Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ENECHANGEが実現した管理者の工数負担を削減しながらもAWSセキュリティを強化した方法とは

Avatar for iwamot iwamot PRO
May 28, 2024
Technology
0
240

 ENECHANGEが実現した管理者の工数負担を削減しながらもAWSセキュリティを強化した方法とは

2024-05-28
Cloud Security Day 2024
https://www.wafcharm.com/jp/seminar/2024/cloudsecurityday2024/

Avatar for iwamot

iwamot PRO

May 28, 2024
Tweet

More Decks by iwamot

See All by iwamot
これがLambdaレス時代のChatOpsだ!実例で学ぶAmazon Q Developerカスタムアクション活用法
Avatar for iwamot iwamot
PRO
8
1.2k
Developer Certificate of Origin、よさそう
Avatar for iwamot iwamot
PRO
0
17
復号できなくなると怖いので、AWS KMSキーの削除を「面倒」にしてみた CODT 2025 クロージングイベント版
Avatar for iwamot iwamot
PRO
1
85
復号できなくなると怖いので、AWS KMSキーの削除を「面倒」にしてみた
Avatar for iwamot iwamot
PRO
3
76
IPA&AWSダブル全冠が明かす、人生を変えた勉強法のすべて
Avatar for iwamot iwamot
PRO
14
11k
2年でここまで成長!AWSで育てたAI Slack botの軌跡
Avatar for iwamot iwamot
PRO
4
1.1k
名単体テスト 禁断の傀儡(モック)
Avatar for iwamot iwamot
PRO
1
550
クォータ監視、AWS Organizations環境でも楽勝です✌️
Avatar for iwamot iwamot
PRO
2
560
Cline、めっちゃ便利、お金が飛ぶ💸
Avatar for iwamot iwamot
PRO
22
22k

Other Decks in Technology

See All in Technology
AI時代の発信活動 ~技術者として認知してもらうための発信法~ / 20251028 Masaki Okuda
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
120
ざっくり学ぶ 『エンジニアリングリーダー 技術組織を育てるリーダーシップと セルフマネジメント』 / 50 minute Engineering Leader
Avatar for iwashi iwashi86
6
3.3k
ヘンリー会社紹介資料(エンジニア向け) / company deck for engineer
Avatar for Henry, Inc. henryofficial
0
420
コンパウンド組織のCRE #cre_meetup
Avatar for LayerX layerx
PRO
1
290
激動の時代を爆速リチーミングで乗り越えろ
Avatar for SansanTech sansantech
PRO
1
170
オブザーバビリティと育てた ID管理・認証認可基盤の歩み / The Journey of an ID Management, Authentication, and Authorization Platform Nurtured with Observability
Avatar for 株式会社カミナシ kaminashi
2
1.2k
Retrospectiveを振り返ろう
Avatar for なかしょ nakasho
0
130
Open Table Format (OTF) が必要になった背景とその機能 (2025.10.28)
Avatar for Akira Shimosako simosako
2
450
From Natural Language to K8s Operations: The MCP Architecture and Practice of kubectl-ai
Avatar for Bo-Yi Wu appleboy
0
350
進化する大規模言語モデル評価: Swallowプロジェクトにおける実践と知見
Avatar for Naoaki Okazaki chokkan
PRO
0
140
20251029_Cursor Meetup Tokyo #02_MK_「あなたのAI、私のシェル」 - プロンプトインジェクションによるエージェントのハイジャック
Avatar for Masayuki Kawakita mk0721
PRO
5
2k
GPUをつかってベクトル検索を 扱う手法のお話し ~NVIDIA cuVSとCAGRA~
Avatar for fshuhe fshuhe
0
240

Featured

See All Featured
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
9
930
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
180
10k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
1.7k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
29
5.6k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3k
Visualization
Avatar for Eitan Lees eitanlees
150
16k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
209
24k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.1k
Designing for Performance
Avatar for Lara Hogan lara
610
69k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.1k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
23
1.5k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
658
61k

Transcript

  1. ENECHANGEが実現した 管理者の工数負担を削減しながらも AWSセキュリティを強化した方法とは 2024-05-28 Cloud Security Day 2024 https://www.wafcharm.com/jp/seminar/2024/cloudsecurityday2024/ ENECHANGE株式会社

