Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSでのセキュリティ対策、多少はやってこうぜ! / Let's tackle AWS sec...
Search
こばやし
December 17, 2023
Technology
3
2.4k
AWSでのセキュリティ対策、多少はやってこうぜ! / Let's tackle AWS security measures somewhat
難解と思われがちなAWSでのセキュリティ対策、ビビらずに多少はやっていこうぜ!という想いを込めた資料です。
こばやし
December 17, 2023
Tweet
Share
Other Decks in Technology
See All in Technology
わたしがEMとして入社した「最初の100日」の過ごし方 / EMConfJp2025
daiksy
14
5.3k
フォーイット_エンジニア向け会社紹介資料_Forit_Company_Profile.pdf
forit_tech
1
1.7k
Охота на косуль у древних
ashapiro
0
120
AIエージェント元年@日本生成AIユーザ会
shukob
1
240
Exadata Database Service on Cloud@Customer セキュリティ、ネットワーク、および管理について
oracle4engineer
PRO
2
1.5k
困難を「一般解」で解く
fujiwara3
7
1.6k
[OpsJAWS Meetup33 AIOps] Amazon Bedrockガードレールで守る安全なAI運用
akiratameto
1
120
サバイバルモード下でのエンジニアリングマネジメント
konifar
7
1.6k
データベースの負荷を紐解く/untangle-the-database-load
emiki
2
540
OCI Success Journey OCIの何が評価されてる?疑問に答える事例セミナー(2025年2月実施)
oracle4engineer
PRO
2
180
ExaDB-XSで利用されているExadata Exascaleについて
oracle4engineer
PRO
3
280
What's new in Go 1.24?
ciarana
1
110
Featured
See All Featured
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k
RailsConf 2023
tenderlove
29
1k
YesSQL, Process and Tooling at Scale
rocio
172
14k
Building a Scalable Design System with Sketch
lauravandoore
461
33k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
193
16k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.5k
Designing Experiences People Love
moore
140
23k
Embracing the Ebb and Flow
colly
84
4.6k
Build The Right Thing And Hit Your Dates
maggiecrowley
34
2.5k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
49k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2.1k
Transcript
AWSでのセキュリティ対策、 多少はやってこうぜ! JAWS-UG東京 ランチタイムLT会 #6 2023/12/18 製造業の情シス こばやし
自己紹介 経歴 • 2000年代に国内大手の製造業に入社して以来、 20年以上ずーっと情報システム部門で社内SEやってる人 好きなAWSサービス Lambda Cost Explorer ひと言アピール
• 「クラウド x セキュリティ」の人を目指してます! AWS 全冠を目指すも、まだ9冠 情報処理安全確保支援士は未登録 こばやし (@jkobax)
結論ファースト ❶ とりあえず、迷ったらこの2つを有効化しよう🔰 AWS Security Hub Amazon GuardDuty ❷ どちらも30日間無料💰で試せるので、すぐ始めよう🚄
❸ 定期的⏰に確認して対策する運用🧑🏻💻を確立しよう ❌
みなさん、こんなお悩み抱えてませんか ヘイシャでは、クラウド活用黎明期によく以下のようなやり取りがありました。 セキュリティ!?わざわざうちの環境狙う人いないし大丈夫でしょ 😄 AWSのセキュリティ関連のサービス多過ぎ!選べない!! 🤯 開発だけでも手一杯でセキュリティのこと考える余裕ないよ…… 😵💫 サービス増やすとお金かかるんでしょ!?いくらかワカンナイけど 🤑
心理的な罠に対して正論で反論します👊
罠❶ 過度の楽観視 この広大なインターネットで、わざわざうちの環境が狙われるなんて奇跡、 起こるわけないやろ! 宝くじじゃないんだからさ…… 世界中でクラウド環境の設定不備などが原因で めちゃくちゃ情報漏洩やサービス停止がおきてるぞ! 情報感度が低いのは自慢できることじゃないぞ。 攻撃する側は機械的なスキャンもしてるから、 企業規模とかまったく関係ないぞ!!(APTを除く)
🫵😠 正論さん
罠❷ セキュリティをあとから考えがち まずは機能の充足を優先させなきゃいけないし、セキュリティなんてあとあと! 余裕ができたらそのときに考えるわ。 (いつになるかワカランけど……) そんなこと言っててそのままGo-Liveになるんやぞ! 攻撃されてから慌てて守っても遅いぞ。 あとからやる方が難しいし、大変だから最初が肝心。 シフトレフトで早め早めにセキュリティを作り込むんや。 DevSecOpsな体制を構築せよ!
🫵😠 正論さん
罠❸ 無知の放置 AWSでセキュリティ対策するって言っても何から始めたらいいのかワカラン! Well-Architectedの「セキュリティの柱」もなんだか難しそうだし、 セキュリティ関連の機能も多過ぎて勉強する気にもなれないわ…… 最初は誰もが素人だけどそこで思考停止したら終わり。 無知であることを自覚したら学ぶしかないッ! 「AWSではじめるクラウドセキュリティ」とか 良著もあるし、かつてよりだいぶ勉強しやすく なってるんだから無知を言い訳にするな!
