Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security Hub と出会ってから 1年半が過ぎました
Search
rch850
January 17, 2026
Technology
390
1
Share
Security Hub と出会ってから 1年半が過ぎました
JAWS-UG 福井 #1 での発表資料
rch850
January 17, 2026
More Decks by rch850
See All by rch850
#2022年に学んで良かった技術
rch850
0
1.3k
face-api.js で璃奈ちゃんボードを作ってみたよ
rch850
0
620
いい感じにスピードアップするコンテストの紹介
rch850
0
460
†2020年に建つ墓標達†
rch850
0
120
大掃除中の困ったを解決しようとした話
rch850
0
480
もしかして頻尿
rch850
0
70
SVGのよさみを語る会
rch850
0
150
俺の git-review
rch850
0
160
おじいちゃんが無事に晩御飯を食べるためのリトライ処理
rch850
0
610
Other Decks in Technology
See All in Technology
Spring Boot における AOT Cache 活用テクニックと 起動時間改善事例
ntt_dsol_java
0
180
Mastering Ruby Box
tagomoris
3
100
類似画像検索モデルの開発ノウハウ
lycorptech_jp
PRO
4
1.1k
OpenClawとHermesAgentでAI新入社員を作った話
takanoriyanada
0
150
Datadog 認定試験の概要と対策
uechishingo
0
210
AI-DLCを活用した高品質・安全なAI駆動開発実践 / AI Driven Development
yoshidashingo
1
280
AIプラットフォームを運用し続けるための可観測性
tanimuyk
4
830
さきさん文庫の書籍ができるまで
sakiengineer
0
320
最低限これだけ押さえれ大丈夫_Claude Enterprise/Team企業展開ガバナンス入門
tkikuchi
1
580
ITエンジニアを取り巻く環境とキャリアパス / A career path for Japanese IT engineers
takatama
4
1.8k
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
5
1.7k
Diagnosing performance problems without the guesswork
elenatanasoiu
0
130
Featured
See All Featured
Building the Perfect Custom Keyboard
takai
2
780
Ten Tips & Tricks for a 🌱 transition
stuffmc
0
120
Six Lessons from altMBA
skipperchong
29
4.3k
Ruling the World: When Life Gets Gamed
codingconduct
0
240
Mobile First: as difficult as doing things right
swwweet
225
10k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
49
10k
ラッコキーワード サービス紹介資料
rakko
1
3.5M
Being A Developer After 40
akosma
91
590k
Principles of Awesome APIs and How to Build Them.
keavy
128
17k
Darren the Foodie - Storyboard
khoart
PRO
3
3.4k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
tomoyanonymous
2
830
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.5k
Transcript
Security Hub と出会って ら 1年半 過 ました JAWS-UG 福井 #1
株式会社 jig.jp 木村秀敬
祝 JAWS-UG 福井 リブート!
• 木村 秀敬 / KIMURA, Hidetaka ◦ りちゃ / rch850
ともいいます • 茨城出身、福井在住 ◦ サッカー茨城旋風! • 昨年頑張ったことはビール検定3級の取得 ◦ 1F の OUR BREWING をぜひ • 紀元前の JAWS-UG 福井メンバー 🦕 • 仕事は色々やってます ◦ AWS のセキュリティ対策もそのひとつ ◦ 好きなサービス AWSサポート 自己紹介
jaws ug 福井 第0回 でググってみよう
• 注意しなければならない事 た さんある! • EC2 の設定は安全か? ◦ 意図せずパブリックIPがついてない? •
セキュリティグループがゆるくなってないか? ◦ 22番ポートを 0.0.0.0/0 に許可してない? • S3 バケットの設定は安全か? ◦ ブロックパブリックアクセスしてる? • RDS の設定は安全か? ◦ 削除保護は有効になってる? 初心者には、そもそもどの設定が必要か、危険かも分からない AWS のセキュリティ対策
AWS Security Hub CSPM AWS のセキュリティ分からんを 解消してくれる 頼もしい味方
AWS Security Hub CSPM • セキュリティのベストプラクティスに準拠しているかを自動チェック • セキュリティスコアをパーセント表示
ここでちょっと歴史の話 (当時の) AWS Security Hub 2024年 AWS Security Hub CSPM
(現在の) AWS Security Hub 2026年 Security Hub と出会ってから1年半が過ぎました というタイトルですが、今で言う AWS Security Hub CSPM の話をしています 似て非なるもの
AWS Security Hub CSPM に出て る用語 • 個々のセキュリティチェックは「コントロール」 ◦ 例.
