Slide 1
Slide 1 text
今⽇から始めるAWSセキュリティ対策
3ステップでわかる実践ガイド
クラスメソッド株式会社 クラウド事業本部コンサルティング部
吉⽥岳史
Slide 2
Slide 2 text
⾃⼰紹介 2
吉⽥ 岳史(YOSHIDA Takeshi)
所属
クラスメソッド株式会社 クラウド事業本部 コンサルティング部
ソリューションアーキテクト
担当業務
AWS設計構築
コンサルティング
プリセールス
Slide 3
Slide 3 text
前提 3
● なぜセキュリティ対策が必要なのか?という説明は割愛させていただきます
● 下記のセキュリティとAWSの基礎を解説した記事をお読みください
Slide 4
Slide 4 text
アジェンダ 4
1. まずはAWS環境を是正しよう
2. 全体的なセキュリティ対策をしよう
3. シフトレフトを意識しよう
Slide 5
Slide 5 text
1.まずはAWS環境を是正しよう
5
Slide 6
Slide 6 text
AWS Security Hubを
有効化しましょう!
6
Slide 7
Slide 7 text
AWS Security Hubとは 7
● AWSリソースの設定値を⾃動でチェックし、セキュリティ観点で
誤った設定となっていないか確認できるサービス
(Cloud Security Posture Management, CSPM)
● チェック結果はマネジメントコンソールから⼀覧で確認でき、
全体の結果に基づいてセキュリティスコアが表⽰される
Slide 8
Slide 8 text
2025年6⽉にAWS Security Hubは
アップデートしました!
8
Slide 9
Slide 9 text
統合セキュリティソリューションにアップデート 9
画像引⽤:[プレビュー]AWS Security Hubが機能分離され統合セキュリティソリューショ
ンに⽣まれ変わりました #AWSreInforce
先ほどまで説明
していた機能
Slide 10
Slide 10 text
AWS Security Hub CSPMのコンソール画⾯ 10
Slide 11
Slide 11 text
AWS Security Hub CSPMのコントロール例 11
● 重⼤度Critical:[ EC2.19 ] セキュリティグループは、リスクの⾼いポート
への無制限のアクセスを許可してはならない
● 重⼤度Critical:[ IAM.4 ] IAM ルートユーザーアクセスキーは存在しては
なりません
● 重⼤度Critical:[ RDS.2 ] RDS DB インスタンスは、PubliclyAccessible 設
定によって判断される、パブリックアクセスを禁⽌する必要があります
データ漏洩‧攻撃につながるパブリックアクセス、認証情報に関する設定
ミスは⾼い重⼤度で検知される
Slide 12
Slide 12 text
AWS Security Hub CSPMの活⽤‧運⽤⽅法 12
1. コントロールID毎に重要度などを基準に優先度‧対応⽅針を決める
例) 重⼤度Critical/High優先、重⼤度Lowはやらない
※参考:[Security Hub] ワークフローステータス「抑制済み」を使ってセキュリティチェックのリ
ソース例外を登録する
2. ⽅針に基づいてコントロールを整理する(抑制‧無効化)
3. 違反している AWSリソースの修正対応を進める
a. なるべく100%を⽬指す
b. 重要度Critical/Highを対応するとセキュリティ事故が発⽣する可能性を低減
4. 定期的なSecurity Hubチェック結果の棚卸しを⾏う
Slide 13
Slide 13 text
弊社サービス: Classmethod Cloud Guidebookのご紹介 13
● 「クラスメソッドメンバーズ」のお客様向けに無償公開している
AWS活⽤のノウハウが詰まったナレッジ集
● AWS Security Hubガイドでは、AWS Security Hubの各検知項⽬
の解説、無効化/抑制する場合の判断基準がまとめられています
引⽤: クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」の使い⽅ | DevelopersIO
Slide 14
Slide 14 text
弊社サービス: Classmethod Cloud Guidebookのご紹介 14
こちらのQRコード、
もしくはURLからデモページにアクセスできます!
URL : https://demo.guidebook.classmethod.net/
Slide 15
Slide 15 text
弊社サービス: Classmethod Cloud Guidebookのご紹介 15
AWS Security Hubガイドのデモページは、
⾚枠で囲ったリンクからアクセスできます!
Slide 16
Slide 16 text
Security Hub修復⼿順ブログのご紹介 16
コントロールごとの具体的な修復⼿順を解説したブログを公開しています!
