Amazon Web Services ブログ

AWS IoT Device Defender の監査と検出結果を Security Hub にインポートする

このブログは、Ryan Dsouza と Syed Rehan と Joaquin Manuel Rinaudo によって書かれた Importing AWS IoT Device Defender audit and detect findings into Security Hub を翻訳したものです。

イントロダクション

この投稿では、IoT セキュリティの検出結果を AWS Security Hub に統合する方法について説明し、AWS CloudFormation テンプレートをダウンロードしてソリューションを実装できます。ソリューションをデプロイすると、すべての AWS IoT Device Defender の監査および検出結果が Security Hub の検出結果として記録されます。Security Hub での検出結果から、AWS IoT Device Defender による検出の重要度のレベルと AWS IoT Device Defender コンソールへの直接リンクが提供されるため、可能な修復アクションを実行できます。AWS IoT Device Defender コンソールを使用して根本的な検出結果に対処したり、検出結果を非表示にしたりすると、ソリューションは関連するすべての検出結果を自動的に Security Hub に保管します。

OT 、IIoT、そしてAWS Security Hub を使用したクラウド全体でのセキュリティ監視の実装に関するこの以前のブログでは、OT、IIoT、およびクラウドのセキュリティ監視に対するサイロ化されたアプローチがどのように盲点になる可能性があるかについて説明しました。悪意のある攻撃者はこれらの盲点を悪用する可能性があるため、エッジやクラウドだけでなく、オンサイトとオフサイトの資産を含むアタックサーフェス全体にセキュリティ監視を実施することが重要です。IIoT ソリューションを実装する際、AWS Security Hub を使用して、工場環境とクラウド環境の両方でセキュリティの結果を一元的に把握できました。

以前のブログ 「How to import AWS IoT Device Defender audit findings into Security Hub」 で、AWS IoT Device Defender の監査結果を Security Hub にインポートする方法について説明しました。このブログでは、AWS IoT Device Defender による検出結果を追加し、カスタムソリューションを使用して AWS IoT Device Defender の監査結果と検出結果をセキュリティハブにインポートする方法を示します。

AWS Security Hub では、アカウントのセキュリティアラートとセキュリティ体制を包括的に把握できます。このブログ記事では、AWS IoT Device Defender の監査結果と検出結果を Security Hub にインポートする方法を示します。その後、Security Hub で IoT および IIoT セキュリティの検出結果を、Amazon GuardDutyAmazon InspectorAmazon MacieAWS Identity and Access Management (IAM)Access AnalyzerAWS Systems Manager などの他の統合された AWS サービスからの検出結果と一緒に表示および整理できます。さらに、DragosClarotyNozomi などの OT 侵入検知ソリューション (IDS) からのセキュリティイベントを AWS Security Hub に統合できます。AWS Security Hub を使用すると、セキュリティに関連するすべての結果を一元的に表示でき、アラートや自動修復を設定できます。

AWS IoT Device Defender の検出 を使用すると、お客様は知的財産の盗難、データ漏洩、なりすまし、クラウドインフラストラクチャの悪用、サービス拒否 (DoS)、横方向の脅威のエスカレーション、監視、暗号通貨マイニング、コマンド アンド コントロール、マルウェア、ランサムウェアを監視できます。これらのセキュリティ検出結果を AWS Security Hub に送信するにはどうすればよいでしょうか。

ソリューションの範囲

このソリューションでは、IoT 環境の設定方法と AWS IoT Device Defender の設定方法に精通していることを前提としています。環境のセットアップ方法の詳細については、AWS IoT Greengrass の開始方法や AWS IoT Device Defender のセットアップなどの AWS チュートリアルを参照してください。

このソリューションは、1 回のスキャンで検出結果が 10,000 件未満の AWS アカウントを対象としています。AWS IoT Device Defender の検出結果が 10,000 件を超える場合、ネットワークの遅延によっては、サーバーレス AWS Lambda 関数の実行時間に 15 分という制限を超える可能性があり、関数は失敗します。

