Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security Hub運用のつらみ

Avatar for KasumiNakahara KasumiNakahara
February 17, 2025
0
4

Security Hub運用のつらみ

2025.2.17 Security-JAWS登壇資料
Avatar for KasumiNakahara

KasumiNakahara

February 17, 2025
Tweet

More Decks by KasumiNakahara

See All by KasumiNakahara
Organizations環境のユーザーアクセスについて考える
Avatar for KasumiNakahara donnnn
1
15

Featured

See All Featured
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
50k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
3.9k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
130
19k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
960
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
69
11k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
35
6.7k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
231
18k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
86
4.7k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
39
1.9k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
281
13k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3.1k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k

Transcript

  1. Security Hub運用のつらみ 木 村 情 報 技 術 株 式

    会 社 中 原 加 寸 美

  2. 中原 加寸美 - Kasumi Nakahara - 所属 木村情報技術株式会社 出身 佐賀県神埼市

    AWS歴 3年 好きなAWSサービス Security Hub 趣味 着物 着物でJAWSイベントに出没します 2

  3. 現在の 運用状況 つらみ 運用で大事に していること Security Hub

  4. 現在の 運用状況 つらみ 運用で大事に していること Security Hub

  5. Securit y Hub 5

  6. Security Hub 機能は主に2つ 1. セキュリティ基準 各セキュリティ基準に沿ってAWSリソースの設定状況を確認してくれる 2. 結果の統合 AWSに限らず、いろんなセキュリティサービスの結果を取り込むことができる AWS

    GuardDuty Inspector など サードパーティ製品 CloudStrike Falcon Prisma Cloud など 6

  7. 現 在 の 運 用 状 況 7

  8. 現在の運用状況 • ある程度、Security Hubの運用が回っている状態 8

  9. 現在の運用状況 • ある程度、Security Hubの運用が回っている状態 9 確認内容 • 検知内容 • 是正方法

    • 担当者

  10. 自チームの役割 • セキュリティ通知の運用 • 検知の確認 • 担当者への連絡 • 是正の確認 など

    • AWSのセキュリティ・ガバナンス管理 • 社内のセキュリティ推進 • セキュリティインシデント発生時の対応 10

  11. 運用のつらみ 11 大量検知のつらみ 確認・連絡のつらみ 認識齟齬のつらみ

  12. 大量検知のつらみ 1. Security Hub の仕様 ステータスが「NEW」になっていると、1日ごとに再通知される 12

  13. 大量検知のつらみ 1. Security Hub の仕様 ステータスが「NEW」になっていると、1日ごとに再通知される ⇒自動化による解決 13 Step Functions

    ワークフローによるステータス変更自動化 再通知の解消 Power Automate for desktop によるメール取り込みを使ったリスト化 担当者管理 社内への対応の共有を簡単に

  14. 大量検知のつらみ 2. 構築中のリソースの検知 構築→設定完了のタイムラグでSecurity Hubが検知してしまう 毎日のように検知が来てしまう場合もあった 14

  15. 大量検知のつらみ 2. 構築中のリソースの検知 構築→設定完了のタイムラグでSecurity Hubが検知してしまう 毎日のように検知が来てしまう場合もあった ⇒ Security Hub インサイトを利用して解決

    15 Security Hub インサイトで結果を集約 定期的に通知を行うように設定した

  16. 確認・連絡のつらみ • 確認 • 連絡

  17. 確認・連絡のつらみ • 確認 • 検知したアカウント、リソースから担当者を確認する • 手順書などから対象の是正方法を確認する • 一定期間以上是正されていないリソースがないかを確認する •

    連絡

  18. 確認・連絡のつらみ • 確認 • 検知したアカウント、リソースから担当者を確認する • 手順書などから対象の是正方法を確認する • 一定期間以上是正されていないリソースがないかを確認する •

    連絡 • 担当者へ対象のリソースと検知内容、その是正方法を連絡する • あわせて、現在の設定のままにした場合のリスクも伝える • 完了連絡をいただき、検知が無くなっていることを確認する • 一定期間以上是正されていない場合、リマインドを行う

  19. 確認・連絡のつらみ • 確認 • 検知したアカウント、リソースから担当者を確認する • 手順書などから対象の是正方法を確認する • 一定期間以上是正されていないリソースがないかを確認する •

    連絡 • 担当者へ対象のリソースと検知内容、その是正方法を連絡する • あわせて、現在の設定のままにした場合のリスクも伝える • 完了連絡をいただき、検知が無くなっていることを確認する • 一定期間以上是正されていない場合、リマインドを行う

  20. 確認・連絡のつらみ • 確認 • 検知したアカウント、リソースから担当者を確認する • 手順書などから対象の是正方法を確認する • 一定期間以上是正されていないリソースがないかを確認する •

    連絡 • 担当者へ対象のリソースと検知内容、その是正方法を連絡する • あわせて、現在の設定のままにした場合のリスクも伝える • 完了連絡をいただき、検知が無くなっていることを確認する • 一定期間以上是正されていない場合、リマインドを行う 伝えるべきことが多い!! 現在は地道に運用中

  21. 認識齟齬のつらみ 運用チーム(私のチーム) と 開発者(リソースの作成元) で認識の齟齬がある 21

  22. 認識齟齬のつらみ 運用チーム(私のチーム) と 開発者(リソース作成者) で認識の齟齬がある 22 例: ある日、Security Hub から検知が来たので、開発者へ是正を依頼した。

    一定期間経過後、Security Hubへ継続して検知していたため再度連絡をした。 しかし、開発者は是正措置をしたと認識していた。検知が残っていたのはなぜだろうか?

