Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20260220_ALittleBitTooOpen.pptx

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for ryamauchi ryamauchi
February 20, 2026
Technology
10
0

 20260220_ALittleBitTooOpen.pptx

Avatar for ryamauchi

ryamauchi

February 20, 2026

More Decks by ryamauchi

See All by ryamauchi
20251208_うわっ・・・CNAPPって難しくない?
Avatar for ryamauchi renyamauchi
0
2
20250728_Junior卒業計画:Topになる方法、リリースは来年予定
Avatar for ryamauchi renyamauchi
0
3
20250702_LT資料
Avatar for ryamauchi renyamauchi
0
20
20241011_LT資料.pdf
Avatar for ryamauchi renyamauchi
0
14
20250127_LT資料
Avatar for ryamauchi renyamauchi
0
12

Other Decks in Technology

See All in Technology
Introduction to Sansan for Engineers / エンジニア向け会社紹介
Avatar for Sansan, Inc. sansan33
PRO
6
74k
[最強DB講義]推薦システム | 基礎編
Avatar for RecSysLab recsyslab
PRO
1
160
KGDC_13_Amazon Q Developerで挑む! 13事例から見えたAX組織変革の最前線_公開情報
Avatar for michikazu.kikugawa kikugawa
0
110
20年前の「OSS革命」に学ぶ AI時代の生存戦略
Avatar for Sam Akada samakada
0
320
「責任あるAIエージェント」こそ自社で開発しよう!
Avatar for みのるん minorun365
9
1.8k
ハーネスエンジニアリングをやりすぎた話 ~そのハーネスは解体された~
Avatar for Gota gotalab555
4
1.4k
マルチプロダクトの信頼性を効率良く保っていくために
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
0
140
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」ご紹介資料
Avatar for Sho Nakatani laysakura
0
4k
自立を加速させる神器 - EMOasis #11
Avatar for スタンバイ stanby_inc
0
130
ARIA Notifyについて
Avatar for ryokatsuse ryokatsuse
1
120
システムは「動く」だけでは足りない 実装編 - 非機能要件・分散システム・トレードオフをコードで見る
Avatar for nwiizo nwiizo
4
420
Introduction to Bill One Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
410

Featured

See All Featured
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
72
12k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
128
55k
A better future with KSS
Avatar for Kyle Neath kneath
240
18k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
270
14k
AI Search:
Where Are We & What Can We Do About It?
Avatar for Aleyda Solis aleyda
0
7.3k
Heart Work Chapter 1 - Part 1
Avatar for Lake Fama lfama
PRO
5
35k
The Limits of Empathy - UXLibs8
Avatar for Cassini Nazir cassininazir
1
300
Fireside Chat
Avatar for paigeccino paigeccino
42
3.9k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.3k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
672
58k
Unlocking the hidden potential of vector embeddings in international SEO
Avatar for Frank van Dijk frankvandijk
0
770
SEO for Brand Visibility & Recognition
Avatar for Aleyda Solis aleyda
0
4.5k

Transcript

  1. A Little Bit Too Open _____________________ 株式会社JSOL 山内錬 _____________________

  2. 山内「A Little Bit Too Open」 松島「A Little Bit Uncomfortable」 謝罪

    山内「うわっ・・・ CNAPPって難しくない・・・?」 松島「うわっ・・・私の暗号、弱すぎ・・・?」 弊社、LTタイトルをパクっているのは私です。 前回 今回 これもre:invent内で聞いた気がしますが ...

  3. 自己紹介 名前:山内 錬 所属:株式会社JSOL 経歴:4年目 セキュリティエンジニア 趣味:脱出ゲーム 2025 Japan AWS Jr.

    Champions 2025 Japan All AWS Certifications Engineers ※申請忘れなければ! 2026 Japan All AWS Certifications Engineers

  4. AWS Cloud ap-northeast-1 VPC Public subnet A Little Bit Too

    Open 連想されるもの ALB Private subnet CloudFront EC2 Internet gateway AWS Cloud ECR Lambda [SGの設定] CloudFront→ALBの通信設定 ALBのインバウンド 〇 CloudFront プレフィックスリスト ✕  0.0.0.0/0開放 ALB→EC2 EC2に付与する SG 〇 ALBに付与している SG ✕  VPCのIP開放 [認可がゆるい API] ・認証はしてるけど 認可していない API ・ロール関係なく同じエンドポイントが叩け る S3 Dynamo Aurora API Gateway

  5. インフラでもアプリでも Too Openは、最初は便利で、後から壊れます。 SecurityHub で セキュリティ基準を全部 ON にするのも、 実はこれと似ています。

  6. Security Hub CSPM設定基準 フレームワーク 一言で言うと PCI DSS 守らないと事業ができなくなる義務 NIST 組織としてどう守るかを決める設計思想

    CIS AWSのどの設定をONにすればいいかの実装ルール Security Hub CSPMにおいて選択できるセキュリティ基準は3種類 2026年2月20日現在、 • CIS AWS Foundations Benchmark v1.4.0 • CIS AWS Foundations Benchmark v3.0.0 • CIS AWS Foundations Benchmark v5.0.0 • NIST Special Publication 800-171 Revision 2 • NIST Special Publication 800-53 Revision 5 • PCI DSS v3.2.1 • PCI DSS v4.0.1

  7. セキュリティ基準すべてON! 教訓:CSPMが「安全装置で」はなく「増幅器」へ 原因:どの「基準」を適用するか無視したこと

  8. Security Hub CSPM設定基準 起きたのは検知の洪水 現象 何が起きるか 同じ指摘が何度も出る バージョン違いのCIS類似項目が別々に検知 内容が理解できない指摘が増殖 対象外のNIST項目が混入

    運用部隊 セキュリティ所 管部 システム 所管部 アプリケーション 構築 インフラ基盤 構築 ・報告件数が多すぎる ・何を基準に報告すれば  いいかわからない とりあえず報告... ・どちらに脆弱性内容 をお知らせ,、きょるよ く依頼すべきかわから ない ・件数が多すぎて捌き きれない どの程度今シス テムが危険かわ からない いや、これインフラの内容 じゃないんだけどな... 数が多すぎて確認すること ができない... いや、これアプリじゃ判断で きないんだけどな.. 数が多すぎて確認すること ができない...

  9. Security Hub CSPM設定基準 できること できないこと [CloudTrail有効化] 侵入経路の追跡不可を防止 [アプリケーション脆弱性] アプリ自体の欠陥は対象外 [Root

    MFA] アカウント侵害リスクを低減 [データ持ち出し] 外部への不正通信は検知不可 [S3非公開化] 情報流出を防止 [内部不正] 内部関係者に要る悪意ある行為はカバー不可 [SG制御] 管理ポートの公開を阻止 [IAM権限最小化] 被害の横展開を抑制 CIS AWS Foundations を用いて運用基準を明確にします。 CIS が扱っている項目は、単なる「設定のベストプラクティス」ではない AWS の設定が事故を起こしやすい状態になっていないかという 入口の安全確認

  10. Security Hub CSPM設定基準 観点 v3.2.1 v4.0.1 基本姿勢 チェックリスト型 継続的運用・リスクベース型 評価方法

    年次監査中心 常時運用を前提 要求レベル 技術要件中心 技術+運用 PCI DSSを用いてバージョンの違いを明確にします。 v4 は単なるアップデートではなく、 「監査対応型」から「日常運用型」への大転換です。

  11. セキュリティ基準を選択してON! 教訓:CSPMは「適切な基準」を選べば強力な武器になる 成功:「必要な基準」だけを適用する