Slide 1

Slide 1 text

KAGが関わるアカウント全てに Security Hubを導入した(い)話 JAWS-UG情シス支部 第30回 KDDIアジャイル開発センター 若松剛志

Slide 2

Slide 2 text

Who am I ? 若松 剛志 AWS チョットデキル エンジニア 秋田出身、札幌在住 @t_wkm2

Slide 3

Slide 3 text

Who am I ? ぽんず 生後6ヶ月 北海道足寄町生まれ 趣味:新築の家を破壊すること

Slide 4

Slide 4 text

KAGが関わるアカウント全てに Security Hubを導入した話

Slide 5

Slide 5 text

KAG= KDDIアジャイル開発センター

Slide 6

Slide 6 text

KAGはアジャイル開発にこだわる開発会社 ● KDDIの部署として10年の実績 ● 2022年にKDDIの子会社として独立した ● KDDIグループの開発プロジェクトに加え、 外部から受注するプロジェクトも増えてきた

Slide 7

Slide 7 text

開発プロジェクトがたくさんある

Slide 8

Slide 8 text

開発プロジェクトがたくさんあると... ● プロジェクト毎に開発品質を担保をしてるが、セ キュリティの専門家が各プロジェクトにいるわけ じゃない ● KAGとして一定以上のセキュリティ品質の担保を 保証したい ● KAGのプロジェクトのほとんどはAWS上で行われ るが、AWSの専門家が各プロジェクトにいるわけ じゃない

Slide 9

Slide 9 text

AWS Security Hub

Slide 10

Slide 10 text

AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS Security Hubとは AWSによると...

Slide 11

Slide 11 text

AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS Security Hubとは AWSによると... AWS謹製のベストプラクティスやCIS ベンチーマーク、NISTなど様々な ルールがあり、その中から選択して 使用する

Slide 12

Slide 12 text

AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS Security Hubとは AWSによると... 選択したルールが適用されているか を12時間 or 24時間毎に自動で チェックする

Slide 13

Slide 13 text

AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS Security Hubとは AWSによると... ルールに反しているもの(アラート)を 1つのアカウントのダッシュボードに 集約してくれる

Slide 14

Slide 14 text

AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS Security Hubとは AWSによると... Organizationに所属しているアカウ ントはSecurity Hubを有効にするだ けで自動で集約される Org外のアカウントもInvitationと Acceptは必要だが集約可能

Slide 15

Slide 15 text

KAG内のSecurity Hub集約図

Slide 16

Slide 16 text

責任共有モデルとSecurity Hub

Slide 17

Slide 17 text

責任共有モデルとSecurity Hub AWS設定に関わる部分を 対象としている

Slide 18

Slide 18 text

Security Hubの画面

Slide 19

Slide 19 text

Security Hubの導入にあたって準備したこと ● クロスアカウント設定の確立 ● 共通コントロールの作成と全アカウントへの適用 方法確立 ● 社員向けの説明資料作成

Slide 20

Slide 20 text

クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする 4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布

Slide 21

Slide 21 text

クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする 4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布

Slide 22

Slide 22 text

共通コントロールの作成と全アカウントへの適用方法確立 Org外のコントロール設定はAWS公式のサンプルソリューションである aws-security-hub-cross-account-controls-disabler を使う https://github.com/aws-samples/aws-security-hub-cross-account-controls-disabler

Slide 23

Slide 23 text

共通コントロールの作成と全アカウントへの適用方法確立

Slide 24

Slide 24 text

社員向けの説明資料作成

Slide 25

Slide 25 text

KAGが関わるアカウント全てに Security Hubを導入した話

Slide 26

Slide 26 text

KAGが関わるアカウント全てに Security Hubを導入した(い)話

Slide 27

Slide 27 text

ぶっちゃけまだ1プロジェクトしか 終わってないw

Slide 28

Slide 28 text

これから全プロジェクトへ展開して 5月までに導入完了の予定

Slide 29

Slide 29 text

導入後にやりたいこと ● GuardDuty ○ 悪意のあるアクティビティの検知/可視化 ● Inspecter ○ 脆弱性の検知/可視化 ● Amazon Detective ○ セキュリティ調査プロセス効率化

Slide 30

Slide 30 text

まとめ ● AWSのセキュリティ品質を一定以上に保つため、AWS Security Hubを導入するのがおすすめ ● 導入に当たってはクロスアカウント設定はポリシー適用などい くつかの手順を踏む踏む必要がある ● Security Hub以外にもセキュリティに関わるサービスがあるの で、導入していきたい