全社統制を維持しながら現場負担をどう減らすか〜プラットフォームチームとセキュリティチームで進めたSecurity Hub活用によるAWS統制の見直し〜/secjaws-security-hub-custom-insights

Transcript

1. © 2026 Mizuho Bank, Ltd. 2026年5月16日 情報数理工学研究所 デジタル技術開発部 全社統制を維持しながら現場負担をどう減らすか ～プラットフォームチームとセキュリティチームで進めたSecurity

   Hub 活用によ るAWS統制の見直し～ （免責事項） 当レポートは情報提供のみを目的として作成されたものであり、商品の勧誘を目 的としたものではありません。本資料は、当社が信頼できると判断した各種デー タに基づき作成されておりますが、その正確性、確実性を保証するものではあり ません。また、本資料に記載された内容は予告なしに変更されることもあります。

2. © 2026 Mizuho Bank, Ltd. 自己紹介 1 志田 淳弥（しだ あつや）

   デジタル技術開発部 所属 2020年に入社し、2026年4月に会社統合を経て現職。 これまでAWSを活用したシステム開発やクラウド人材の育成、 共通プラットフォーム構築など、クラウド推進に従事。 現在は、社内DXアプリの構築やAI駆動開発の推進を担当

3. はじめに 2

4. © 2026 Mizuho Bank, Ltd. はじめに 本セッションのゴール：本日持ち帰ってほしいこと • 手作業のセキュリティチェックから脱却する実践的なアプローチ •

   AWSマルチアカウントへの共通セキュリティ機能の配布手法 • 現場課題を解決するためのチーム連携の進め方 補足 • 本日話さないこと：AWSサービスの説明や細かい技術的な実装方法 →詳細については AWS builders.flash に掲載の記事をご参照ください https://aws.amazon.com/jp/builders-flash/202604/mizuho-rt-security-rule-dashboard/ • 勘定系の事例ではなく、社内PoCやお客さま案件の事例です • 2024～2025年に取り組んだ内容であり、現場の泥臭い話が中心です 3

5. これまでのセキュリティ運用の課題 4

6. © 2026 Mizuho Bank, Ltd. これまでのセキュリティ運用の課題 全社共通のセキュリティ基準 • セキュリティチームがCIS Benchmarksなどの国際的なセキュリティ基準をベースに、

   社内ポリシーに準拠したクラウド設定のチェックリストを策定 5 セキュリティチーム クラウド設定のチェックリスト 国際的なセキュリティ基準 （CIS Benchmarksなど） 社内ポリシー セキュリティ基準を策定

7. © 2026 Mizuho Bank, Ltd. これまでのセキュリティ運用の課題 従来のセキュリティチェック運用方法 6 クラウド設定のチェックリスト セキュリティチーム

   AWS Cloud 利用者 チェックリスト＆ エビデンス提出 策定したチェックリストを スプレッドシートとして配布 自身のAWSアカウントやリソースが ポリシーに準拠しているかを確認 エビデンスとチェックリストを確認

8. © 2026 Mizuho Bank, Ltd. これまでのセキュリティ運用の課題 実作業で見えてきた課題①：【チェック作業の課題】 7 課題① 複数画面スクリーンショット取得の作業

   クラウド設定のチェックリスト セキュリティチーム AWS Cloud 利用者 チェックリスト＆ エビデンス提出 複数の設定画面を確認し スクリーンショット取得する手間 AWSコンソールのUI変更により 確認手順やマニュアルが陳腐化

9. © 2026 Mizuho Bank, Ltd. これまでのセキュリティ運用の課題 実作業で見えてきた課題②：【コミュニケーションコストの課題】 8 課題② チェックミスがあった場合のコミュニケーションコスト

   クラウド設定のチェックリスト セキュリティチーム AWS Cloud 利用者 エビデンスの不備や認識のズレがある度に 確認と修正のやり取りが何度も発生 Email

10. © 2026 Mizuho Bank, Ltd. これまでのセキュリティ運用の課題 実作業で見えてきた課題③：【継続運用の課題】 9 課題③ チェックリスト変更や定期的な確認などの継続運用

    クラウド設定のチェックリスト セキュリティチーム AWS Cloud 利用者 チェックリスト＆ エビデンス提出 定期的なチェック作業のタイミング以外 設定ミスに気づきにくい チェックリストの変更や定期確認のたびに 手動確認がゼロから発生する

