Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
生まれ変わった AWS Security Hub (Preview) を紹介 #reInfor...
Search
MasahiroKawahara
July 02, 2025
Technology
1.6k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
生まれ変わった AWS Security Hub (Preview) を紹介 #reInforce_osaka / reInforce New Security Hub
MasahiroKawahara
July 02, 2025
More Decks by MasahiroKawahara
See All by MasahiroKawahara
Claude Code で使える DuckDB Skills を試してみた / DuckDB Skills and Claude Code
masahirokawahara
2
2.5k
Claude Code を安全に使おう勉強会 / Claude Code Security Basics
masahirokawahara
19
46k
Claude Code Skills 勉強会 (DevelersIO向けに調整済み) / claude code skills for devio
masahirokawahara
1
32k
新 Security HubがついにGA!仕組みや料金を深堀り #AWSreInvent #regrowth / AWS Security Hub Advanced GA
masahirokawahara
1
3.9k
AWS環境のリソース調査を Claude Code で効率化 / aws investigate with cc devio2025
masahirokawahara
2
2.1k
ここ一年のCCoEとしてのAWSコスト最適化を振り返る / CCoE AWS Cost Optimization devio2025
masahirokawahara
1
2.5k
Amazon DevOps Guru のベースラインを整備して1ヶ月ほど運用してみた #jawsug_asa / Amazon DevOps Guru trial
masahirokawahara
3
840
DuckDB MCPサーバーを使ってAWSコストを分析させてみた / AWS cost analysis with DuckDB MCP server
masahirokawahara
0
2.9k
セキュリティ系アップデート全体像と AWS Organizations 新ポリシー「宣言型ポリシー」を紹介 / reGrowth 2024 Security
masahirokawahara
0
1.3k
Other Decks in Technology
See All in Technology
On-behalf-of Token exchange with AgentCore Identity
hironobuiga
2
150
非定型業務をAI slackbotで自動化する ~ 社内要望を自動壁打ちするbotを作った ~/automating-ad-hoc-work-with-ai-slackbot
shibayu36
0
620
エンジニアリング戦略の作り方 / Crafting Engineering Strategy
iwashi86
21
6.7k
手塩にかけりゃいいってもんじゃない
ming_ayami
0
470
RSA暗号を手計算したくなること、ありますよね?? (20260615_orestudy6_rsa)
thousanda
0
290
スキルと MCP ツール、責務をどう分けるか? AI が迷わないインターフェース設計の戦略
cdataj
1
970
2026TECHFRESH畢業分享會 - Lightning Talk - 資料也要 CI/CD? 用 Airbyte 自動化資料同步
line_developers_tw
PRO
0
860
チームで進めるAI駆動アジャイル×ウォーターフォール
kumaiu
0
150
MIERUNE JCT 発表資料「宇宙から伊能忠敬ごっこ」
syuchimu
0
210
Amazon Bedrock AgentCore ワークショップ JAWS UG TOHOKU / amazon-bedrock-agentcore-workshop-jawsug-tohoku-2026
gawa
9
740
2026TECHFRESH畢業分享會 - 原生還是跨平台? App 開發踩坑實錄
line_developers_tw
PRO
0
880
ポケモンの型をTypeScriptの型システムで表現してみた
subroh0508
0
370
Featured
See All Featured
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
200
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
200
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
65
55k
WENDY [Excerpt]
tessaabrams
11
38k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
38
2.9k
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
180
Accessibility Awareness
sabderemane
1
140
Large-scale JavaScript Application Architecture
addyosmani
515
110k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
uxyall
0
320
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
530
Making the Leap to Tech Lead
cromwellryan
135
9.9k
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
1
610
Transcript
1
イントロ 自己紹介 今日話すこと 2
自己紹介 #1 ブログURL: Classmethod クラウド事業本部 コンサルティング部 https://dev.classmethod.jp/author/kawahara-masahiro/ 3
自己紹介 #2 最近仕事でやっていること AWS マルチアカウント環境のセキュリティ可視化 コスト最適化いろいろ 好きなこと ツーリング、ゲーム、Emacs 、愛猫と戯れる 4
今日話すこと Security Hub (Preview) について 特徴#1: よりハブらしく 特徴#2: 新しい検出結果: 露出(
エクスポージャー) 細かい話: Config レコーダーについて まとめ 5
Security Hub (Preview) について AWS Security Hub: Unified cloud security
solution (Preview) 6
