Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
KAGが関わるアカウント全てにSecurity Hubを導入した(い)話
Search
wkm2
April 15, 2024
Technology
0
200
KAGが関わるアカウント全てにSecurity Hubを導入した(い)話
JAWS-UG情シス支部 第30回 登壇資料
wkm2
April 15, 2024
Tweet
Share
More Decks by wkm2
See All by wkm2
AWS CLIの新しい認証情報設定方法aws loginコマンドの実態
wkm2
7
1.1k
API叩くだけのLambdaを作るつもりがコンテナ on EC2になった話
wkm2
0
27
AWSネイティブなセキュリティを考える
wkm2
1
330
地方在住フルリモートワークエンジニアのリアル 〜ジモトで_活きる_エンジニアライフ〜
wkm2
1
750
Keynote以外のアップデートピックアップ!
wkm2
1
160
Bedrock素人がKnowledgeBaseでRAGを構築するまで
wkm2
2
450
EC2を再起動したいがためにNew Relicを使った話
wkm2
1
460
ネットワークサービスフル活用で実現するハイブリッド構成 〜コープさっぽろのネットワーク全体像〜
wkm2
2
2.1k
AWS SSO でログインを簡単に〜IAMユーザ管理をしたくない〜
wkm2
1
630
Other Decks in Technology
See All in Technology
制約が導く迷わない設計 〜 信頼性と運用性を両立するマイナンバー管理システムの実践 〜
bwkw
3
1.1k
AWS DevOps Agent x ECS on Fargate検証 / AWS DevOps Agent x ECS on Fargate
kinunori
2
250
配列に見る bash と zsh の違い
kazzpapa3
3
170
usermode linux without MMU - fosdem2026 kernel devroom
thehajime
0
240
会社紹介資料 / Sansan Company Profile
sansan33
PRO
15
400k
今こそ学びたいKubernetesネットワーク ~CNIが繋ぐNWとプラットフォームの「フラッと」な対話
logica0419
5
550
ClickHouseはどのように大規模データを活用したAIエージェントを全社展開しているのか
mikimatsumoto
0
270
Oracle AI Database 移行・アップグレード勉強会 - RAT活用編
oracle4engineer
PRO
0
110
30万人の同時アクセスに耐えたい!新サービスの盤石なリリースを支える負荷試験 / SRE Kaigi 2026
genda
4
1.4k
Codex 5.3 と Opus 4.6 にコーポレートサイトを作らせてみた / Codex 5.3 vs Opus 4.6
ama_ch
0
220
GitHub Issue Templates + Coding Agentで簡単みんなでIaC/Easy IaC for Everyone with GitHub Issue Templates + Coding Agent
aeonpeople
1
260
顧客との商談議事録をみんなで読んで顧客解像度を上げよう
shibayu36
0
340
Featured
See All Featured
Being A Developer After 40
akosma
91
590k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
Tell your own story through comics
letsgokoyo
1
810
Side Projects
sachag
455
43k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
Designing for Performance
lara
610
70k
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
440
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
auna
0
57
How to build a perfect <img>
jonoalderson
1
4.9k
Claude Code どこまでも/ Claude Code Everywhere
nwiizo
61
52k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
260
Google's AI Overviews - The New Search
badams
0
910
Transcript
KAGが関わるアカウント全てに Security Hubを導入した(い)話 JAWS-UG情シス支部 第30回 KDDIアジャイル開発センター 若松剛志
Who am I ? 若松 剛志 AWS チョットデキル エンジニア 秋田出身、札幌在住
@t_wkm2
Who am I ? ぽんず 生後6ヶ月 北海道足寄町生まれ 趣味:新築の家を破壊すること
KAGが関わるアカウント全てに Security Hubを導入した話
KAG= KDDIアジャイル開発センター
KAGはアジャイル開発にこだわる開発会社 • KDDIの部署として10年の実績 • 2022年にKDDIの子会社として独立した • KDDIグループの開発プロジェクトに加え、 外部から受注するプロジェクトも増えてきた
開発プロジェクトがたくさんある
開発プロジェクトがたくさんあると... • プロジェクト毎に開発品質を担保をしてるが、セ キュリティの専門家が各プロジェクトにいるわけ じゃない • KAGとして一定以上のセキュリティ品質の担保を 保証したい • KAGのプロジェクトのほとんどはAWS上で行われ
るが、AWSの専門家が各プロジェクトにいるわけ じゃない
AWS Security Hub
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると...
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... AWS謹製のベストプラクティスやCIS ベンチーマーク、NISTなど様々な ルールがあり、その中から選択して 使用する
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... 選択したルールが適用されているか を12時間 or 24時間毎に自動で チェックする
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... ルールに反しているもの(アラート)を 1つのアカウントのダッシュボードに 集約してくれる
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... Organizationに所属しているアカウ ントはSecurity Hubを有効にするだ けで自動で集約される Org外のアカウントもInvitationと Acceptは必要だが集約可能
KAG内のSecurity Hub集約図
責任共有モデルとSecurity Hub
責任共有モデルとSecurity Hub AWS設定に関わる部分を 対象としている
Security Hubの画面
Security Hubの導入にあたって準備したこと • クロスアカウント設定の確立 • 共通コントロールの作成と全アカウントへの適用 方法確立 • 社員向けの説明資料作成
クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする
4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布
クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする
4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布
共通コントロールの作成と全アカウントへの適用方法確立 Org外のコントロール設定はAWS公式のサンプルソリューションである aws-security-hub-cross-account-controls-disabler を使う https://github.com/aws-samples/aws-security-hub-cross-account-controls-disabler
共通コントロールの作成と全アカウントへの適用方法確立
社員向けの説明資料作成
KAGが関わるアカウント全てに Security Hubを導入した話
KAGが関わるアカウント全てに Security Hubを導入した(い)話
ぶっちゃけまだ1プロジェクトしか 終わってないw
これから全プロジェクトへ展開して 5月までに導入完了の予定
導入後にやりたいこと • GuardDuty ◦ 悪意のあるアクティビティの検知/可視化 • Inspecter ◦ 脆弱性の検知/可視化 •
Amazon Detective ◦ セキュリティ調査プロセス効率化
まとめ • AWSのセキュリティ品質を一定以上に保つため、AWS Security Hubを導入するのがおすすめ • 導入に当たってはクロスアカウント設定はポリシー適用などい くつかの手順を踏む踏む必要がある • Security
Hub以外にもセキュリティに関わるサービスがあるの で、導入していきたい
wkm2
bwkw
kinunori
kazzpapa3
thehajime
sansan33
logica0419
mikimatsumoto
oracle4engineer
genda
ama_ch
aeonpeople
shibayu36
akosma
smashingmag
letsgokoyo
sachag
chriscoyier
lara
reverentgeek
auna
jonoalderson
nwiizo
tmiket
badams