11. 課題を解消する共通ダッシュボードの構築・展開 10

12. © 2026 Mizuho Bank, Ltd. 課題を解消する共通ダッシュボードの構築・展開 AWS Security Hub CSPM

    のインサイトとは？ • セキュリティ検出結果を効率的に分析・管理するための機能 インサイトには、以下の2種類がある。 • マネージド型インサイト：AWS側で事前に設定したインサイト • カスタムインサイト： ←今回はこちらを活用 独自の条件をフィルターに追加することができ、組織の要件などに合わせた柔軟な設定が可能 11

13. © 2026 Mizuho Bank, Ltd. 課題を解消する共通ダッシュボードの構築・展開 チェック項目をカスタムインサイトに変換 12 クラウド設定のチェックリスト EBSボリュームを

    暗号化していること 暗号化されていないEBSボリュームを フィルターで抽出 カスタムインサイト 利用者 利用イメージ 確認 0の状態 ＝正しい設定がされている 0以外の状態 ＝違反しているリソースがある 要件を違反検出ロジックに変換

14. © 2026 Mizuho Bank, Ltd. 課題を解消する共通ダッシュボードの構築・展開 チェック作業のBefore/After • カスタムインサイトを活用することで、【チェック作業の課題】を解決！ 13

    AWS Management Console 複数画面の設定確認＆ スクリーンショット取得 Before After １画面に集約＆チェック作業も簡略化！

15. © 2026 Mizuho Bank, Ltd. 課題を解消する共通ダッシュボードの構築・展開 段階的なリリースによる素早い価値提供 • 始めからチェック項目の全てに対応したカスタムインサイトを目指さず、 段階的なリリースをすることで素早い価値提供を実現

    • チェックリストの更新時にも同手法を用いることで、スピーディな対応が可能 14 No.1 ~ No.20 Ver.1 No.1 ~ No.30 Ver.2 利用者がすぐに 使えるものを提供 ・・・ No.1 ~ No.XX 変更部分 チェック項目の変更にも 素早く対応 Ver.〇〇 1ヶ月後 1ヶ月後 更新作業負担を考慮して 1ヶ月程度空けてリリース

16. © 2026 Mizuho Bank, Ltd. 課題を解消する共通ダッシュボードの構築・展開 AWS Service Catalogによる全アカウント展開 •

    カスタムインサイトを含むIaCテンプレートを、各アカウントにService Catalogを活用して配布 15 CDKで開発した テンプレート カスタムインサイト 管理アカウント セキュリティ製品 アカウントA セキュリティ製品 Service Catalog Service Catalog アカウントB セキュリティ製品 Service Catalog テンプレート のリソース テンプレート のリソース Organizations 共有 利用者 利用者 プラットフォームチーム 任意のタイミングで 更新

17. © 2026 Mizuho Bank, Ltd. 課題を解消する共通ダッシュボードの構築・展開 Auditアカウントへの集約とコミュニケーションの効率化 • 同じ画面を見て会話できることで、【コミュニケーションコストの課題】を解決！ 16

    Auditアカウント アカウントA Security Hub CSPM アカウントB Security Hub CSPM Security Hub CSPM 検出結果を Auditアカウントに集約 全アカウントの結果 が確認できる Test

18. 現場の運用負荷をさらに下げるための 自動化と予防的統制 17

19. © 2026 Mizuho Bank, Ltd. 現場の運用負荷をさらに下げるための自動化と予防的統制 セキュリティ基準を違反したリソースの通知 • カスタムインサイトの条件に違反するリソースを週次で自動通知 •

    リスクのあるリソースの早期発見や検知を実現 18 カスタムインサイト AWS Lambda Amazon EventBridge Amazon SNS Email 利用者 メール内容例

20. © 2026 Mizuho Bank, Ltd. 現場の運用負荷をさらに下げるための自動化と予防的統制 違反リソースの自動修復機能のアップデート • プラットフォームでは従前より、AWS Configの自動修復機能を提供

    • ダッシュボード改善に併せて、新たな自動修復追加と大阪リージョンのサポートなど機能アップデートを実施 • 設定ミスによる違反状態も自動で修復し、潜在的なリスクを未然に防止 19 AWS Config Automation AWS Lambda 東京リージョン AWS Config Automation AWS Lambda 大阪リージョン 大阪リージョン対応 ルール違反時 自動修復 ルール違反時 自動修復 自動修復対象を追加

21. © 2026 Mizuho Bank, Ltd. Before 現場の運用負荷をさらに下げるための自動化と予防的統制 AWSのアップデートを活用したアカウント保護 • 2024年11月にリリースされたAWSのアップデートを取り入れて、ルートユーザーの無効化を実施し、

