Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"とにかくやってみる"で始めるAWS Security Hub

Avatar for maimyyym maimyyym
November 22, 2024
Technology
590
2

"とにかくやってみる"で始めるAWS Security Hub

2024/11/22 JAWS-UG朝会 #63
https://jawsug-asa.connpass.com/event/331907/

Avatar for maimyyym

maimyyym

November 22, 2024

More Decks by maimyyym

See All by maimyyym
組織内の開発ポリシーを 整えるはじめの一歩
Avatar for maimyyym maimyyym
1
51
未来の自分と明日の誰かへ繋ぐ、非連続的なキャリアと再現性の分析
Avatar for maimyyym maimyyym
0
130
AWSを使う上で最低限知っておきたいセキュリティ研修を社内で実施した話 ~みんなでやるセキュリティ~
Avatar for maimyyym maimyyym
3
2.3k
大規模サーバーレスAPIの堅牢性・信頼性設計 〜AWSのベストプラクティスから始まる現実的制約との向き合い方〜
Avatar for maimyyym maimyyym
11
6.3k
Amazon Inspector コードセキュリティで手軽に実現するシフトレフト
Avatar for maimyyym maimyyym
0
770
組織とセキュリティ文化と、自分の一歩
Avatar for maimyyym maimyyym
3
1.6k
大規模サーバーレスプロジェクトのリアルな零れ話
Avatar for maimyyym maimyyym
3
450
ABWG2024採択者が語るエンジニアとしての自分自身の見つけ方〜発信して、つながって、世界を広げていく〜
Avatar for maimyyym maimyyym
1
590
re:Invent2024で広がった AWS Verified Accessの可能性を探る
Avatar for maimyyym maimyyym
1
360

Other Decks in Technology

See All in Technology
基盤を育てる 外部SaaS連携の運用
Avatar for Hiroto Gamo gamonges_dresscode
1
120
Oracle Cloud Infrastructure:2026年4月度サービス・アップデート
Avatar for oracle4engineer oracle4engineer
PRO
0
140
「責任あるAIエージェント」こそ自社で開発しよう!
Avatar for みのるん minorun365
10
2.3k
需要創出(Chatwork)×供給(BPaaS) フライホイールとMoat 実行能力の最適配置とAI戦略
Avatar for kubell kubell_hr
0
1.1k
GKE Agent SandboxでAIが生成したコードを 安全に実行してみた
Avatar for Lamaglama39 lamaglama39
0
120
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
Avatar for Cybozu cybozuinsideout
PRO
10
79k
Arcana: Production-Ready RAG in Elixir @ ElixirConf EU 2026
Avatar for georgeguimaraes georgeguimaraes
0
120
目的ファーストのハーネス設計 ~ハーネスの変更容易性を高めるための優先順位~
Avatar for Gota gotalab555
8
2.5k
[最強DB講義]推薦システム | 評価編
Avatar for RecSysLab recsyslab
PRO
0
110
AgentCore×VPCでの設計パターンn選と勘所
Avatar for Har1101 har1101
4
340
FessのAI検索モード:検索システムとLLMへの取り組み
Avatar for Shinsuke Sugaya marevol
0
100
AgentCore Managed Harness を使ってみよう
Avatar for やくも yakumo
2
250

Featured

See All Featured
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
150k
Lightning talk: Run Django tests with GitHub Actions
Avatar for Sarah Abderemane sabderemane
0
170
[SF Ruby Conf 2025] Rails X
Avatar for Vladimir Dementyev palkan
2
980
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
760
Public Speaking Without Barfing On Your Shoes - THAT 2023
Avatar for David Neal reverentgeek
1
380
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.9k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
72
12k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
413
23k
Game over? The fight for quality and originality in the time of robots
Avatar for Wayne Barker wayneb77
1
160
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
274
21k
Abbi's Birthday
Avatar for Violet Bock coloredviolet
2
7.3k
Navigating Weather and Climate Data
Avatar for Ryan Abernathey rabernat
0
170

Transcript

  1. ©Fusic Co., Ltd. 0 ”とにかくやってみる” で始めるAWS Security Hub 2024.11.22 Mai

    Miyazaki @maimyyym JAWS-UG朝会 #63

  2. ©Fusic Co., Ltd. 1 宮崎 真⾐ Miyazaki Mai HN: mai

    (@maimyyym ) ◉ I am - 管理栄養⼠(養成校卒業・資格保持のみ) - 元百貨店スタッフ(Beauty Counselor) - 2023年10⽉ Fusic⼊社 ◉ Skill - AWS / Python / TypeScript / PHP(Laravel) - Interested in: Security & Compliance ◉ Comment - re:Invent 2024 ⾏きます! ⾃⼰紹介 はじめに 事業本部 技術創造部⾨ / エンジニア 株式会社Fusic

  3. ©Fusic Co., Ltd. 2 CONTENTS ⽬次 1. AWS Security Hubとは?

