Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
新人SEが改善した!AWS Security Hub Tips 3選
Search
Aya Okada
March 03, 2025
Technology
0
34
新人SEが改善した!AWS Security Hub Tips 3選
2024/11/20(水)19:00-20:20 @伊藤忠テクノソリューションズ株式会社福岡オフィス
九州AWS若手の会#2
LT登壇資料
Aya Okada
March 03, 2025
Tweet
Share
More Decks by Aya Okada
See All by Aya Okada
AWS Security Hub の活用に苦労した話。
kotowari
0
25
AWS Bedrock を使って30分で社内文書検索RAGアプリ作ってみた
kotowari
0
48
Other Decks in Technology
See All in Technology
Railsの限界を超えろ!「家族アルバム みてね」の画像・動画の大規模アップロードを支えるアーキテクチャの変遷
ojima_h
4
530
Power Automate のパフォーマンス改善レシピ / Power Automate Performance Improvement Recipes
karamem0
0
280
VLMサービスを用いた請求書データ化検証 / SaaSxML_Session_1
sansan_randd
0
140
興味の胞子を育て 業務と技術に広がる”きのこ力”
fumiyasac0921
0
330
Vision Language Modelと自動運転AIの最前線_20250730
yuyamaguchi
2
810
自分がLinc’wellで提供しているプロダクトを理解するためにやったこと
murabayashi
1
170
激動の時代、新卒エンジニアはAIツールにどう向き合うか。 [LayerX Bet AI Day Countdown LT Day1 ツールの選択]
tak848
0
610
手動からの解放!!Strands Agents で実現する総合テスト自動化
ideaws
3
400
経理出身PdMがAIプロダクト開発を_ハンズオンで学んだ話.pdf
shunsukenarita
1
240
メモ整理が苦手な者による頑張らないObsidian活用術
optim
0
150
LLMでAI-OCR、実際どうなの? / llm_ai_ocr_layerx_bet_ai_day_lt
sbrf248
0
300
【CEDEC2025】LLMを活用したゲーム開発支援と、生成AIの利活用を進める組織的な取り組み
cygames
PRO
1
1.8k
Featured
See All Featured
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.4k
Raft: Consensus for Rubyists
vanstee
140
7k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
31
1.3k
Optimizing for Happiness
mojombo
379
70k
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.5k
BBQ
matthewcrist
89
9.8k
Being A Developer After 40
akosma
90
590k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
53
2.9k
Build your cross-platform service in a week with App Engine
jlugia
231
18k
For a Future-Friendly Web
brad_frost
179
9.8k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
18
1k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
2.9k
Transcript
九州AWS若手の会#2 DATE. 2024.11.20 新人SEが改善した! AWS Security Hub Tips 3選 伊藤忠テクノソリューションズ株式会社
岡田理 Copyright© 2024 ITOCHU Techno-Solutions Corporation 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。 本資料に記載されている、製品名、会社名、ロゴ等は各社の商標または登録商標です。
自己紹介 岡田 理 Okada Aya 広域社会インフラ事業部 西日本技術統括本部 中国九州SI部 SI第6課 システムエンジニア
• 大学:応用化学専攻/水素伝導電池を研究 • 2024/4 入社、~2024/7 研修、2024/8~ 配属 • 広島オフィス所属 • 業務分野:クラウド(AWS)、ネットワーク(cisco)、 セキュリティ(paloalto) • 自治体案件 • 資格取得と登壇でのアウトプット 01 Copyright© 2024 ITOCHU Techno-Solutions Corporation 九州AWS若手の会#2 DATE. 2024.11.20
自己紹介 | 講師、登壇活動 01 2024/10 若手エンジニア応援LT大会 @AWS目黒オフィス 2024/09 AWS勉強会3Daysハンズオン @CTC大阪オフィス
九州AWS若手の会#2 DATE. 2024.11.20
背景|AWS社内検証環境 社内検証環境の、AWS Security Hub 調査を任されました 02 Copyright© 2024 ITOCHU Techno-Solutions
Corporation AWS Security Hubの セキュリティスコアが悪い AWSサービスを網羅的に学べて 基礎力が身につくかも 九州AWS若手の会#2 DATE. 2024.11.20
背景|社内検証環境の実態+調査上の苦労 • セキュリティスコアが悪い(66%) → 脆弱性、アラートを見落とす危険性 • 失敗リソースが100件、不合格のチェックが792件 • 本番環境と検証環境の違いを考慮する必要がある -
検証という兼ね合いでコストを使い過ぎたくない, 機能として強すぎる 02 Copyright© 2024 ITOCHU Techno-Solutions Corporation 九州AWS若手の会#2 DATE. 2024.11.20
背景|セキュリティスコア向上 • 66% → 85% 02 Copyright© 2024 ITOCHU Techno-Solutions
Corporation 九州AWS若手の会#2 DATE. 2024.11.20
3つのTips 02 Copyright© 2024 ITOCHU Techno-Solutions Corporation Tips1 自動修復 Tips3
リソース削除 Tips2 コントロール 無効化 九州AWS若手の会#2 DATE. 2024.11.20
03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する AWS-DisablePublicAccessForSecurityGroup (デフォルトの SSM Automationドキュメント) を使用するために、権限を付与する
九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation
03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする 九州AWS若手の会#2 DATE. 2024.11.20
Copyright© 2024 ITOCHU Techno-Solutions Corporation
03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する 九州AWS若手の会#2
DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation
03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する ④
SSH全開放を検知して自動修復するConfig Rulesを作成する※デフォルトで存在する 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation
① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する ④ SSH全開放を検知して自動修復するConfig Rulesを作成する※デフォルトで存在する ⑤
修復アクションとして、①で作成したIAM ポリシーを選択する 03 Tips1| セキュリティグループのSSH全開放を自動修復 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation
◆ IAM.6:ルートユーザーに対してハードウェアMFAを有効にする必要がある → rootユーザーは主管(CTC社内のAWS払い出し担当)管理であるため、対応できない ◆ RDS.5:RDS DBインスタンスは複数のアベイラビリティゾーンで構成する必要がある → RDSをマルチAZにするというのは安全ではあるけどお金がかかる、、 ×
本番環境 ◎ 検証環境 04 Tips2|検証環境に不要なコントロールの無効化 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation
✓ AWS Management Console を用いた手動削除 ✓ AWS CLI (Command Line
Interface) での削除 ✓ AWS CloudFormation のスタックごとの削除 ✓ タグベースの削除 05 Tips3| 不要リソースの削除 ◎ プロジェクトごとの削除 ◎ 一括削除 ◎ リソースIDよりリスク減 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation
Tips1:セキュリティグループのSSH全開放を自動修復 Tips2:検証環境に不要なコントロールの無効化 Tips3:不要リソースの削除 06 まとめ 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024
ITOCHU Techno-Solutions Corporation
ありがとうございました Copyright© 2024 ITOCHU Techno-Solutions Corporation 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。 本資料に記載されている、製品名、会社名、ロゴ等は各社の商標または登録商標です。