[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっ ている必要があります • 複数のコントロールがまとまった「セキュリティ標準」 ◦ 例. AWS基礎セキュリティのベストプラクティス • チェック結果に応じて「セキュリティスコア」が算出される • コントロールの要件を満たしていれば「成功(合格)」 • コントロールごとに「重大度」が決まっている ◦ CRITICAL / HIGH / MEDIUM / LOW
AWS基礎セキュリティの ベストプラクティス セキュリティ標準とコントロール 300コントロールのうち 240で成功 → セキュリティスコア 80% セキュリティ標準 [Account.1]
AWS アカウント について、セ キュリティの連絡先情報を提供する必要 があります [ACM.1] インポートされ ACM によって発行 された証明書は、一定期間後に更新する 必要があります その他たくさんのコントロール コントロール 成功 失敗 …… この標準に含まれるコントロール一覧 https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/fsbp-standard.html
チェックすべき300以上の項目が まとまっている それらを自動チェックしてくれる これは便利!
[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク
コントロールの成功/失敗 パブリック IPv4 なし → 成功 パブリック IPv4 なし → 成功 パブリック IPv4 なし → 成功 対象リソースが全て成功 → 成功 コントロール 設定状況は AWS Config 経由で取得(後述)
[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク
コントロールの成功/失敗 パブリック IPv4 なし → 成功 パブリック IPv4 あり → 失敗 パブリック IPv4 なし → 成功 対象リソースがひとつでも失敗 → 失敗 コントロール
チェック結果 このように表示される
1年半使ってみて
状況に応じたカスタマイズ • コントロールを無効化 ◦ 「このサービスは使ってないな」 • コントロールでチェックする一部リソースを抑制 ◦ 「開発環境でのバックアップはコストと不要だな」
AWS Config のコスト対策 • あるときに AWS Config のコストが高いことに気づいた • なぜ
AWS Config? ◦ Security Hub CSPM を使うためには AWS Config を有効化する必要がある • Config の記録頻度を調整してコスト対策 ◦ 連続 → 日次 → 除外
好 なコントロール3選 • [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウン ドトラフィックまたはアウトバウンドトラフィックを許可しないよう にすることをお勧めします • [EC2.9]
Amazon EC2 インスタンスは、パブリック IPv4 アドレスを 未設定にすることをお勧めします • [S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有 効になっている必要があります
まとめ AWS Security Hub CSPM をセキュリティ強化のヒントに! コントロールのドキュメントを読むだけでも気づきがあります
rch850
ntt_dsol_java
tagomoris
lycorptech_jp
takanoriyanada
uechishingo
yoshidashingo
tanimuyk
sakiengineer
tkikuchi
takatama
oracle4engineer
elenatanasoiu
takai
stuffmc
skipperchong
codingconduct
swwweet
mongodb
rakko
akosma
keavy
khoart
tomoyanonymous
eileencodes
![AWS基礎セキュリティの ベストプラクティス セキュリティ標準とコントロール 300コントロールのうち 240で成功 → セキュリティスコア 80% セキュリティ標準 [Account.1]](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_9.jpg){kind=link}
![[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_11.jpg){kind=link}
![[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_12.jpg){kind=link}
![好 なコントロール3選 • [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウン ドトラフィックまたはアウトバウンドトラフィックを許可しないよう にすることをお勧めします • [EC2.9]](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_17.jpg){kind=link}
