Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【発見的統制・予防的統制周りのおさらい】 JAWS-UG東京 ランチタイムLT会 #27

Avatar for 濱口莉生 濱口莉生
September 24, 2025
Business
100
0

【発見的統制・予防的統制周りのおさらい】 JAWS-UG東京 ランチタイムLT会 #27

Avatar for 濱口莉生

濱口莉生

September 24, 2025

More Decks by 濱口莉生

See All by 濱口莉生
AWS Security Agent触ってみた
Avatar for 濱口莉生 hamaguchi323
1
550
Control Tower リージョン制限の仕組み JAWS-UG東京 ランチタイムLT会 #29
Avatar for 濱口莉生 hamaguchi323
1
51
JAWS-UG 東京 ランチタイムLT#20 登壇資料
Avatar for 濱口莉生 hamaguchi323
1
73
MAWS#4 登壇資料
Avatar for 濱口莉生 hamaguchi323
0
27

Other Decks in Business

See All in Business
Kasanare_Recruitng_Pitch
Avatar for カサナレ株式会社 kyoichi_yasuda
0
140
株式会社ルクレ新卒向け採用ピッチ
Avatar for LECRE Inc. lecre
0
170
捨てる、という判断 — エンジニアの役割の変化に向き合うConference
Avatar for APPLE WORLD appleworld
1
840
kakaopiccoma_engineer_recruitingguide
Avatar for Kakao piccoma Corp. kakaojapan
2
190
VISASQ: ABOUT DEV TEAM
Avatar for VISASQ eikohashiba
6
44k
【結果報告】Claude×Linearで会社のタスク管理をAIにまかせて1ヶ月。業務効率150%向上したが、AIネイティブカンパニーを目指すならもっと「加速への狂気」が必要
Avatar for 長津孝輔 nagatsu
1
480
【会社について知る】エーテンラボ採用デック
Avatar for A10lab a10lab201612
0
270
JAWSDAYSに参加した思いを叫びたい!
Avatar for Yuidyy_555 yuidyy
1
130
営業、広報、開発。
多面的なAIネイティブ化のための
基盤について
Avatar for Seiji Takahashi timakin
0
210
コーポレートストーリー(新規投資家様向け会社説明資料)
Avatar for GA technologies gatechnologies
2
19k
株式会社ユビレジ_採用ピッチ資料 / Ubiregi_CompanyProfile
Avatar for 株式会社ユビレジ ubiregi_saiyo
1
11k
株式会社Domuz会社紹介資料(採用)
Avatar for Kimpachi Kadoike kimpachi_d
0
58k

Featured

See All Featured
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
128
18k
The Limits of Empathy - UXLibs8
Avatar for Cassini Nazir cassininazir
1
360
WCS-LA-2024
Avatar for Leonardo Collado-Torres lcolladotor
0
640
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.5k
Tips & Tricks on How to Get Your First Job In Tech
Avatar for Honza Javorek honzajavorek
1
540
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
37
7.3k
How to make the Groovebox
Avatar for あそなす asonas
2
2.2k
Kristin Tynski - Automating Marketing Tasks With AI
Avatar for Tech SEO Connect techseoconnect
PRO
0
270
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
Mozcon NYC 2025: Stop Losing SEO Traffic
Avatar for Sam Torres samtorres
1
250
Efficient Content Optimization with Google Search Console & Apps Script
Avatar for Katarina Dahlin katarinadahlin
PRO
1
620
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
32
2.9k

Transcript

  1. クラウドで「ワクワク」を。 Excitement with the Cloud. 発見的統制・予防的統制周りのおさらい 2025年9月25日 クラウドセントリック株式会社 濱口莉生

  2. © Cloud Centric Corporation 2 クラウドで「ワクワク」を。 自己紹介 濱口莉生 クラウドセントリック株式会社 インテグレーション技術部

    @awswakaran 社会人3年目 AWS歴1年ちょい データ連携基盤、マルチアカウント環境の設計、構築、テスト等を担当 ↓今年のJapan AWS Jr. Championsに選出されました

  3. © Cloud Centric Corporation 3 クラウドで「ワクワク」を。 1. なぜ統制が必要か 2. 予防的統制の例

    3. 発見的統制の例 4. Control Towerで始めるスモールスタート統制 5. 導入時、運用時の注意点 6. まとめ

  4. © Cloud Centric Corporation 4 クラウドで「ワクワク」を。 1. なぜ統制が必要か 自分が新人の頃にやってしまっていたミス ・

    色んなアカウントにIAMユーザ、アクセスキーを作りまくる。 ・ 開発環境で権限周りをおろそかにする(全操作をAdmin権限で行うなど) ・ S3のパブリックアクセスが意図せず有効になってしまっている。 ・ とりあえずSecurity Groupは0.0.0.0/0で公開。 ・・・など