Slide 17
Slide 17 text
AWS Security Hub Advancedとは 17
● 下記の検出エンジンの様々な検知情報を集約‧関連づけることで、
セキュリティリスクを検出する統合セキュリティソリューション
○ AWS Security Hub CSPM
○ Amazon Inspector
○ Amazon Macie
○ Amazon GuardDuty
● 5つのセキュリティ領域に分かれている
○ 露出(Exposure)
○ 脅威(Threats)
○ 脆弱性(Vulnerabilities)
○ 体制管理(Posture Management)
○ 機密データ(Sensitive data)
Slide 18
Slide 18 text
露出領域とは 18
● AWS Security Hub CSPM コントロールチェックやAmazon Inspector
の検出結果から、脆弱性‧悪⽤可能なリソース‧設定ミスによるAWS
環境内の潜在的なセキュリティ攻撃の可能性(露出特性)を検出する領
域
● 上記の検出は、露出結果として⽣成される
● アタックパスの可視化機能が⽬⽟
Slide 19
Slide 19 text
露出領域のコンソール画⾯ 19
Slide 20
Slide 20 text
クイズをします
20
ここで皆さんに。。。
Slide 21
Slide 21 text
Anyポートでインターネットからアクセス
可能なEC2インスタンスに対して露出結果
は⽣成されるでしょうか?
21
露出結果のクイズ
Slide 22
Slide 22 text
正解は。。。
22
露出結果のクイズ
Slide 23
Slide 23 text
露出結果は⽣成されません!
23
露出結果のクイズ
Slide 24
Slide 24 text
24
露出結果⽣成の挙動
● リソースに露出特性(設定ミス‧ネットワーク到達可能性など)がな
い、または露出特性が不⼗分な場合、露出結果を⽣成されない
● 1つの露出結果=1つの露出特性という1対1の関係性ではなく、1つの
露出結果=複数の特性の集約という1対多数の関係性であることが上
記に挙動につながっている
Slide 25
Slide 25 text
数多あるリソースの中でどのリソースのセ
キュリティリスクを優先して対応すべきか
優先順位を⽰してくる機能
25
露出結果とは
Slide 26
Slide 26 text
26
具体例
下記の3つのインスタンスが、AWS Security Hub CSPMとAWS Security
Hubの露出領域でどのような評価がされるのか⾒ていきます
● Anyポートでインターネットからアクセス可能なEC2インスタンス
● ⼀定の権限があるインスタンスプロファイルがアタッチされている、
Anyポートでインターネットからアクセス可能なEC2インスタンス
● 管理者権限があるインスタンスプロファイルがアタッチされている、
Anyポートでインターネットからアクセス可能なEC2インスタンス
Slide 27
Slide 27 text
27
AWS Security Hub CSPMの場合
下記のコントロールが検出される
● 重要度High:[ EC2.9 ] EC2インスタンスはパブリックIPv4アドレスを
持つべきではない
● 重要度High:[ EC2.18 ] セキュリティグループは、許可されたポートに
対する無制限の受信トラフィックのみを許可する必要がある
● 重要度Critical:[ EC2.19 ] セキュリティグループは、リスクの⾼いポー
トへの無制限のアクセスを許可してはならない
→ただすべてのインスタンス(セキュリティグループ)が、
同じコントロール内で検出されるため優先順位がつけられない!
Slide 28
Slide 28 text
AWS Security Hub CSPMの弱点 28
● コントロール内でリソースの優先順位がつけられない
● ⼤量のリソースがある、かつ、セキュリティ設計が⼗分にされてい
ない環境だと、⼤量のコントロールで⼤量のリソースが検知される
→何から⼿をつけたらいいか分からない
Slide 29
Slide 29 text
29
AWS Security Hubの露出領域の場合
● Anyポートでインターネットからアクセス可能なEC2インスタンス
○ 露出結果が⽣成されない
● ⼀定の権限があるインスタンスプロファイルがアタッチされている、
Anyポートでインターネットからアクセス可能なEC2インスタンス
○ 重要度Lowの露出結果が⽣成される
● 管理者権限があるインスタンスプロファイルがアタッチされている、
Anyポートでインターネットからアクセス可能なEC2インスタンス
○ ⾼い重要度の露出結果が⽣成される
○ AWS Blogsの記事では重要度Highの露出結果が⽣成されている
○ 参考記事:Unify your security with the new AWS Security Hub for risk
prioritization and response at scale (Preview)
Slide 30
Slide 30 text
30
AWS Security Hubの露出領域の場合
露出結果によって、下記の優先順位がつけられる!
