AWS Security Hub 導⼊と運⽤の検討ポイント 2022.9.28 AWS事業本部 コンサルティング部 yhana

2 もくじ 1. AWS Security Hub の概要 2. セキュリティチェックの対応例 3. AWS Security Hub 導⼊と運⽤の検討ポイント 4. みんなでセキュリティ対策

3 AWS Security Hub の概要

4 AWS Security Hub の概要 主な機能 1. セキュリティイベントを集約して管理する機能 2. セキュリティ基準に基づいてAWS環境をチェックする機能 今⽇の話

5 セキュリティ基準機能 事前定義されたセキュリティ基準に従ってAWS環境をチェック

6 セキュリティ基準機能 コントロール（セキュリティチェック項⽬）の例 EBS (Disk) のデフォルト暗号化を有効にすべき

7 セキュリティ基準機能 セキュリティ基準は 3種類 特別な要件がない場合は 「AWS基礎セキュリティのベストプラクティス」がおすすめ チェック対象となるサービス種類が多く、アップデートも頻繁

8 サービス別のコントロールの内訳 「AWS基礎セキュリティのベストプラクティス」は189のチェック項⽬ （2022年9⽉12⽇時点） CloudFrontはバージニア北部のみで評価 AWS Foundational Security Best Practices コントロール - AWS Security Hub

9 （参考）勉強資料 AWS Security Hub の勉強⽤ブログの紹介 https://dev.classmethod.jp/artic les/tsnote-securityhub- securityscore-calculate-01/ https://dev.classmethod.jp/artic les/lets-learn-aws-security-hub/ https://dev.classmethod.jp/artic les/security-hub-overall-status/

10 セキュリティチェックの対応例

11 IAM.8 [MEDIUM] 使⽤されていないIAMユーザー認証情報は削除する必要があります 90⽇間使⽤されていない パスワードやアクセスキーを所持している IAMユーザーが存在 評価結果から対象IAMユーザーを確認して対処 検知理由 対応例

12 EC2.19 [CRITICAL] セキュリティグループは、リスクの⾼いポートへの無制限の アクセスを許可してはならない 次のいずれかのポートの全IPアドレス開放 3389 (RDP) 20, 21 (FTP) 22 (SSH) 23 (Telnet) 110 (POP3) 143 (IMAP) 3306 (mySQL) 8080 (proxy) 1433, 1434 (MSSQL) 9200 or 9300 (Elasticsearch) 5601 (Kibana) 25 (SMTP) 445 (CIFS) 135 (RPC) 4333 (ahsp) 5432 (postgresql) 5500 (fcp-addr-srvr1) 検知理由 対応例 修正 修正

13 S3.2 [HIGH] S3バケットはパブリック読み取りアクセスを禁⽌する必要があります 検知理由 対応例 S3バケットをインターネットに直接公開 CloudFrontを利⽤してS3のデータを公開 追加 設定変更 そもそも意図せず公開されている場合もある︕

14 AWS Security Hub 導⼊と運⽤の検討ポイント

15 各フェーズの検討内容 お試し導⼊ 本格導⼊ 運⽤ コントロールの把握 コストの把握 設定と無効化項⽬の検討 修復作業の⾃動化の検討 通知の検討 初期セットアップ⽅法の検討 新規コントロールの検討 ルール⾒直し・棚卸し 失敗したコントロールの対応

16 お試し導⼊フェーズ

17 各フェーズの検討内容 お試し導⼊ 本格導⼊ 運⽤ コントロールの把握 コストの把握 設定と無効化項⽬の検討 修復作業の⾃動化の検討 通知の検討 初期セットアップ⽅法の検討 新規コントロールの検討 ルール⾒直し・棚卸し 失敗したコントロールの対応

18 まずは試してみる まずはポチッと有効化（30⽇間の無料トライアル期間がある）

19 コントロール（チェック項⽬）をざっくり把握 「AWS基礎セキュリティのベストプラクティス」は189のチェック項⽬ （2022年9⽉12⽇時点） AWS Foundational Security Best Practices コントロール - AWS Security Hub

20 コストの把握 無料期間中におおよそのコストを把握 セキュリティチェックの料⾦は従量課⾦であり事前に正確な予測は難しい 実際の利⽤料⾦を導⼊検討時の参考とする 設定画⾯からコストを確認 料⾦（東京リージョン）

21 本格導⼊フェーズ

22 各フェーズの検討内容 お試し導⼊ 本格導⼊ 運⽤ コントロールの把握 コストの把握 設定と無効化項⽬の検討 修復作業の⾃動化の検討 通知の検討 初期セットアップ⽅法の検討 新規コントロールの検討 ルール⾒直し・棚卸し 失敗したコントロールの対応

