Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security Hub と出会ってから 1年半が過ぎました
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
rch850
January 17, 2026
Technology
1
300
Security Hub と出会ってから 1年半が過ぎました
JAWS-UG 福井 #1 での発表資料
rch850
January 17, 2026
Tweet
Share
More Decks by rch850
See All by rch850
#2022年に学んで良かった技術
rch850
0
1.3k
face-api.js で璃奈ちゃんボードを作ってみたよ
rch850
0
610
いい感じにスピードアップするコンテストの紹介
rch850
0
460
†2020年に建つ墓標達†
rch850
0
120
大掃除中の困ったを解決しようとした話
rch850
0
470
もしかして頻尿
rch850
0
63
SVGのよさみを語る会
rch850
0
150
俺の git-review
rch850
0
150
おじいちゃんが無事に晩御飯を食べるためのリトライ処理
rch850
0
610
Other Decks in Technology
See All in Technology
AWS Systems Managerのハイブリッドアクティベーションを使用したガバメントクラウド環境の統合管理
toru_kubota
1
190
Zephyr(RTOS)でOpenPLCを実装してみた
iotengineer22
0
150
Bref でサービスを運用している話
sgash708
0
200
The essence of decision-making lies in primary data
kaminashi
0
180
DMBOKを使ってレバレジーズのデータマネジメントを評価した
leveragestech
0
450
SaaSの操作主体は人間からAIへ - 経理AIエージェントが目指す深い自動化
nishihira
0
120
「通るまでRe-run」から卒業!落ちないテストを書く勘所
asumikam
3
850
私がよく使うMCPサーバー3選と社内で安全に活用する方法
kintotechdev
0
140
Oracle Cloud Infrastructure:2026年3月度サービス・アップデート
oracle4engineer
PRO
0
160
PostgreSQL 18のNOT ENFORCEDな制約とDEFERRABLEの関係
yahonda
0
140
【社内勉強会】新年度からコーディングエージェントを使いこなす - 構造と制約で引き出すClaude Codeの実践知
nwiizo
28
14k
スケーリングを封じられたEC2を救いたい
senseofunity129
0
120
Featured
See All Featured
Designing Powerful Visuals for Engaging Learning
tmiket
1
300
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
90
Unsuck your backbone
ammeep
672
58k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
61k
Designing for humans not robots
tammielis
254
26k
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
170
Building a Modern Day E-commerce SEO Strategy
aleyda
45
9k
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
240
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
55k
Balancing Empowerment & Direction
lara
5
1k
Marketing to machines
jonoalderson
1
5.1k
Context Engineering - Making Every Token Count
addyosmani
9
780
Transcript
Security Hub と出会って ら 1年半 過 ました JAWS-UG 福井 #1
株式会社 jig.jp 木村秀敬
祝 JAWS-UG 福井 リブート!
• 木村 秀敬 / KIMURA, Hidetaka ◦ りちゃ / rch850
ともいいます • 茨城出身、福井在住 ◦ サッカー茨城旋風! • 昨年頑張ったことはビール検定3級の取得 ◦ 1F の OUR BREWING をぜひ • 紀元前の JAWS-UG 福井メンバー 🦕 • 仕事は色々やってます ◦ AWS のセキュリティ対策もそのひとつ ◦ 好きなサービス AWSサポート 自己紹介
jaws ug 福井 第0回 でググってみよう
• 注意しなければならない事 た さんある! • EC2 の設定は安全か? ◦ 意図せずパブリックIPがついてない? •
セキュリティグループがゆるくなってないか? ◦ 22番ポートを 0.0.0.0/0 に許可してない? • S3 バケットの設定は安全か? ◦ ブロックパブリックアクセスしてる? • RDS の設定は安全か? ◦ 削除保護は有効になってる? 初心者には、そもそもどの設定が必要か、危険かも分からない AWS のセキュリティ対策
AWS Security Hub CSPM AWS のセキュリティ分からんを 解消してくれる 頼もしい味方
AWS Security Hub CSPM • セキュリティのベストプラクティスに準拠しているかを自動チェック • セキュリティスコアをパーセント表示
ここでちょっと歴史の話 (当時の) AWS Security Hub 2024年 AWS Security Hub CSPM
(現在の) AWS Security Hub 2026年 Security Hub と出会ってから1年半が過ぎました というタイトルですが、今で言う AWS Security Hub CSPM の話をしています 似て非なるもの
AWS Security Hub CSPM に出て る用語 • 個々のセキュリティチェックは「コントロール」 ◦ 例.
