Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security Hub と出会ってから 1年半が過ぎました
Search
rch850
January 17, 2026
Technology
330
1
Share
Security Hub と出会ってから 1年半が過ぎました
JAWS-UG 福井 #1 での発表資料
rch850
January 17, 2026
More Decks by rch850
See All by rch850
#2022年に学んで良かった技術
rch850
0
1.3k
face-api.js で璃奈ちゃんボードを作ってみたよ
rch850
0
620
いい感じにスピードアップするコンテストの紹介
rch850
0
460
†2020年に建つ墓標達†
rch850
0
120
大掃除中の困ったを解決しようとした話
rch850
0
480
もしかして頻尿
rch850
0
66
SVGのよさみを語る会
rch850
0
150
俺の git-review
rch850
0
160
おじいちゃんが無事に晩御飯を食べるためのリトライ処理
rch850
0
610
Other Decks in Technology
See All in Technology
Shipping AI Agents — Lessons from Production
vvatanabe
0
230
Pure Intonation on Browser: Building a Sequencer with Ruby
nagachika
0
110
Do Vibe Coding ao LLM em Produção para Busca Agêntica - TDC 2026 - Summit IA - São Paulo
jpbonson
3
110
20年前の「OSS革命」に学ぶ AI時代の生存戦略
samakada
0
430
ぼくがかんがえたさいきょうのあうとぷっと
yama3133
0
190
弁護士ドットコム株式会社 エンジニア職向け 会社紹介資料
bengo4com
1
150
AIが書いたコードを信じられない問題 〜レビュー負荷を下げるために変えたこと〜 / The AI Code Trust Gap: Reducing the Review Burden
bitkey
PRO
7
1.3k
自立を加速させる神器 - EMOasis #11
stanby_inc
0
140
20260428_Product Management Summit_Loglass_JoeHirose
loglassjoe
0
700
扱える不確実性を増やしていく - スタートアップEMが考える「任せ方」
kadoppe
0
300
AIでAIをテストする - 音声AIエージェントの品質保証戦略
morix1500
1
120
AIはハッカーを減らすのか、増やすのか?──現役ホワイトハッカーから見るAI時代のリアル【MEGU-Meet】
cscengineer
0
150
Featured
See All Featured
Test your architecture with Archunit
thirion
1
2.2k
Ruling the World: When Life Gets Gamed
codingconduct
0
210
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.5k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
10k
Deep Space Network (abreviated)
tonyrice
0
120
Building Better People: How to give real-time feedback that sticks.
wjessup
370
20k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
130
The Illustrated Children's Guide to Kubernetes
chrisshort
51
52k
Building Applications with DynamoDB
mza
96
7k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
130
How to Align SEO within the Product Triangle To Get Buy-In & Support - #RIMC
aleyda
2
1.5k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
480
Transcript
Security Hub と出会って ら 1年半 過 ました JAWS-UG 福井 #1
株式会社 jig.jp 木村秀敬
祝 JAWS-UG 福井 リブート!
• 木村 秀敬 / KIMURA, Hidetaka ◦ りちゃ / rch850
ともいいます • 茨城出身、福井在住 ◦ サッカー茨城旋風! • 昨年頑張ったことはビール検定3級の取得 ◦ 1F の OUR BREWING をぜひ • 紀元前の JAWS-UG 福井メンバー 🦕 • 仕事は色々やってます ◦ AWS のセキュリティ対策もそのひとつ ◦ 好きなサービス AWSサポート 自己紹介
jaws ug 福井 第0回 でググってみよう
• 注意しなければならない事 た さんある! • EC2 の設定は安全か? ◦ 意図せずパブリックIPがついてない? •
セキュリティグループがゆるくなってないか? ◦ 22番ポートを 0.0.0.0/0 に許可してない? • S3 バケットの設定は安全か? ◦ ブロックパブリックアクセスしてる? • RDS の設定は安全か? ◦ 削除保護は有効になってる? 初心者には、そもそもどの設定が必要か、危険かも分からない AWS のセキュリティ対策
AWS Security Hub CSPM AWS のセキュリティ分からんを 解消してくれる 頼もしい味方
AWS Security Hub CSPM • セキュリティのベストプラクティスに準拠しているかを自動チェック • セキュリティスコアをパーセント表示
ここでちょっと歴史の話 (当時の) AWS Security Hub 2024年 AWS Security Hub CSPM
(現在の) AWS Security Hub 2026年 Security Hub と出会ってから1年半が過ぎました というタイトルですが、今で言う AWS Security Hub CSPM の話をしています 似て非なるもの
AWS Security Hub CSPM に出て る用語 • 個々のセキュリティチェックは「コントロール」 ◦ 例.