    2. “とにかくやってみる” 3. やってみた結果 4. やってみて初めて分かったこと 5. まとめ

  4. ©Fusic Co., Ltd. 3 想定聴講者 はじめに AWS Security Hubというサービスが何をするのか 知っているけれど、実際に導⼊したことはない⽅

    まず可視化すること⾃体はとても簡単だということ、初めて導⼊した所感をお話します。 具体的な運⽤Tipsや設定についてはお話しません。 AWS Security Hub をまずはとにかく導⼊してみる、そのハードルが下がれば幸いです。

  5. ©Fusic Co., Ltd. 4 AWS Security Hubとは? 1

  6. ©Fusic Co., Ltd. 5 AWS Security Hubの概要 AWS Security Hubとは?

    https://aws.amazon.com/jp/security-hub/ AWS Security Hub を使⽤すると、 セキュリティのベストプラクティスのチェックを⾃動化し、 セキュリティアラートを単⼀の場所と形式に集約し、 すべての AWS アカウントで全体的なセキュリティの体制を把握することができます。

  7. ©Fusic Co., Ltd. 6 AWS Security Hubの概要 AWS Security Hubとは?

    https://aws.amazon.com/jp/security-hub/ ベストプラクティスの チェックを⾃動化 アラートの集約

  8. ©Fusic Co., Ltd. 7 AWS Security Hubでできること AWS Security Hubとは?

    ベストプラクティスのチェックを⾃動化 Security Hub (+AWS Config)を有効化するだけで 業界標準やベストプラクティスに基づいた⾃動コンプライアンスチェックができる Security Hubをまず 有効化する時の画⾯

  9. ©Fusic Co., Ltd. 8 AWS Security Hubでできること AWS Security Hubとは?

    アラートの集約 標準化されたデータ形式で集約 AWS Security Hub Amazon EventBridge Amazon Inspector Amazon GuardDuty … AWS Chatbot AWS Lambda … マルチアカウント(⼤規模な組織)では特に効果を発揮

  10. ©Fusic Co., Ltd. 9 考えることはたくさん AWS Security Hubとは? 設定のベストプラクティス 何をどう運⽤するか

    ⼀元管理できるが故のカスタマイズの幅広さ …まだ、いろいろ、ある!

  11. ©Fusic Co., Ltd. 10 “とにかくやってみる” 2

  12. ©Fusic Co., Ltd. 11 Go to Security Hub “とにかくやってみる”

  13. ©Fusic Co., Ltd. 12 Security Hubを有効化する “とにかくやってみる”

  14. ©Fusic Co., Ltd. 13 Security Hubを有効化する “とにかくやってみる” AWS Configで リソース記録を有効にする

  15. ©Fusic Co., Ltd. 14 Security Hubを有効化する “とにかくやってみる” AWS Configで リソース記録を有効にする

    AWS Configはリソースの設定状況を追跡‧監視するサービス AWS Configを有効化することでSecurityHubがAWSリソースの 設定が選択した標準に則っているか正確に追跡できる

  16. ©Fusic Co., Ltd. 15 AWS Configのリソース記録を有効化 “とにかくやってみる” (まずは)デフォルト設定のままでOK!

  17. ©Fusic Co., Ltd. 16 Security Hubを有効化する “とにかくやってみる” 適⽤するセキュリティ標準を選択

  18. ©Fusic Co., Ltd. 17 セキュリティ標準の選択 “とにかくやってみる” https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html Security Hub 標準のリファレンス

    • AWS Foundational Security Best Practices v1.0.0 (FSBP) 標準 • CIS AWS Foundations ベンチマーク(v1.2.0 / v1.4.0 / v3.0.0) • NIST Special Publication 800-53 Revision 5 • PCI DSS v3.2.1 詳しくはリファレンスを参照

  19. ©Fusic Co., Ltd. 18 セキュリティ標準の選択 “とにかくやってみる” https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html Security Hub 標準のリファレンス

    • AWS Foundational Security Best Practices v1.0.0 (FSBP) 標準 • CIS AWS Foundations ベンチマーク(v1.2.0 / v1.4.0 / v3.0.0) • NIST Special Publication 800-53 Revision 5 • PCI DSS v3.2.1 詳しくはリファレンスを参照 まずはデフォルトから!

  20. ©Fusic Co., Ltd. 19 Security Hubを有効化する “とにかくやってみる” 有効化!

