DEV351 AWS Security Hub CSPM の成功・失敗体験 臼田 佳祐 クラスメソッド株式会社 シニアソリューションアーキテクト, AWS Security Hero 

こんにちは、臼田です。 みなさん、 AWS のセキュリティ対策してますか？(挨拶 

臼田佳祐(うすだけいすけ) ・クラスメソッド株式会社 / クラウド事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN Ambassador 2025 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS 運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective 自己紹介 みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective ブログ投稿数: 777+ 

Security-JAWS では 2026 年 2 月 に 「AWS Security Hub CSPM 利用実 態調査レポート」を公開 日本の AWS ユーザーが実際にど う活用できているか・できてい ないかや、お悩みを調査 教訓と改善のプラクティスを共 有します セッション概要 https://bit.ly/sjaws-security-hub-cspm-report 

• AWS Security Hub CSPM の利用 実態調査結果 • 成功体験・失敗体験からくる 教訓 • CSPM 運用を成功に導くため のプラクティス アジェンダ 

AWS Security Hub CSPM の利用実態調査結果 

• 2023 年 2 月に「AWS セキュリティのベストプラクティ スに関する利用実態調査レポート」を公開 • こちらは AWS セキュリティ全体を対象としていた • 今回は利用ユーザーが多く、かつその数だけ課題もあ る AWS Security Hub CSPM について深堀りすることにし た 利用実態調査の背景 

• AWS Security Hub CSPM は AWS 環境の様々な設定を調査し、 危険な設定があれば検出してくれるセキュリティチェッ クの素晴らしいサービスで、すべての AWS 環境で利用す べきもの • しかし実際に利用すると「たくさん検出が上がってきて どれから対処すればいいかわからない」や「是正しよう としてもそれがどの程度本当に実施しなければいけない のか判断できない」など、様々な課題を感じる方が多い • 利用実態を調査するとともに、お悩みを収集して、この 状況を改善するヒントを得たいと考えて調査を開始 調査前に持っていた課題 

調査結果回収状況 有効回答数 n = 59 内、組織回答数 52 回答組織の会社規模は多い順に • 101~300 人 : 34.6 % • 1001~5000 人 : 23.1 % • 5001 人~ : 19.2 % 調査結果レポート概要 ※AWS 利用者全体の実態を正確に把握できるほどの十分な回答数ではない 会社規模, 業種, 回答者の役割などにある程度偏りがあることに注意 回答者の会社規模(組織のみ) 

組織配下のすべての AWS アカウントで有効化・すべ てのリージョンで有効化、共に 50 %程度とあまり高 くない結果 AWS Security Hub CSPM の有効化状況 組織内の AWS アカウントの有効化割合 AWS Security Hub CSPM の全リージョン有効化割合 

下記一連の運用が適切にできて いると回答した組織は 2-3 割と 非常に低く留まった 運用体制の整備状況 検出内容の自動修復の利用度合い AWS Security Hub CSPMガイドライン整備状況 ガイドライン整備 コントロールのチューニング セキュリティスコアの活用 自動修復 再発防止 

• AWS Security Hub CSPM 有効化状況の実態では、半数近くの 組織ですべての AWS アカウントやリージョンで適用できて おらず、組織の管理する AWS 環境全体を防ぐことが難しい 状況である • 運用の利用実態として、ガイドライン整備・コントロール チューニング・セキュリティスコア活用・自動修復利用・ 再発防止など詳細に確認したが、どれも適切に実施できて いる組織は 2〜3 割と低く留まっており、有効化の先の運 用整備が大多数の組織で追いついていない状況である 利用実態調査結果まとめ 

成功体験・失敗体験からくる教訓 

成功体験・失敗体験からくる教訓の概要 • 成功体験 • 失敗体験 • おすすめの使い方 • お悩み ヒアリング内容 ヒアリング結果をもと にした教訓を Security-JAWS メンバー のコメント付きで共有 紹介する内容 

