り、配信URLの案内や今回に関する資料、ハンズオンに必要な AWS の IAM を運営メンバーに付与してもらうなどとても配慮が行き届いた運営でスムーズに安心して参加することができました。約150人ほどの方が参加し、コミュニティでハンズオンに取り組める勉強会は数少ないと思います。

午前の部ではスピーカーによる基礎説明や午後に取り組む課題の説明などの座学での学習時間が行われました。
Security-JAWS 前説から始まり、AWSセキュリティ基礎説明、AWSに対する攻撃の説明、課題の説明をしっかりと丁寧に聞くことができました。

昼休憩を挟み、午後の部は課題に取り組むハンズオンを決められた時間まで各々が挑戦しました。そして、17:00からは課題の解説時間が設けられ、学習の確認をすることができたとても充実した8時間でした。

また、今回のテーマは身近なテーマということもあり、非常にためになる有意義な時間を過ごすことができました。

[一般公開用] とある診断員とSecurity JAWS #02

自己学習では味わえない、プロフェッショナルなスピーカーによる座学時間

セキュリティを学ぶ前に AWS を選ぶ理由としてのメリットやどんなサービスがあるかなど聞いたのちにAWS セキュリティの基礎からしっかりと聞くことができました。

有料セミナーと変わらないクオリティで基本からAWS セキュリティの基礎、考え、利用するサービスなど丁寧に教えてもらいました。
AWSレイヤー、OSレイヤー以上に分けてサービスを交えた話など活用イメージがわくような説明の仕方は、実務者はすぐにでも自社に取り入れることができそうと思った人も中にはいたかと思います。

そして、今回演習でも登場する AWS サービス、CloudTrail・Config・GuardDuty・Detective・Athena について Demo 画面を見せながら詳しく使いどころや使い方のポイントを交えながら単なるサービスの説明ではなく実践で役に立つように説明されました。本当にわかりやすかったです。

身に付く演習課題に取り組む、ワークショップ式のハンズオン

今回の演習課題の概要は以下の内容になります。

本イベントでは、クラウド環境ならではのセキュリティインシデントレスポンスを経験することを目的として、侵害されてしまった AWS 環境に対して調査を行います。
稼働していた EC2 サーバーやマネージドサービス、各種アクセスログ、AWS 環境の設定状況を解析して、侵害の原因や被害範囲の特定、一連の攻撃への対策案の検討を行います。

演習課題では、背景・架空の企業情報・登場人物・調査依頼内容のほか、現状のアプリケーションの情報やAWS環境情報、インシデントの説明と資料の配布が行われ、調査ポイントにそって各自取り組んで行きました。

17:00からの解説では、答え合わせや AWS サービス活用解説だけでなく、なぜ攻撃が起きたのか、攻撃されたことに対する深堀の話など聞くことができ、本当に勉強になりました。
残念ながら、私は時間内に演習課題を行うことはできませんでしたが、午前の部、解説を聞くだけでも本当にためになる勉強会でした。

業務に役立つ、共有と配布資料

演習課題の配布資料の中には、調査報告書のテンプレートがありました。
こうした単なるハンズオンではなく、すぐにでも使えるワークショップ資料の用意は、ベテランのエンジニアだけでなく、新米エンジニアさんがすぐ業務に持ち帰って使うことができるので嬉しい心遣いを感じました。

また、共有された全ての資料は、どれもが業務に役立つ内容が詰まった資料でした。単なる使い方だけで終わるハンズオンではなく、応用して活用できる経験者の声が詰まった Tips の数々に感動しました。

一般公開されている資料：https://github.com/tigerszk/aws_sec_traning/

最後に

たくさんの準備と運営に携わっているコミュニティのみなさん、本当にありがとうございました。とても簡単にできることとは思えない準備の数々に感動しました。長時間楽しく参加できたのも運営のみなさんとそのみなさんに賛同して参加されているコミュニティメンバーのみなさんのおかげです。
本当にありがとうございました。

コミュニティは熱意と愛とみんなの力と協力で誰かの役に必ず立っています。この素晴らしい活動をぜひこれからも微力ながら参加し続けれたらなと思います。

次回の開催は未定ですが、興味のある方はぜひ Security-JAWS イベントページ：https://s-jaws.doorkeeper.jp/ をチェックしてみてください。

また、JAWS-UG では、年に1度のコミュニティカンファレンスイベント「JAWS DAYS 2021」が行われます。こちらも併せてチェックしてみてください。