Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSでのセキュリティ対策、多少はやってこうぜ! / Let's tackle AWS sec...
Search
こばやし
December 17, 2023
Technology
3
2.4k
AWSでのセキュリティ対策、多少はやってこうぜ! / Let's tackle AWS security measures somewhat
難解と思われがちなAWSでのセキュリティ対策、ビビらずに多少はやっていこうぜ!という想いを込めた資料です。
こばやし
December 17, 2023
Tweet
Share
Other Decks in Technology
See All in Technology
AWSにおけるTrend Vision Oneの効果について
shimak
0
130
Flaky Testへの現実解をGoのプロポーザルから考える | Go Conference 2025
upamune
1
420
E2Eテスト設計_自動化のリアル___Playwrightでの実践とMCPの試み__AIによるテスト観点作成_.pdf
findy_eventslides
1
370
pprof vs runtime/trace (FlightRecorder)
task4233
0
170
PLaMo2シリーズのvLLM実装 / PFN LLM セミナー
pfn
PRO
2
990
バイブコーディングと継続的デプロイメント
nwiizo
2
430
【新卒研修資料】LLM・生成AI研修 / Large Language Model・Generative AI
brainpadpr
24
17k
いまさら聞けない ABテスト入門
skmr2348
1
200
多様な事業ドメインのクリエイターへ 価値を届けるための営みについて
massyuu
1
290
組織観点からIAM Identity CenterとIAMの設計を考える
nrinetcom
PRO
1
180
業務自動化プラットフォーム Google Agentspace に入門してみる #devio2025
maroon1st
0
190
Why React!?? Next.jsそしてReactを改めてイチから選ぶ
ypresto
10
4.5k
Featured
See All Featured
Building an army of robots
kneath
306
46k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.5k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
1.6k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
188
55k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
9
580
A designer walks into a library…
pauljervisheath
209
24k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4k
It's Worth the Effort
3n
187
28k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
132
19k
Visualization
eitanlees
148
16k
Facilitating Awesome Meetings
lara
56
6.6k
Transcript
AWSでのセキュリティ対策、 多少はやってこうぜ! JAWS-UG東京 ランチタイムLT会 #6 2023/12/18 製造業の情シス こばやし
自己紹介 経歴 • 2000年代に国内大手の製造業に入社して以来、 20年以上ずーっと情報システム部門で社内SEやってる人 好きなAWSサービス Lambda Cost Explorer ひと言アピール
• 「クラウド x セキュリティ」の人を目指してます! AWS 全冠を目指すも、まだ9冠 情報処理安全確保支援士は未登録 こばやし (@jkobax)
結論ファースト ❶ とりあえず、迷ったらこの2つを有効化しよう🔰 AWS Security Hub Amazon GuardDuty ❷ どちらも30日間無料💰で試せるので、すぐ始めよう🚄
❸ 定期的⏰に確認して対策する運用🧑🏻💻を確立しよう ❌
みなさん、こんなお悩み抱えてませんか ヘイシャでは、クラウド活用黎明期によく以下のようなやり取りがありました。 セキュリティ!?わざわざうちの環境狙う人いないし大丈夫でしょ 😄 AWSのセキュリティ関連のサービス多過ぎ!選べない!! 🤯 開発だけでも手一杯でセキュリティのこと考える余裕ないよ…… 😵💫 サービス増やすとお金かかるんでしょ!?いくらかワカンナイけど 🤑
心理的な罠に対して正論で反論します👊
罠❶ 過度の楽観視 この広大なインターネットで、わざわざうちの環境が狙われるなんて奇跡、 起こるわけないやろ! 宝くじじゃないんだからさ…… 世界中でクラウド環境の設定不備などが原因で めちゃくちゃ情報漏洩やサービス停止がおきてるぞ! 情報感度が低いのは自慢できることじゃないぞ。 攻撃する側は機械的なスキャンもしてるから、 企業規模とかまったく関係ないぞ!!(APTを除く)
🫵😠 正論さん
罠❷ セキュリティをあとから考えがち まずは機能の充足を優先させなきゃいけないし、セキュリティなんてあとあと! 余裕ができたらそのときに考えるわ。 (いつになるかワカランけど……) そんなこと言っててそのままGo-Liveになるんやぞ! 攻撃されてから慌てて守っても遅いぞ。 あとからやる方が難しいし、大変だから最初が肝心。 シフトレフトで早め早めにセキュリティを作り込むんや。 DevSecOpsな体制を構築せよ!
🫵😠 正論さん
罠❸ 無知の放置 AWSでセキュリティ対策するって言っても何から始めたらいいのかワカラン! Well-Architectedの「セキュリティの柱」もなんだか難しそうだし、 セキュリティ関連の機能も多過ぎて勉強する気にもなれないわ…… 最初は誰もが素人だけどそこで思考停止したら終わり。 無知であることを自覚したら学ぶしかないッ! 「AWSではじめるクラウドセキュリティ」とか 良著もあるし、かつてよりだいぶ勉強しやすく なってるんだから無知を言い訳にするな!
