Slide 1

Slide 1 text

ENECHANGEが実現した 管理者の工数負担を削減しながらも AWSセキュリティを強化した方法とは 2024-05-28 Cloud Security Day 2024 https://www.wafcharm.com/jp/seminar/2024/cloudsecurityday2024/ ENECHANGE株式会社 VPoT兼CTO室マネージャー 岩本 隆史

Slide 2

Slide 2 text

岩本 隆史 / Takashi Iwamoto 現職:ENECHANGE (2021-07~) 全社的な技術施策の提案~実行 前職:AWS Japan クラウドサポートアソシエイト AWS Community Builder (2024~) カテゴリ:Cloud Operations

Slide 3

Slide 3 text

No content

Slide 4

Slide 4 text

セキュリティ強化の背景

Slide 5

Slide 5 text

シングルアカウントで200件弱の環境

Slide 6

Slide 6 text

CTO室の数名でインフラを担当

Slide 7

Slide 7 text

アプリの脆弱性診断は外部委託

Slide 8

Slide 8 text

入社時点ではGuardDutyのみ使用 Amazon GuardDuty AWS Trusted Advisor AWS Security Hub AWS WAF

Slide 9

Slide 9 text

セキュリティ強化がタスクのひとつに インフラ構築・運用  SRE(信頼性維持・トイル削減) コスト最適化     セキュリティ強化 開発者体験向上    全社的な技術レベル向上  ブランディング(外部発信)

Slide 10

Slide 10 text

具体的な取り組み

Slide 11

Slide 11 text

1. IAMユーザーの棚卸

Slide 12

Slide 12 text

アクセスキー不使用がベストプラクティス ベストプラクティスは、アクセスキーのような長期的認証情報を作成するのでは なく、IAM ロールなどの一時的なセキュリティ認証情報を使用することです。 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_access- keys.html

Slide 13

Slide 13 text

使われていないユーザーを削除

Slide 14

Slide 14 text

EC2のIAMユーザー利用を廃止

Slide 15

Slide 15 text

CircleCIをOpenID Connectに移行

Slide 16

Slide 16 text

ChatOpsを導入   https://speakerdeck.com/iwamot/aws-chatbot-to-start-ec2-instance

Slide 17

Slide 17 text

2. Trusted Advisorの活用

Slide 18

Slide 18 text

No content

Slide 19

Slide 19 text

有効だったが未活用

Slide 20

Slide 20 text

ELBセキュリティポリシーを更新

Slide 21

Slide 21 text

廃止されたランタイムのLambda関数を移行

Slide 22

Slide 22 text

IAMパスワードポリシーを設定

Slide 23

Slide 23 text

3. Security Hubの有効化

Slide 24

Slide 24 text

No content

Slide 25

Slide 25 text

AWS 基礎セキュリティのベストプラクティスで確認

Slide 26

Slide 26 text

2ヶ月弱で「重要」と「高」をゼロに

Slide 27

Slide 27 text

Slackへの通知を開始

Slide 28

Slide 28 text

通知が来たら対応

Slide 29

Slide 29 text

tip: AWS Configの利用は倹約的に

Slide 30

Slide 30 text

tip: AWS Configの利用は倹約的に   https://docs.aws.amazon.com/securityhub/latest/userguide/controls-config- resources.html

Slide 31

Slide 31 text

4. AWS WAF + WafCharmの導入

Slide 32

Slide 32 text

No content

Slide 33

Slide 33 text

No content

Slide 34

Slide 34 text

No content

Slide 35

Slide 35 text

一部で「攻撃遮断くん」を利用 電力・ガス会社に提供しているエネルギーデータ事業の一部プロダクトは、もと もとサイバーセキュリティクラウド社のクラウド型WAF『攻撃遮断くん』を導入 して運用していました。 https://www.wafcharm.com/jp/casestudy/enechange/

Slide 36

Slide 36 text

AWS WAFの活用を検討 機能に不満はなかったのですが、WAFも含めて運用する環境をAWSに一本化する ことで、管理の利便性を向上させると同時にコストダウンも実現できるのはない かと考えていました。

Slide 37

Slide 37 text

自動化サービスの利用が前提 当社には運用できるノウハウや運用に割ける体制もないため、簡単に運用するた めの自動化サービスを利用する前提で検討を進めました。

Slide 38

Slide 38 text

WafCharmの導入を決定 ――― WafCharmの導入理由をお聞かせください。 『攻撃遮断くん』を利用してきて、サイバーセキュリティクラウド社による最新 脅威への対応力や運用ノウハウを信頼していたため、同社のWafCharmなら間違 いないだろうという安心感があったからです。導入前にトライアルで機能を確か めたのですが、まったく何の問題もありませんでした。

Slide 39

Slide 39 text

7件のプロダクトに適用 さまざまなプロダクトをAWSで運用しており、現在は合計7つにクラウドWAF自 動運用サービス『WafCharm』を導入しています。

Slide 40

Slide 40 text

その後10件に拡大

Slide 41

Slide 41 text

さらなる強化に向けて

Slide 42

Slide 42 text

Well-Architectedレビューの実施 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/welcome.html

Slide 43

Slide 43 text

マルチアカウント戦略への移行 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security- pillar/sec_securely_operate_multi_accounts.html

Slide 44

Slide 44 text

まとめ

Slide 45

Slide 45 text

強化方法=ベストプラクティスの適用+自動化 1. IAMユーザーの棚卸 2. Trusted Advisorの活用 3. Security Hubの有効化 4. AWS WAF + WafCharmの導入 5. Well-Architectedレビューの実施 6. マルチアカウント戦略への移行 7. ...