Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
ENECHANGEが実現した 管理者の工数負担を削減しながらも AWSセキュリティを強化した方法とは 2024-05-28 Cloud Security Day 2024 https://www.wafcharm.com/jp/seminar/2024/cloudsecurityday2024/ ENECHANGE株式会社 VPoT兼CTO室マネージャー 岩本 隆史
Slide 2
Slide 2 text
岩本 隆史 / Takashi Iwamoto 現職:ENECHANGE (2021-07~) 全社的な技術施策の提案~実行 前職:AWS Japan クラウドサポートアソシエイト AWS Community Builder (2024~) カテゴリ:Cloud Operations
Slide 3
Slide 3 text
No content
Slide 4
Slide 4 text
セキュリティ強化の背景
Slide 5
Slide 5 text
シングルアカウントで200件弱の環境
Slide 6
Slide 6 text
CTO室の数名でインフラを担当
Slide 7
Slide 7 text
アプリの脆弱性診断は外部委託
Slide 8
Slide 8 text
入社時点ではGuardDutyのみ使用 Amazon GuardDuty AWS Trusted Advisor AWS Security Hub AWS WAF
Slide 9
Slide 9 text
セキュリティ強化がタスクのひとつに インフラ構築・運用 SRE(信頼性維持・トイル削減) コスト最適化 セキュリティ強化 開発者体験向上 全社的な技術レベル向上 ブランディング(外部発信)
Slide 10
Slide 10 text
具体的な取り組み
Slide 11
Slide 11 text
1. IAMユーザーの棚卸
Slide 12
Slide 12 text
アクセスキー不使用がベストプラクティス ベストプラクティスは、アクセスキーのような長期的認証情報を作成するのでは なく、IAM ロールなどの一時的なセキュリティ認証情報を使用することです。 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_access- keys.html
Slide 13
Slide 13 text
使われていないユーザーを削除
Slide 14
Slide 14 text
EC2のIAMユーザー利用を廃止
Slide 15
Slide 15 text
CircleCIをOpenID Connectに移行
Slide 16
Slide 16 text
ChatOpsを導入 https://speakerdeck.com/iwamot/aws-chatbot-to-start-ec2-instance
Slide 17
Slide 17 text
2. Trusted Advisorの活用
Slide 18
Slide 18 text
No content
Slide 19
Slide 19 text
有効だったが未活用
Slide 20
Slide 20 text
ELBセキュリティポリシーを更新
Slide 21
Slide 21 text
廃止されたランタイムのLambda関数を移行
Slide 22
Slide 22 text
IAMパスワードポリシーを設定
Slide 23
Slide 23 text
3. Security Hubの有効化
Slide 24
Slide 24 text
No content
Slide 25
Slide 25 text
AWS 基礎セキュリティのベストプラクティスで確認
Slide 26
Slide 26 text
2ヶ月弱で「重要」と「高」をゼロに
Slide 27
Slide 27 text
Slackへの通知を開始
Slide 28
Slide 28 text
通知が来たら対応
Slide 29
Slide 29 text
tip: AWS Configの利用は倹約的に
Slide 30
Slide 30 text
tip: AWS Configの利用は倹約的に https://docs.aws.amazon.com/securityhub/latest/userguide/controls-config- resources.html
Slide 31
Slide 31 text
4. AWS WAF + WafCharmの導入
Slide 32
Slide 32 text
No content
Slide 33
Slide 33 text
No content
Slide 34
Slide 34 text
No content
Slide 35
Slide 35 text
一部で「攻撃遮断くん」を利用 電力・ガス会社に提供しているエネルギーデータ事業の一部プロダクトは、もと もとサイバーセキュリティクラウド社のクラウド型WAF『攻撃遮断くん』を導入 して運用していました。 https://www.wafcharm.com/jp/casestudy/enechange/
Slide 36
Slide 36 text
AWS WAFの活用を検討 機能に不満はなかったのですが、WAFも含めて運用する環境をAWSに一本化する ことで、管理の利便性を向上させると同時にコストダウンも実現できるのはない かと考えていました。
Slide 37
Slide 37 text
自動化サービスの利用が前提 当社には運用できるノウハウや運用に割ける体制もないため、簡単に運用するた めの自動化サービスを利用する前提で検討を進めました。
Slide 38
Slide 38 text
WafCharmの導入を決定 ――― WafCharmの導入理由をお聞かせください。 『攻撃遮断くん』を利用してきて、サイバーセキュリティクラウド社による最新 脅威への対応力や運用ノウハウを信頼していたため、同社のWafCharmなら間違 いないだろうという安心感があったからです。導入前にトライアルで機能を確か めたのですが、まったく何の問題もありませんでした。
Slide 39
Slide 39 text
7件のプロダクトに適用 さまざまなプロダクトをAWSで運用しており、現在は合計7つにクラウドWAF自 動運用サービス『WafCharm』を導入しています。
Slide 40
Slide 40 text
その後10件に拡大
Slide 41
Slide 41 text
さらなる強化に向けて
Slide 42
Slide 42 text
Well-Architectedレビューの実施 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/welcome.html
Slide 43
Slide 43 text
マルチアカウント戦略への移行 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security- pillar/sec_securely_operate_multi_accounts.html
Slide 44
Slide 44 text
まとめ
Slide 45
Slide 45 text
強化方法=ベストプラクティスの適用+自動化 1. IAMユーザーの棚卸 2. Trusted Advisorの活用 3. Security Hubの有効化 4. AWS WAF + WafCharmの導入 5. Well-Architectedレビューの実施 6. マルチアカウント戦略への移行 7. ...