JAWS-UG SRE支部 #7 Security Hubは俺の姑

Slide 1

Slide 1 text

株式会社 Gunosy テクノロジー本部プロダクト開発部 SREチームマネージャー山口隆史 2023年10月18日(水) Security Hubは俺の姑

Slide 2

Slide 2 text

（C） Gunosy Inc. All Rights Reserved. PAGE | 2 エレベーターピッチ［Security Hubを触ったことがない人］、［Security Hubを運用している人］向けに発表する［Security Hubは俺の姑］は［Security Hubのネタセッション］ですこれは［現場での発生した事案に基づいて構成しているネタセッションのため、納得感］がありこれまでの事例発表や公式資料とは違って［Security Hubのちょっと困った挙動と、Security Hubとのほどよい付き合い方に焦点をあてている］

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

（C） Gunosy Inc. All Rights Reserved. PAGE | 5 自己紹介氏名：山口隆史(やまぐちたかし) 所属：株式会社Gunosy テクノロジー本部プロダクト開発部 SREチームマネージャー業務：Pure SREとしての活動略歴：フリーランス、SIer等を渡り歩く→現職（2022/01〜）自称：Security Hub芸人好きなAWSサービス：Security Hub、GuardDuty、サポート他：AWS Community Builder(Security & Identity)、JAWS-UG千葉支部運営第022587号

Slide 6

Slide 6 text

（C） Gunosy Inc. All Rights Reserved. PAGE | 6 株式会社Gunosy ギリシャ語で「知識」を意味する「Gnosis（グノーシス）」＋「u(“you”)」「”Gnosis” for “you”」あなたのための知識　＝情報を届けるサービスを提供し続ける、という意味 ■ 2012年11月創業 ■ 2015年4月東証マザーズ上場 ■ 2017年12月東証第一部に市場変更 ■ 2022年4月東京証券取引所の市場一部からプライム市場に移行 ■ 従業員数 252名（2023年5月末現在連結ベース） ■ 事業内容 – 情報キュレーションサービスその他メディアの開発及び運営 ■ 提供サービス　グノシー、ニュースパス、 auサービスToday、YOU IN 企業理念「情報を世界中の人に最適に届ける」

Slide 7

Slide 7 text

Slide 8

Slide 8 text

Slide 9

Slide 9 text

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Slide 12

Slide 12 text

Slide 13

Slide 13 text

（C） Gunosy Inc. All Rights Reserved. PAGE | 13 AWS Security Hubがやってくれること ■ AWSリソースのミスコンフィグ（脆弱性）のチェック – AWS Configを使ってリソース情報を収集してチェック – ベストプラクティス、業界規制やコンプライアンスフレームワークに合わせたセキュリティチェック ■ AWSのセキュリティ系サービスの情報集約 – Amazon GuardDuty – Amazon Inspector – AWS Systems Managers – AWS Health – AWS Config – AWS Firewall Manager – AWS IAM Access Analyzer – Amazon Macie

Slide 14

Slide 14 text

（C） Gunosy Inc. All Rights Reserved. PAGE | 14 AWS Security Hubがやってくれること ■ パートナーサービスの情報も一元管理可能 – ASFFフォーマットで送信することで、Security Hubに集約可能 ■ セキュリティスコアと概要のダッシュボード – セキュリティスコアはAWS Configを使用したミスコンフィグだけ ■ 以上の情報をリージョン集約、アカウント集約して委任アカウントで確認できる – 委任アカウントの設定はAWS Organizationの導入が必要 ■ 検出結果が自動更新される ■ 修復アクションが可能 – 自動でも手動でも

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Slide 18

Slide 18 text

Slide 19

Slide 19 text

（C） Gunosy Inc. All Rights Reserved. PAGE | 19 チェックが細かい例えば ● [RDS.16] タグをスナップショットにコピーするように RDS DB クラスターを設定する必要があります ● [CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します ● [RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります

Slide 20

Slide 20 text

（C） Gunosy Inc. All Rights Reserved. PAGE | 20 チェックが細かい例えば ● [RDS.16] タグをスナップショットにコピーするように RDS DB クラスターを設定する必要があります ● [CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します ● [RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります対応する必要があるかどうかはそれぞれのセキュリティポリシーや運用に応じて決定しましょうコントロールによっては無効化することが有効です

Slide 21

Slide 21 text

Slide 22

Slide 22 text

（C） Gunosy Inc. All Rights Reserved. PAGE | 22 お金のことを気にしてくれない例えば ● [CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります CloudTrailはAthenaで確認出るのと、GuardDutyでチェックできることも多いので必要かどうかは要検討通信量、APIコール量によっては課金爆発してしまうので、ご利用は計画的に！

Slide 23

Slide 23 text

Slide 24

Slide 24 text

Slide 25

Slide 25 text

Slide 26

Slide 26 text

（C） Gunosy Inc. All Rights Reserved. PAGE | 26 集めた情報を整理して伝えてくれない例えば ● アカウント別だと検出数の合計になる ● 重要度別だと全てのアカウントの合計になるダッシュボードは別で作りましょう Security Lake＋QuickSightでもいけます参考：https://tech.gunosy.io/entry/amazon-security-lake-start

Slide 27

Slide 27 text

Slide 28

Slide 28 text

（C） Gunosy Inc. All Rights Reserved. PAGE | 28 ときどきお願いしたことを忘れる例えば ● 例外にしてたのに、何かのサービスアップデートのタイミングで例外が外れたり（サポートに確認したらバグでした）面倒でも例外にしたリソース、その理由はドキュメント化して残しておいたほうが良いです（リスクを許容しているのが前提ですが）例外にしたリソースもサービスアップデートによって対応できたり、アプリ修正のタイミングで対応できたりします

Slide 29

Slide 29 text

Slide 30

Slide 30 text

（C） Gunosy Inc. All Rights Reserved. PAGE | 30 まとめ ■ AWS Security Hubはよく気がつくかわいい姑さん ■ 指摘に対する対応要否は適宜判断しましょう – 組織の運用ルールと合わない場合もあるので、ルール毎に組織のポリシーと照らし合わせて対応の要否、コントロール自体の無効化を判断しましょう Security Hubといい距離感を保って楽しくセキュリティ対応をしましょう

Slide 31

Slide 31 text

情報を世界中の人に最適に届ける