Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ENECHANGEが実現した管理者の工数負担を削減しながらもAWSセキュリティを強化した方法とは

iwamot
May 28, 2024
Technology
0
200

 ENECHANGEが実現した管理者の工数負担を削減しながらもAWSセキュリティを強化した方法とは

2024-05-28
Cloud Security Day 2024
https://www.wafcharm.com/jp/seminar/2024/cloudsecurityday2024/

iwamot

May 28, 2024
Tweet

More Decks by iwamot

See All by iwamot
開発組織を進化させる!AWSで実践するチームトポロジー
iwamot
0
79
始めないともったいない!SLO運用で得られる3つのメリット
iwamot
0
56
あなたの人生も変わるかも?AWS認定2つで始まったウソみたいな話
iwamot
3
7k
効率的な技術組織が作れる!書籍『チームトポロジー』要点まとめ
iwamot
2
250
AWS⼊社という選択肢、⾒えていますか
iwamot
2
1.3k
40代後半で開発エンジニアからクラウドインフラエンジニアにキャリアチェンジし、生き残れる自信がようやく持てた話
iwamot
9
9.1k
DockerのマルチプラットフォームイメージをGitHub Actionsでビルドして公開する際に、参考にしたドキュメントと便利だったツール
iwamot
4
410
RAGもファインチューニングも使わない 素朴なAIチャットボットを職場に導入した結果
iwamot
1
220
Amazon CloudWatchでSLOを監視してみた CODT 2024 クロージングイベント版
iwamot
0
140

Other Decks in Technology

See All in Technology
ExaDB-XSで利用されている Exadata Exascaleについて
oracle4engineer
PRO
3
170
2/18/25: Java meets AI: Build LLM-Powered Apps with LangChain4j
edeandrea
PRO
0
160
(機械学習システムでも) SLO から始める信頼性構築 - ゆる SRE#9 2025/02/21
daigo0927
0
240
AI Agent時代なのでAWSのLLMs.txtが欲しい!
watany
2
170
エンジニアが加速させるプロダクトディスカバリー 〜最速で価値ある機能を見つける方法〜 / product discovery accelerated by engineers
rince
4
540
OPENLOGI Company Profile
hr01
0
60k
MIMEと文字コードの闇
hirachan
2
1.4k
ウォンテッドリーのデータパイプラインを支える ETL のための analytics, rds-exporter / analytics, rds-exporter for ETL to support Wantedly's data pipeline
unblee
0
110
Reading Code Is Harder Than Writing It
trishagee
2
120
脳波を用いた嗜好マッチングシステム
hokkey621
0
280
JEDAI Meetup! Databricks AI/BI概要
databricksjapan
0
300
あれは良かった、あれは苦労したB2B2C型SaaSの新規開発におけるCloud Spanner
hirohito1108
2
910

Featured

See All Featured
RailsConf 2023
tenderlove
29
1k
Navigating Team Friction
lara
183
15k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
193
16k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
40
2k
How to train your dragon (web standard)
notwaldorf
91
5.9k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Designing for humans not robots
tammielis
250
25k
GitHub's CSS Performance
jonrohan
1030
460k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
10
500

Transcript

  1. ENECHANGEが実現した 管理者の工数負担を削減しながらも AWSセキュリティを強化した方法とは 2024-05-28 Cloud Security Day 2024 https://www.wafcharm.com/jp/seminar/2024/cloudsecurityday2024/ ENECHANGE株式会社

    VPoT兼CTO室マネージャー 岩本 隆史

  2. 岩本 隆史 / Takashi Iwamoto 現職:ENECHANGE (2021-07~) 全社的な技術施策の提案~実行 前職:AWS Japan

    クラウドサポートアソシエイト AWS Community Builder (2024~) カテゴリ:Cloud Operations
  3. None

  4. セキュリティ強化の背景

  5. シングルアカウントで200件弱の環境

  6. CTO室の数名でインフラを担当

  7. アプリの脆弱性診断は外部委託

  8. 入社時点ではGuardDutyのみ使用 Amazon GuardDuty AWS Trusted Advisor AWS Security Hub AWS

    WAF

  9. セキュリティ強化がタスクのひとつに インフラ構築・運用  SRE(信頼性維持・トイル削減) コスト最適化     セキュリティ強化 開発者体験向上    全社的な技術レベル向上  ブランディング(外部発信)

  10. 具体的な取り組み

  11. 1. IAMユーザーの棚卸

  12. アクセスキー不使用がベストプラクティス ベストプラクティスは、アクセスキーのような長期的認証情報を作成するのでは なく、IAM ロールなどの一時的なセキュリティ認証情報を使用することです。 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_access- keys.html

  13. 使われていないユーザーを削除

  14. EC2のIAMユーザー利用を廃止

  15. CircleCIをOpenID Connectに移行

  16. ChatOpsを導入   https://speakerdeck.com/iwamot/aws-chatbot-to-start-ec2-instance

  17. 2. Trusted Advisorの活用

  18. None

  19. 有効だったが未活用

  20. ELBセキュリティポリシーを更新

  21. 廃止されたランタイムのLambda関数を移行

  22. IAMパスワードポリシーを設定

  23. 3. Security Hubの有効化

  24. None

  25. AWS 基礎セキュリティのベストプラクティスで確認

  26. 2ヶ月弱で「重要」と「高」をゼロに

  27. Slackへの通知を開始

  28. 通知が来たら対応

  29. tip: AWS Configの利用は倹約的に

  30. tip: AWS Configの利用は倹約的に   https://docs.aws.amazon.com/securityhub/latest/userguide/controls-config- resources.html

  31. 4. AWS WAF + WafCharmの導入

  32. None
  33. None
  34. None

  35. 一部で「攻撃遮断くん」を利用 電力・ガス会社に提供しているエネルギーデータ事業の一部プロダクトは、もと もとサイバーセキュリティクラウド社のクラウド型WAF『攻撃遮断くん』を導入 して運用していました。 https://www.wafcharm.com/jp/casestudy/enechange/

  36. AWS WAFの活用を検討 機能に不満はなかったのですが、WAFも含めて運用する環境をAWSに一本化する ことで、管理の利便性を向上させると同時にコストダウンも実現できるのはない かと考えていました。

  37. 自動化サービスの利用が前提 当社には運用できるノウハウや運用に割ける体制もないため、簡単に運用するた めの自動化サービスを利用する前提で検討を進めました。

  38. WafCharmの導入を決定 ――― WafCharmの導入理由をお聞かせください。 『攻撃遮断くん』を利用してきて、サイバーセキュリティクラウド社による最新 脅威への対応力や運用ノウハウを信頼していたため、同社のWafCharmなら間違 いないだろうという安心感があったからです。導入前にトライアルで機能を確か めたのですが、まったく何の問題もありませんでした。

  39. 7件のプロダクトに適用 さまざまなプロダクトをAWSで運用しており、現在は合計7つにクラウドWAF自 動運用サービス『WafCharm』を導入しています。

  40. その後10件に拡大

  41. さらなる強化に向けて

  42. Well-Architectedレビューの実施 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/welcome.html

  43. マルチアカウント戦略への移行 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security- pillar/sec_securely_operate_multi_accounts.html

  44. まとめ

  45. 強化方法=ベストプラクティスの適用+自動化 1. IAMユーザーの棚卸 2. Trusted Advisorの活用 3. Security Hubの有効化 4.

    AWS WAF + WafCharmの導入 5. Well-Architectedレビューの実施 6. マルチアカウント戦略への移行 7. ...