Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSでのセキュリティ対策、多少はやってこうぜ! / Let's tackle AWS sec...
Search
こばやし
December 17, 2023
Technology
3
2.4k
AWSでのセキュリティ対策、多少はやってこうぜ! / Let's tackle AWS security measures somewhat
難解と思われがちなAWSでのセキュリティ対策、ビビらずに多少はやっていこうぜ!という想いを込めた資料です。
こばやし
December 17, 2023
Tweet
Share
Other Decks in Technology
See All in Technology
(機械学習システムでも) SLO から始める信頼性構築 - ゆる SRE#9 2025/02/21
daigo0927
0
270
OPENLOGI Company Profile
hr01
0
60k
php-conference-nagoya-2025
fuwasegu
0
150
Snowflake ML モデルを dbt データパイプラインに組み込む
estie
0
100
アジャイルな開発チームでテスト戦略の話は誰がする? / Who Talks About Test Strategy?
ak1210
1
580
30→150人のエンジニア組織拡大に伴うアジャイル文化を醸成する役割と取り組みの変化
nagata03
0
170
分解して理解する Aspire
nenonaninu
2
1.1k
AIエージェント時代のエンジニアになろう #jawsug #jawsdays2025 / 20250301 Agentic AI Engineering
yoshidashingo
8
3.7k
Active Directory攻防
cryptopeg
PRO
8
5.5k
Two Blades, One Journey: Engineering While Managing
ohbarye
4
2k
ウォンテッドリーのデータパイプラインを支える ETL のための analytics, rds-exporter / analytics, rds-exporter for ETL to support Wantedly's data pipeline
unblee
0
130
Share my, our lessons from the road to re:Invent
naospon
0
140
Featured
See All Featured
Gamification - CAS2011
davidbonilla
80
5.2k
Six Lessons from altMBA
skipperchong
27
3.6k
Into the Great Unknown - MozCon
thekraken
35
1.6k
Building Your Own Lightsaber
phodgson
104
6.2k
Being A Developer After 40
akosma
89
590k
Building an army of robots
kneath
303
45k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
7k
A Tale of Four Properties
chriscoyier
158
23k
What's in a price? How to price your products and services
michaelherold
244
12k
Rebuilding a faster, lazier Slack
samanthasiow
80
8.9k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.3k
Making Projects Easy
brettharned
116
6k
Transcript
AWSでのセキュリティ対策、 多少はやってこうぜ! JAWS-UG東京 ランチタイムLT会 #6 2023/12/18 製造業の情シス こばやし
自己紹介 経歴 • 2000年代に国内大手の製造業に入社して以来、 20年以上ずーっと情報システム部門で社内SEやってる人 好きなAWSサービス Lambda Cost Explorer ひと言アピール
• 「クラウド x セキュリティ」の人を目指してます! AWS 全冠を目指すも、まだ9冠 情報処理安全確保支援士は未登録 こばやし (@jkobax)
結論ファースト ❶ とりあえず、迷ったらこの2つを有効化しよう🔰 AWS Security Hub Amazon GuardDuty ❷ どちらも30日間無料💰で試せるので、すぐ始めよう🚄
❸ 定期的⏰に確認して対策する運用🧑🏻💻を確立しよう ❌
みなさん、こんなお悩み抱えてませんか ヘイシャでは、クラウド活用黎明期によく以下のようなやり取りがありました。 セキュリティ!?わざわざうちの環境狙う人いないし大丈夫でしょ 😄 AWSのセキュリティ関連のサービス多過ぎ!選べない!! 🤯 開発だけでも手一杯でセキュリティのこと考える余裕ないよ…… 😵💫 サービス増やすとお金かかるんでしょ!?いくらかワカンナイけど 🤑
心理的な罠に対して正論で反論します👊
罠❶ 過度の楽観視 この広大なインターネットで、わざわざうちの環境が狙われるなんて奇跡、 起こるわけないやろ! 宝くじじゃないんだからさ…… 世界中でクラウド環境の設定不備などが原因で めちゃくちゃ情報漏洩やサービス停止がおきてるぞ! 情報感度が低いのは自慢できることじゃないぞ。 攻撃する側は機械的なスキャンもしてるから、 企業規模とかまったく関係ないぞ!!(APTを除く)
🫵😠 正論さん
罠❷ セキュリティをあとから考えがち まずは機能の充足を優先させなきゃいけないし、セキュリティなんてあとあと! 余裕ができたらそのときに考えるわ。 (いつになるかワカランけど……) そんなこと言っててそのままGo-Liveになるんやぞ! 攻撃されてから慌てて守っても遅いぞ。 あとからやる方が難しいし、大変だから最初が肝心。 シフトレフトで早め早めにセキュリティを作り込むんや。 DevSecOpsな体制を構築せよ!