1. 管理者権限があるインスタンスプロファイルがアタッチされている、
Anyポートでインターネットからアクセス可能なEC2インスタンス
2. ⼀定の権限があるインスタンスプロファイルがアタッチされている、
Anyポートでインターネットからアクセス可能なEC2インスタンス
3. Anyポートでインターネットからアクセス可能なEC2インスタンス
Slide 31
Slide 31 text
31
ブログ紹介
ブログの⽅で詳細な解説をしております!
新しいAWS Security Hubの露出結果(Exposure findings)は、露出特性(Exposure traits)が不⼗分
だと⽣成されません! #AWSreInforce
Slide 32
Slide 32 text
AWS Security Hub CSPMと露出領域の使い分け 32
AWS Security Hub CSPM 露出領域
検出結果
生成・更新時間
1. リソースの作成・更新のタイミング
2. 定期的なチェック(12時間or24時間)
※タイミングに関しては、
コントロールによって異なる
定期的なチェック(6時間以上)
弱点 ● 同じコントロール内の検知だと優先順位
がつけられない
● 検出結果に時間がかかるためリア
ルタイムの監視に不向き
● すべての設定ミスを網羅する機能
ではない
使い方 ● 各リソースの各設定ミスを確認
● リアルタイムの設定ミス検知
※コントロールによる
● AWS環境全体の大まかなセキュリ
ティ状況を把握する
● セキュリティ是正の優先順位をつけ
る
Slide 33
Slide 33 text
2. 全体的なセキュリティ対策をしよう
33
Slide 34
Slide 34 text
AWSセキュリティ成熟度モデルを
使いましょう!
34
Slide 35
Slide 35 text
AWSセキュリティ成熟度モデルとは 35
● 組織においてAWSセキュリティ対策が
どの程度実現できているか定量的に測るための
フレームワーク
● 10つのセキュリティカテゴリと4段階のフェーズに区切ってセキュ
リティ対策がマッピングされている
● 公式のアセスメントツール(Excel)が提供されており、項⽬を埋めて
いくことで対策状況を可視化できる
Slide 36
Slide 36 text
AWSセキュリティ成熟度モデルの全体像 36
Slide 37
Slide 37 text
4つのフェーズ 37
● 「クイックウィン」〜「最適化」まで、4 段階のフェーズ分け
● はじめに⽬指す指針としてはフェーズ 2 の「基礎」
クイックウィン 基礎 効率化 最適化
フェーズ 1 フェーズ 2 フェーズ 3 フェーズ 4
はじめの⽬標
今すぐできる
Slide 38
Slide 38 text
AWS Security Hubだけでは
ダメなの?
38
Slide 39
Slide 39 text
AWS環境の設定のみならず、
ガバナンスやセキュリティ運⽤も
強化される!
39
AWSセキュリティ成熟度モデルのメリット
Slide 40
Slide 40 text
AWSセキュリティ成熟度モデルのメリット 40
例えば。。。
● セキュリティおよびコンプライアンス要件を確認しま
しょう
● インシデント対応⼿順を確⽴しましょう
● インシデントの根本原因を分析できるようにしましょう
● ユーザーを⼀元管理しましょう
Slide 41
Slide 41 text
具体例 41
Slide 42
Slide 42 text
具体例 42
Slide 43
Slide 43 text
具体例 43
Slide 44
Slide 44 text
具体例 44
Slide 45
Slide 45 text
45
弊社⽀援: AWSセキュリティ強化プログラムの紹介
● セキュリティ成熟度モデルを独⾃にチューニングしたツールを利⽤してセキュリティ
状況をヒアリング‧可視化します
● 可視化した上で、対策が不⼗分 or 更に強化したい項⽬への強化案の提案‧実施まで
対応できます
● 現在セキュリティ成熟度モデルはv2がリリースされておりますが、
当プログラムはv1までの内容で対応となります。ご了承ください。
Slide 46
Slide 46 text
弊社サービス:インシデント⾃動調査機能のご紹介 46
GuardDutyの運⽤をサポートするサービス
● Amazon GuardDutyの検出結果を⾃動で調査、概要の可視化、
判断に役⽴つレコメンドを合わせて⽇本語で通知します
● 「クラスメソッドメンバーズプレミアムサービス」の加⼊特典(有償)
引用: インシデント自動調査 | AWS総合支援 | クラスメソッド株式会社
Slide 47
Slide 47 text
インシデント⾃動調査サービスの概要 47
Slide 48
Slide 48 text
3. シフトレフトを意識しよう
48
Slide 49
Slide 49 text
システム開発の上流⼯程で
セキュリティ対策を組み込むアプローチ
49
シフトレフトとは
Slide 50
Slide 50 text
AWS Security Hubに検知されない
AWS環境を最初から構築する
50
AWS環境の設計‧構築に置き換えると。。。
Slide 51
Slide 51 text
「まず動くものを作ってから後でセキュリティを考える」
では、⼯数が倍以上かかることがあります!