「4 年間の継続的な取り組みにより、全プロダクトの HIGH/CRITICAL未 対応が数十件から 0 件に改善。2 週間ごとの定期会議での共有がセ キュリティ意識向上の鍵となった」 成功体験: 継続的な運用により、セキュリティ未対応が改善 臼田: 「地道な取り組みで組 織のセキュリティ向上 につながっている良い 例。次は組織での基準 の統一化や強制力の適 用が重要」 吉江: 「組織としての改善は 地道にやっていくもの。 横のつながりで対応施 策が共有されることで 組織として成長してい く」 ひろかず: 「組織内のサイクルに 織り込まれ、全員が関 与する仕組み作りと組 織文化の醸成を継続し てきた結果である。牽 引してきたメンバーは 賞賛されるべきだし、 価値ある知見を共有し てほしい」 大竹: 「AWS Security Hub CSPM の直接的メリッ トじゃないけど、正し く運用することでセ キュリティ意識が向上 したって副産物がすご くいい。次の課題が見 えてきているのも意識 向上の成果」 

「AWS Config 記録を『日次』『連続』『除外』に分類し、数週間の実績 確認後に調整。AWS::EC2::NetworkInterface など高頻度更新リソースを除 外することで、セキュリティを維持しながらコストを大幅削減」 おすすめの使い方: AWS Config 記録の調整によるコスト削減手法 臼田: 「AWS 環境の利用状況 によりコスト増になる ことが注意点。日次記 録によるコスト削減は 必要な範囲で上手く活 用したいところ」 吉江: 「監視の間隔や除外パ ターンのノウハウがう まくまとまると共有す る価値は大いにあり」 ひろかず: 「これは使っているだ けでは判らない知見な ので、使っている人・ これから使う人にも向 けて共有してほしい」 大竹: 「数週間の実績確認で コントロールを見定め るファクトベースアプ ローチがとても良い。 セキュリティリスクと コストバランスについ て考えさせられる」 

「通知＝即時対応必須と誤解した運用メンバーが、業務影響を確認せ ず設定変更し障害発生。変更管理プロセスとリスクコントロールの理 解が不可欠」 失敗体験: とりあえず対応して障害発生 臼田: 「実際に起きてしまっ た悪い例で非常に参考 になりますね。みんな でどうしたらいいか、 考えよう！」 吉江: 「変更管理プロセスと して、その作業のリ リース妥当性をきちん と確認しましょう」 ひろかず: 「セキュリティ対応だ けでなく、その他の理 由での変更でも同様の 事故が起きてそうです。 事故の有無とは別に、 平時からの変更管理プ ロセスの実施状況を観 察し、是正を続ける必 要があります。」 大竹: 「リスクはゼロにしな いといけない！って思 い込みが原因。リスク はコントロールするも の。大規模環境でア ラート地獄にしないた めの現実的なプラク ティスが大切」 

成功体験・失敗体験からくる教訓まとめ セキュリティは一朝一夕ではよくならない → 継続的に取り組み、周りを巻き込んで文 化を作ろう 既存の知見を活用して体制を整えよう → 運用ルールや仕組みの整備も適切に 

CSPM 運用を成功に導くためのプラクティス 

AWS セキュリティ を段階的に強化し ていく時に役立つ モデル この 4 段階の Phase に絡めながら強化 策を提示します AWS セキュリティ成熟度モデルを活用しよう https://maturitymodel.security.aws.dev/ja/model/ 

• AWS Organizations を利用している場合、連携して AWS Security Hub CSPM を全 AWS アカウントに展開する • 利用していない場合は、AWS Security Hub CSPM の招待機 能でマルチアカウント連携して集約管理する • 使用しないリージョンは Service Control Policies(SCP)で制 限し、使用するリージョンすべてに AWS Security Hub CSPM を展開しヌケモレ無く・コスパよく導入する AWS Organizations 等で すべての環境に一括設定 Phase 1 : クイックウィン 関連項目: 1.1.2: 使用するリージョンを選択し、残りをブロックします 1.2.1: Security assurance クラウドのセキュリティ体制を評価する 