    VPoT兼CTO室マネージャー 岩本 隆史

  2. 岩本 隆史 / Takashi Iwamoto 現職:ENECHANGE (2021-07~) 全社的な技術施策の提案~実行 前職:AWS Japan

    クラウドサポートアソシエイト AWS Community Builder (2024~) カテゴリ:Cloud Operations
  3. None

  4. セキュリティ強化の背景

  5. シングルアカウントで200件弱の環境

  6. CTO室の数名でインフラを担当

  7. アプリの脆弱性診断は外部委託

  8. 入社時点ではGuardDutyのみ使用 Amazon GuardDuty AWS Trusted Advisor AWS Security Hub AWS

    WAF

  9. セキュリティ強化がタスクのひとつに インフラ構築・運用  SRE(信頼性維持・トイル削減) コスト最適化     セキュリティ強化 開発者体験向上    全社的な技術レベル向上  ブランディング(外部発信)

  10. 具体的な取り組み

  11. 1. IAMユーザーの棚卸

  12. アクセスキー不使用がベストプラクティス ベストプラクティスは、アクセスキーのような長期的認証情報を作成するのでは なく、IAM ロールなどの一時的なセキュリティ認証情報を使用することです。 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_access- keys.html

  13. 使われていないユーザーを削除

  14. EC2のIAMユーザー利用を廃止

  15. CircleCIをOpenID Connectに移行

  16. ChatOpsを導入   https://speakerdeck.com/iwamot/aws-chatbot-to-start-ec2-instance

  17. 2. Trusted Advisorの活用

  18. None

  19. 有効だったが未活用

  20. ELBセキュリティポリシーを更新

  21. 廃止されたランタイムのLambda関数を移行

  22. IAMパスワードポリシーを設定

  23. 3. Security Hubの有効化

  24. None

  25. AWS 基礎セキュリティのベストプラクティスで確認

  26. 2ヶ月弱で「重要」と「高」をゼロに

  27. Slackへの通知を開始

  28. 通知が来たら対応

  29. tip: AWS Configの利用は倹約的に

  30. tip: AWS Configの利用は倹約的に   https://docs.aws.amazon.com/securityhub/latest/userguide/controls-config- resources.html

  31. 4. AWS WAF + WafCharmの導入

  32. None
  33. None
  34. None

  35. 一部で「攻撃遮断くん」を利用 電力・ガス会社に提供しているエネルギーデータ事業の一部プロダクトは、もと もとサイバーセキュリティクラウド社のクラウド型WAF『攻撃遮断くん』を導入 して運用していました。 https://www.wafcharm.com/jp/casestudy/enechange/

  36. AWS WAFの活用を検討 機能に不満はなかったのですが、WAFも含めて運用する環境をAWSに一本化する ことで、管理の利便性を向上させると同時にコストダウンも実現できるのはない かと考えていました。

  37. 自動化サービスの利用が前提 当社には運用できるノウハウや運用に割ける体制もないため、簡単に運用するた めの自動化サービスを利用する前提で検討を進めました。

  38. WafCharmの導入を決定 ――― WafCharmの導入理由をお聞かせください。 『攻撃遮断くん』を利用してきて、サイバーセキュリティクラウド社による最新 脅威への対応力や運用ノウハウを信頼していたため、同社のWafCharmなら間違 いないだろうという安心感があったからです。導入前にトライアルで機能を確か めたのですが、まったく何の問題もありませんでした。

  39. 7件のプロダクトに適用 さまざまなプロダクトをAWSで運用しており、現在は合計7つにクラウドWAF自 動運用サービス『WafCharm』を導入しています。

  40. その後10件に拡大

  41. さらなる強化に向けて

  42. Well-Architectedレビューの実施 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/welcome.html

  43. マルチアカウント戦略への移行 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security- pillar/sec_securely_operate_multi_accounts.html

  44. まとめ

  45. 強化方法=ベストプラクティスの適用+自動化 1. IAMユーザーの棚卸 2. Trusted Advisorの活用 3. Security Hubの有効化 4.

    AWS WAF + WafCharmの導入 5. Well-Architectedレビューの実施 6. マルチアカウント戦略への移行 7. ...