Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【発見的統制・予防的統制周りのおさらい】 JAWS-UG東京 ランチタイムLT会 #27
Search
濱口莉生
September 24, 2025
Business
100
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
【発見的統制・予防的統制周りのおさらい】 JAWS-UG東京 ランチタイムLT会 #27
濱口莉生
September 24, 2025
More Decks by 濱口莉生
See All by 濱口莉生
AWS Security Agent触ってみた
hamaguchi323
1
550
Control Tower リージョン制限の仕組み JAWS-UG東京 ランチタイムLT会 #29
hamaguchi323
1
51
JAWS-UG 東京 ランチタイムLT#20 登壇資料
hamaguchi323
1
73
MAWS#4 登壇資料
hamaguchi323
0
27
Other Decks in Business
See All in Business
AIを意識した経営・執行の設計と実行
kan
4
4.2k
CEOの価値観を言語化することでメンバーの心を動かすマネジメントを体得するワークショップ
nagam3618
1
310
BizDev視点で見る、Snowflake最新動向!/ snowflake-trend
finanori
1
140
余白を生むセルフマネジメント/Self-Management That Creates Breathing Room
ikuodanaka
1
180
株式会社ショーエイ_採用説明資料
shoeidex
0
160
サムコ株式会社 第47期第3四半期決算概要
tsuchihashi
0
380
株式会社リバイブル 会社説明資料
rebible
0
1.1k
経営管理について / About Corporate Planning
loglass2019
1
36k
ARI_BXデザイン第2事業ドメイン_事業紹介資料
arid2
0
220
CC採用候補者向けピッチ資料
crosscommunication
2
59k
株式会社Domuz会社紹介資料(採用)
kimpachi_d
0
58k
ブランディングサービス紹介資料《抜粋版》
brandingtechnology
0
470
Featured
See All Featured
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
390
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
200
Fireside Chat
paigeccino
42
4k
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.3k
Typedesign – Prime Four
hannesfritz
42
3.1k
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
65
55k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
370
Accessibility Awareness
sabderemane
1
140
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.2k
The Spectacular Lies of Maps
axbom
PRO
1
810
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.9k
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
akashhashmi
0
370
Transcript
クラウドで「ワクワク」を。 Excitement with the Cloud. 発見的統制・予防的統制周りのおさらい 2025年9月25日 クラウドセントリック株式会社 濱口莉生
© Cloud Centric Corporation 2 クラウドで「ワクワク」を。 自己紹介 濱口莉生 クラウドセントリック株式会社 インテグレーション技術部
@awswakaran 社会人3年目 AWS歴1年ちょい データ連携基盤、マルチアカウント環境の設計、構築、テスト等を担当 ↓今年のJapan AWS Jr. Championsに選出されました
© Cloud Centric Corporation 3 クラウドで「ワクワク」を。 1. なぜ統制が必要か 2. 予防的統制の例
3. 発見的統制の例 4. Control Towerで始めるスモールスタート統制 5. 導入時、運用時の注意点 6. まとめ
© Cloud Centric Corporation 4 クラウドで「ワクワク」を。 1. なぜ統制が必要か 自分が新人の頃にやってしまっていたミス ・
色んなアカウントにIAMユーザ、アクセスキーを作りまくる。 ・ 開発環境で権限周りをおろそかにする(全操作をAdmin権限で行うなど) ・ S3のパブリックアクセスが意図せず有効になってしまっている。 ・ とりあえずSecurity Groupは0.0.0.0/0で公開。 ・・・など
© Cloud Centric Corporation 5 クラウドで「ワクワク」を。 1. なぜ統制が必要か 予防的統制 ・・・
やっちゃいけないこと、やらない方がいいことを未然に防ぐ 発見的統制 ・・・ やっちゃったことをすぐに見つける この二つを組み合わせることで、ミスを未然に防ぎ、被害を最小化することができる。
© Cloud Centric Corporation 6 クラウドで「ワクワク」を。 2. 予防的統制の例 予防的統制とは・・・ セキュリティインシデントの原因となる問題を取り除く、もしくは、軽減させるための対策
・ IAMの最小権限化 ・ SCP、RCP、宣言型ポリシー等による組織レベル、アカウントレベルでの制御など これは絶対やっちゃダメ!
