Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS環境にTenableしたら わらわら問題がでた話
Search
hiyanger
November 18, 2023
Technology
0
200
AWS環境にTenableしたら わらわら問題がでた話
2023 11/21 Cloud Security Day 2023
https://increments.connpass.com/event/298906/
hiyanger
November 18, 2023
Tweet
Share
More Decks by hiyanger
See All by hiyanger
Terraform やるなら公式スタイルガイドを読もう 〜重要項目 10選〜
hiyanger
14
3.4k
(Amazon Bedrock 基礎)生成 AI の活用に導くシステム構築の基本とセキュリティの実装
hiyanger
4
91
CIer に在籍した 3年間 でやったこと
hiyanger
2
190
これからクラウドエンジニアになるために本当に必要なスキル 5選
hiyanger
1
700
クラウド食堂とは?
hiyanger
0
280
Amazon ECS とマイクロサービスから考えるシステム構成
hiyanger
2
1.1k
全身全霊で取り組んだ 2024 Qiita アドベントカレンダー
hiyanger
0
72
Terraform で作る Amazon ECS の CI/CD パイプライン
hiyanger
1
320
【AWS】EC2 基本アーキテクチャ(ハンズオン付き)
hiyanger
0
130
Other Decks in Technology
See All in Technology
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
5.4k
Escaping_the_Kraken_-_October_2025.pdf
mdalmijn
0
130
PLaMo2シリーズのvLLM実装 / PFN LLM セミナー
pfn
PRO
2
970
生成AI_その前_に_マルチクラウド時代の信頼できるデータを支えるSnowflakeメタデータ活用術.pdf
cm_mikami
0
110
生成AIで「お客様の声」を ストーリーに変える 新潮流「Generative ETL」
ishikawa_satoru
1
310
神回のメカニズムと再現方法/Mechanisms and Playbook for Kamikai scrumat2025
moriyuya
4
520
VCC 2025 Write-up
bata_24
0
180
ACA でMAGI システムを社内で展開しようとした話
mappie_kochi
1
250
AIAgentの限界を超え、 現場を動かすWorkflowAgentの設計と実践
miyatakoji
0
130
Access-what? why and how, A11Y for All - Nordic.js 2025
gdomiciano
1
110
GopherCon Tour 概略
logica0419
2
190
Flaky Testへの現実解をGoのプロポーザルから考える | Go Conference 2025
upamune
1
420
Featured
See All Featured
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.7k
Gamification - CAS2011
davidbonilla
81
5.5k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
5.6k
Designing for humans not robots
tammielis
254
25k
Learning to Love Humans: Emotional Interface Design
aarron
274
40k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
657
61k
KATA
mclloyd
32
15k
Building Adaptive Systems
keathley
43
2.8k
Large-scale JavaScript Application Architecture
addyosmani
514
110k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
30
2.9k
Build The Right Thing And Hit Your Dates
maggiecrowley
37
2.9k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
33
2.5k
Transcript
AWS環境にTenableしたら わらわら問題がでた話
プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD
出身:栃木県 よかったら フォローしてね!
もくじ Tenableとは 既存システムにTenableかけたらどうなったか 診断結果の対策
Tenableってなんですか?
Tenableとは 脆弱性診断ツールです。AWSに流せばわら わら脆弱性を洗い出してくれます。 外部から診断する方法か、内部で専用の EC2をたててそこから診断する方法があり ます。
診断してみたww
診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、
初期導入ツールで 設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知
診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、
初期導入ツールで 設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知 刷新!
対処します
監査ログ用 別AWSアカウント cron cron cron config S3アクセスログ TrailとConfigのバックアップを強固に あ Trail
・CloudWatchへの出力 ・S3へ出力しアクセスログも取得、 さらに監査用ログとして別アカウントS3へコピー Config ・S3へ出力 ・監査用ログとして別アカウントS3へコピー ・ConfigのSNS通知はうるさくなりすぎるので やらない方向に倒した ※別アカウントへのコピーはちょっとアナログだけど、 EC2からS3コマンドをcronで流している。 ここはLambdaとEventBridgeでもできるはず。たぶん。
IAM Access Analyzer 有効化 ポチッとして名前いいれるだけです。超簡単。 お金 かかりません。やらない損です。やりましょう。 何ができるのか ポリシーにおける外部からのアクセスが できるようになりえるものを検知してくれます。
Thanks!! 古いシステムだとやっぱり考慮もれとかでいろいろやれ てないことが多いです。 Tenableは脆弱性診断という意味ではもちろん、システ ムを見直すきっかけとして良いので、構築してから時間 たってるシステムはぜひ見直ししましょう。 本資料 https://speakerdeck.com/hiyanger/cloud-security-da y-2023-awshuan-jing-nitenablesitara-warawarawen-ti -gadetahua
https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger
hiyanger
oracle4engineer
.jpg){kind=avatar}
mdalmijn
pfn
cm_mikami
ishikawa_satoru
moriyuya
bata_24
mappie_kochi
miyatakoji
gdomiciano
logica0419
upamune
reverentgeek
davidbonilla
tammielis
aarron
lemiorhan
mclloyd
keathley
addyosmani
danielanewman
maggiecrowley
jcasabona
