Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
開発者が自律的に AWS Security Hub findings に対応する仕組み ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a
Slide 2
Slide 2 text
株式会社カミナシ 西川 彰(Security Engineering) ● 一般社団法人鹿児島県サイバーセキュリティ協議会 代表理事 ● 大和セキュリティ Hayabusa, Takajo 開発者 ○ HITCON 2024(台湾)、SecTor 2024(カナダ)登壇 ● CISSP 自己紹介 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a
Slide 3
Slide 3 text
カミナシにおける AWS 環境と前提の共有 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a
Slide 4
Slide 4 text
● カミナシは複数のプロダクトを提供している ● それぞれのプロダクト毎に dev/stg/prod のアカウントが存在する ● それらのアカウントでは AWS Security Hub を有効化している カミナシにおける AWS 環境 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a プロダクトA プロダクトB Prod Stg Dev Prod Stg Dev Audit
Slide 5
Slide 5 text
● それぞれのプロダクトのセキュリティへの対応の責任は開発者にある ● セキュリティエンジニアは開発チームのイネーブルメントを行う ● 開発チームが自分たちのプロダクトを堅牢化したり教育を行う カミナシにおけるセキュリティエンジニアの役割 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a
Slide 6
Slide 6 text
私たちのミッションはセキュリティ文化を構築すること。 具体的には、、、 ● 開発者が呼吸するようにセキュリティを意識するようになること ● セキュアな環境を構築しながらも敏捷性を保ち続けること ● 自浄作用があるということ(問題を放置し続けないということ) カミナシにおけるセキュリティエンジニアのミッション ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a
Slide 7
Slide 7 text
Liver というシステム ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a
Slide 8
Slide 8 text
Liver の構成図 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a アカウント A アカウント B アカウント C Audit Security tooling On-call 担当者 AWS Security Hub Amazon EventBridge Amazon EventBridge AWS Lambda
Slide 9
Slide 9 text
1. アクショナブルであること 通知を受け取った人が何をすれば良いかを明確にする 2. 対応責任者を明確にする その通知を”誰が”対応するかを明確にする 3. リスクマネジメント プロダクトによってセキュアにしなければいけない度合いは異なるので カスタマイズできるようにしておく Liver のコンセプト ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a
Slide 10
Slide 10 text
アクショナブルであること ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a 何をしたら良いかがわからない 通知に価値はない アクションを必要としない通知は可能な限り 送らない 対応が必要ない場合でも、何らかのアクション や確認は必要
Slide 11
Slide 11 text
対応責任者を明確化する ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a カミナシではチームではなく ”個人”に対応責任を持たせる 開発チームは AWS 環境で発生した あらゆる問題に対処する責任を負う 重要な問題やリスクが漏れ ないようにする
Slide 12
Slide 12 text
リスクマネジメント ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a サービスの重要性に基づいて 通知する最低重要度を設定 不要な通知を無くす Security Hub Automations ResourceId に下記が含まれ ていれば対象外にしている ● ControlTower ● aws-controltower 環境によってコントロールを変える Security Hub configuration
Slide 13
Slide 13 text
運用と結果 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a
Slide 14
Slide 14 text
運用設計 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a 対応すると判断 対応 自動解決 対応しないと判断 理由をチケットに 記載 許容するか否認 するか判断 対応する/しない
Slide 15
Slide 15 text
ちょっとしたインシデントが発生 Security Hub findings は、サービスやシステムのコンテキストを理解していない。 サービスやシステムのコンテキストをよく理解しないまま対応するとインシデントに つながる可能性がある Liver のようなシステムをできるだけ早く導入する Shift Left はやっぱり重要で本番リリース前に可能な限り問題に対処したい 運用を開始したところ... ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a
Slide 16
Slide 16 text
結果 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a
Slide 17
Slide 17 text
リスクアセスメントマトリクス ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a
Slide 18
Slide 18 text
Ramp-up 期間を設けることに ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a Ramp-up 期間の開始 Security Hub findings を確認する 無視したい検知項目 があればリソースに 対してタグをつける 運用開始
Slide 19
Slide 19 text
● セキュリティに開発者が自律的に対応する仕組みを用意する ● Security Hub の機能を使い倒す ● 運用設計を徹底的に開発者目線で考える まとめ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a