AWS Security Hub から 
 AWSのベストプラクティスを学びたい 
 2024年10月15日
 クラスメソッド株式会社　和田響
 
 1

2 自己紹介 和⽥ 響（わだ ひびき） ● AWS事業本部コンサルティング部 ● ソリューションアーキテクト ● セキュリティ‧コスト周りが得意（たぶん） ● 25歳（社会⼈3年⽬） ● 2024 Japan AWS Jr. Champions ● 2024 Japan AWS All Certifications Engineers

3 2024 Japan AWS Jr. Champions とは？ 「Japan AWS Jr. Champion Program」とは、AWS Partner Network (APN) 参加企 業に所属し、現在社会⼈歴 1 〜 3 年⽬で AWS を積極的に学び、アクションを起こ し、周囲に影響を与えている APN 若⼿エンジニアを選出しコミュニティを形成す る、⽇本独⾃の認定プログラムです。 【主な応募資格】 社会⼈歴 : 3 年以内 受賞⼈数：1企業につき2⼈まで 認定資格：計3つ以上（CLF+2個以上） https://aws.amazon.com/jp/blogs/psa/2024-japan-aws-jr-champions-criteria/

4 アジェンダ ● はじめに ● AWS Security Hubについて ● 学習⽅法 ● 学べること

5 アジェンダ ● はじめに ● AWS Security Hubについて ● 学習⽅法 ● 学べること

6 はじめに ● 今⽇話すこと ○ AWS Security Hubのサービス概要 ○ AWS Security Hubを⽤いた学習⽅法 ● 話さないこと ○ 企業のセキュリティ対策 ● 誰に向けてか？ ○ 実務でAWSに触り始めて数年の⽅ ○ AWSを学習中だが何を学んだら良いかわからない⽅ ○ AWSが⼤好きな⽅！

7 アジェンダ ● はじめに ● AWS Security Hubについて ● 学習⽅法 ● 学べること

8 AWS Security Hubについて

9 AWS Security Hubについて AWS Security Hubは、AWSアカウント全体のセキュリティ状況を⼀元的に可視化 し、管理するサービス AWS Security Hub 【特徴】 ● Security Hubがチェックする要件(コントロール)に対して、準拠しているかいな いかを教えてくれる ● 様々なセキュリティ規格に対応している ○ AWS Foundational Security Best Practices v1.0.0 (FSBP） ○ CIS AWS Foundations Benchmark ○ NIST SP 800-53 Rev. 5 ○ PCI DSS v3.2.1 ● Amazon Detectiveを有効にすることで対象のリソースの特定もできる

10 アジェンダ ● はじめに ● AWS Security Hubについて ● 学習⽅法 ● 学べること

11 学習方法 なぜAWS Security Hubを学ぶのか？ ● セキュリティに強いエンジニアをどの企業も求めてる！（はず） ● 「AWS Security Hubを理解する = 各種AWSサービスを理解する」につながるか ら ● 学習コストが⽐較的低いから

12 学習方法 STEP1：AWS Security Hubを有効にする

13 学習方法 STEP2：重要度が「重要」「⾼」で、     コントロールステータスが「失敗」のものを調査‧修正してみる

14 学習方法 STEP3：重要度が「重要」「⾼」のものを調査してみる

15 学習方法 補⾜：レベル別学習⽅法 例：[CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョ ン追跡を有効にして設定する必要があります レベル 理解度 おすすめ学習方法 5 コントロールをみて修正方法や意図がわかる （あ〜OK,OK！俺に任せて！） - 4 コントロールの意図がわからない （なんで準拠しなきゃいけないの？） ● 公式リファレンスを読む ● DevelopersIO「AWS Security Hub 基礎セキュリティのベストプ ラクティスコントロール修復手順」を読む ● （実際に修正してみる） 3 修正方法がわからない （どうしたら「成功」になるの？） 2 コンポーネントの意味がわからない （書き込み管理イベントって何？） ● BlackBeltでサービス概要を勉強する ● DevelopersIO 「入門ブログリレー」を読む 1 サービスの概要がわからない （CloudTrailって何？）

16 学習方法 補⾜：DevelopersIOのすすめ

17 学習方法 STEP EXTRA：重要度が「重要」「⾼」で、      コントロールステータスが「失敗」のものを通知してみる

18 アジェンダ ● はじめに ● AWS Security Hubについて ● 学習⽅法 ● 学べること

19 学べること STEP1：AWS Security Hubを有効にする 【学べること】 ● Security Hubの導入方法

STEP2：重要度が「重要」「⾼」で、     コントロールステータスが「失敗」のものを調査‧修正してみる 20 学べること 【学べること】 ● どんなコントロールが失敗になりやすいのか ● 具体的な修正方法 ● 意外なAWSサービスの仕様 ○ ログ用バケット命名制限 ○ ログ送信用のオプショングループの変更

21 学べること 【学べること】 ● AWSのベストプラクティス ○ パブリックIPは使わない ○ ログを取る ● AWSが有効にしてほしいセキュリティサービス ○ Inspector,GuardDuty,Macie …etc STEP3：重要度が「重要」「⾼」のものを調査してみる

22 学べること 補⾜：AWS Security Hubで検出可能なAWSサービスたち ● ACM ● APIGateway ● AppSync ● Athena ● AutoScaling ● Backup ● CloudFront ● CloudTrail ● CodeBuild ● Config ● DataFirehose ● DataSync ● DMS ● DocumentDB ● EC2 ● ECR ● ECS ● EFS ● EKS ● ElastiCache ● ElasticBeanstalk ● ELB ● EMR ● ES ● EventBridge ● FSx ● Glue ● GuardDuty ● IAM ● Inspector ● Kinesis ● KMS ● Lambda ● Macie ● MQ ● MSK ● Neptune ● NetworkFirewall ● Opensearch ● Route53 ● RDS ● Redshift ● S3 ● SageMaker ● SecretsManager ● ServiceCatalog ● SQS ● SSM ● StepFunctions ● Transfer ● WAF ● WorkSpaces ※赤字は重要度が「重要」「高」のコントロールがあるサービス

23 学べること 【学べること】 ● 通知に必要な各種AWSサービスの仕様/制約 ○ EventBridge ○ SNS ○ Chatbot ○ Lambda EXTRA：重要度が「重要」「⾼」で、     コントロールステータスが「失敗」のものを通知してみる

24 まとめ ● 学習⽅法や学習領域に迷ったらとりあえずAWS Security Hubを学んでみよう！ ● AWS Security Hubを完全に理解できたあなたは即戦⼒ソリューションアーキテ クトプロフェッショナル！

25