Security Hub運用のすすめ

Transcript

1. 東京オフィス(本社) 〒108-0073 東京都港区三田3-13-16 三田43MTビル12F ベトナムオフィス 7th Floor, Mercury Building, No.444

   Hoang Hoa Tham Street, Thuy Khue ward, Tay Ho District, Hanoi city 札幌オフィス 〒060-0004 北海道札幌市中央区北4条西6-1 毎日札幌会館9F シリコンバレーインキュベーションセンター 3350 Scott Blvd. #29 Santa Clara, CA 95054 株式会社ビッグツリーテクノロジー＆コンサルティング Security Hub 運用のすすめ 2024年5月9日

2. 2 Copyright © 2024 BTC Corporation All Rights Reserved. 自己紹介

   宇都宮 郁香（うつのみや ふみか） • 2022年 新卒入社 • DX事業部所属 • 新卒から現在まで某官公庁のクラウドCoE業務を担当 ＜保有資格＞

3. 3 Copyright © 2024 BTC Corporation All Rights Reserved. AWS

   Security Hubの概要 Security Hubはセキュリティサービスの検出結果を一元管理し、AWS内のセキュリティの状態を 把握・評価できるサービスです。 ◼ Security Hubの概要 • AWSリソースのセキュリティ設定がベストプラクティスから逸脱していないかを自動でチェックします。 • チェック項目には、AWSマネージドなConfig ルールが利用されています。 AWS Security Hub

4. 4 Copyright © 2024 BTC Corporation All Rights Reserved. セキュリティ基準の概要

   システムの特性に合ったセキュリティ標準を有効化しましょう。 ◼ セキュリティ標準とは • 規制のフレームワーク、業界のベストプラクティス、企業ポリシーのコンプライアンスを判断するためのチェック項目 （Config ルール）のまとまり • Security Hubにて、セキュリティチェックを実施する場合、チェック項目を束ねたセキュリティ標準を有効化します。 • 複数を有効化することも可能です。 ◼ AWSでサポートされているセキュリティ標準（2024/05/09 現在） • AWS 基礎セキュリティベストプラクティス標準 • CIS Benchmark v1.2.0 および v1.4.0 • 米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5 • PCI DSS • サービスマネージドスタンダード

5. 5 Copyright © 2024 BTC Corporation All Rights Reserved. セキュリティ基準の利用ポイント

   セキュリティ標準関連のアップデートを定期的に追いましょう。 ◼ セキュリティ標準のアップデート事例 • 2022年11月に、 CIS AWS Foundations Benchmark v1.2.0の新しいバージョンとして、 CIS AWS Foundations Benchmark v1.4.0が発表 • 2023年3月に、NIST Special Publication 800-53 Revision 5が発表 ◼ チェック項目のアップデート事例 • 2024年3月に9つのチェック項目が廃止されることが発表 ◼ アップデートがあった場合は、以下の内容などを調査し、導入の検討を行いましょう • セキュリティ標準によってどのようなセキュリティチェックが実施されるのか • 既に有効化しているセキュリティ標準におけるチェック項目との差分

6. 6 Copyright © 2024 BTC Corporation All Rights Reserved. セキュリティスコア

   セキュリティスコアを100％にすることを目標にコツコツ運用することを推奨します。 ◼ セキュリティスコアとは • 有効になっているチェック項目（成功、失敗、不明ステータス）のうち、合格の状態にあるチャック項目の割合 • 有効にしているセキュリティ標準ごとに算出されます

7. 7 Copyright © 2024 BTC Corporation All Rights Reserved. システムの特性と合わないチェック項目への対応

   システムの特性に合わない項目には、チェック項目の無効化や抑制、パラメータの変更といった対応 を行いましょう。 ◼ 無効化 • セキュリティチェック自体を無効化 ◼ 抑制 • 検知時のアラートが出ないよう抑制 • セキュリティチェックは行われる ◼ パラメータの変更 • Config ルールのパラメータの値を変更 • 一部チェック項目のみ

8. 8 Copyright © 2024 BTC Corporation All Rights Reserved. チェック項目の重要度

   チェック項目の重要度に合わせた運用を行いましょう。 ◼ 重要度とは • チェック項目には、「重要」、「高」、「中」、「低」という4段階の重要度が設定されています。 • 特に、「重要」については直ちに対応が必要なため注意しましょう。 • その他の重要度の低い項目については、定期的に確認し、対応を行うことを推奨します。 重要度 対応 CRITICAL(重要) この問題は悪化しないように直ちに修復する必要があります。 HIGH(高) この問題は短期的な優先事項として対処する必要があります。 MEDIUM(中) この問題は中期的な優先事項として対処する必要があります。 LOW(低) この問題は単独で対処する必要はありません。

9. 9 Copyright © 2024 BTC Corporation All Rights Reserved. まとめ

   Security HubはConfig ルールを利用して、AWSリソースの設定状況がベストプラクティスに沿って いるかチェックしてくれるサービスです。 運用時に気を付ける以下のポイントを意識して、有効活用しましょう。 ✓ システムの特性に合ったセキュリティ標準を有効化する ✓ Security Hubのアップデートを定期的に追う ✓ セキュリティスコアが100％になるよう、毎月コツコツと運用する ✓ システムの特性に合わないチェック項目には適切な対応を行う ✓ チェック項目の重要度に合わせた運用をあらかじめ決定しておく