Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"とにかくやってみる"で始めるAWS Security Hub

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for maimyyym maimyyym
November 22, 2024
Technology
610
2

"とにかくやってみる"で始めるAWS Security Hub

2024/11/22 JAWS-UG朝会 #63
https://jawsug-asa.connpass.com/event/331907/

Avatar for maimyyym

maimyyym

November 22, 2024

More Decks by maimyyym

See All by maimyyym
組織内の開発ポリシーを 整えるはじめの一歩
Avatar for maimyyym maimyyym
1
61
未来の自分と明日の誰かへ繋ぐ、非連続的なキャリアと再現性の分析
Avatar for maimyyym maimyyym
0
160
AWSを使う上で最低限知っておきたいセキュリティ研修を社内で実施した話 ~みんなでやるセキュリティ~
Avatar for maimyyym maimyyym
3
2.4k
大規模サーバーレスAPIの堅牢性・信頼性設計 〜AWSのベストプラクティスから始まる現実的制約との向き合い方〜
Avatar for maimyyym maimyyym
11
6.3k
Amazon Inspector コードセキュリティで手軽に実現するシフトレフト
Avatar for maimyyym maimyyym
0
810
組織とセキュリティ文化と、自分の一歩
Avatar for maimyyym maimyyym
3
1.7k
大規模サーバーレスプロジェクトのリアルな零れ話
Avatar for maimyyym maimyyym
3
450
ABWG2024採択者が語るエンジニアとしての自分自身の見つけ方〜発信して、つながって、世界を広げていく〜
Avatar for maimyyym maimyyym
1
600
re:Invent2024で広がった AWS Verified Accessの可能性を探る
Avatar for maimyyym maimyyym
1
370

Other Decks in Technology

See All in Technology
long-running-tasks
Avatar for cipepser cipepser
2
320
AI時代から振り返るTerraform drift運用の歴史 / AI Age Reflections on the History of Terraform Drift Operations
Avatar for AEON aeonpeople
0
260
脅威をエンジニアリングの糧にして:恐怖を乗り越えた先にあったもの / Turn threats into fuel for engineering: what lay beyond overcoming fear
Avatar for nrs nrslib
1
260
イベントで大活躍する電子ペーパー名札 〜その3〜 / ビジュアルプログラミングIoTLT vol.23
Avatar for you(@youtoy) you
PRO
0
130
エンジニアは生成AIと どのように向き合うべきか? ことばの意味という観点から
Avatar for Hitomi Yanaka verypluming
2
170
A Harness for Behaviour: how to get AI to generate code that does what we intend, or "TDD in the age of AI"
Avatar for Matteo Vaccari xpmatteo
0
410
Claude Codeですべての日常業務を爆速化しよう!
Avatar for みのるん minorun365
PRO
14
12k
TSKaigi 2026 - enumよ、さようなら
Avatar for teamLab teamlab
PRO
3
540
コーポレートサイトのアクセシビリティ改善とJIS準拠への実践
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
2
140
RubyでRuby拡張を書いたらRubyより35倍速になったってどういうこと??
Avatar for kazuho kazuho
3
600
基礎から解説!Icebergで紐解くSnowflake×Databricks連携の現在地
Avatar for TomokiYasuhara cm_yasuhara
0
300
Agentic Design Patterns
Avatar for Guillaume Laforge glaforge
0
180

Featured

See All Featured
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
9k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
141
35k
Mind Mapping
Avatar for Hélio Medeiros helmedeiros
PRO
1
200
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
2
2k
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
930
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
666
130k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
Avatar for Mfonobong Umondia mfonobong
2
410
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
55
8.1k
Information Architects: The Missing Link in Design Systems
Avatar for Michelle Chin soysaucechin
0
940
Designing for Performance
Avatar for Lara Hogan lara
611
70k
Design in an AI World
Avatar for tapps tapps
1
210
Skip the Path - Find Your Career Trail
Avatar for Mark Kilby mkilby
1
130

Transcript

  1. ©Fusic Co., Ltd. 0 ”とにかくやってみる” で始めるAWS Security Hub 2024.11.22 Mai

    Miyazaki @maimyyym JAWS-UG朝会 #63

  2. ©Fusic Co., Ltd. 1 宮崎 真⾐ Miyazaki Mai HN: mai

    (@maimyyym ) ◉ I am - 管理栄養⼠(養成校卒業・資格保持のみ) - 元百貨店スタッフ(Beauty Counselor) - 2023年10⽉ Fusic⼊社 ◉ Skill - AWS / Python / TypeScript / PHP(Laravel) - Interested in: Security & Compliance ◉ Comment - re:Invent 2024 ⾏きます! ⾃⼰紹介 はじめに 事業本部 技術創造部⾨ / エンジニア 株式会社Fusic

  3. ©Fusic Co., Ltd. 2 CONTENTS ⽬次 1. AWS Security Hubとは?

