Upgrade to Pro — share decks privately, control downloads, hide ads and more …

新人SEが改善した!AWS Security Hub Tips 3選

Avatar for Aya Okada Aya Okada
March 03, 2025
Technology
0
32

新人SEが改善した!AWS Security Hub Tips 3選

2024/11/20(水)19:00-20:20 @伊藤忠テクノソリューションズ株式会社福岡オフィス
九州AWS若手の会#2
LT登壇資料
Avatar for Aya Okada

Aya Okada

March 03, 2025
Tweet

More Decks by Aya Okada

See All by Aya Okada
AWS Security Hub の活用に苦労した話。
Avatar for Aya Okada kotowari
0
24
AWS Bedrock を使って30分で社内文書検索RAGアプリ作ってみた
Avatar for Aya Okada kotowari
0
39

Other Decks in Technology

See All in Technology
BigQuery Remote FunctionでLooker Studioをインタラクティブ化
Avatar for CUEBiC Inc. cuebic9bic
3
260
解析の定理証明実践@Lean 4
Avatar for H Segawa dec9ue
0
170
250627 関西Ruby会議08 前夜祭 RejectKaigi「DJ on Ruby Ver.0.1」
Avatar for Masaya Kudo msykd
PRO
2
240
Snowflake Summit 2025 データエンジニアリング関連新機能紹介 / Snowflake Summit 2025 What's New about Data Engineering
Avatar for t-hiroto tiltmax3
0
300
Clineを含めたAIエージェントを 大規模組織に導入し、投資対効果を考える / Introducing AI agents into your organization
Avatar for Masato Ishigaki / 石垣雅人 i35_267
4
1.5k
ハノーバーメッセ2025座談会.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
160
IIWレポートからみるID業界で話題のMCP
Avatar for Naohiro Fujie fujie
0
780
Agentic Workflowという選択肢を考える
Avatar for takuya kikuchi tkikuchi1002
1
480
強化されたAmazon Location Serviceによる新機能と開発者体験
Avatar for Yasunori Kirimoto dayjournal
2
200
Witchcraft for Memory
Avatar for pocke pocke
1
220
本当に使える?AutoUpgrade の新機能を実践検証してみた
Avatar for oracle4engineer oracle4engineer
PRO
1
140
BrainPadプログラミングコンテスト記念LT会2025_社内イベント&問題解説
Avatar for BrainPad brainpadpr
1
160

Featured

See All Featured
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
140
7k
Visualization
Avatar for Eitan Lees eitanlees
146
16k
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
184
22k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.5k
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
299
51k
Code Review Best Practice
Avatar for Trisha Gee trishagee
68
18k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
281
13k
The Language of Interfaces
Avatar for Des Traynor destraynor
158
25k
Fireside Chat
Avatar for paigeccino paigeccino
37
3.5k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
32
1k

Transcript

  1. 九州AWS若手の会#2 DATE. 2024.11.20 新人SEが改善した! AWS Security Hub Tips 3選 伊藤忠テクノソリューションズ株式会社

    岡田理 Copyright© 2024 ITOCHU Techno-Solutions Corporation 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。 本資料に記載されている、製品名、会社名、ロゴ等は各社の商標または登録商標です。

  2. 自己紹介 岡田 理 Okada Aya 広域社会インフラ事業部 西日本技術統括本部 中国九州SI部 SI第6課 システムエンジニア

    • 大学:応用化学専攻/水素伝導電池を研究 • 2024/4 入社、~2024/7 研修、2024/8~ 配属 • 広島オフィス所属 • 業務分野:クラウド(AWS)、ネットワーク(cisco)、 セキュリティ(paloalto) • 自治体案件 • 資格取得と登壇でのアウトプット 01 Copyright© 2024 ITOCHU Techno-Solutions Corporation 九州AWS若手の会#2 DATE. 2024.11.20

  3. 自己紹介 | 講師、登壇活動 01 2024/10 若手エンジニア応援LT大会 @AWS目黒オフィス 2024/09 AWS勉強会3Daysハンズオン @CTC大阪オフィス

    九州AWS若手の会#2 DATE. 2024.11.20

  4. 背景|AWS社内検証環境 社内検証環境の、AWS Security Hub 調査を任されました 02 Copyright© 2024 ITOCHU Techno-Solutions

    Corporation AWS Security Hubの セキュリティスコアが悪い AWSサービスを網羅的に学べて 基礎力が身につくかも 九州AWS若手の会#2 DATE. 2024.11.20

  5. 背景|社内検証環境の実態+調査上の苦労 • セキュリティスコアが悪い(66%) → 脆弱性、アラートを見落とす危険性 • 失敗リソースが100件、不合格のチェックが792件 • 本番環境と検証環境の違いを考慮する必要がある -

    検証という兼ね合いでコストを使い過ぎたくない, 機能として強すぎる 02 Copyright© 2024 ITOCHU Techno-Solutions Corporation 九州AWS若手の会#2 DATE. 2024.11.20

  6. 背景|セキュリティスコア向上 • 66% → 85% 02 Copyright© 2024 ITOCHU Techno-Solutions

    Corporation 九州AWS若手の会#2 DATE. 2024.11.20

  7. 3つのTips 02 Copyright© 2024 ITOCHU Techno-Solutions Corporation Tips1 自動修復 Tips3

    リソース削除 Tips2 コントロール 無効化 九州AWS若手の会#2 DATE. 2024.11.20

  8. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する AWS-DisablePublicAccessForSecurityGroup (デフォルトの SSM Automationドキュメント) を使用するために、権限を付与する

    九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  9. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする 九州AWS若手の会#2 DATE. 2024.11.20

    Copyright© 2024 ITOCHU Techno-Solutions Corporation

  10. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する 九州AWS若手の会#2

    DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  11. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する ④

    SSH全開放を検知して自動修復するConfig Rulesを作成する※デフォルトで存在する 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  12. ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する ④ SSH全開放を検知して自動修復するConfig Rulesを作成する※デフォルトで存在する ⑤

    修復アクションとして、①で作成したIAM ポリシーを選択する 03 Tips1| セキュリティグループのSSH全開放を自動修復 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  13. ◆ IAM.6:ルートユーザーに対してハードウェアMFAを有効にする必要がある → rootユーザーは主管(CTC社内のAWS払い出し担当)管理であるため、対応できない ◆ RDS.5:RDS DBインスタンスは複数のアベイラビリティゾーンで構成する必要がある → RDSをマルチAZにするというのは安全ではあるけどお金がかかる、、 ×

    本番環境 ◎ 検証環境 04 Tips2|検証環境に不要なコントロールの無効化 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  14. ✓ AWS Management Console を用いた手動削除 ✓ AWS CLI (Command Line

    Interface) での削除 ✓ AWS CloudFormation のスタックごとの削除 ✓ タグベースの削除 05 Tips3| 不要リソースの削除 ◎ プロジェクトごとの削除 ◎ 一括削除 ◎ リソースIDよりリスク減 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  15. Tips1:セキュリティグループのSSH全開放を自動修復 Tips2:検証環境に不要なコントロールの無効化 Tips3:不要リソースの削除 06 まとめ 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024

    ITOCHU Techno-Solutions Corporation

  16. ありがとうございました Copyright© 2024 ITOCHU Techno-Solutions Corporation 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。 本資料に記載されている、製品名、会社名、ロゴ等は各社の商標または登録商標です。