    チェックリスト要件への準拠とセキュリティ強化を実現 20 ルートユーザー クラウド設定のチェックリスト ルートユーザーが 利用されていないこと 利用者アカウント 利用者 各自で利用しない ように対応 After ルートユーザー 利用者アカウント Control Tower AWS Organizations 管理アカウント ルートユーザーの 認証情報を無効化 ルートユーザー 利用者アカウント

22. © 2026 Mizuho Bank, Ltd. 現場の運用負荷をさらに下げるための自動化と予防的統制 継続的な運用を支える検知・自動修復の仕組み • 検知（週次通知）：カスタムインサイトを活用し、違反リソースを週次で自動通知する仕組みを構築 •

    自動修復（運用効率化）：AWS Configの自動修復機能を見直し、修復対象の拡大と大阪リージョン対応を実施 • 未然防止（セキュリティ強化）：AWSのアップデートを取り入れ、ルートユーザーの無効化を実施 ⇒検知から修復までの自動化とセキュリティ強化により、【継続運用の課題】を解消！ 21

23. プラットフォームチーム × セキュリティチームの協力 22

24. © 2026 Mizuho Bank, Ltd. プラットフォームチーム × セキュリティチームの協力 セキュリティ・リスク管理の考え方：３つの防衛線 •

    1線：業務・システムを運営する側が自らリスクを特定・管理・統制する（利用者＆プラットフォームチーム） • 2線：1線の取り組みをモニタリング・評価・支援する管理統括側（セキュリティチーム） • 3線：1線・2線の取り組みを独立して評価・検証する監査側（内部監査部門） 23 1線 2線 3線 内 部 監 査 部 門 リ ス ク 管 理 コ ン プ ラ イ ア ン ス 管 理 セ キ ュ リ テ ィ 管 理 評価・支援 評価・検証 各部門 業務・システムの リスク管理

25. © 2026 Mizuho Bank, Ltd. プラットフォームチーム × セキュリティチームの協力 セキュリティチームとの協業による「エビデンス不要」運用の実現 •

    利用者（1線）の負担をなくすため、セキュリティチーム（2線）にカスタムインサイトの活用を提案 • セキュリティチームもスプレッドシートやエビデンスの確認・評価作業に課題を感じていたため、提案に賛同 • 従来のスプレッドシートによるチェックと同等以上の確認がカスタムインサイトで代替可能と判断され、 当初の想定を超えた「エビデンス提出自体を一部廃止する」という運用の見直しまで実現 24 当初の想定 セキュリティチームと合意した運用 利用者 セキュリティチーム 同じ画面を 見る セキュリティチーム カスタムインサイトで 代替可能と判断 チェックリスト エビデンス提出が 一部不要

26. © 2026 Mizuho Bank, Ltd. プラットフォームチーム × セキュリティチームの協力 現場浸透に向けた両チームの協働アクション 結果

    エビデンス作業を撤廃し、利用者（1線）とセキュリティチーム（2線）がカスタムインサイトの 「共通ダッシュボード」を活用する運用へ移行。 1線の負担軽減と2線の役割（支援）への注力という、統制側・開発現場双方のWin-Winを実現した。 25 プラットフォームチーム 利用者向けにカスタムインサイトの 具体的な手順を技術ブログ執筆 セキュリティチーム チェックリストに「カスタムインサイト 利用時はエビデンス不要」と明記 ツールの使い方支援 公式チェックリスト改定 社内に展開 新しい運用が浸透 利用者 New

27. まとめ 26

28. © 2026 Mizuho Bank, Ltd. まとめ まとめ • Security Hub

    CSPM のカスタムインサイトで社内セキュリティ基準をダッシュボード化し、 手作業のチェックとエビデンス提出を撤廃 • Service Catalogを活用し、マルチアカウント環境へ共通セキュリティ機能を自動配布 • 検知・自動修復・未然防止を組み合わせ、自動化と予防的統制で「継続運用の課題」を解消 • 共通ダッシュボードを活用することで、現場の負担軽減とセキュリティチームの支援注力という Win-Winな運用を実現 27

29. Appendix 28

30. © 2026 Mizuho Bank, Ltd. Appendix AWS builders.flashの記事 本セッションで触れられなかった細かい技術要素や実装手順については、 以下のブログ記事にて解説しています。併せてご覧ください。

    https://aws.amazon.com/jp/builders-flash/202604/mizuho-rt-security-rule-dashboard/ 29

31. 30