  23. 認識齟齬のつらみ 運用チーム(私のチーム) と 開発者(リソース作成者) で認識の齟齬がある 23 例: ある日、Security Hub から検知が来たので、開発者へ是正を依頼した。

    一定期間経過後、Security Hubへ継続して検知していたため再度連絡をした。 しかし、開発者は是正措置をしたと認識していた。検知が残っていたのはなぜだろうか? 伝えていた原因をもとに、開発者側ですべき設定を判断していたため、Security Hub が 想定する是正方法ではなかった。しかし、リソースを確認したところ、リスクとしてはなくなっ ている状態だった。 ただし、元の設定に戻ったときに通知されないため、想定されている是正方法をしていただい た。

  24. 認識齟齬のつらみ 運用チーム(私のチーム) と 開発者(リソース作成者) で認識の齟齬がある 24 例: ある日、Security Hub から検知が来たので、開発者へ是正を依頼した。

    一定期間経過後、Security Hubへ継続して検知していたため再度連絡をした。 しかし、開発者は是正措置をしたと認識していた。検知が残っていたのはなぜだろうか? 伝えていた原因をもとに、開発者側ですべき設定を判断していたため、Security Hub が 想定する是正方法ではなかった。しかし、リソースを確認したところ、リスクとしてはなくなっ ている状態だった。 ただし、元の設定に戻ったときに通知されないため、想定されている是正方法をしていただい た。 何を考えてその設定をしたのか 話さないとわからない場合がある

  25. 運用で大事にしている こと 25

  26. 自動化できるところは自動化

  27. 自動化 人力には限界がある! 27 費用・時間 ともに機械がやった方が効率が良い場合が多い

  28. 自動化 人力には限界がある! 28 費用・時間 ともに機械がやった方が効率が良い場合が多い 特に定型作業の ミスが少ない !

  29. 自動化できるところは自動化

  30. 会話しながら運用を回す

  31. 会話しながら運用を回す そんなの当たり前・・・

  32. 相手もわかっているだろう・・・ になっていませんか?

  33. 会話が大事な理由 • 是正に入ってもらいやすい • リスクを説明することで、対応者に「必要な作業」と認識してもらえる • こちらから情報を発信して、細かい内容まで伝えておくことで相手からの質問も受けやすくなる • 納得感を持って作業に当たってもらえる 33

  34. 会話が大事な理由 • 是正に入ってもらいやすい • リスクを説明することで、対応者に「必要な作業」と認識してもらえる • こちらから情報を発信して、細かい内容まで伝えておくことで相手からの質問も受けやすくなる • 納得感を持って作業に当たってもらえる 34

  35. 会話が大事な理由 • 知識分野に差があることが認識できる • 私の場合で多いパターン • 自分の知識はインフラ寄り • 相手の知識はフロントエンド~バックエンド寄り •

    Security Hubで検知する内容はインフラ寄り(各サービスの設定内容)になる • なぜその設定が危ないのか?というところを紐解こうとすると、インフラ側の知識があった方が理解しやすい 傾向にある • 分かっていない部分を把握しやすくなるので、フォローにも入りやすくなる 35

  36. 会話が大事な理由 • 心理的なストレスが減る • セキュリティ検知の是正依頼は意外とストレスになる(場合がある) • 相手とコミュニケーションを取りやすくすることで、心理的ストレスを減らすことができる 36

  37. 会話が大事な理由 • 心理的なストレスが減る • セキュリティ検知の是正依頼は意外とストレスになる(場合がある) • 相手とコミュニケーションを取りやすくすることで、心理的ストレスを減らすことができる 37

  38. 会話しながら運用を回す

  39. 運用で大事にしていること 1. 自動化できるところは自動化 2.会話しながら運用を回す 39

  40. ま と め 40

  41. つらみ • 大量検知のつらみ • Security Hubの仕様で検知が大量に来てしまう • リソースの設定完了までのタイムラグで頻繁に検知が来てしまう • 確認・連絡のつらみ

    • 伝えるべきことが多い • 認識齟齬のつらみ • 運用者とリソース作成者で認識の齟齬が発生してしまうことがある

  42. 運用で大事にしていること 1. 自動化できるときは自動化 • 費用・時間 の効率が良い • ミスが少ない 2. 会話しながら運用を回す

    • 是正に入ってもらいやすい • 知識分野に差があることを認識できる • 心理的なストレスが減る 42

  43. よいセキュリティ対応を!