Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ENECHANGEが実現した管理者の工数負担を削減しながらもAWSセキュリティを強化した方法とは
Search
iwamot
May 28, 2024
Technology
0
180
ENECHANGEが実現した管理者の工数負担を削減しながらもAWSセキュリティを強化した方法とは
2024-05-28
Cloud Security Day 2024
https://www.wafcharm.com/jp/seminar/2024/cloudsecurityday2024/
iwamot
May 28, 2024
Tweet
Share
More Decks by iwamot
See All by iwamot
AWS⼊社という選択肢、⾒えていますか
iwamot
2
1.2k
40代後半で開発エンジニアからクラウドインフラエンジニアにキャリアチェンジし、生き残れる自信がようやく持てた話
iwamot
9
8.9k
DockerのマルチプラットフォームイメージをGitHub Actionsでビルドして公開する際に、参考にしたドキュメントと便利だったツール
iwamot
4
330
RAGもファインチューニングも使わない 素朴なAIチャットボットを職場に導入した結果
iwamot
1
170
Amazon CloudWatchでSLOを監視してみた CODT 2024 クロージングイベント版
iwamot
0
110
Cost-Effective SLO Error Budget Monitoring with Athena and CloudWatch
iwamot
0
930
Amazon CloudWatchでSLOを監視してみた
iwamot
0
110
AWS Protonの概要
iwamot
0
180
Web APIのAWS Lambda移行で工夫したこと
iwamot
4
3.5k
Other Decks in Technology
See All in Technology
LINEヤフーのフロントエンド組織・体制の紹介【24年12月】
lycorp_recruit_jp
0
530
Storage Browser for Amazon S3
miu_crescent
1
140
継続的にアウトカムを生み出し ビジネスにつなげる、 戦略と運営に対するタイミーのQUEST(探求)
zigorou
0
520
MLOps の現場から
asei
6
630
Amazon Kendra GenAI Index 登場でどう変わる? 評価から学ぶ最適なRAG構成
naoki_0531
0
100
Oracle Cloudの生成AIサービスって実際どこまで使えるの? エンジニア目線で試してみた
minorun365
PRO
4
280
OpenAIの蒸留機能(Model Distillation)を使用して運用中のLLMのコストを削減する取り組み
pharma_x_tech
4
550
CustomCopを使ってMongoidのコーディングルールを整えてみた
jinoketani
0
220
watsonx.ai Dojo #5 ファインチューニングとInstructLAB
oniak3ibm
PRO
0
160
OpenShift Virtualizationのネットワーク構成を真剣に考えてみた/OpenShift Virtualization's Network Configuration
tnk4on
0
130
サービスでLLMを採用したばっかりに振り回され続けたこの一年のあれやこれや
segavvy
2
380
LINEスキマニにおけるフロントエンド開発
lycorptech_jp
PRO
0
330
Featured
See All Featured
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Designing for humans not robots
tammielis
250
25k
A Tale of Four Properties
chriscoyier
157
23k
Producing Creativity
orderedlist
PRO
341
39k
Testing 201, or: Great Expectations
jmmastey
40
7.1k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
95
17k
Rails Girls Zürich Keynote
gr2m
94
13k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
17
2.3k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
132
33k
Scaling GitHub
holman
458
140k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
170
Code Reviewing Like a Champion
maltzj
520
39k
Transcript
ENECHANGEが実現した 管理者の工数負担を削減しながらも AWSセキュリティを強化した方法とは 2024-05-28 Cloud Security Day 2024 https://www.wafcharm.com/jp/seminar/2024/cloudsecurityday2024/ ENECHANGE株式会社
VPoT兼CTO室マネージャー 岩本 隆史
岩本 隆史 / Takashi Iwamoto 現職:ENECHANGE (2021-07~) 全社的な技術施策の提案~実行 前職:AWS Japan
クラウドサポートアソシエイト AWS Community Builder (2024~) カテゴリ:Cloud Operations
None
セキュリティ強化の背景
シングルアカウントで200件弱の環境
CTO室の数名でインフラを担当
アプリの脆弱性診断は外部委託
入社時点ではGuardDutyのみ使用 Amazon GuardDuty AWS Trusted Advisor AWS Security Hub AWS
WAF
セキュリティ強化がタスクのひとつに インフラ構築・運用 SRE(信頼性維持・トイル削減) コスト最適化 セキュリティ強化 開発者体験向上 全社的な技術レベル向上 ブランディング(外部発信)
具体的な取り組み
1. IAMユーザーの棚卸
アクセスキー不使用がベストプラクティス ベストプラクティスは、アクセスキーのような長期的認証情報を作成するのでは なく、IAM ロールなどの一時的なセキュリティ認証情報を使用することです。 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_access- keys.html
使われていないユーザーを削除
EC2のIAMユーザー利用を廃止
CircleCIをOpenID Connectに移行
ChatOpsを導入 https://speakerdeck.com/iwamot/aws-chatbot-to-start-ec2-instance
2. Trusted Advisorの活用
None
有効だったが未活用
ELBセキュリティポリシーを更新
廃止されたランタイムのLambda関数を移行
IAMパスワードポリシーを設定
3. Security Hubの有効化
None
AWS 基礎セキュリティのベストプラクティスで確認
2ヶ月弱で「重要」と「高」をゼロに
Slackへの通知を開始
通知が来たら対応
tip: AWS Configの利用は倹約的に
tip: AWS Configの利用は倹約的に https://docs.aws.amazon.com/securityhub/latest/userguide/controls-config- resources.html
4. AWS WAF + WafCharmの導入
None
None
None
一部で「攻撃遮断くん」を利用 電力・ガス会社に提供しているエネルギーデータ事業の一部プロダクトは、もと もとサイバーセキュリティクラウド社のクラウド型WAF『攻撃遮断くん』を導入 して運用していました。 https://www.wafcharm.com/jp/casestudy/enechange/
AWS WAFの活用を検討 機能に不満はなかったのですが、WAFも含めて運用する環境をAWSに一本化する ことで、管理の利便性を向上させると同時にコストダウンも実現できるのはない かと考えていました。
自動化サービスの利用が前提 当社には運用できるノウハウや運用に割ける体制もないため、簡単に運用するた めの自動化サービスを利用する前提で検討を進めました。
WafCharmの導入を決定 ――― WafCharmの導入理由をお聞かせください。 『攻撃遮断くん』を利用してきて、サイバーセキュリティクラウド社による最新 脅威への対応力や運用ノウハウを信頼していたため、同社のWafCharmなら間違 いないだろうという安心感があったからです。導入前にトライアルで機能を確か めたのですが、まったく何の問題もありませんでした。
7件のプロダクトに適用 さまざまなプロダクトをAWSで運用しており、現在は合計7つにクラウドWAF自 動運用サービス『WafCharm』を導入しています。
その後10件に拡大
さらなる強化に向けて
Well-Architectedレビューの実施 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/welcome.html
マルチアカウント戦略への移行 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security- pillar/sec_securely_operate_multi_accounts.html
まとめ
強化方法=ベストプラクティスの適用+自動化 1. IAMユーザーの棚卸 2. Trusted Advisorの活用 3. Security Hubの有効化 4.
AWS WAF + WafCharmの導入 5. Well-Architectedレビューの実施 6. マルチアカウント戦略への移行 7. ...