開発者が自律的に AWS Security Hub findings に対応する仕組み ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a 

　株式会社カミナシ 　西川　彰（Security Engineering） ● 一般社団法人鹿児島県サイバーセキュリティ協議会　代表理事 ● 大和セキュリティ Hayabusa, Takajo 開発者 ○ HITCON 2024（台湾）、SecTor 2024（カナダ）登壇 ● CISSP 自己紹介 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a 

カミナシにおける AWS 環境と前提の共有 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a 

● カミナシは複数のプロダクトを提供している ● それぞれのプロダクト毎に dev/stg/prod のアカウントが存在する ● それらのアカウントでは AWS Security Hub を有効化している カミナシにおける AWS 環境 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a プロダクトA プロダクトB Prod Stg Dev Prod Stg Dev Audit 

● それぞれのプロダクトのセキュリティへの対応の責任は開発者にある ● セキュリティエンジニアは開発チームのイネーブルメントを行う ● 開発チームが自分たちのプロダクトを堅牢化したり教育を行う カミナシにおけるセキュリティエンジニアの役割 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a 

私たちのミッションはセキュリティ文化を構築すること。 具体的には、、、 ● 開発者が呼吸するようにセキュリティを意識するようになること ● セキュアな環境を構築しながらも敏捷性を保ち続けること ● 自浄作用があるということ（問題を放置し続けないということ） カミナシにおけるセキュリティエンジニアのミッション ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a 

Liver というシステム ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a 

Liver の構成図 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a アカウント A アカウント B アカウント C Audit Security tooling On-call 担当者 AWS Security Hub Amazon EventBridge Amazon EventBridge AWS Lambda 

1. アクショナブルであること 　 通知を受け取った人が何をすれば良いかを明確にする 2. 対応責任者を明確にする その通知を”誰が”対応するかを明確にする 3. リスクマネジメント 　 プロダクトによってセキュアにしなければいけない度合いは異なるので カスタマイズできるようにしておく Liver のコンセプト ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a 

アクショナブルであること ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a 何をしたら良いかがわからない 通知に価値はない アクションを必要としない通知は可能な限り 送らない 対応が必要ない場合でも、何らかのアクション や確認は必要 

対応責任者を明確化する ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a カミナシではチームではなく ”個人”に対応責任を持たせる 開発チームは AWS 環境で発生した あらゆる問題に対処する責任を負う 重要な問題やリスクが漏れ ないようにする 

リスクマネジメント ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a サービスの重要性に基づいて 通知する最低重要度を設定 不要な通知を無くす Security Hub Automations ResourceId に下記が含まれ ていれば対象外にしている ● ControlTower ● aws-controltower 環境によってコントロールを変える Security Hub configuration 

運用と結果 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a 

運用設計 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a 対応すると判断 対応 自動解決 対応しないと判断 理由をチケットに 記載 許容するか否認 するか判断 対応する/しない 

ちょっとしたインシデントが発生 Security Hub findings は、サービスやシステムのコンテキストを理解していない。 サービスやシステムのコンテキストをよく理解しないまま対応するとインシデントに つながる可能性がある Liver のようなシステムをできるだけ早く導入する Shift Left はやっぱり重要で本番リリース前に可能な限り問題に対処したい 運用を開始したところ... ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a 

結果 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a 

リスクアセスメントマトリクス ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a 

Ramp-up 期間を設けることに ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a Ramp-up 期間の開始 Security Hub findings を確認する 無視したい検知項目 があればリソースに 対してタグをつける 運用開始 

● セキュリティに開発者が自律的に対応する仕組みを用意する ● Security Hub の機能を使い倒す ● 運用設計を徹底的に開発者目線で考える まとめ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_a