🫵😠 正論さん
罠❹ お金の問題から逃げがち 予算にセキュリティ対策の費用を計上しそびれちゃったのでもう今年度は…… いくらかかるかのかもよく分からないから、調整もしづらいしね。 (万一何か問題が起きたら予算なくても対策できるだろうし……) セキュリティは「あった方がいいかも?」な贅沢品ではなく、 「ないとマズイぞ!」な必需品や。 オマエはお小遣い足りなかったら、全裸で街中歩くんか! ママに泣きついてでも服買ってもらうやろ!そういうことや! 変な病気になったらまわりにも迷惑かけるんやぞ……
🫵😠 正論さん
これからやるべきことを紹介します🙋
最初の一歩🐣としてこちらをどうぞ🔰 AWS Security Hubで現状を客観的に把握できるようにしよう AWS Security Hub は、 セキュリティのベストプラクティスのチェックを行い、 アラートを集約し、自動修復を可能にする
クラウドセキュリティ体制管理サービスです。 ⚫ AWS 基礎セキュリティのベストプラクティス v1.0.0 💖 ← とりあえずコレやっとくべきやつ ⚫ CIS AWS Foundations Benchmark v1.2.0 ⚫ CIS AWS Foundations Benchmark v1.4.0 💖 ← あわせておススメなのがコレ ⚫ NIST Special Publication 800-53 Revision 5 ⚫ PCI DSS v3.2.1 先人の知恵をフル活用して セキュリティのスコアを ダッシュボードにしてくれるやつ 🐵 ❝ ❞
最初の一歩🐣としてこちらをどうぞ🔰 Amazon GuardDutyに怪しい動きを見張らせよう Amazon GuardDuty は、 AWS アカウントとワークロードを継続的にモニタリングして 悪意のあるアクティビティがないかを確認し、 可視化と修復のための詳細なセキュリティ検出結果を
提供する脅威検出サービスです。 ⚫ モニタリング対象が幅広いので安心感ある ✓ アカウント、インスタンス、サーバーレス、コンテナワークロード、ユーザー、データベース、ストレージ ⚫ 人力では探しきれないようなものを検出してくれる ✓ AWSが持ってるものに加えてサードパーティーからの脅威インテリジェンスフィードも活用 ✓ みなさん大好きなAIがいつもと違う動きを見つけてくれる! その名の通り、「見張り役」! あやしいヤツらを教えてくれる 🐵 ❝ ❞
30日間の無料期間中に金額💰試算を AWS Security Hub も Amazon GuardDuty も30日間無料! 迷わずにすぐ開始を!! ⚫
GuardDuty はコスパ最強👊の脅威検出サービスであると誰かが証明済み 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた | DevelopersIO (classmethod.jp) ⚫ Security Hub は思わぬ請求増につながる可能性あり…… と言われがちだが、たいていは無茶な金額にはならないはず! 💰 ヘイシャでは1,000 USD/月超のアカウントでは総額の1~2%程度 ⚠️ 休眠状態のアカウントでもリージョン単位で 1.4 USD程度かかる……
定期的⏰に確認して対策しよう🧑🏻💻 機能ONにしても、そのまま放置してたら意味なし!🙅 最低でも月次🌙でSecurity Hubの内容を確認する場を設けて、 是正していきましょう👊 ⚫ わたしはCCoEなので週次で全アカウントの状況を確認して、 ヤバそうなプロジェクトに 「こらー!!😡💢」 と声がけしてます
⚫ 作り込んじゃってからの対策は大変😵💫なので、開発の初期から早め早めの つぶし込みをしていきましょう (切実) ⚫ いきなり100点💯を目指そうとせず、Critical、High から順につぶしましょう
こんなこともやってます紹介 ✅ 実施済み ⚫ Control TowerとOrganizationsでのマルチアカウント管理 ⚫ アカウントの分離 (できるだけ Dev,
Stg, Prod の3アカウント制に) ⚫ AdministratorAccessのログイン通知 (悪名高いTeamsに通知!) ⚫ AWS WAF導入 (URLは正規表現のホワイトリストで許可) ⚫ Inspectorでのスキャン (ECR拡張スキャンすると震える結果が出たり……) 💪 推進中 ⚫ インターネットへの出口の集約 (Network FirewallとTransit Gatewayでうまいことやるやつ) ⚫ Amazon Security Lake検証中 ← AWSを信じて使えるものは使うスタンス
結論再び ❶ とりあえず、迷ったらこの2つを有効化しよう🔰 AWS Security Hub Amazon GuardDuty ❷ どちらも30日間無料💰で試せるので、すぐ始めよう🚄
❸ 定期的⏰に確認して対策する運用🧑🏻💻を確立しよう ❌