🫵😠 正論さん
罠❹ お金の問題から逃げがち 予算にセキュリティ対策の費用を計上しそびれちゃったのでもう今年度は…… いくらかかるかのかもよく分からないから、調整もしづらいしね。 (万一何か問題が起きたら予算なくても対策できるだろうし……) セキュリティは「あった方がいいかも?」な贅沢品ではなく、 「ないとマズイぞ!」な必需品や。 オマエはお小遣い足りなかったら、全裸で街中歩くんか! ママに泣きついてでも服買ってもらうやろ!そういうことや! 変な病気になったらまわりにも迷惑かけるんやぞ……
🫵😠 正論さん
これからやるべきことを紹介します🙋
最初の一歩🐣としてこちらをどうぞ🔰 AWS Security Hubで現状を客観的に把握できるようにしよう AWS Security Hub は、 セキュリティのベストプラクティスのチェックを行い、 アラートを集約し、自動修復を可能にする
クラウドセキュリティ体制管理サービスです。 ⚫ AWS 基礎セキュリティのベストプラクティス v1.0.0 💖 ← とりあえずコレやっとくべきやつ ⚫ CIS AWS Foundations Benchmark v1.2.0 ⚫ CIS AWS Foundations Benchmark v1.4.0 💖 ← あわせておススメなのがコレ ⚫ NIST Special Publication 800-53 Revision 5 ⚫ PCI DSS v3.2.1 先人の知恵をフル活用して セキュリティのスコアを ダッシュボードにしてくれるやつ 🐵 ❝ ❞
最初の一歩🐣としてこちらをどうぞ🔰 Amazon GuardDutyに怪しい動きを見張らせよう Amazon GuardDuty は、 AWS アカウントとワークロードを継続的にモニタリングして 悪意のあるアクティビティがないかを確認し、 可視化と修復のための詳細なセキュリティ検出結果を
提供する脅威検出サービスです。 ⚫ モニタリング対象が幅広いので安心感ある ✓ アカウント、インスタンス、サーバーレス、コンテナワークロード、ユーザー、データベース、ストレージ ⚫ 人力では探しきれないようなものを検出してくれる ✓ AWSが持ってるものに加えてサードパーティーからの脅威インテリジェンスフィードも活用 ✓ みなさん大好きなAIがいつもと違う動きを見つけてくれる! その名の通り、「見張り役」! あやしいヤツらを教えてくれる 🐵 ❝ ❞
30日間の無料期間中に金額💰試算を AWS Security Hub も Amazon GuardDuty も30日間無料! 迷わずにすぐ開始を!! ⚫
GuardDuty はコスパ最強👊の脅威検出サービスであると誰かが証明済み 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた | DevelopersIO (classmethod.jp) ⚫ Security Hub は思わぬ請求増につながる可能性あり…… と言われがちだが、たいていは無茶な金額にはならないはず! 💰 ヘイシャでは1,000 USD/月超のアカウントでは総額の1~2%程度 ⚠️ 休眠状態のアカウントでもリージョン単位で 1.4 USD程度かかる……
定期的⏰に確認して対策しよう🧑🏻💻 機能ONにしても、そのまま放置してたら意味なし!🙅 最低でも月次🌙でSecurity Hubの内容を確認する場を設けて、 是正していきましょう👊 ⚫ わたしはCCoEなので週次で全アカウントの状況を確認して、 ヤバそうなプロジェクトに 「こらー!!😡💢」 と声がけしてます
⚫ 作り込んじゃってからの対策は大変😵💫なので、開発の初期から早め早めの つぶし込みをしていきましょう (切実) ⚫ いきなり100点💯を目指そうとせず、Critical、High から順につぶしましょう
こんなこともやってます紹介 ✅ 実施済み ⚫ Control TowerとOrganizationsでのマルチアカウント管理 ⚫ アカウントの分離 (できるだけ Dev,
Stg, Prod の3アカウント制に) ⚫ AdministratorAccessのログイン通知 (悪名高いTeamsに通知!) ⚫ AWS WAF導入 (URLは正規表現のホワイトリストで許可) ⚫ Inspectorでのスキャン (ECR拡張スキャンすると震える結果が出たり……) 💪 推進中 ⚫ インターネットへの出口の集約 (Network FirewallとTransit Gatewayでうまいことやるやつ) ⚫ Amazon Security Lake検証中 ← AWSを信じて使えるものは使うスタンス
結論再び ❶ とりあえず、迷ったらこの2つを有効化しよう🔰 AWS Security Hub Amazon GuardDuty ❷ どちらも30日間無料💰で試せるので、すぐ始めよう🚄
❸ 定期的⏰に確認して対策する運用🧑🏻💻を確立しよう ❌