51
シフトレフトの重要性
Slide 52
Slide 52 text
52
具体例(EC2のプライベートサブネット移⾏)
引⽤: EC2をプライベートサブネットに移⾏した際のアクセス整理(インバウンド‧アウトバウンド)
Slide 53
Slide 53 text
53
具体例(EC2のプライベートサブネット移⾏)
引⽤: EC2をプライベートサブネットに移⾏した際のアクセス整理(インバウンド‧アウトバウンド)
Slide 54
Slide 54 text
54
具体例(EC2のプライベートサブネット移⾏)
引⽤: EC2をプライベートサブネットに移⾏した際のアクセス整理(インバウンド‧アウトバウンド)
EC2再作成
NatGateway作成
EC2ログイン⽅法変更
アプリデプロイ⽅法変更
サービス停⽌
サブネット追加
本番作業⼿順‧コンチプランの整備
Slide 55
Slide 55 text
55
具体例(EC2のプライベートサブネット移⾏)
引⽤: EC2をプライベートサブネットに移⾏した際のアクセス整理(インバウンド‧アウトバウンド)
EC2再作成
NatGateway作成
EC2ログイン⽅法変更
アプリデプロイ⽅法変更
サービス停⽌
サブネット追加
本番作業⼿順‧コンチプランの整備
サービスリリース後のセキュリティ是正は⼯数が⾮常にかかる
今回のケースでは、最初からWeb3層アーキテクチャで設計‧
構築していれば、これらの⼿間は⼀切かからない
Slide 56
Slide 56 text
全社的に設計⽅針や対策を施す必要がある!
56
シフトレフトを意識するには
Slide 57
Slide 57 text
57
何も対策をしていないと。。。
Slide 58
Slide 58 text
58
何も対策をしていないと。。。
Slide 59
Slide 59 text
AWS利⽤ガイドラインを作ろう!
シフトレフトを意識するために 59
Slide 60
Slide 60 text
60
AWS利⽤ガイドラインの内容
最初から凝った内容のガイドラインを作成する必要はありません。
以下のような初歩的な内容でも、⼗分効果があります。
● EC2などコンピュートリソースなどは基本的にプライベートサブネッ
トに配置する
● Web3層アーキテクチャを意識する
● IAMロールで対応できる場合はアクセスキーを発⾏しない
● アクセスキーをアプリに直埋めしない
● AWS Security Hubを有効化する
Slide 61
Slide 61 text
弊社サービス: Classmethod Cloud Guidebookのご紹介 61
● 「クラスメソッドメンバーズ」のお客様向けに無償公開している
AWS活⽤のノウハウが詰まったナレッジ集
● AWS利⽤ガイドラインサンプルでは、AWS を組織的に活⽤する
際の⽅針を定めたガイドラインのサンプルを掲載しています
引⽤: クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」の使い⽅ | DevelopersIO
Slide 62
Slide 62 text
弊社サービス: Classmethod Cloud Guidebookのご紹介 62
こちらのQRコード、
もしくはURLからデモページにアクセスできます!
URL : https://demo.guidebook.classmethod.net/
Slide 63
Slide 63 text
弊社サービス: Classmethod Cloud Guidebookのご紹介 63
AWS利⽤ガイドラインサンプルのデモページは、⾚枠で囲ったリンクからアクセスできます!
Slide 64
Slide 64 text
64
他の対策
シフトレフトを実現するには、他にも以下のアプローチがあります。
● IaCの活⽤
● 組織的なセキュリティ統制
Slide 65
Slide 65 text
65
ブログ紹介
ブログの⽅で解説をしております!
シフトレフトを意識してAWS環境を設計‧構築しよう!
Slide 66
Slide 66 text
まとめ 66
● AWS環境のセキュリティ是正はAWS Security Hubを利⽤
しよう
○ AWSリソースの問題のある設定を⾒直せる
○ 露出結果で是正するリソースの優先順位をつけよう
● 全体的なセキュリティ対策としてAWSセキュリティ成熟度
モデルを利⽤しよう
○ ガバナンスやセキュリティ運⽤も強化される
● シフトレフトを意識してAWS環境を設計‧構築しよう
○ 後々の環境是正のコストや⼿間を⼤幅に削減できる
○ 簡単な内容でもいいのでAWS利⽤ガイドラインを作ろう
Slide 67
Slide 67 text
No content