  21. ©Fusic Co., Ltd. 20 やってみて⾒えたもの 3

  22. ©Fusic Co., Ltd. 21 実際のプロジェクトに導⼊してみた やってみて⾒えたもの 画像は運⽤段階のものです。 実際の運⽤結果についてはお答えできかねます。 ご了承ください🙇

  23. ©Fusic Co., Ltd. 22 実際のプロジェクトに導⼊してみた やってみて⾒えたもの 対象プロジェクトのインフラストラクチャはTerraformで管理していましたが、 まずは⼿軽に簡単に始めてみたかったのでコンソールを直接触って有効化 (Terraformコードに含まれないことはドキュメントに明記しておく)

  24. ©Fusic Co., Ltd. 23 可視化を待つ やってみて⾒えたもの 30分程で可視化

  25. ©Fusic Co., Ltd. 24 Summaryが⾒える やってみて⾒えたもの

  26. ©Fusic Co., Ltd. 25 コントロールの結果が⾒える やってみて⾒えたもの severity = 重⼤性 が⾒える

  27. ©Fusic Co., Ltd. 26 コントロールの結果が⾒える やってみて⾒えたもの 各検出結果の 詳細にアクセスできる

  28. ©Fusic Co., Ltd. 27 やってみて初めて分かったこと 4

  29. ©Fusic Co., Ltd. 28 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる

  30. ©Fusic Co., Ltd. 29 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる AWS Foundational Security

    Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループで トラフィックを許可しない

  31. ©Fusic Co., Ltd. 30 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる AWS Foundational Security

    Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループで トラフィックを許可しない すぐに対応できたもの

  32. ©Fusic Co., Ltd. 31 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる AWS Foundational Security

    Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループで トラフィックを許可しない すぐに対応できたもの ※時間の都合上、具体的な対応内容については省略します。 • プロジェクトに応じた⾦額的コストとリスクのバランス • 対応のために発⽣する⼯数が適切か • 必要性の判断(サードパーティで対応できているからOKとする、やむをえない都合がある等) 基本的にはCritical => High => Medium…の順で検討 基準‧理由をハッキリさせて判断していく

  33. ©Fusic Co., Ltd. 32 できることを対応する やってみて初めて分かったこと 意味ある活⽤のためにSlack通知は必須

  34. ©Fusic Co., Ltd. 33 通知機構を作ってこそ機能する やってみて初めて分かったこと AWS Security Hub Amazon

    Inspector AWS Config コンソールにアクセスしないと 何も⾒えない‧‧‧ 意味ある活⽤のためにSlack通知は必須

  35. ©Fusic Co., Ltd. 34 通知機構を作ってこそ機能する やってみて初めて分かったこと AWS Security Hub Amazon

    EventBridge Amazon Inspector AWS Chatbot AWS Config (コンソールを⾒にいかなくても) ⾒える!気づける! 意味ある活⽤のためにSlack通知は必須

  36. ©Fusic Co., Ltd. 35 通知機構を作ってこそ機能する やってみて初めて分かったこと 通知の運⽤も、やってみて初めて分かる • 検出された全て(100〜数百件)がSlackに通知 •

    対応したのにまた通知される

  37. ©Fusic Co., Ltd. 36 NEW NOTIFIED RESOLVED SUPPRESSED 通知機構を作ってこそ機能する やってみて初めて分かったこと

    通知の運⽤も、やってみて初めて分かる • 検出された全て(100〜数百件)がSlackに通知 • 対応したのにまた通知される Severity=Critical のものだけ通知 検討‧対応したら workflow statusを更新する

  38. ©Fusic Co., Ltd. 37 通知機構を作ってこそ機能する やってみて初めて分かったこと Event Bridge Rulesのイベントパターンで通知内容を制御 {

    "source": ["aws.securityhub"], "detail-type": ["Security Hub Findings - Imported"], "detail": { "findings": { "RecordState": ["ACTIVE"], "Severity": { "Label": ["CRITICAL"] }, "Workflow": { "Status": ["NEW"] } } } } まずは可視化。 通知に慣れすぎないバランスは難しいが、 各プロジェクトの必要⼗分なイベントパターン を設定する。

  39. ©Fusic Co., Ltd. 38 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果…

  40. ©Fusic Co., Ltd. 39 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果… リソースの変更が頻繁にある

  41. ©Fusic Co., Ltd. 40 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果… リソースの変更が頻繁にある AWS Configの料⾦がそのたびに重なる!

  42. ©Fusic Co., Ltd. 41 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果… リソースの変更が頻繁にある AWS Configの料⾦がそのたびに重なる!

    [発表後追記] AWS Configの導⼊タイミングは要検討

  43. ©Fusic Co., Ltd. 42 まとめ 5

  44. ©Fusic Co., Ltd. 43 まとめ ”とにかくやってみる”で始めるAWS Security Hub AWS Security

    Hubの始め⽅は“有効化”するだけなので簡単! Point 01 がんばりすぎない、できることをやる。やらないより意味がある。 Point 02 運⽤して初めて分かることは、運⽤してみるまで分からない。だから、まずやってみる。 Point 03 (感想) AWS SecurityHubが好きになりました。 Point 04

  45. ©Fusic Co., Ltd. 44 Thank You We are Hiring! https://recruit.fusic.co.jp/

    ご清聴いただきありがとうございました