Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20250913_JAWS_sysad_kobe
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Takuya Yonezawa
September 13, 2025
Technology
420
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
20250913_JAWS_sysad_kobe
Takuya Yonezawa
September 13, 2025
More Decks by Takuya Yonezawa
See All by Takuya Yonezawa
20260516_SecJAWS_Days
takuyay0ne
4
700
20260422_Midosuji_Tech
takuyay0ne
2
68
脱 雰囲気実装! AgentCoreを良い感じに WEBアプリケーションに組み込むために
takuyay0ne
3
540
20260228_JAWS_Beginner_Kansai
takuyay0ne
5
690
20260204_Midosuji_Tech
takuyay0ne
1
230
20260129_CB_Kansai
takuyay0ne
1
360
20260126_JAWS_Osaka
takuyay0ne
1
60
こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ
takuyay0ne
4
800
セキュリティは全員参加!_JAWSのイベントサイトで脅威モデリングを学んでみよう!
takuyay0ne
0
200
Other Decks in Technology
See All in Technology
AIのReact習熟度を測る
uhyo
1
120
20260619 私の日常業務での生成 AI 活用
masaruogura
1
110
MIERUNE JCT 発表資料「宇宙から伊能忠敬ごっこ」
syuchimu
0
210
2026TECHFRESH畢業分享會 - Lightning Talk - E起 See See : 電商推薦讀心術? 數據說了算
line_developers_tw
PRO
0
780
MCP Appsを作ってみよう
iwamot
PRO
4
530
【Cyber-sec+】経営層を"動かす"ための考え方
hssh2_bin
0
130
EventBridge Connection
_kensh
5
690
SONiC Scale-Up Working Group から探る Scale-UpやUltraEthernet機能の実装方法
ebiken
PRO
1
120
就職⽀援サービスにおけるキャリアアドバイザーのシフトスケジューリング
recruitengineers
PRO
1
140
2026TECHFRESH畢業分享會 - Lightning Talk - 打造精準高效的 MCP 設計模式與測試實務
line_developers_tw
PRO
0
780
日本 Fintech 未来予測レポート 2027〜2028年(オリジナル版)
8maki
0
1.7k
ルールやカスタム機能、どう活かす?ハンズオンで体感するIBM Bobの出力コントロール
muehara
1
130
Featured
See All Featured
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
420
Evolving SEO for Evolving Search Engines
ryanjones
0
210
SEO in 2025: How to Prepare for the Future of Search
ipullrank
3
3.5k
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
330
Navigating Team Friction
lara
192
16k
Building Flexible Design Systems
yeseniaperezcruz
330
40k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
610
Navigating Weather and Climate Data
rabernat
0
220
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
22k
KATA
mclloyd
PRO
35
15k
Being A Developer After 40
akosma
91
590k
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
240
Transcript
1 © 2025 Japan Digital Design, Inc. Takuya Yonezawa 2025.09.13
気付いたらみんな居なくなった 〜 Security Hub CSPM運用アンチパターン 〜 JAWS SysAd × Kobe
2 © 2025 Japan Digital Design, Inc. 米澤 拓也 Software
Engineer Technology & Development Div. and Corporate Culture室 プロフィール 前職ではCCoE、現職ではSoftware Engineer フロント/バックエンドの実装からインフラ構築など何でもやってます 証券系→銀行系 と 金融×ITキャリアを歩んでいます Fin-JAWSの運営、CBはServerlessで2023年生 好きなAWSサービスは CloudFront、Lambda、CDK CCoE時代は Security Hub(CSPM)、AWS Health で飯を食っていました
3 © 2025 Japan Digital Design, Inc. !!!タイトルはフィクションです!!!
4 © 2025 Japan Digital Design, Inc. 1 スコア100%遵守!ゼッタイ!