    2. “とにかくやってみる” 3. やってみた結果 4. やってみて初めて分かったこと 5. まとめ

  4. ©Fusic Co., Ltd. 3 想定聴講者 はじめに AWS Security Hubというサービスが何をするのか 知っているけれど、実際に導⼊したことはない⽅

    まず可視化すること⾃体はとても簡単だということ、初めて導⼊した所感をお話します。 具体的な運⽤Tipsや設定についてはお話しません。 AWS Security Hub をまずはとにかく導⼊してみる、そのハードルが下がれば幸いです。

  5. ©Fusic Co., Ltd. 4 AWS Security Hubとは? 1

  6. ©Fusic Co., Ltd. 5 AWS Security Hubの概要 AWS Security Hubとは?

    https://aws.amazon.com/jp/security-hub/ AWS Security Hub を使⽤すると、 セキュリティのベストプラクティスのチェックを⾃動化し、 セキュリティアラートを単⼀の場所と形式に集約し、 すべての AWS アカウントで全体的なセキュリティの体制を把握することができます。

  7. ©Fusic Co., Ltd. 6 AWS Security Hubの概要 AWS Security Hubとは?

    https://aws.amazon.com/jp/security-hub/ ベストプラクティスの チェックを⾃動化 アラートの集約

  8. ©Fusic Co., Ltd. 7 AWS Security Hubでできること AWS Security Hubとは?

    ベストプラクティスのチェックを⾃動化 Security Hub (+AWS Config)を有効化するだけで 業界標準やベストプラクティスに基づいた⾃動コンプライアンスチェックができる Security Hubをまず 有効化する時の画⾯

  9. ©Fusic Co., Ltd. 8 AWS Security Hubでできること AWS Security Hubとは?

    アラートの集約 標準化されたデータ形式で集約 AWS Security Hub Amazon EventBridge Amazon Inspector Amazon GuardDuty … AWS Chatbot AWS Lambda … マルチアカウント(⼤規模な組織)では特に効果を発揮

  10. ©Fusic Co., Ltd. 9 考えることはたくさん AWS Security Hubとは? 設定のベストプラクティス 何をどう運⽤するか

    ⼀元管理できるが故のカスタマイズの幅広さ …まだ、いろいろ、ある!

  11. ©Fusic Co., Ltd. 10 “とにかくやってみる” 2

  12. ©Fusic Co., Ltd. 11 Go to Security Hub “とにかくやってみる”

  13. ©Fusic Co., Ltd. 12 Security Hubを有効化する “とにかくやってみる”

  14. ©Fusic Co., Ltd. 13 Security Hubを有効化する “とにかくやってみる” AWS Configで リソース記録を有効にする

  15. ©Fusic Co., Ltd. 14 Security Hubを有効化する “とにかくやってみる” AWS Configで リソース記録を有効にする

    AWS Configはリソースの設定状況を追跡‧監視するサービス AWS Configを有効化することでSecurityHubがAWSリソースの 設定が選択した標準に則っているか正確に追跡できる

  16. ©Fusic Co., Ltd. 15 AWS Configのリソース記録を有効化 “とにかくやってみる” (まずは)デフォルト設定のままでOK!

  17. ©Fusic Co., Ltd. 16 Security Hubを有効化する “とにかくやってみる” 適⽤するセキュリティ標準を選択

  18. ©Fusic Co., Ltd. 17 セキュリティ標準の選択 “とにかくやってみる” https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html Security Hub 標準のリファレンス

    • AWS Foundational Security Best Practices v1.0.0 (FSBP) 標準 • CIS AWS Foundations ベンチマーク(v1.2.0 / v1.4.0 / v3.0.0) • NIST Special Publication 800-53 Revision 5 • PCI DSS v3.2.1 詳しくはリファレンスを参照

  19. ©Fusic Co., Ltd. 18 セキュリティ標準の選択 “とにかくやってみる” https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html Security Hub 標準のリファレンス

    • AWS Foundational Security Best Practices v1.0.0 (FSBP) 標準 • CIS AWS Foundations ベンチマーク(v1.2.0 / v1.4.0 / v3.0.0) • NIST Special Publication 800-53 Revision 5 • PCI DSS v3.2.1 詳しくはリファレンスを参照 まずはデフォルトから!

  20. ©Fusic Co., Ltd. 19 Security Hubを有効化する “とにかくやってみる” 有効化!