23 設定と無効化項⽬の検討 導⼊に向けて検討する設定内容 検討内容 おすすめの設定 補⾜説明 利⽤するセキュリティ基準 AWS基礎セキュリティのベストプラ クティス（他は必要に応じて） 有効化するリージョン すべてのリージョン SCPで利⽤禁⽌しているリー ジョンを除外することもある 検出結果の集約先リージョン メインで利⽤するリージョン 新しいコントロールの⾃動有効 化設定 オン（有効） デフォルトはオン

24 設定と無効化項⽬の検討 無効化するコントロールの検討 無効化により - チェックの対象外となる - コスト削減にもつながる 無効化を検討する際に参考となる基準 - ⾃社のセキュリティポリシー/ガイドライン - コントロールの重要度 - 対象サービスの利⽤状況

25 設定と無効化項⽬の検討 ユーザーガイドにて「無効化する可能性がある」と紹介されている項⽬ 無効にする可能性のある AWS Foundational Best Practices コントロール - AWS Security Hub

26 設定と無効化項⽬の検討 マルチアカウント管理を検討 CCoEやセキュリティ部⾨等が複数アカウントを⼀元管理できる 設定の検討、無効化コントロールの ⽅針決め、通知の検討なども⾏う

27 通知の検討 コントロールの失敗の通知を検討 EventBridgeサービスを利⽤することで失敗した項⽬を通知できる ただし、全てのコントロールの通知は情報過多になり無意味になりがち 重要度や社内ポリシーに応じて項⽬を絞ることを推奨 メール通知が⼤量に届き確認できない例 Slackへの通知例 ⼀度に100通の通知

28 通知の検討 通知項⽬のフィルターや通知内容の加⼯⽅法のブログ紹介 https://dev.classmethod.jp/articles /event-notification-from- securityhub-easier-to-see/ https://dev.classmethod.jp/article s/filter-security-hub-notifications- by-severity/

29 通知の検討 通知だけでは⾒逃しや放置の可能性がある場合、 チケット管理システムと連携する⽅法もある https://dev.classmethod.jp/articles/securityhub-backlog-auto-registration/

30 初期セットアップ⽅法の検討 マルチアカウント環境の場合は初期設定の⾃動化が望ましい AWS CloudFormation で有効化するだけなら簡単 ただし、有効化するセキュリティ基準の指定やコントロールの無効化は未対応 AWSTemplateFormatVersion: 2010-09-09 Description: "Enable AWS Security Hub" Resources: SecurityHub: Type: AWS::SecurityHub::Hub 2つの基準が⾃動で有効化

31 初期セットアップ⽅法の検討 セキュリティ基準の設定やコントロールの無効化は次のツールが候補 - AWS CLI - AWS Lambda (AWS SDK) - Terraform もしくは、AWS提供のSecurity Hub管理のサンプルソリューションを活⽤ aws-samples/aws-security-hub-cross-account-controls-disabler

32 初期セットアップ⽅法の検討 LambdaやCLIを⽤いたセットアップ https://dev.classmethod.jp /articles/aws_security_hub _cross_account_controls- disabler/ AWSの サンプルソリューション https://dev.classmethod.j p/articles/update-afsbp- securityhub-controls- using-organizations/ https://dev.classmethod.j p/articles/organizations- security-hub-setup/ https://dev.classmethod.j p/articles/aws-security- hub-multi-account-multi- region-deploy-with-script/ Organizations環境 ⾮Organizations環境

33 修復作業の⾃動化の検討 失敗した項⽬を AWS Lambda などを⽤いて修復を⾃動化 AWSが提供している⾃動修復ソリューションがある (CloudFormationで構築) AWSでの⾃動化されたセキュリティ対応 修復アクションを選択するだけで実⾏

34 修復作業の⾃動化の検討 作業⾃動化の導⼊の前に︕ そもそも予防的ガードレール（利⽤制限）で対処できないか検討 - Service Control Policy (AWS Organizations利⽤時のみ) で制限 - IAMポリシーで制限 既存環境の場合は影響を事前に確認 - いきなり本番環境で導⼊しない

35 修復作業の⾃動化の検討 AWSの⾃動修復ソリューションのやってみたブログ https://dev.classmethod.jp/article s/devio2022-securityhub-sharr/ https://dev.classmethod.jp/arti cles/aws-security-hub-auto- remediation-asfbp/