5 © 2025 Japan Digital Design, Inc. 全ルールをOnにした上での スコア100%はまず無理です 諦めてください
スコアが100%じゃないとダメだ! と文句を言う偉い人もいるでしょう 無視してください 米澤の私物アカウント(ルール全部On)
6 © 2025 Japan Digital Design, Inc. 知っておきたい SecHub CSPMスコア算出ルール
https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-security-score.html
7 © 2025 Japan Digital Design, Inc. 知っておきたい SecHub CSPMスコア算出ルール
スコア=合格コントロール数 / 有効コントロール数 Severity(重要度)は考慮外なので 数値を真に受ける必要はない https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-security-score.html
8 © 2025 Japan Digital Design, Inc. SecHub委任(管理)アカウントだと、 微妙にスコア判定基準が違う。。 この仕様の違いも注意ポイント
https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-security-score.html
9 © 2025 Japan Digital Design, Inc. Security Hubスコアを KPIとして設定して盲信するのは
辞めといたほうが良いというのが個人的感覚 (数値化の罠)
10 © 2025 Japan Digital Design, Inc. https://makitani.net/shimauma/goodharts-law
11 © 2025 Japan Digital Design, Inc. スコアを真に受けるな! と言いましたが、 見たほうが良いものもある
(右はCriticalの中から一部抜粋 ルート認証情報の保護 データストアの漏洩保護
12 © 2025 Japan Digital Design, Inc. 2 チェックできるものは全部チェックや! 〜
とりあえず全ルールOn 〜
13 © 2025 Japan Digital Design, Inc. Security Hub EventBridge
SNS SNS Chatbot (現 Q Dev) Systems Manager Incident Manager (OpsItem) ノーコードで様々な通知経路が実現できる
14 © 2025 Japan Digital Design, Inc. 一番シンプル。ただし玄人向け。 生ASFFを目grepできる選ばれし猛者向けの通知方法
15 © 2025 Japan Digital Design, Inc. 内容のカスタマイズは出来ないけど、分かりやすく通知できる 内容がサマリされているので見やすい Slackを起点とした検知、Supress、Runbook実行、調査など
16 © 2025 Japan Digital Design, Inc. ゴリゴリの高度な統制環境向け "誰が" "いつ"
対応を始めた/完了したかのトラッキング メール, SMS, TELといった豊富な通知チャネル
17 © 2025 Japan Digital Design, Inc. Incident Managerは機能が豊富。上記資料を読むことをオススメ https://speakerdeck.com/yoshiiryo1/aws-systems-manager-incident-manager-deshi-xian-suruinsidentoguan-li
18 © 2025 Japan Digital Design, Inc. ただし。。 簡単に通知できるからといって いろんなものを通知するのはヤメロ!
19 © 2025 Japan Digital Design, Inc. https://www.oreilly.co.jp/books/9784873119847/ ノイズの多いアラートはアラート疲れを起こし、 アラートを役に立たないものにしてしまいます。
アラートシステムに多くのノイズを発生させていしまい、 それらはすぐに無視されるようになり、 アラートが発生しているのが 正常だと見られてしまうことです。 通知未読件数 6章 アラート疲れ より \ こうなります /
20 © 2025 Japan Digital Design, Inc. SecurityHub運用で 忘れてはいけないコスト
21 © 2025 Japan Digital Design, Inc. SecurityHubとConfigはセット 1. SecurityHubルールをOn
2. Configルールが作成される(securityhub-hoge) 3. Configの評価結果をSecurityHubへ連携 Config Config Rule Security Hub CSPM 各種AWSリソース 変更記録 評価結果連携 課金ポイント1 課金ポイント2 課金ポイント3
22 © 2025 Japan Digital Design, Inc. 各課金ポイントの詳細(2025/09時点) 1. Configレコーダーのリソース記録
2. Configルールの評価 3. SecurityHubチェック結果取り込み https://aws.amazon.com/jp/config/pricing/ https://aws.amazon.com/jp/security-hub/pricing/
23 © 2025 Japan Digital Design, Inc. 各課金ポイントの詳細(2025/09時点) 1. Configレコーダーのリソース記録
https://aws.amazon.com/jp/about-aws/whats-new/2023/11/aws-config-periodic-recording/ 連続的な変更:リソースに変更があるたびに記録する 定期的な記録:1日1回、特定の断面でリソースを記録する ※1 コスト観点での個人的おすすめは。。 ・本番環境:連続的な記録 ・リソース変更などが多い開発環境:定期的な記録 (リソース種類別に記録スパンをオーバーライドできるが設定管理が面倒なのであまりオススメしない)
24 © 2025 Japan Digital Design, Inc. 各課金ポイントの詳細(2025/09時点) 2. Configルールの評価
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/evaluate-config_components.html 頻繁にEC2やECSがオートスケールする場合などは、 Configルールの評価課金 + SecHubへの取り込み課金が結構響くので注意
25 © 2025 Japan Digital Design, Inc. わかった! じゃあSecurityHubのルールをチューニングする!
