Upgrade to Pro — share decks privately, control downloads, hide ads and more …

新人SEが改善した!AWS Security Hub Tips 3選

Avatar for Aya Okada Aya Okada
March 03, 2025
Technology
0
59

新人SEが改善した!AWS Security Hub Tips 3選

2024/11/20(水)19:00-20:20 @伊藤忠テクノソリューションズ株式会社福岡オフィス
九州AWS若手の会#2
LT登壇資料

Avatar for Aya Okada

Aya Okada

March 03, 2025
Tweet

More Decks by Aya Okada

See All by Aya Okada
AWS Security Hub の活用に苦労した話。
Avatar for Aya Okada kotowari
0
45
AWS Bedrock を使って30分で社内文書検索RAGアプリ作ってみた
Avatar for Aya Okada kotowari
0
170

Other Decks in Technology

See All in Technology
Everything As Code
Avatar for わいわい yosuke_ai
0
490
Java 25に至る道
Avatar for Yuichi.Sakuraba skrb
3
140
SES向け、生成AI時代におけるエンジニアリングとセキュリティ
Avatar for LongbowXXX longbowxxx
0
290
業務の煩悩を祓うAI活用術108選 / AI 108 Usages
Avatar for 株式会社スマートバンク smartbank
9
19k
なぜ あなたはそんなに re:Invent に行くのか?
Avatar for Kazuki Miura miu_crescent
PRO
0
250
Bill One 開発エンジニア 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
4
17k
Oracle Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
3
260
2025年のデザインシステムとAI 活用を振り返る
Avatar for Tech Leverages leveragestech
0
680
Cloud WAN MCP Serverから考える新しいネットワーク運用 / 20251228 Masaki Okuda
Avatar for SHIFT EVOLVE shift_evolve
PRO
0
130
複雑さを受け入れるか、拒むか? - 事業成長とともに育ったモノリスを前に私が考えたこと #RSGT2026
Avatar for bayashi murabayashi
1
1.1k
First-Principles-of-Scrum
Avatar for Kenji Hiranabe hiranabe
2
1.1k
AIと融ける人間の冒険
Avatar for pujisi pujisi
0
110

Featured

See All Featured
The AI Search Optimization Roadmap by Aleyda Solis
Avatar for Aleyda Solis aleyda
1
5k
Digital Ethics as a Driver of Design Innovation
Avatar for Per Axbom axbom
PRO
0
140
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
141
7.3k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
Avatar for Tech SEO Connect techseoconnect
PRO
0
36
Conquering PDFs: document understanding beyond plain text
Avatar for Ines Montani inesmontani
PRO
4
2.2k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
95
14k
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
0
1.8k
Between Models and Reality
Avatar for mayunak mayunak
1
150
エンジニアに許された特別な時間の終わり
Avatar for watany watany
106
220k
My Coaching Mixtape
Avatar for mlcsv mlcsv
0
21
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
3.1k

Transcript

  1. 九州AWS若手の会#2 DATE. 2024.11.20 新人SEが改善した! AWS Security Hub Tips 3選 伊藤忠テクノソリューションズ株式会社

    岡田理 Copyright© 2024 ITOCHU Techno-Solutions Corporation 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。 本資料に記載されている、製品名、会社名、ロゴ等は各社の商標または登録商標です。

  2. 自己紹介 岡田 理 Okada Aya 広域社会インフラ事業部 西日本技術統括本部 中国九州SI部 SI第6課 システムエンジニア

    • 大学:応用化学専攻/水素伝導電池を研究 • 2024/4 入社、~2024/7 研修、2024/8~ 配属 • 広島オフィス所属 • 業務分野:クラウド(AWS)、ネットワーク(cisco)、 セキュリティ(paloalto) • 自治体案件 • 資格取得と登壇でのアウトプット 01 Copyright© 2024 ITOCHU Techno-Solutions Corporation 九州AWS若手の会#2 DATE. 2024.11.20

  3. 自己紹介 | 講師、登壇活動 01 2024/10 若手エンジニア応援LT大会 @AWS目黒オフィス 2024/09 AWS勉強会3Daysハンズオン @CTC大阪オフィス

    九州AWS若手の会#2 DATE. 2024.11.20

  4. 背景|AWS社内検証環境 社内検証環境の、AWS Security Hub 調査を任されました 02 Copyright© 2024 ITOCHU Techno-Solutions

    Corporation AWS Security Hubの セキュリティスコアが悪い AWSサービスを網羅的に学べて 基礎力が身につくかも 九州AWS若手の会#2 DATE. 2024.11.20

  5. 背景|社内検証環境の実態+調査上の苦労 • セキュリティスコアが悪い(66%) → 脆弱性、アラートを見落とす危険性 • 失敗リソースが100件、不合格のチェックが792件 • 本番環境と検証環境の違いを考慮する必要がある -

    検証という兼ね合いでコストを使い過ぎたくない, 機能として強すぎる 02 Copyright© 2024 ITOCHU Techno-Solutions Corporation 九州AWS若手の会#2 DATE. 2024.11.20

  6. 背景|セキュリティスコア向上 • 66% → 85% 02 Copyright© 2024 ITOCHU Techno-Solutions

    Corporation 九州AWS若手の会#2 DATE. 2024.11.20

  7. 3つのTips 02 Copyright© 2024 ITOCHU Techno-Solutions Corporation Tips1 自動修復 Tips3

    リソース削除 Tips2 コントロール 無効化 九州AWS若手の会#2 DATE. 2024.11.20

  8. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する AWS-DisablePublicAccessForSecurityGroup (デフォルトの SSM Automationドキュメント) を使用するために、権限を付与する

    九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  9. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする 九州AWS若手の会#2 DATE. 2024.11.20

    Copyright© 2024 ITOCHU Techno-Solutions Corporation

  10. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する 九州AWS若手の会#2

    DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  11. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する ④

    SSH全開放を検知して自動修復するConfig Rulesを作成する※デフォルトで存在する 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  12. ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する ④ SSH全開放を検知して自動修復するConfig Rulesを作成する※デフォルトで存在する ⑤

    修復アクションとして、①で作成したIAM ポリシーを選択する 03 Tips1| セキュリティグループのSSH全開放を自動修復 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  13. ◆ IAM.6:ルートユーザーに対してハードウェアMFAを有効にする必要がある → rootユーザーは主管(CTC社内のAWS払い出し担当)管理であるため、対応できない ◆ RDS.5:RDS DBインスタンスは複数のアベイラビリティゾーンで構成する必要がある → RDSをマルチAZにするというのは安全ではあるけどお金がかかる、、 ×

    本番環境 ◎ 検証環境 04 Tips2|検証環境に不要なコントロールの無効化 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  14. ✓ AWS Management Console を用いた手動削除 ✓ AWS CLI (Command Line

    Interface) での削除 ✓ AWS CloudFormation のスタックごとの削除 ✓ タグベースの削除 05 Tips3| 不要リソースの削除 ◎ プロジェクトごとの削除 ◎ 一括削除 ◎ リソースIDよりリスク減 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  15. Tips1:セキュリティグループのSSH全開放を自動修復 Tips2:検証環境に不要なコントロールの無効化 Tips3:不要リソースの削除 06 まとめ 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024

    ITOCHU Techno-Solutions Corporation

  16. ありがとうございました Copyright© 2024 ITOCHU Techno-Solutions Corporation 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。 本資料に記載されている、製品名、会社名、ロゴ等は各社の商標または登録商標です。