🫵😠 正論さん
罠❸ 無知の放置 AWSでセキュリティ対策するって言っても何から始めたらいいのかワカラン! Well-Architectedの「セキュリティの柱」もなんだか難しそうだし、 セキュリティ関連の機能も多過ぎて勉強する気にもなれないわ…… 最初は誰もが素人だけどそこで思考停止したら終わり。 無知であることを自覚したら学ぶしかないッ! 「AWSではじめるクラウドセキュリティ」とか 良著もあるし、かつてよりだいぶ勉強しやすく なってるんだから無知を言い訳にするな!
🫵😠 正論さん
罠❹ お金の問題から逃げがち 予算にセキュリティ対策の費用を計上しそびれちゃったのでもう今年度は…… いくらかかるかのかもよく分からないから、調整もしづらいしね。 (万一何か問題が起きたら予算なくても対策できるだろうし……) セキュリティは「あった方がいいかも?」な贅沢品ではなく、 「ないとマズイぞ!」な必需品や。 オマエはお小遣い足りなかったら、全裸で街中歩くんか! ママに泣きついてでも服買ってもらうやろ!そういうことや! 変な病気になったらまわりにも迷惑かけるんやぞ……
🫵😠 正論さん
これからやるべきことを紹介します🙋
最初の一歩🐣としてこちらをどうぞ🔰 AWS Security Hubで現状を客観的に把握できるようにしよう AWS Security Hub は、 セキュリティのベストプラクティスのチェックを行い、 アラートを集約し、自動修復を可能にする
クラウドセキュリティ体制管理サービスです。 ⚫ AWS 基礎セキュリティのベストプラクティス v1.0.0 💖 ← とりあえずコレやっとくべきやつ ⚫ CIS AWS Foundations Benchmark v1.2.0 ⚫ CIS AWS Foundations Benchmark v1.4.0 💖 ← あわせておススメなのがコレ ⚫ NIST Special Publication 800-53 Revision 5 ⚫ PCI DSS v3.2.1 先人の知恵をフル活用して セキュリティのスコアを ダッシュボードにしてくれるやつ 🐵 ❝ ❞
最初の一歩🐣としてこちらをどうぞ🔰 Amazon GuardDutyに怪しい動きを見張らせよう Amazon GuardDuty は、 AWS アカウントとワークロードを継続的にモニタリングして 悪意のあるアクティビティがないかを確認し、 可視化と修復のための詳細なセキュリティ検出結果を
提供する脅威検出サービスです。 ⚫ モニタリング対象が幅広いので安心感ある ✓ アカウント、インスタンス、サーバーレス、コンテナワークロード、ユーザー、データベース、ストレージ ⚫ 人力では探しきれないようなものを検出してくれる ✓ AWSが持ってるものに加えてサードパーティーからの脅威インテリジェンスフィードも活用 ✓ みなさん大好きなAIがいつもと違う動きを見つけてくれる! その名の通り、「見張り役」! あやしいヤツらを教えてくれる 🐵 ❝ ❞
30日間の無料期間中に金額💰試算を AWS Security Hub も Amazon GuardDuty も30日間無料! 迷わずにすぐ開始を!! ⚫
GuardDuty はコスパ最強👊の脅威検出サービスであると誰かが証明済み 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた | DevelopersIO (classmethod.jp) ⚫ Security Hub は思わぬ請求増につながる可能性あり…… と言われがちだが、たいていは無茶な金額にはならないはず! 💰 ヘイシャでは1,000 USD/月超のアカウントでは総額の1~2%程度 ⚠️ 休眠状態のアカウントでもリージョン単位で 1.4 USD程度かかる……
定期的⏰に確認して対策しよう🧑🏻💻 機能ONにしても、そのまま放置してたら意味なし!🙅 最低でも月次🌙でSecurity Hubの内容を確認する場を設けて、 是正していきましょう👊 ⚫ わたしはCCoEなので週次で全アカウントの状況を確認して、 ヤバそうなプロジェクトに 「こらー!!😡💢」 と声がけしてます
⚫ 作り込んじゃってからの対策は大変😵💫なので、開発の初期から早め早めの つぶし込みをしていきましょう (切実) ⚫ いきなり100点💯を目指そうとせず、Critical、High から順につぶしましょう
こんなこともやってます紹介 ✅ 実施済み ⚫ Control TowerとOrganizationsでのマルチアカウント管理 ⚫ アカウントの分離 (できるだけ Dev,
Stg, Prod の3アカウント制に) ⚫ AdministratorAccessのログイン通知 (悪名高いTeamsに通知!) ⚫ AWS WAF導入 (URLは正規表現のホワイトリストで許可) ⚫ Inspectorでのスキャン (ECR拡張スキャンすると震える結果が出たり……) 💪 推進中 ⚫ インターネットへの出口の集約 (Network FirewallとTransit Gatewayでうまいことやるやつ) ⚫ Amazon Security Lake検証中 ← AWSを信じて使えるものは使うスタンス
結論再び ❶ とりあえず、迷ったらこの2つを有効化しよう🔰 AWS Security Hub Amazon GuardDuty ❷ どちらも30日間無料💰で試せるので、すぐ始めよう🚄
❸ 定期的⏰に確認して対策する運用🧑🏻💻を確立しよう ❌