26 © 2025 Japan Digital Design, Inc. Case.1 人力ルール選定
27 © 2025 Japan Digital Design, Inc. Case 1: 全ルール人力チェック
企業内の独自ルールもあるだろうし、 SCPで縛っているから チェックしなくても良いでしょう というケースも有る CCoEといった専任部隊が SecHubルールを選定・管理している ケースも(Excelで。。) 【最新】SucHubルール設計_20231101_master_ver4.xlsx
28 © 2025 Japan Digital Design, Inc. 辛い...
29 © 2025 Japan Digital Design, Inc. https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-announcements.html SecHub CSPMのアップデートは上記SNSトピック経由で配信される
30 © 2025 Japan Digital Design, Inc. アップデート情報を受信できるとはいえ、 人力でルールメンテナンスしていくのは中々に大変
31 © 2025 Japan Digital Design, Inc. Case.2 Severity(重要度)起点の通知
32 © 2025 Japan Digital Design, Inc. Security Hub EventBridge
SNS SNS Chatbot (現 Q Dev) Systems Manager Incident Manager EventBridgeでSeverityに応じた振り分け AWSさんに委ねる Severity : LOW は一括OFF Severity : CRITICAL Status : NEW Severity : HIGH Status : NEW Severity : MEDIUM Status : NEW
33 © 2025 Japan Digital Design, Inc. 先述した通知パターンは絶対解ではない 通知するのは簡単だが、 ちゃんと運用プロセスまで
落とせないのであれば一旦立ち止まってくれ
34 © 2025 Japan Digital Design, Inc. 3 まとめ
35 © 2025 Japan Digital Design, Inc. まとめ SecurityHubのスコアは真に受けない あくまで1つの指標というスタンスで
“スコアを100%にすること”を目的としない 雑な全ルール通知はダメ オオカミ少年問題やアラートの無意味化に 何より精神的によろしくない SecurityHubに振り回される要因に アラートに気付いてプロアクティブに カイゼンできる体制・フロー・文化の整備を セキュリティは”全員参加”です
36 © 2025 Japan Digital Design, Inc. https://www.oreilly.co.jp/books/9784873119847/ たとえ緊急性の低い内容であっても、 電話・テキストアラート・夜中のプッシュ通知
といった呼び出しはすべて、 オンコールエンジニアのストレス要因となります。 これらのストレス要因は より多くのフラストレーションとなり、 仕事の満足度は低下し、LinkedInでリクルータからの メッセージに返答するようになってしまいます。 6.7.3 アラートはどのように通知されているか? より / サヨナラー \
Thank you. 37 © 2025 Japan Digital Design, Inc.
takuyay0ne
uhyo
masaruogura
syuchimu
line_developers_tw
iwamot
hssh2_bin
_kensh
ebiken
recruitengineers
8maki
muehara
davetheseo
ryanjones
ipullrank
szymonslowik
lara
yeseniaperezcruz
tammyeverts
rabernat
panda_program
mclloyd
akosma
nikkihalliwell