  5. © Cloud Centric Corporation 5 クラウドで「ワクワク」を。 1. なぜ統制が必要か 予防的統制 ・・・

    やっちゃいけないこと、やらない方がいいことを未然に防ぐ 発見的統制 ・・・ やっちゃったことをすぐに見つける この二つを組み合わせることで、ミスを未然に防ぎ、被害を最小化することができる。

  6. © Cloud Centric Corporation 6 クラウドで「ワクワク」を。 2. 予防的統制の例 予防的統制とは・・・ セキュリティインシデントの原因となる問題を取り除く、もしくは、軽減させるための対策

    ・ IAMの最小権限化 ・ SCP、RCP、宣言型ポリシー等による組織レベル、アカウントレベルでの制御など これは絶対やっちゃダメ!

  7. © Cloud Centric Corporation 7 クラウドで「ワクワク」を。 3. 発見的統制の例 発見的統制とは・・・ インシデントが発生した際に、早期検知と記録を行い、関係者にアラートをあげるような統制

    ・ GuardDuty、Security Hub、Config、CloudTrailで検出した結果、イベントを関係者に通知する。 ・ 検出結果を分析し、予防的統制を改善するサイクルにつなげる。 これやったの誰?

  8. © Cloud Centric Corporation 8 クラウドで「ワクワク」を。 4. Control Towerで始めるスモールスタート統制 ①

    アカウント/OUごとに、「どのようなワークロードが動くか」、「要件は何か」を整理する。 OUの構成をセキュリティ要件や業務目的に基づいて設計する。 ② コンプライアンスフレームワークとの連携を検討する。 NISTやCIS AWS Benchmark、PCI-DSS等の標準と、Control Towerが提供するコントロールを比較し、何をすればコ ンプライアンスを満たせるかを明らかにする。 ③ 検出コントロールを先に適用し、その後予防コントロールを適用する。 検出コントロールにより、現在どこにギャップがあるのか、どのようなリスクが頻発しているかを把握する。 その結果に基づいて、どの予防/プロアクティブコントロールを優先して選ぶかを決める。 これにより、過剰な制限や開発の阻害を最小限に抑えることが出来る。 ④ 非本番用OUでテストを行ってから本番OUに適用する。 本番環境に適用する前に、開発環境や検証環境で適用し、テストを行う。 ⑤ 多層防御アプローチをとる 予防コントロール、検出コントロール、プロアクティブコントロールのすべてを組み合わせる。 参考 : https://aws.amazon.com/jp/blogs/news/best-practices-for-applying-controls-with-aws-control-tower/ https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html

  9. © Cloud Centric Corporation 9 クラウドで「ワクワク」を。 5. 導入時、運用時の注意点 導入時の注意点 ・

    最初から完璧を目指さない ガードレールをすべて有効化してしまうと、制限が過剰になり開発スピードが遅くなる。 まずは、要件に沿って必要最低限のルールで始める。 ・ AFT(Account Factory for Terraform)の導入を検討する 統制の効いた複数アカウント、複数IICユーザの作成を自動化できる。 Terraformを使用してAWS環境を一元管理できる。

  10. © Cloud Centric Corporation 10 クラウドで「ワクワク」を。 5. 導入時、運用時の注意点 運用時の注意点 ・

    アラートの優先度を決める 例えば、Security Hubだと[Critical]、[High]、[Medium]、[Low]、[Informational]の5つの重要度がある。 通知が多すぎても重要なインシデントを見逃す可能性がある。 ・ コンプライアンス違反の検出と修復の自動化を行う Control Towerの検出コントロールとSystems Manager Automationを組み合わせて修復タスクを自動化することで、 運用負荷を軽減できる。 ・ ルールやガードレールの定期的なメンテナンスや変更確認 ルールやガードレールは適用したら終わりではなく、定期的に影響範囲や検出結果の分析を行う。 Control TowerのガードレールやSecurity Hubのコントロールは頻繁にアップデートが入る。

  11. © Cloud Centric Corporation 11 クラウドで「ワクワク」を。 6. まとめ ・ 統制はミスを未然に防ぎ、何か起きたとしても被害を最小限に抑えることが出来る。

    ・ Control Towerでコントロールを適用する際は、スモールスタートで始めて徐々に範囲を拡大していく。 ・ 予防的統制、発見的統制を上手く組み合わせることが重要。

  12. クラウドで「ワクワク」を。 Excitement with the Cloud.