[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっ ている必要があります • 複数のコントロールがまとまった「セキュリティ標準」 ◦ 例. AWS基礎セキュリティのベストプラクティス • チェック結果に応じて「セキュリティスコア」が算出される • コントロールの要件を満たしていれば「成功(合格)」 • コントロールごとに「重大度」が決まっている ◦ CRITICAL / HIGH / MEDIUM / LOW
AWS基礎セキュリティの ベストプラクティス セキュリティ標準とコントロール 300コントロールのうち 240で成功 → セキュリティスコア 80% セキュリティ標準 [Account.1]
AWS アカウント について、セ キュリティの連絡先情報を提供する必要 があります [ACM.1] インポートされ ACM によって発行 された証明書は、一定期間後に更新する 必要があります その他たくさんのコントロール コントロール 成功 失敗 …… この標準に含まれるコントロール一覧 https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/fsbp-standard.html
チェックすべき300以上の項目が まとまっている それらを自動チェックしてくれる これは便利!
[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク
コントロールの成功/失敗 パブリック IPv4 なし → 成功 パブリック IPv4 なし → 成功 パブリック IPv4 なし → 成功 対象リソースが全て成功 → 成功 コントロール 設定状況は AWS Config 経由で取得(後述)
[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク
コントロールの成功/失敗 パブリック IPv4 なし → 成功 パブリック IPv4 あり → 失敗 パブリック IPv4 なし → 成功 対象リソースがひとつでも失敗 → 失敗 コントロール
チェック結果 このように表示される
1年半使ってみて
状況に応じたカスタマイズ • コントロールを無効化 ◦ 「このサービスは使ってないな」 • コントロールでチェックする一部リソースを抑制 ◦ 「開発環境でのバックアップはコストと不要だな」
AWS Config のコスト対策 • あるときに AWS Config のコストが高いことに気づいた • なぜ
AWS Config? ◦ Security Hub CSPM を使うためには AWS Config を有効化する必要がある • Config の記録頻度を調整してコスト対策 ◦ 連続 → 日次 → 除外
好 なコントロール3選 • [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウン ドトラフィックまたはアウトバウンドトラフィックを許可しないよう にすることをお勧めします • [EC2.9]
Amazon EC2 インスタンスは、パブリック IPv4 アドレスを 未設定にすることをお勧めします • [S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有 効になっている必要があります
まとめ AWS Security Hub CSPM をセキュリティ強化のヒントに! コントロールのドキュメントを読むだけでも気づきがあります
rch850
toru_kubota
iotengineer22
sgash708
kaminashi
leveragestech
nishihira
asumikam
kintotechdev
oracle4engineer
yahonda
nwiizo
senseofunity129
tmiket
techseoconnect
ammeep
lemiorhan
tammielis
gurzu
aleyda
axbom
aki_iinuma
lara
jonoalderson
addyosmani
![AWS基礎セキュリティの ベストプラクティス セキュリティ標準とコントロール 300コントロールのうち 240で成功 → セキュリティスコア 80% セキュリティ標準 [Account.1]](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_9.jpg){kind=link}
![[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_11.jpg){kind=link}
![[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_12.jpg){kind=link}
![好 なコントロール3選 • [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウン ドトラフィックまたはアウトバウンドトラフィックを許可しないよう にすることをお勧めします • [EC2.9]](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_17.jpg){kind=link}
