Upgrade to Pro — share decks privately, control downloads, hide ads and more …

新人SEが改善した!AWS Security Hub Tips 3選

Avatar for Aya Okada Aya Okada
March 03, 2025
Technology
0
49

新人SEが改善した!AWS Security Hub Tips 3選

2024/11/20(水)19:00-20:20 @伊藤忠テクノソリューションズ株式会社福岡オフィス
九州AWS若手の会#2
LT登壇資料

Avatar for Aya Okada

Aya Okada

March 03, 2025
Tweet

More Decks by Aya Okada

See All by Aya Okada
AWS Security Hub の活用に苦労した話。
Avatar for Aya Okada kotowari
0
41
AWS Bedrock を使って30分で社内文書検索RAGアプリ作ってみた
Avatar for Aya Okada kotowari
0
95

Other Decks in Technology

See All in Technology
研究開発部メンバーの働き⽅ / Sansan R&D Profile
Avatar for Sansan, Inc. sansan33
PRO
3
20k
Goに育てられ開発者向けセキュリティ事業を立ち上げた僕が今向き合う、AI × セキュリティの最前線 / Go Conference 2025
Avatar for GMO Flatt Security flatt_security
0
350
about #74462 go/token#FileSet
Avatar for tom twinkle tomtwinkle
1
420
関係性が駆動するアジャイル──GPTに人格を与えたら、対話を通してふりかえりを 習慣化できた話
Avatar for リリカル mhlyc
0
130
Where will it converge?
Avatar for Ibukun Adedeji ibknadedeji
0
190
自作LLM Native GORM Pluginで実現する AI Agentバックテスト基盤構築
Avatar for po3rin po3rin
2
270
Why React!?? Next.jsそしてReactを改めてイチから選ぶ
Avatar for ypresto ypresto
10
4.5k
How to achieve interoperable digital identity across Asian countries
Avatar for Naohiro Fujie fujie
0
120
ZOZOのAI活用実践〜社内基盤からサービス応用まで〜
Avatar for ZOZO Developers zozotech
PRO
0
200
いま注目しているデータエンジニアリングの論点
Avatar for Ikki Miyazaki ikkimiyazaki
0
610
AIが書いたコードをAIが検証する!自律的なモバイルアプリ開発の実現
Avatar for henteko henteko
1
350
Access-what? why and how, A11Y for All - Nordic.js 2025
Avatar for Geisy Domiciano gdomiciano
1
120

Featured

See All Featured
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
9
850
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
53
7.8k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
70k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
160
23k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
229
22k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.6k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
34
6.1k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
460k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
303
21k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
57
5.9k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
127
53k

Transcript

  1. 九州AWS若手の会#2 DATE. 2024.11.20 新人SEが改善した! AWS Security Hub Tips 3選 伊藤忠テクノソリューションズ株式会社

    岡田理 Copyright© 2024 ITOCHU Techno-Solutions Corporation 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。 本資料に記載されている、製品名、会社名、ロゴ等は各社の商標または登録商標です。

  2. 自己紹介 岡田 理 Okada Aya 広域社会インフラ事業部 西日本技術統括本部 中国九州SI部 SI第6課 システムエンジニア

    • 大学:応用化学専攻/水素伝導電池を研究 • 2024/4 入社、~2024/7 研修、2024/8~ 配属 • 広島オフィス所属 • 業務分野:クラウド(AWS)、ネットワーク(cisco)、 セキュリティ(paloalto) • 自治体案件 • 資格取得と登壇でのアウトプット 01 Copyright© 2024 ITOCHU Techno-Solutions Corporation 九州AWS若手の会#2 DATE. 2024.11.20

  3. 自己紹介 | 講師、登壇活動 01 2024/10 若手エンジニア応援LT大会 @AWS目黒オフィス 2024/09 AWS勉強会3Daysハンズオン @CTC大阪オフィス

    九州AWS若手の会#2 DATE. 2024.11.20

  4. 背景|AWS社内検証環境 社内検証環境の、AWS Security Hub 調査を任されました 02 Copyright© 2024 ITOCHU Techno-Solutions

    Corporation AWS Security Hubの セキュリティスコアが悪い AWSサービスを網羅的に学べて 基礎力が身につくかも 九州AWS若手の会#2 DATE. 2024.11.20

  5. 背景|社内検証環境の実態+調査上の苦労 • セキュリティスコアが悪い(66%) → 脆弱性、アラートを見落とす危険性 • 失敗リソースが100件、不合格のチェックが792件 • 本番環境と検証環境の違いを考慮する必要がある -

    検証という兼ね合いでコストを使い過ぎたくない, 機能として強すぎる 02 Copyright© 2024 ITOCHU Techno-Solutions Corporation 九州AWS若手の会#2 DATE. 2024.11.20

  6. 背景|セキュリティスコア向上 • 66% → 85% 02 Copyright© 2024 ITOCHU Techno-Solutions

    Corporation 九州AWS若手の会#2 DATE. 2024.11.20

  7. 3つのTips 02 Copyright© 2024 ITOCHU Techno-Solutions Corporation Tips1 自動修復 Tips3

    リソース削除 Tips2 コントロール 無効化 九州AWS若手の会#2 DATE. 2024.11.20

  8. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する AWS-DisablePublicAccessForSecurityGroup (デフォルトの SSM Automationドキュメント) を使用するために、権限を付与する

    九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  9. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする 九州AWS若手の会#2 DATE. 2024.11.20

    Copyright© 2024 ITOCHU Techno-Solutions Corporation

  10. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する 九州AWS若手の会#2

    DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  11. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する ④

    SSH全開放を検知して自動修復するConfig Rulesを作成する※デフォルトで存在する 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  12. ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する ④ SSH全開放を検知して自動修復するConfig Rulesを作成する※デフォルトで存在する ⑤

    修復アクションとして、①で作成したIAM ポリシーを選択する 03 Tips1| セキュリティグループのSSH全開放を自動修復 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  13. ◆ IAM.6:ルートユーザーに対してハードウェアMFAを有効にする必要がある → rootユーザーは主管(CTC社内のAWS払い出し担当)管理であるため、対応できない ◆ RDS.5:RDS DBインスタンスは複数のアベイラビリティゾーンで構成する必要がある → RDSをマルチAZにするというのは安全ではあるけどお金がかかる、、 ×

    本番環境 ◎ 検証環境 04 Tips2|検証環境に不要なコントロールの無効化 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  14. ✓ AWS Management Console を用いた手動削除 ✓ AWS CLI (Command Line

    Interface) での削除 ✓ AWS CloudFormation のスタックごとの削除 ✓ タグベースの削除 05 Tips3| 不要リソースの削除 ◎ プロジェクトごとの削除 ◎ 一括削除 ◎ リソースIDよりリスク減 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  15. Tips1:セキュリティグループのSSH全開放を自動修復 Tips2:検証環境に不要なコントロールの無効化 Tips3:不要リソースの削除 06 まとめ 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024

    ITOCHU Techno-Solutions Corporation

  16. ありがとうございました Copyright© 2024 ITOCHU Techno-Solutions Corporation 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。 本資料に記載されている、製品名、会社名、ロゴ等は各社の商標または登録商標です。