Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

Security Hub運用のつらみ

Avatar for KasumiNakahara KasumiNakahara
February 17, 2025
0
13

Security Hub運用のつらみ

2025.2.17 Security-JAWS登壇資料

Avatar for KasumiNakahara

KasumiNakahara

February 17, 2025
Tweet

More Decks by KasumiNakahara

See All by KasumiNakahara
IAMユーザーからSSOに移行した話
Avatar for KasumiNakahara donnnn
0
150
Organizations環境のユーザーアクセスについて考える
Avatar for KasumiNakahara donnnn
1
26

Featured

See All Featured
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
24
3.8k
Technical Leadership for Architectural Decision Making
Avatar for Kenny Baas-Schwegler baasie
0
180
Digital Ethics as a Driver of Design Innovation
Avatar for Per Axbom axbom
PRO
0
130
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
54
7.9k
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
2.9k
The untapped power of vector embeddings
Avatar for Frank van Dijk frankvandijk
1
1.5k
Designing for humans not robots
Avatar for Tammie Lister tammielis
254
26k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
28
2.4k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
0
760
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
10
750
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
31
5.7k

Transcript

  1. Security Hub運用のつらみ 木 村 情 報 技 術 株 式

    会 社 中 原 加 寸 美

  2. 中原 加寸美 - Kasumi Nakahara - 所属 木村情報技術株式会社 出身 佐賀県神埼市

    AWS歴 3年 好きなAWSサービス Security Hub 趣味 着物 着物でJAWSイベントに出没します 2

  3. 現在の 運用状況 つらみ 運用で大事に していること Security Hub

  4. 現在の 運用状況 つらみ 運用で大事に していること Security Hub

  5. Securit y Hub 5

  6. Security Hub 機能は主に2つ 1. セキュリティ基準 各セキュリティ基準に沿ってAWSリソースの設定状況を確認してくれる 2. 結果の統合 AWSに限らず、いろんなセキュリティサービスの結果を取り込むことができる AWS

    GuardDuty Inspector など サードパーティ製品 CloudStrike Falcon Prisma Cloud など 6

  7. 現 在 の 運 用 状 況 7

  8. 現在の運用状況 • ある程度、Security Hubの運用が回っている状態 8

  9. 現在の運用状況 • ある程度、Security Hubの運用が回っている状態 9 確認内容 • 検知内容 • 是正方法

    • 担当者

  10. 自チームの役割 • セキュリティ通知の運用 • 検知の確認 • 担当者への連絡 • 是正の確認 など

    • AWSのセキュリティ・ガバナンス管理 • 社内のセキュリティ推進 • セキュリティインシデント発生時の対応 10

  11. 運用のつらみ 11 大量検知のつらみ 確認・連絡のつらみ 認識齟齬のつらみ

  12. 大量検知のつらみ 1. Security Hub の仕様 ステータスが「NEW」になっていると、1日ごとに再通知される 12

  13. 大量検知のつらみ 1. Security Hub の仕様 ステータスが「NEW」になっていると、1日ごとに再通知される ⇒自動化による解決 13 Step Functions

    ワークフローによるステータス変更自動化 再通知の解消 Power Automate for desktop によるメール取り込みを使ったリスト化 担当者管理 社内への対応の共有を簡単に

  14. 大量検知のつらみ 2. 構築中のリソースの検知 構築→設定完了のタイムラグでSecurity Hubが検知してしまう 毎日のように検知が来てしまう場合もあった 14

  15. 大量検知のつらみ 2. 構築中のリソースの検知 構築→設定完了のタイムラグでSecurity Hubが検知してしまう 毎日のように検知が来てしまう場合もあった ⇒ Security Hub インサイトを利用して解決

    15 Security Hub インサイトで結果を集約 定期的に通知を行うように設定した

  16. 確認・連絡のつらみ • 確認 • 連絡

  17. 確認・連絡のつらみ • 確認 • 検知したアカウント、リソースから担当者を確認する • 手順書などから対象の是正方法を確認する • 一定期間以上是正されていないリソースがないかを確認する •

    連絡

  18. 確認・連絡のつらみ • 確認 • 検知したアカウント、リソースから担当者を確認する • 手順書などから対象の是正方法を確認する • 一定期間以上是正されていないリソースがないかを確認する •

    連絡 • 担当者へ対象のリソースと検知内容、その是正方法を連絡する • あわせて、現在の設定のままにした場合のリスクも伝える • 完了連絡をいただき、検知が無くなっていることを確認する • 一定期間以上是正されていない場合、リマインドを行う

  19. 確認・連絡のつらみ • 確認 • 検知したアカウント、リソースから担当者を確認する • 手順書などから対象の是正方法を確認する • 一定期間以上是正されていないリソースがないかを確認する •

    連絡 • 担当者へ対象のリソースと検知内容、その是正方法を連絡する • あわせて、現在の設定のままにした場合のリスクも伝える • 完了連絡をいただき、検知が無くなっていることを確認する • 一定期間以上是正されていない場合、リマインドを行う

  20. 確認・連絡のつらみ • 確認 • 検知したアカウント、リソースから担当者を確認する • 手順書などから対象の是正方法を確認する • 一定期間以上是正されていないリソースがないかを確認する •

