Deep Securityを利用したセキュリティオートメーションの取り組み

2018.05.29

DevOpsにセキュリティを組み込む「DevSceOps」を実現する強力なソリューションとして注目を集める「セキュリティオートメーション」。トレンドマイクロとNRIが進めた共同検証の記事がASCIIに掲載されました。

3つのセキュリティオートメーションをトレンドマイクロと共同検証

記事では3つの共同検証について掲載していただいております。

1つめは改ざんが検知されたシステムの隔離、2つめは不正アクセスされたホストの送信元アドレスの自動ブロック、3つめがAPIの操作ログのフィルタリング通知です。

改ざんが検知されたシステムの隔離

トレンドマイクロのDeep Securityで改ざんが検知されたら、Amazon SNSで改ざんをメール通知。同時にLambdaを起動し、改ざんされたAmazon EC2ホストを隔離用のSecurity Groupに移動。代わりに新しく正常なEC2ホストをロードバランサーの配下に割り当てて、自動復旧まで完了させます。

不正アクセスされたホストの送信元アドレスの自動ブロック

Deep Securityで不正アクセスを検知したら、Amazon SNSでメール通知し、Lambdaを起動。LambdaではAWS WAFのブロックリストに送信元IPアドレスを自動で登録することで不正アクセスを遮断します。

APIの操作ログのフィルタリング通知

CloudTrailで取得したログがAmazon S3に保存された段階で、Lambdaを起動。フィルタリングをかけて、特定のログだけAmazon SNSに通知します。

構成を含めた詳細は下記記事をご参照ください。

トレンドマイクロとの共同検証で見えたセキュリティ運用の未来 「NRIはなぜセキュリティオートメーションを自ら試すのか?」 https://ascii.jp/elem/000/001/680/1680415/