[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっ ている必要があります • 複数のコントロールがまとまった「セキュリティ標準」 ◦ 例. AWS基礎セキュリティのベストプラクティス • チェック結果に応じて「セキュリティスコア」が算出される • コントロールの要件を満たしていれば「成功(合格)」 • コントロールごとに「重大度」が決まっている ◦ CRITICAL / HIGH / MEDIUM / LOW
AWS基礎セキュリティの ベストプラクティス セキュリティ標準とコントロール 300コントロールのうち 240で成功 → セキュリティスコア 80% セキュリティ標準 [Account.1]
AWS アカウント について、セ キュリティの連絡先情報を提供する必要 があります [ACM.1] インポートされ ACM によって発行 された証明書は、一定期間後に更新する 必要があります その他たくさんのコントロール コントロール 成功 失敗 …… この標準に含まれるコントロール一覧 https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/fsbp-standard.html
チェックすべき300以上の項目が まとまっている それらを自動チェックしてくれる これは便利!
[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク
コントロールの成功/失敗 パブリック IPv4 なし → 成功 パブリック IPv4 なし → 成功 パブリック IPv4 なし → 成功 対象リソースが全て成功 → 成功 コントロール 設定状況は AWS Config 経由で取得(後述)
[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク
コントロールの成功/失敗 パブリック IPv4 なし → 成功 パブリック IPv4 あり → 失敗 パブリック IPv4 なし → 成功 対象リソースがひとつでも失敗 → 失敗 コントロール
チェック結果 このように表示される
1年半使ってみて
状況に応じたカスタマイズ • コントロールを無効化 ◦ 「このサービスは使ってないな」 • コントロールでチェックする一部リソースを抑制 ◦ 「開発環境でのバックアップはコストと不要だな」
AWS Config のコスト対策 • あるときに AWS Config のコストが高いことに気づいた • なぜ
AWS Config? ◦ Security Hub CSPM を使うためには AWS Config を有効化する必要がある • Config の記録頻度を調整してコスト対策 ◦ 連続 → 日次 → 除外
好 なコントロール3選 • [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウン ドトラフィックまたはアウトバウンドトラフィックを許可しないよう にすることをお勧めします • [EC2.9]
Amazon EC2 インスタンスは、パブリック IPv4 アドレスを 未設定にすることをお勧めします • [S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有 効になっている必要があります
まとめ AWS Security Hub CSPM をセキュリティ強化のヒントに! コントロールのドキュメントを読むだけでも気づきがあります
rch850
vvatanabe
nagachika
jpbonson
samakada
yama3133
bengo4com
bitkey
stanby_inc
loglassjoe
kadoppe
morix1500
cscengineer
thirion
codingconduct
katarinadahlin
aleyda
tonyrice
wjessup
marketingsoph
chrisshort
mza
tmiket
marktimemedia
![AWS基礎セキュリティの ベストプラクティス セキュリティ標準とコントロール 300コントロールのうち 240で成功 → セキュリティスコア 80% セキュリティ標準 [Account.1]](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_9.jpg){kind=link}
![[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_11.jpg){kind=link}
![[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_12.jpg){kind=link}
![好 なコントロール3選 • [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウン ドトラフィックまたはアウトバウンドトラフィックを許可しないよう にすることをお勧めします • [EC2.9]](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_17.jpg){kind=link}
