CI事業部セキュリティセクションの村上です。
2023/06/13-14 に米国 カリフォルニア州 アナハイムで開催された re:Inforce 2023 に参加しました。
昨年まではオンライン視聴だったので、現地参加は初になります。

ハンズオン系:Chalk Talk & Code Talk:その他 = 2:3:1ぐらいの割合で参加しました。
Chalk Talk・Code Talk はインタラクティブなセッションで、Chalk Talk ではホワイトボードにその場で図などを描いての質疑応答やディスカッション、Code Talk ではライブコーディングなどが行われます。

1日目

Keynote、Builders’ Session、Code Talk、Chalk Talk など計5セッションに参加しました。

Keynote 会場の様子。

昼頃、AWS の障害により re:Inforce 用のモバイルアプリも使用不能になったのですが、ノート (物理) に一通り控えていたので、セッションや会場が分からなくなる事態は回避できました。
会場では、一部のハンズオンができなくなるなどの問題はあったようですが、大きな混乱はなかったように思います。 (皆さん慣れている??)

この日、AWS のセキュリティ担当の方とのミーティングもありました。

以下、1日目に参加したセッションの一部をご紹介します。

[TDR441] How to run security incident response in your Amazon EKS environment (Code Talk)

Log4j の脆弱性を突いて EKS の Pod に侵入する (リバースシェル接続) という攻撃者側のデモがまず行われ、続いて GuardDuty の検知をトリガーにして、調査、証跡収集、封じ込めなどを行なっていく防御側のデモが行われました。

侵入した後、攻撃者はどんな行動を取るでしょう?攻撃が成功した原因は?対策方法は?といった質問がスピーカーから投げかけられ、参加者が回答しながら、
GuardDuty 以外のセキュリティサービスの手は借りずに、1ステップずつ調査や設定変更が行われていきました…なかなか大変そうです。

[TDR432-R] Deep dive into exposed credentials and how to investigate them (Chalk Talk)

66% のインシデントが、クレデンシャル漏えいにより発生しています。 GitHub にクレデンシャルを Post すると、ものの数分で悪用されます… みたいなイントロから始まり、
クレデンシャルを取得した攻撃者が行う行動を、MITRE ATT&CK フレームワークに沿って見ていくというもの。

内容的には、以前に参加させていただいた AWS Japan のセキュリティインシデント調査ワークショップに近かったものの、
今回フレームワークに沿って見ていったことで、以前に学んだ内容が整理されたように思います。

2日目

Chalk Talk と Workshop、計5セッション参加しました。

同様に一部ご紹介します。

[TDR332-R1] Speed up zero-day vulnerability response (Chalk Talk)

ゼロデイ脆弱性にどう対応するか、脆弱性検出したシステムのパッチの優先順位をどのようにつけるか?などのトピックでのディスカッションでした。
CVE も採番されていない脆弱性が自社システムにあるかどうかをどうやって調べる?という問題提起に対しては、SBOM を使う。手動でシステムを調査する。Indicators of compromise を見る。(諦める。) などといった意見が上がっていました。
パッチの優先順位付けについては、インターネットからのアクセスパスがあるかどうか、データの重要性、エクスプロイトの有無、などなど。(Inspector である程度カバーされています)

[GRC372-R1] Hands-on risk management with AWS Cloud Operations (Workshop)

イベント最後に参加したハンズオンです。
Closing party と微妙に時間が被っているからか、開始前に並んでても、他に誰も来ない そして
開始時間過ぎても、結局2人しか来ず AWS の方より参加者の方が少ないという事態に。

AWS の方にマンツーマンで見ていただけて、ハンズオンシナリオ外のことも色々質問できました。
内容的には Well-Architected Tool を使ってレビューを少し体験し、 Systems Manager の OpsCenter で OpsItem (チケット管理ツールのチケットのようなもの) を作成して対応する、OpsCenter の OpsItem と W-A Tool のレビュー結果を Lambda, SNS などで自動連携する、などなど。

おわりに

2日間は短すぎるかもと思っていましたが、短期集中で取り組む期間としてはちょうど良かったように感じました。
AWS のセキュリティがメイン業務の方には、re:Invent より re:Inforce をお勧めしたいと思います。 (決して re:Invent が悪いわけではなく、どれを選んでもセキュリティのセッションしかないので、という意味でのおすすめです!)

また、今回持ち帰る内容を、より良いセキュリティサービス提供に役立てていきたいと思います。
来年は弊社からもチームで参加できますように。