スコ ア ア ップを目指 し た 話 Security Hub

自己紹介 小寺　加奈子 【仕事】 AWSパートナーでアライアンスリード 【ミッション】 日本とベトナムのAWSビジネス グロース 【好きなAWSサービス】 Cost Exploler 【趣味】 お琴 【JAWS】クラウド女子会運営、 　　　　　2023年事務局メンバー

セキュリティレベルを底上げしようと思ったきっかけ アジェンダ Security Hubとは？ ハイスコアにするためのPDCAの回し方

Security Hubを用いたAWSセキュリティの可視化 話すこと 運用の諦めないPDCAの回し方 話さないこと Security Hubの詳細設定 Security Hubと他サービスの連携

セキュリティレベルを 底上げしようと 思ったきっかけ

AWS マネージドサービスプロバイダー (MSP) パートナーを目指す

MSPでのセキュリティ要件（抜粋） AWS パートナーが管理する少なくとも 1 つの AWS Organization の すべての AWS アカウントにおけるセキュリティ設定状況を示す、セキュ リティ ダッシュボードを提出する必要があります。 重要度が高いまたはクリティカルな結果にはすべて、リスクの軽減方法 および/または改善のタイムラインに関するド キュメントを添付する必要 があります。

Organizations アカウント配下で セキュリティ設定状況を示す、 セキュリティ ダッシュボード

Security Hubとは？

複数のサービスで発生したセキュリティアラートの 集約や整理、優先順位付けを行い、一つの管理画面で わかりやすく見ることができます。 Security Hubのおさらい

Security Hubと連携できるサービス ※結果送信のみ。サードパーティとも連携可能

結果の集約以外は「コンプライアンス向上」 セキュリティ基準として提供されるのは2024年2月時点で 以下の5つ ・AWS 基礎セキュリティのベストプラクティス v1.0.0 ・CIS AWS Foundations Benchmark v1.2.0 ・CIS AWS Foundations Benchmark v1.4.0 ・NIST Special Publication 800-53 Revision 5 ・PCI DSS v3.2.1

「AWS基礎セキュリティベストプラクティス」 は汎用性の高いチェックツールで可視化が可能

ハイスコアにするための PDCAの回し方

「AWS基礎セキュリティのベストプラクティス」 ハイスコアを目指してみる

重要度は以下の通り設定されている INFORMATIONAL – 問題は見つかりませんでした。 LOW – この問題は単独で対処する必要はありません。 MEDIUM – この問題は対処する必要がありますが、緊急ではあ りません。 HIGH – この問題は優先事項として対処する必要があります。 CRITICAL – この問題は悪化しないようにすぐに修正する必要が あります

To Be As Is 1 2 High,Criticalは自動 対応がされている 自社で決めたポリシーに従い 標準形としてお客様に提供し たい 1 2 導入したときは、ルールが 決められていないので、ど うやって対応ができるかを AWS画面から確認 ポリシー決めのため、 High, Criticalで検出されて くるものを整理

最初に対応したこと Critical 、Highでかつ全Organizationsのアカウントに 適用できるルールを確認 Organizationsでの一括設定を目標に SCPで設定を実施

IAM.4　（重大） IAM ルートユーザーのアクセスキーが存在してはいけません IAM.6　（重大） ルートユーザーに対してハードウェア MFA を有効にする必要があります まずはルール確認（例）

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "ec2:DisableSnapshotBlockPublicAccess" ], "Resource": "*" } ] } SCPから制御 各アカウント毎に設定・設計しなくてすむことを目指す AWS Organizations＞サービスコントロールポリシー (SCP) 例）EBSのスナップショットの公開禁止

No 確認日 対応 レベル 番号 タイトル 修復方法 1 2024/1/18 完了 重要 IAM.6 Hardware MFA should be enabled for the root user 無効化 2 2024/1/18 対応中 重要 KMS.3 AWS KMS keys should not be deleted unintentionally SCPでの記載 3 2024/1/18 検証中 重要 RDS.1 RDS snapshot should be private 4 2024/1/18 対応中 高 EC2.2 VPC default security groups should not allow inbound or outbound traffic 無効化 5 2024/1/18 対応済 高 GuardDuty.1 GuardDuty should be enabled Organizationsから 有効化 設定を見直す時間を取る Security Hub確認用のミーティングを実施 上がってきたRiskがHigh/Criticalをメモしておいてチェックする

１）SCPを設定したときは、SCP検証用のOUにアカウントをアタ ッチ ２）ルールがOKであれば他のOUに適用 再度設定＆検証 設定見直しミーティングと検証をしばらく繰り返す

スコアアップのためには「無効化」も対応 コントロールの [無効化] を選択することで、 コントロールを無効にできる。 無効化したコントロールはチェックの対象外になります。(関連して生 成している Configルールも削除) 試してみる無効化

更に進んだ運用に向けて Config Rulesを利用することにより 違反したリソースを自動的に修復する Security Hub 標準を有効にする前に AWS Config でリソース記 録を有効にすることを推奨

Thank you for listening! Don't hesitate to ask any questions!