© Cloud Centric Corporation 7 クラウドで「ワクワク」を。 3. 発見的統制の例 発見的統制とは・・・ インシデントが発生した際に、早期検知と記録を行い、関係者にアラートをあげるような統制
・ GuardDuty、Security Hub、Config、CloudTrailで検出した結果、イベントを関係者に通知する。 ・ 検出結果を分析し、予防的統制を改善するサイクルにつなげる。 これやったの誰?
© Cloud Centric Corporation 8 クラウドで「ワクワク」を。 4. Control Towerで始めるスモールスタート統制 ①
アカウント/OUごとに、「どのようなワークロードが動くか」、「要件は何か」を整理する。 OUの構成をセキュリティ要件や業務目的に基づいて設計する。 ② コンプライアンスフレームワークとの連携を検討する。 NISTやCIS AWS Benchmark、PCI-DSS等の標準と、Control Towerが提供するコントロールを比較し、何をすればコ ンプライアンスを満たせるかを明らかにする。 ③ 検出コントロールを先に適用し、その後予防コントロールを適用する。 検出コントロールにより、現在どこにギャップがあるのか、どのようなリスクが頻発しているかを把握する。 その結果に基づいて、どの予防/プロアクティブコントロールを優先して選ぶかを決める。 これにより、過剰な制限や開発の阻害を最小限に抑えることが出来る。 ④ 非本番用OUでテストを行ってから本番OUに適用する。 本番環境に適用する前に、開発環境や検証環境で適用し、テストを行う。 ⑤ 多層防御アプローチをとる 予防コントロール、検出コントロール、プロアクティブコントロールのすべてを組み合わせる。 参考 : https://aws.amazon.com/jp/blogs/news/best-practices-for-applying-controls-with-aws-control-tower/ https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html
© Cloud Centric Corporation 9 クラウドで「ワクワク」を。 5. 導入時、運用時の注意点 導入時の注意点 ・
最初から完璧を目指さない ガードレールをすべて有効化してしまうと、制限が過剰になり開発スピードが遅くなる。 まずは、要件に沿って必要最低限のルールで始める。 ・ AFT(Account Factory for Terraform)の導入を検討する 統制の効いた複数アカウント、複数IICユーザの作成を自動化できる。 Terraformを使用してAWS環境を一元管理できる。
© Cloud Centric Corporation 10 クラウドで「ワクワク」を。 5. 導入時、運用時の注意点 運用時の注意点 ・
アラートの優先度を決める 例えば、Security Hubだと[Critical]、[High]、[Medium]、[Low]、[Informational]の5つの重要度がある。 通知が多すぎても重要なインシデントを見逃す可能性がある。 ・ コンプライアンス違反の検出と修復の自動化を行う Control Towerの検出コントロールとSystems Manager Automationを組み合わせて修復タスクを自動化することで、 運用負荷を軽減できる。 ・ ルールやガードレールの定期的なメンテナンスや変更確認 ルールやガードレールは適用したら終わりではなく、定期的に影響範囲や検出結果の分析を行う。 Control TowerのガードレールやSecurity Hubのコントロールは頻繁にアップデートが入る。
© Cloud Centric Corporation 11 クラウドで「ワクワク」を。 6. まとめ ・ 統制はミスを未然に防ぎ、何か起きたとしても被害を最小限に抑えることが出来る。
・ Control Towerでコントロールを適用する際は、スモールスタートで始めて徐々に範囲を拡大していく。 ・ 予防的統制、発見的統制を上手く組み合わせることが重要。
クラウドで「ワクワク」を。 Excitement with the Cloud.
hamaguchi323
kan
nagam3618
finanori
.jpg){kind=avatar}
ikuodanaka
shoeidex
tsuchihashi
rebible
loglass2019
arid2
crosscommunication
kimpachi_d
brandingtechnology
katarinadahlin
jdejongh
paigeccino
aleyda
hannesfritz
soudai
tmiket
sabderemane
addyosmani
axbom
bcantrill
akashhashmi