    連絡 • 担当者へ対象のリソースと検知内容、その是正方法を連絡する • あわせて、現在の設定のままにした場合のリスクも伝える • 完了連絡をいただき、検知が無くなっていることを確認する • 一定期間以上是正されていない場合、リマインドを行う 伝えるべきことが多い!! 現在は地道に運用中

  21. 認識齟齬のつらみ 運用チーム(私のチーム) と 開発者(リソースの作成元) で認識の齟齬がある 21

  22. 認識齟齬のつらみ 運用チーム(私のチーム) と 開発者(リソース作成者) で認識の齟齬がある 22 例: ある日、Security Hub から検知が来たので、開発者へ是正を依頼した。

    一定期間経過後、Security Hubへ継続して検知していたため再度連絡をした。 しかし、開発者は是正措置をしたと認識していた。検知が残っていたのはなぜだろうか?

  23. 認識齟齬のつらみ 運用チーム(私のチーム) と 開発者(リソース作成者) で認識の齟齬がある 23 例: ある日、Security Hub から検知が来たので、開発者へ是正を依頼した。

    一定期間経過後、Security Hubへ継続して検知していたため再度連絡をした。 しかし、開発者は是正措置をしたと認識していた。検知が残っていたのはなぜだろうか? 伝えていた原因をもとに、開発者側ですべき設定を判断していたため、Security Hub が 想定する是正方法ではなかった。しかし、リソースを確認したところ、リスクとしてはなくなっ ている状態だった。 ただし、元の設定に戻ったときに通知されないため、想定されている是正方法をしていただい た。

  24. 認識齟齬のつらみ 運用チーム(私のチーム) と 開発者(リソース作成者) で認識の齟齬がある 24 例: ある日、Security Hub から検知が来たので、開発者へ是正を依頼した。

    一定期間経過後、Security Hubへ継続して検知していたため再度連絡をした。 しかし、開発者は是正措置をしたと認識していた。検知が残っていたのはなぜだろうか? 伝えていた原因をもとに、開発者側ですべき設定を判断していたため、Security Hub が 想定する是正方法ではなかった。しかし、リソースを確認したところ、リスクとしてはなくなっ ている状態だった。 ただし、元の設定に戻ったときに通知されないため、想定されている是正方法をしていただい た。 何を考えてその設定をしたのか 話さないとわからない場合がある

  25. 運用で大事にしている こと 25

  26. 自動化できるところは自動化

  27. 自動化 人力には限界がある! 27 費用・時間 ともに機械がやった方が効率が良い場合が多い

  28. 自動化 人力には限界がある! 28 費用・時間 ともに機械がやった方が効率が良い場合が多い 特に定型作業の ミスが少ない !

  29. 自動化できるところは自動化

  30. 会話しながら運用を回す

  31. 会話しながら運用を回す そんなの当たり前・・・

  32. 相手もわかっているだろう・・・ になっていませんか?

  33. 会話が大事な理由 • 是正に入ってもらいやすい • リスクを説明することで、対応者に「必要な作業」と認識してもらえる • こちらから情報を発信して、細かい内容まで伝えておくことで相手からの質問も受けやすくなる • 納得感を持って作業に当たってもらえる 33

  34. 会話が大事な理由 • 是正に入ってもらいやすい • リスクを説明することで、対応者に「必要な作業」と認識してもらえる • こちらから情報を発信して、細かい内容まで伝えておくことで相手からの質問も受けやすくなる • 納得感を持って作業に当たってもらえる 34

  35. 会話が大事な理由 • 知識分野に差があることが認識できる • 私の場合で多いパターン • 自分の知識はインフラ寄り • 相手の知識はフロントエンド~バックエンド寄り •

    Security Hubで検知する内容はインフラ寄り(各サービスの設定内容)になる • なぜその設定が危ないのか?というところを紐解こうとすると、インフラ側の知識があった方が理解しやすい 傾向にある • 分かっていない部分を把握しやすくなるので、フォローにも入りやすくなる 35

  36. 会話が大事な理由 • 心理的なストレスが減る • セキュリティ検知の是正依頼は意外とストレスになる(場合がある) • 相手とコミュニケーションを取りやすくすることで、心理的ストレスを減らすことができる 36

  37. 会話が大事な理由 • 心理的なストレスが減る • セキュリティ検知の是正依頼は意外とストレスになる(場合がある) • 相手とコミュニケーションを取りやすくすることで、心理的ストレスを減らすことができる 37

  38. 会話しながら運用を回す

  39. 運用で大事にしていること 1. 自動化できるところは自動化 2.会話しながら運用を回す 39

  40. ま と め 40

  41. つらみ • 大量検知のつらみ • Security Hubの仕様で検知が大量に来てしまう • リソースの設定完了までのタイムラグで頻繁に検知が来てしまう • 確認・連絡のつらみ

    • 伝えるべきことが多い • 認識齟齬のつらみ • 運用者とリソース作成者で認識の齟齬が発生してしまうことがある

  42. 運用で大事にしていること 1. 自動化できるときは自動化 • 費用・時間 の効率が良い • ミスが少ない 2. 会話しながら運用を回す

    • 是正に入ってもらいやすい • 知識分野に差があることを認識できる • 心理的なストレスが減る 42

  43. よいセキュリティ対応を!