KAGが関わるアカウント全てにSecurity Hubを導入した(い)話

Slide 1

Slide 1 text

KAGが関わるアカウント全てに Security Hubを導入した(い)話 JAWS-UG情シス支部第30回 KDDIアジャイル開発センター若松剛志

Slide 2

Slide 2 text

Who am I ? 若松剛志 AWS ﾁｮｯﾄﾃﾞｷﾙエンジニア秋田出身、札幌在住 @t_wkm2

Slide 3

Slide 3 text

Who am I ? ぽんず生後6ヶ月北海道足寄町生まれ趣味：新築の家を破壊すること

Slide 4

Slide 4 text

KAGが関わるアカウント全てに Security Hubを導入した話

Slide 5

Slide 5 text

KAG＝ KDDIアジャイル開発センター

Slide 6

Slide 6 text

KAGはアジャイル開発にこだわる開発会社 ● KDDIの部署として10年の実績 ● 2022年にKDDIの子会社として独立した ● KDDIグループの開発プロジェクトに加え、外部から受注するプロジェクトも増えてきた

Slide 7

Slide 7 text

開発プロジェクトがたくさんある

Slide 8

Slide 8 text

開発プロジェクトがたくさんあると... ● プロジェクト毎に開発品質を担保をしてるが、セキュリティの専門家が各プロジェクトにいるわけじゃない ● KAGとして一定以上のセキュリティ品質の担保を保証したい ● KAGのプロジェクトのほとんどはAWS上で行われるが、AWSの専門家が各プロジェクトにいるわけじゃない

Slide 9

Slide 9 text

AWS Security Hub

Slide 10

Slide 10 text

Slide 11

Slide 11 text

AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体的なセキュリティの体制を把握することができます。出典：https://aws.amazon.com/jp/security-hub/ AWS Security Hubとは AWSによると... AWS謹製のベストプラクティスやCIS ベンチーマーク、NISTなど様々なルールがあり、その中から選択して使用する

Slide 12

Slide 12 text

AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体的なセキュリティの体制を把握することができます。出典：https://aws.amazon.com/jp/security-hub/ AWS Security Hubとは AWSによると... 選択したルールが適用されているかを12時間 or 24時間毎に自動でチェックする

Slide 13

Slide 13 text

AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体的なセキュリティの体制を把握することができます。出典：https://aws.amazon.com/jp/security-hub/ AWS Security Hubとは AWSによると... ルールに反しているもの（アラート）を 1つのアカウントのダッシュボードに集約してくれる

Slide 14

Slide 14 text

AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体的なセキュリティの体制を把握することができます。出典：https://aws.amazon.com/jp/security-hub/ AWS Security Hubとは AWSによると... Organizationに所属しているアカウントはSecurity Hubを有効にするだけで自動で集約される Org外のアカウントもInvitationと Acceptは必要だが集約可能

Slide 15

Slide 15 text

KAG内のSecurity Hub集約図

Slide 16

Slide 16 text

責任共有モデルとSecurity Hub

Slide 17

Slide 17 text

責任共有モデルとSecurity Hub AWS設定に関わる部分を対象としている

Slide 18

Slide 18 text

Security Hubの画面

Slide 19

Slide 19 text

Security Hubの導入にあたって準備したこと ● クロスアカウント設定の確立 ● 共通コントロールの作成と全アカウントへの適用方法確立 ● 社員向けの説明資料作成

Slide 20

Slide 20 text

クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント：Security Hubを有効化 2. 管理アカウント：対象アカウントにInvitationを送る 3. 対象アカウント：InvitationをAcceptする 4. 対象アカウント：コントロール設定用IAMロール作成 5. 管理アカウント：コントロール定義配布

Slide 21

Slide 21 text

Slide 22

Slide 22 text

共通コントロールの作成と全アカウントへの適用方法確立 Org外のコントロール設定はAWS公式のサンプルソリューションである aws-security-hub-cross-account-controls-disabler を使う https://github.com/aws-samples/aws-security-hub-cross-account-controls-disabler

Slide 23

Slide 23 text

共通コントロールの作成と全アカウントへの適用方法確立

Slide 24

Slide 24 text

社員向けの説明資料作成

Slide 25

Slide 25 text

KAGが関わるアカウント全てに Security Hubを導入した話

Slide 26

Slide 26 text

KAGが関わるアカウント全てに Security Hubを導入した(い)話

Slide 27

Slide 27 text

ぶっちゃけまだ1プロジェクトしか終わってないｗ

Slide 28

Slide 28 text

これから全プロジェクトへ展開して 5月までに導入完了の予定

Slide 29

Slide 29 text

導入後にやりたいこと ● GuardDuty ○ 悪意のあるアクティビティの検知/可視化 ● Inspecter ○ 脆弱性の検知/可視化 ● Amazon Detective ○ セキュリティ調査プロセス効率化

Slide 30

Slide 30 text

まとめ ● AWSのセキュリティ品質を一定以上に保つため、AWS Security Hubを導入するのがおすすめ ● 導入に当たってはクロスアカウント設定はポリシー適用などいくつかの手順を踏む踏む必要がある ● Security Hub以外にもセキュリティに関わるサービスがあるので、導入していきたい