AWS Security Hubを活用した 効率的でセキュアなマルチアカウント管理 NRIネットコム TECH AND DESIGN STUDY#35 2024年6月27日 NRIネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 大林 優斗

1 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Security Hubとは 02 AWS Security Hub導入における課題 03 AWS Security Hubの運用における課題 04 自己紹介 01

2 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 大林 優斗 自己紹介 ◼ 登壇者：大林 優斗 ◼ 2024 Japan AWS Jr. Champions ◼ 業務：AWSを活用したシステムの設計・開発を担当 ◼ AWS認定資格

3 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Security Hubとは

4 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Security Hubに情報を集約 ◼ セキュリティ基準から逸脱したAWSリソースがないかチェックしてくれるセキュリティサービス ◼ Security Hubに検知情報を送信 AWS Security Hubとは AWS Security Hub Amazon GuardDuty AWS Firewall Manager Amazon Macie Amazon Inspector AWS Config AWS Health Dashboard AWS Systems Manager Patch Manager IAM Access Analyzer

5 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Security Hubに情報を集約 ◼ 検出されたコントロールは一覧で確認することができる ◼ セキュリティ基準をもとに検知結果の重要度を判定する AWS Security Hubとは AWSマネジメントコンソール

6 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Security Hubから情報を受け取る ◼ セキュリティ基準から逸脱したAWSリソースがないかチェックしてくれるセキュリティサービス ◼ Security Hubから検知情報を送信 AWS Security Hubとは AWS Security Hub Amazon GuardDuty AWS Firewall Manager Amazon Macie Amazon Inspector AWS Trusted Advisor Amazon Security Lake Amazon Detective AWS Chatbot

7 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Security Hub導入における課題

8 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します Security Hubを有効化していないリージョンの設定 ◼ Security Hubを使用しないリージョンはSCPで操作を制限する AWS Security Hub導入における課題 AWSアカウント 東京リージョン 大阪リージョン オハイオリージョン AWS Security Hub AWS Security Hub

9 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します Security Hubを導入した組織構成 ◼ 組織構成 AWS Security Hub導入における課題 Root OU マネジメントアカウント Security OU 監査アカウント System OU アカウント_01 アカウント_02 AWS Control Tower 委任 AWS Security Hub AWS Security Hub AWS Security Hub

10 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します どのように統制を効かせていくのか ◼ ケースに応じてどこまで統制を効かせるのか使い分けていく必要がある AWS Security Hub導入における課題 比較観点 ガイドラインのみ ガイドライン・ガードレール 柔軟性 • ガードレールを採用しない分、開発における 柔軟性が高い。 • ガイドラインのみのパターンよりも柔軟 性は劣るが、統制を効かせつつ開発 の自由度をある程度確保できる。 コンプライアンス • コンプライアンス遵守は各チームや個人の 自主性に依存する。 • コンプライアンスから逸脱するリスクが 低減する。 • 自動化されたガードレールによって、監 視の負担を軽減することも可能。 コスト • 各チームが非効率なリソース利用を行った 場合、全体のコストが増加するリスクがあ る。 • 非効率なリソース利用を防ぎ、全体 のコストを抑制できる。 • ガードレールを実装するための初期コ ストが発生するが、長期的にはコスト 削減が期待できる。

11 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します リージョンを切り替えて検知内容を確認することで負担が増加している ◼ Security Hub リージョン集約 AWS Security Hub導入における課題 AWS Security Hub 集約リージョン（東京リージョン） AWS Security Hub リージョンA AWS Security Hub リージョンB AWS Security Hub リージョンC

12 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 検知後のアクションにどのように繋げていくのか ◼ 通知の仕組み（メール、Slack、Backlog） AWS Security Hub導入における課題 アカウント_01 アカウント_02 監査アカウント AWS Security Hub AWS Security Hub AWS Security Hub アカウント_03 AWS Security Hub メール通知 Slack通知 Backlog通知

13 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Security Hubの運用における課題

14 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 通知が飛びすぎて重要検知を見逃してしまう ◼ 通知が飛びすぎて重要検知を見逃す ⚫ Security Hubの重要度がHIGH以上またはCRITICALの検知のみ通知する AWS Security Hubの運用における課題 監査アカウント AWS Security Hub メール通知 Slack通知 Backlog通知 Amazon EventBridge AWS Lambda

15 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ケースに応じた検知の定義をしたい ◼ Security Hub オートメーションルール ⚫ 条件を満たしたfindingsのステータスや重要度を変更できる ⚫ 例：特定のアカウントで、特定の検知における重要度を上げるように設定する AWS Security Hubの運用における課題 AWSマネジメントコンソール AWSマネジメントコンソール

16 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ケースに応じた検知の定義をしたい ◼ Security Hub 中央設定 ⚫ ホームリージョンの設定 ⚫ 組織単位、アカウント単位でセキュリティ基準を有効化できる ⚫ 組織単位、アカウント単位でコントロールの設定をカスタイマイズできる AWS Security Hubの運用における課題 AWSマネジメントコンソール

17 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ガードレール実装に必要なタグを管理をしたい ◼ AWS リソースタグ付け標準 ⚫ GuardDuty RuntimeMonitoringやMalwareProtectionの除外タグが設定されているか ⚫ Config：自動修復されないためのタグが付いているか ⚫ 開発チームで指定したタグが設定されているか ※全てのAWSリソースには対応していないので使用する際は調査の必要がある AWS Security Hubの運用における課題 AWSマネジメントコンソール

18 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 通知後どのように対応すればいいかわからない ◼ 通知後におけるアクションフローの全体像 AWS Security Hubの運用における課題 監査アカウント AWS Security Hub メール通知 Slack通知 Backlog通知 通知 調査・修正・抑制 CCoEチーム 開発チーム

19 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 通知後どのように対応すればいいかわからない ◼ Amazon Detectiveを使用して検知内容を調査 AWS Security Hubの運用における課題 Root OU マネジメントアカウント Security OU 監査アカウント System OU アカウント_01 アカウント_02 AWS Control Tower 委任 Amazon Detective Amazon Detective Amazon Detective Amazon Detective

20 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 検知内容を抑制する判断基準は？ ◼ システム構成上、リソースの設定変更ができないケース ◼ リソースの設定変更をすると、他の問題が発生するケース AWS Security Hubの運用における課題 AWSマネジメントコンソール

21 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるために何をしたらいいのか ◼ 検知から改善に繋げるためのサイクル AWS Security Hubの運用における課題 検知・通知 調査・修正 分析 改善

22 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるために何をしたらいいのか ◼ Security Hub インサイトを使用した検知状況の分析 AWS Security Hubの運用における課題 AWSマネジメントコンソール

23 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるために何をしたらいいのか ◼ 改善の具体例 AWS Security Hubの運用における課題 改善 アカウントごとのSecurity Hubの スコアを公開する スコアがあまりにも低い場合は CCoEと一緒に運用改善 GameDayに参加 セキュリティに対する意識改善

No content