  21. ©Fusic Co., Ltd. 20 やってみて⾒えたもの 3

  22. ©Fusic Co., Ltd. 21 実際のプロジェクトに導⼊してみた やってみて⾒えたもの 画像は運⽤段階のものです。 実際の運⽤結果についてはお答えできかねます。 ご了承ください🙇

  23. ©Fusic Co., Ltd. 22 実際のプロジェクトに導⼊してみた やってみて⾒えたもの 対象プロジェクトのインフラストラクチャはTerraformで管理していましたが、 まずは⼿軽に簡単に始めてみたかったのでコンソールを直接触って有効化 (Terraformコードに含まれないことはドキュメントに明記しておく)

  24. ©Fusic Co., Ltd. 23 可視化を待つ やってみて⾒えたもの 30分程で可視化

  25. ©Fusic Co., Ltd. 24 Summaryが⾒える やってみて⾒えたもの

  26. ©Fusic Co., Ltd. 25 コントロールの結果が⾒える やってみて⾒えたもの severity = 重⼤性 が⾒える

  27. ©Fusic Co., Ltd. 26 コントロールの結果が⾒える やってみて⾒えたもの 各検出結果の 詳細にアクセスできる

  28. ©Fusic Co., Ltd. 27 やってみて初めて分かったこと 4

  29. ©Fusic Co., Ltd. 28 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる

  30. ©Fusic Co., Ltd. 29 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる AWS Foundational Security

    Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループで トラフィックを許可しない

  31. ©Fusic Co., Ltd. 30 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる AWS Foundational Security

    Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループで トラフィックを許可しない すぐに対応できたもの

  32. ©Fusic Co., Ltd. 31 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる AWS Foundational Security

    Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループで トラフィックを許可しない すぐに対応できたもの ※時間の都合上、具体的な対応内容については省略します。 • プロジェクトに応じた⾦額的コストとリスクのバランス • 対応のために発⽣する⼯数が適切か • 必要性の判断(サードパーティで対応できているからOKとする、やむをえない都合がある等) 基本的にはCritical => High => Medium…の順で検討 基準‧理由をハッキリさせて判断していく

  33. ©Fusic Co., Ltd. 32 できることを対応する やってみて初めて分かったこと 意味ある活⽤のためにSlack通知は必須

  34. ©Fusic Co., Ltd. 33 通知機構を作ってこそ機能する やってみて初めて分かったこと AWS Security Hub Amazon

    Inspector AWS Config コンソールにアクセスしないと 何も⾒えない‧‧‧ 意味ある活⽤のためにSlack通知は必須

  35. ©Fusic Co., Ltd. 34 通知機構を作ってこそ機能する やってみて初めて分かったこと AWS Security Hub Amazon

    EventBridge Amazon Inspector AWS Chatbot AWS Config (コンソールを⾒にいかなくても) ⾒える!気づける! 意味ある活⽤のためにSlack通知は必須

  36. ©Fusic Co., Ltd. 35 通知機構を作ってこそ機能する やってみて初めて分かったこと 通知の運⽤も、やってみて初めて分かる • 検出された全て(100〜数百件)がSlackに通知 •

    対応したのにまた通知される

  37. ©Fusic Co., Ltd. 36 NEW NOTIFIED RESOLVED SUPPRESSED 通知機構を作ってこそ機能する やってみて初めて分かったこと

    通知の運⽤も、やってみて初めて分かる • 検出された全て(100〜数百件)がSlackに通知 • 対応したのにまた通知される Severity=Critical のものだけ通知 検討‧対応したら workflow statusを更新する

  38. ©Fusic Co., Ltd. 37 通知機構を作ってこそ機能する やってみて初めて分かったこと Event Bridge Rulesのイベントパターンで通知内容を制御 {

    "source": ["aws.securityhub"], "detail-type": ["Security Hub Findings - Imported"], "detail": { "findings": { "RecordState": ["ACTIVE"], "Severity": { "Label": ["CRITICAL"] }, "Workflow": { "Status": ["NEW"] } } } } まずは可視化。 通知に慣れすぎないバランスは難しいが、 各プロジェクトの必要⼗分なイベントパターン を設定する。

  39. ©Fusic Co., Ltd. 38 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果…

  40. ©Fusic Co., Ltd. 39 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果… リソースの変更が頻繁にある

  41. ©Fusic Co., Ltd. 40 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果… リソースの変更が頻繁にある AWS Configの料⾦がそのたびに重なる!

  42. ©Fusic Co., Ltd. 41 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果… リソースの変更が頻繁にある AWS Configの料⾦がそのたびに重なる!

    [発表後追記] AWS Configの導⼊タイミングは要検討

  43. ©Fusic Co., Ltd. 42 まとめ 5

  44. ©Fusic Co., Ltd. 43 まとめ ”とにかくやってみる”で始めるAWS Security Hub AWS Security

    Hubの始め⽅は“有効化”するだけなので簡単! Point 01 がんばりすぎない、できることをやる。やらないより意味がある。 Point 02 運⽤して初めて分かることは、運⽤してみるまで分からない。だから、まずやってみる。 Point 03 (感想) AWS SecurityHubが好きになりました。 Point 04

  45. ©Fusic Co., Ltd. 44 Thank You We are Hiring! https://recruit.fusic.co.jp/

    ご清聴いただきありがとうございました