このソリューションは、AWS IoT Device Defender、サーバーレス Lambda 機能、Security Hub を利用できる AWS リージョン向けに設計されています。詳細については、「AWS リージョナルサービス」を参照してください。中国 (北京) リージョンと中国 (寧夏) リージョン、および AWS GovCloud (米国) リージョンはソリューションの範囲から除外されます。

ソリューションの概要

このソリューションでは、AWS IoT Device Defender 監査、ルール検出、ML 検出を設定できます。

ここで提供するテンプレートは、AWS IoT Device Defender レポートの準備が整ったときに通知する Amazon Simple Notification Service (Amazon SNS) のトピックと、レポートの結果を Security Hub にインポートする Lambda 関数をプロビジョニングします。図 1 はソリューションアーキテクチャを示しています。

図 1. ソリューションアーキテクチャ

ソリューションの手順:

1. AWS IoT Device Defender は、監視対象の IoT デバイスから設定ミス (監査結果) または動作異常を検出します。

2. AWS IoT Device Defender はイベントを SNS トピックに公開します。

3. その結果、AWS Lambda 関数は生成された結果 (AWS IoT Defender の監査) または異常 (AWS IoT Device Defender の検出) を処理します。

4. 監査結果の場合、Lambda 関数は AWS IoT Device Defender の API を使用して追加の詳細を取得します。検出違反の場合は、異常を引き起こした動作の名前から重大度を取得しようとします。各動作の重大度は、AWS CloudFormation テンプレートで直接カスタマイズできます。

5. 最後に、Lambda 関数は新しい結果を Security Hub にインポートします。Security Hub の検出結果の例を図 3 に示します。

さらに、セキュリティオペレーターが AWS IoT アラームコンソールを使用してアラームを「False positive」または「Benign positive」としてマークした場合:

1. AWS CloudTrail イベントを監視する Amazon Event Bridge rule は、AWS Lambda 関数をトリガーします。

2. Lambda 関数は、関連する検出結果を AWS Security Hub に保存します。

前提条件

  • ソリューションをデプロイするリージョンで Security Hub を有効にしておく必要があります。
  • また、IoT 環境を設定しておく必要があります。(テスト環境を使用するには、次の Get Started with AWS IoT) を使用できます。

手順

開始するには、サンプルソリューションをセットアップする必要があります。

1. AWS アカウントにまだログインしていない場合は、ログインします。[Launch Stack] を選択して、サンプルテンプレートを使用して CloudFormation コンソールを起動します。[Next] を選択します。

さらに、最新のソリューションコードは GitHub からダウンロードできます。

2. 図 2 に示すように、スタックパラメータを設定します。AWS IoT Device Defender の進行中の監査またはセキュリティプロファイルを設定していない場合は、次のパラメータを true に変更します。:

  • Create security profile BY creating rules of expected device behavior
  • Enable on-going audits for your fleet

3. オプションで、以下の AWS CloudFormation パラメータを使用して追加の AWS IoT Device Defender の設定をデプロイできます。:

  • Create a security profile using machine learning models.
  • confidence level for ML-based anomaliesを調整します (有効にすると、ML モデルを微調整できます)。
  • 作成したセキュリティプロファイル (ML またはルール) を拡張して、デバイス側のメトリックを監視します。
  • IoT デバイス ARN のサブセットを独自に指定して、異常を監視します。デフォルトでは、ソリューションはデプロイされたセキュリティプロファイルを使用してすべてのデバイスを監視します。

次のステップでは、ルールベースの動作を使用してソリューションが機能しているかどうかをテストします。

図 2. AWS CloudFormation パラメーター

ソリューションをテストする

AWS IoT Device Defender ルールベースのセキュリティプロファイルをトリガーするセキュリティイベントをシミュレートします。ルールベースのプロファイルでは、接続の試行と切断について、1 回の発生後にトリガーされる 2 つの動作ルールが定義されています。このテストでは、MQTT トピックに発行および購読できる IoT デバイスとして動作する MQTT テストクライアントを使用します。