特徴 統合セキュリティソリューション: 統合クラウドセキュリティソリューションの一元管理により、クラウド環境全体でより広範な可視性を実現 アクション可能なセキュリティインサイト: 高度な分析により、環境に関連するセキュリティリスクを学習するためのアクション可能なセキュリティ インサイトを取得 応答時間の短縮: 自動化ワークフローと統合チケットシステムにより応答時間を合理化 露出検出結果: Security
Hub CSPM コントロールチェック、Amazon Inspector 、その他のAWS サービスからの検出結果を相関付けて、AWS リソースに関連 する露出を検出 OCSF 形式の検出結果: OCSF 形式で検出結果を生成し、Security Hub CSPM 、GuardDuty 、Macie 、Inspector からの検出結果をOCSF 形式で受信 ※OCSF: Open Cybersecurity Schema Framework 包括的ダッシュボード: Security Hub コンソールは露出、脅威、セキュリティカバレッジ、リソースの包括的なビューと、露出検出結果に関連するリソ ースへの攻撃者のアクセス方法を示すアタックパスグラフを提供 サードパーティ製品統合: Jira Cloud やServiceNow ITSM などのサードパーティ統合により、検出結果からチケットを作成してセキュリティ体制を強化 > 参考: What is AWS Security Hub? - AWS Security Hub 7
特に変わったところ よりハブらしく 新しい検出結果: 露出( エクスポージャー) が出てきた 8
よりハブらしく 「さまざまなセキュリティ情報を集約する」が 主要な機能 に! 9
Before: 従来のSecurity Hub 10
After: 新しいSecurity Hub 11
新しい Security Hub が集約するもの 体制管理: AWS Security Hub CSPM ※
脆弱性: Amazon Inspector 脅威: Amazon GuardDuty 機密データ: Amazon Macie ※ 従来の Security Hub は AWS Security Hub CSPM に置き換わりました。 12
新しい検出結果: 露出( エクスポージャー) が出 てきた 13
露出( エクスポージャー) とは 「複数の潜在的な問題が掛け合わさったヤバい状況」 を発見する 複数サービス( Security Hub CSPM や
Inspector 等) の検出を関連付け Exposure Finding として OCSF 形式で出力される 14
サポートされているリソース/ カテゴリ Supported resource types for exposure findings in Security
Hub - AWS Security Hub Supported trait types in Security Hub - AWS Security Hub 15
サポートされているリソース AWS::DynamoDB::Table AWS::EC2::Instance AWS::ECS::Service AWS::EKS::Cluster AWS::IAM::User AWS::Lambda::Function AWS::RDS::DBInstance AWS::S3::Bucket 16
サポートされているカテゴリ 設定ミス: リソースの設定が不適切 到達可能性: ネットワークパスが開放されている 機密データ: 機密データを含有 脆弱性: 共通脆弱性識別子(CVE )にさらされている
17
エクスポージャー検出のサンプル https://dev.classmethod.jp/articles/aws-securityhub-advanced-exposure-attackpath/ 18
潜在的な攻撃パス 19
リソースの確認 20
IAM ポリシーも確認 21
Tips: どういう基準でエクスポージャーを出している? 「検出されるエクスポージャーのリスト」的なドキュメントは無い エクスポージャーが出たとき修復ガイドはある AWS 側で様々な要素を総合的に評価して、生成されていそう Remediating exposure findings -
AWS Security Hub 22
露出結果が出るパターン/ 出ないパターン 露出結果が生成!: インスタンスプロファイルがアタッチされた公開イ ンスタンス 露出結果は生成されず: インスタンスプロファイルが未アタッチの公開 インスタンス 参考: 新しいAWS
Security Hub の露出結果(Exposure findings) は、露出特性 (Exposure traits) が不十分だと生成されません! #AWSreInforce | DevelopersIO 23
Config レコーダーについて 24
Config " サービスリンクレコーダー" が作られてた 機能自体は で出てきたもの 新 Security Hub を有効化すると
自動作成 される サービスリンクレコーダー自体には 料金は掛かからない 従来は Security Hub 利用のためにConfig レコーダーを手動設定していたが、 それが 不要になる( 便利!) re:Invent 2024 のアプデ 25
補足 じゃあサービスリンクレコーダーだけでいいじゃん... では無さそう 例えば S3 バケット/SNS へのConfig 情報配信はサービスリンクレコーダ ーではできない 記録スコープは、構成レコーダーにリンクされてい
るサービスによって設定され、配信チャネルで構成 アイテム(CI )を受信するかどうかを決定します。 記録スコープが内部である場合、配信チャネルでCI を受信することはありません 。 – (DeepL 訳) PutServiceLinkedConfigurationRecorder - AWS Config 26
まとめ 従来の Security Hub は 「Security Hub CSPM 」に改名された 新しい
Security Hub はよりハブらしくなった 新しい検出結果: 露出( エクスポージャー) が登場 Config 準備の手間が省けたのが地味に便利 現在、新Security Hub はプレビュー中。無料で使えます! ※ 連携している各サービスの料金は掛かります 27
参考 What is AWS Security Hub? - AWS Security Hub
Unify your security with the new AWS Security Hub for risk prioritization and response at scale (Preview) | AWS News Blog [ プレビュー]AWS Security Hub が機能分離され統合セキュリティソリュ ーションに生まれ変わりました #AWSreInforce | DevelopersIO 新しいAWS Security Hub の露出結果(Exposure findings) は、露出特性 (Exposure traits) が不十分だと生成されません! #AWSreInforce | DevelopersIO 28
masahirokawahara
hironobuiga
shibayu36
iwashi86
ming_ayami
thousanda
cdataj
line_developers_tw
kumaiu
syuchimu
gawa
subroh0508
sarafernandez
jdejongh
soudai
tessaabrams
eileencodes
techseoconnect
sabderemane
addyosmani
uxyall
marktimemedia
cromwellryan
katarinadahlin