• 既存のプロダクトがある状態に AWS Security Hub CSPM のセキュリティチェックを導入すると、検出がたくさ ん出てくる • 最初から通知をするとアラート疲れになるため、基本 的な対応が終わり運用が確立できそうになってから通 知を入れる • 特に Phase 1 にある「すべての IAM user で多要素認証 を入れる」「security group で危険なポートを解放しな い」なども最初に潰しこむべきチェック項目 最初からすべてを通知しない Phase 1 : クイックウィン 関連項目: 1.3.1: 多要素認証 1.6.1: 危険な管理者が開いているポートをクリーンアップする 

• AWS Security Hub CSPM で検出する問題は根本的なセ キュリティのリスクとビジネス要件を勘案しながら対 応方針を決める必要があり、連携して組織全体の方針 を決めていく必要がある • 両チームで連携しながら、検出項目を1つずつ確認し ながら組織として知見を貯めて積み上げていく 開発チームとセキュリティチームで 連携して是正する Phase 2 : 基礎 関連項目: 2.1.1: セキュリティ要件と規制要件を特定する 2.8.1: セキュリティチームを開発に参加させる 

• 知見が溜まったらガイドラインや設計指針を定義し、 組織全体に展開して設計からセキュアにしていく • コントロールに応じて全社(セキュリティチーム・ガバ ナンス部門等)で責任を持つ範囲と、プロダクト側で持 つ範囲を分けられるとよい • 例えば可用性要件などは全社で管理しなくてもよい • 対応手段も固められ、検出後の対応可否判断や修復手 順の自動化などの効率化も進める ガイドラインを整備する Phase 3 : 効率化 関連項目: 3.1.1: 安全なアーキテクチャを設計する 3.9.2: 重要なプレイブックを自動化する 

• ガイドラインが整備されると、ルールに従い違反項目 を強制的に修復する地盤ができる • Automated Security Response on AWS(ASR)を活用すると、 AWS Security Hub CSPM で検出した問題を完全自動で修 復が可能 セキュリティ対応を自動化する Phase 4 : 最適化 関連項目: 4.9.4: 設定不備の自動修正 AWS Solutions Library で公開されている Automated Security Response on AWS https://docs.aws.amazon.com/solutions/automated -security-response-on-aws/ 

まとめ 

• AWS Security Hub CSPM を使いこなすのは大変だが、着実に 積み上げて AWS セキュリティを強化していくべき • 参考になる成功体験・失敗体験などの知見は世の中にある ので、これを活用してよりよい運用を目指してほしい • AWS セキュリティ成熟度モデルを活用した段階的なセキュ リティ強化を意識し、Automated Security Response on AWS なども活用しながら仕組みづくりしてほしい • 取り組んだら成功体験・失敗体験をアウトプットしよう！ まとめ 

Special Thanks: Security-JAWS メンバー 臼田 佳祐 ソリューションアーキテクト AWS Security Hero Amazon GuardDuty は俺の嫁 AWS Security Hub も俺の嫁 最近彼女が分裂して新しい AWS Security Hub になりま した。 嬉しいね べこみん セキュリティエンジニア AWS をはじめとし たクラウドセキュ リティが専門領域 です Like: AWS Security Hub, AWS WAF 吉田 ひろかず セキュリティエンジニア ライフワーク: 運用できる・実装 できるセキュリ ティの実現 Like : Elastic Load Balancing 大竹 孝昌 アライアンスリード 専門領域はクラウド における高可用性 だったりする Like : Amazon S3 吉江 瞬 セキュリティコンサルタント AWS Security Hero 興味: Multi-Cloud, Audit, CTEM, CNAPP, Resilience Like : AWS Security Hub, AWS WAF, AWS Resilience Hub