36 運⽤フェーズ

37 各フェーズの検討内容 お試し導⼊ 本格導⼊ 運⽤ コントロールの把握 コストの把握 設定と無効化項⽬の検討 修復作業の⾃動化の検討 通知の検討 初期セットアップ⽅法の検討 新規コントロールの検討 ルール⾒直し・棚卸し 失敗したコントロールの対応

38 失敗したコントロールの対応 失敗したコントロールに対するアプローチ 是正後、⾃動的に「成功」となる（12時間以内が⽬安） リスク保有すると判断したリソースは SUPPRESSED (抑制済み) にする 「抑制済み」は評価対象ではなくなる 是正 抑制

39 失敗したコントロールの対応 無効化と抑制の違い 抑制するときは判断理由を残すことを推奨 AWS CLI を利⽤すれば Security Hub サービス上に Note (メモ) を残せる AWS Security Hub で検出結果を更新するときにノート(Note)を記載する 無効化 抑制

40 新しいコントロールへの対応 コントロールは追加される（まれに削除） 追加に対して、導⼊時と同様に無効化するかや通知するかの検討が必要 189 31 「AWS基礎セキュリティベストプラクティス」のコントロール数の推移（2022年9⽉12⽇時点）

41 新しいコントロールへの対応 コントロール追加のアップデートをメール等で受信できる AWS提供のSNSトピックをサブスクライブ（購読）設定するだけ https://dev.classmethod.jp/artic les/update-aws-security-hub- announcements-subscribing/ { "AnnouncementType": "NEW_STANDARDS_CONTROLS", "Title": "AWS Security Hub launches 2 new security best practice controls", "Description": "AWS Security Hub has released 2 new controls for its Foundational Security Best Practice standard (FSBP) to enhance your Cloud Security Posture Management (CSPM). These controls conduct fully-automatic checks against security best practices for AWS Auto Scaling and Elastic Load Balancing (ELB). Specifically, the 2 FSBP controls launched are [AutoScaling.9] Amazon EC2 Auto Scaling groups should use EC2 launch templates, and [ELB.11] Network Load Balancers should have cross-zone load balancing enabled. If you have Security Hub set to automatically enable new controls and are already using AWS Foundational Security Best Practices, these controls are enabled for you automatically. Security Hub now supports 225 security controls to automatically check your security posture in AWS.” } アップデートの通知例

42 修復作業の⾃動化の検討 失敗した項⽬を AWS Lambda などを⽤いて修復を⾃動化 AWSが提供している⾃動修復ソリューションがある (CloudFormationで構築) AWSでの⾃動化されたセキュリティ対応 修復アクションを選択するだけで実⾏ 再掲

43 ルール⾒直し・棚卸し 定期的な振り返りと運⽤ルールの⾒直しを⾏う ・効果測定（セキュリティスコアや対応状況の確認） ・無効化するコントロールの精査 ・抑制済み（リスク保有）項⽬の棚卸し ・通知が形骸化していないかの確認・改善 上記対応のための⼈的リソースと時間を確保することが⼤事

44 ルール⾒直し・棚卸し 抑制済みを⼀覧表⽰する⽅法 https://dev.classmethod.jp/ar ticles/check-cuppressed- findings-by-insight/

45 みんなでセキュリティ対策

46 合わせて読みたい AWS Security Hub の運⽤例 https://dev.classmethod.jp/articles/d evio-2022-how2make-strongest- aws-secure-accounts/ ・組織的な導⼊のアーキテクチャの紹介 ・周囲の巻き込み⽅ ポジティブに（楽しめるように）

47 合わせて読みたい 組織的なセキュリティ対応の事例 https://speakerdeck.com/runble1/dmmniokeru300akaunto67ti mufalseawssekiyuriteiwo-kai-fa-zhe-nijian-shi- sitemoraumadefalsedao-falseri ・開発者がセキュリティをチェック ・導⼊までの経緯や仕組みの紹介 ・AWS Config Rules による運⽤

48 合わせて読みたい AWS Security Hub の運⽤例 ・AWS Security Hub の運⽤⽅法の紹介 ・やってみて感じたこと https://zenn.dev/prayd/articles/5435a9798d3701

49 まとめ

50 まとめ ・AWS Security Hub は AWS 上で ⼀定⽔準のセキュリティを保つ⽬的に適したサービス ・導⼊/運⽤のためのリソースを確保して計画的に ・CCoEやセキュリティ部⾨だけではなく、 組織の全員でセキュリティ対策を進めることが⼤事

51 ⾃⼰紹介 yhana AWS事業本部 コンサルティング部 エキスパートソリューションアーキテクト 2022 APN AWS Top Engineers (Security)

No content