AWS IoT Core コンソールに移動し、MQTT テストクライアントを選択します。[Subscribe to a topic] を選択し、[Topic Filter] に # (すべてのトピック) と入力します。最後に、「Subscriptions」を選択。

トピックとの接続を解除するには、Xを選択してください。これにより、接続解除イベントが発生し、AWS IoT Device Defender のルールベースのアラームがトリガーされるはずです。

その後、AWS Security Hub コンソールのナビゲーションパネルで [Findings] を選択し、[Updated at] に基づいて結果を並べ替えて、関連する結果を見つけることができます。

図 3. AWS Security Hub の検出結果

次に、異常を誤検出としてマークし、AWS Security Hub にその結果をアーカイブします。

AWS IoT Core コンソールの [Security] ナビゲーションパネルで [Detect] を展開し、[Alarms] を選択します。トリガーされたアラームを選択し、[Mark verification state] ボタンを押します。「FALSE_POSITIVE」を選択し、任意の説明を追加します。AWS Security Hub の検出結果コンソールに戻ったら、「Workflow status isが SUPPRESSED」を検索して、異常に関連する検索対象外の結果を探します。

図 4.アラームを誤検知としてマークする

まとめ

この記事では、AWS IoT Device Defender の監査および検出結果を Security Hub と統合して、エンタープライズ、IoT、IIoT の両方のワークロードにわたるセキュリティ検出結果を一元的に把握する方法を学びました。セキュリティイベントを AWS に取り込むことで、お客様はアラームをトリアージし、OT、IIoT、およびクラウド セキュリティ体制についてより深い洞察と状況認識を得ることができます。このソリューションは、Amazon EventBridgeAWS LambdaAmazon DynamoDB などの追加の AWS サービスを使用して、複数の AWS セキュリティサービスから得られた AWS Security Hub の検出結果を相互に関連付けることで拡張できます。詳細については、「AWS Security HubとAmazon EventBridgeでセキュリティ問題の検出結果を関連付ける」を参照してください。

著者について

Ryan Dsouza AWSRyan Dsouza は AWS の IoT のプリンシパルソリューションアーキテクトです。ニューヨーク市に拠点を置く Ryan は AWS の機能の幅と深さを使用して、より安全でスケーラブルで革新的なソリューションを設計、開発、運用し、測定可能なビジネス成果を実現できるよう支援します。 Ryan はデジタルプラットフォーム、スマート製造、エネルギー管理、建築および産業自動化、さまざまな業界にわたる OT/IIoT セキュリティで 25 年以上の経験があります。 AWS の前 Ryan は Accenture 、SIEMENS 、General Electric 、IBM、および AECOM に勤務し、デジタルトランスフォーメーションイニシアチブで顧客にサービスを提供していました。 
Syed Rehan は、アマゾンウェブサービスのシニアグローバルエバンジェリストであり、ロンドンを拠点としています。彼は世界中の顧客をカバーし、リード IoT ソリューションアーキテクトとして顧客をサポートしています。Syed は、IoT とクラウドに関する深い知識を持っており、スタートアップから企業に至るまでのグローバルな顧客とこの役割を果たし、AWS エコシステムを使用して IoT ソリューションを構築できるようにします。
Joaquin Manuel Rinaudo は、AWS プロフェッショナルサービスのシニアセキュリティアーキテクトです。彼は、開発者がソフトウェアの品質を向上させるのに役立つソリューションの構築に情熱を注いでいます。AWS に入社する前は、モバイル セキュリティからクラウド、コンプライアンス関連のトピックまで、セキュリティ業界の複数のドメインで働いていました。余暇には、家族と過ごしたり、SF 小説を読んだりすることを楽しんでいます。

このブログは、ソリューションアーキテクトの戸塚智哉が翻訳しました。