20250913_JAWS_sysad_kobe

Transcript

1. 1 © 2025 Japan Digital Design, Inc. Takuya Yonezawa 2025.09.13

   気付いたらみんな居なくなった 〜 Security Hub CSPM運用アンチパターン 〜 JAWS SysAd × Kobe

2. 2 © 2025 Japan Digital Design, Inc. 米澤 拓也 Software

   Engineer Technology & Development Div. and Corporate Culture室 プロフィール 前職ではCCoE、現職ではSoftware Engineer フロント/バックエンドの実装からインフラ構築など何でもやってます 証券系→銀行系 と 金融×ITキャリアを歩んでいます Fin-JAWSの運営、CBはServerlessで2023年生 好きなAWSサービスは CloudFront、Lambda、CDK CCoE時代は Security Hub（CSPM）、AWS Health で飯を食っていました

3. 3 © 2025 Japan Digital Design, Inc. ！！！タイトルはフィクションです！！！

4. 4 © 2025 Japan Digital Design, Inc. 1 スコア100%遵守！ゼッタイ！

5. 5 © 2025 Japan Digital Design, Inc. 全ルールをOnにした上での スコア100%はまず無理です 諦めてください

   スコアが100%じゃないとダメだ！ と文句を言う偉い人もいるでしょう 無視してください 米澤の私物アカウント（ルール全部On）

6. 6 © 2025 Japan Digital Design, Inc. 知っておきたい SecHub CSPMスコア算出ルール

   https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-security-score.html

7. 7 © 2025 Japan Digital Design, Inc. 知っておきたい SecHub CSPMスコア算出ルール

   スコア＝合格コントロール数 / 有効コントロール数 Severity（重要度）は考慮外なので 数値を真に受ける必要はない https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-security-score.html

8. 8 © 2025 Japan Digital Design, Inc. SecHub委任（管理）アカウントだと、 微妙にスコア判定基準が違う。。 この仕様の違いも注意ポイント

   https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-security-score.html

9. 9 © 2025 Japan Digital Design, Inc. Security Hubスコアを KPIとして設定して盲信するのは

   辞めといたほうが良いというのが個人的感覚 （数値化の罠）

10. 10 © 2025 Japan Digital Design, Inc. https://makitani.net/shimauma/goodharts-law

11. 11 © 2025 Japan Digital Design, Inc. スコアを真に受けるな！ と言いましたが、 見たほうが良いものもある

    （右はCriticalの中から一部抜粋 ルート認証情報の保護 データストアの漏洩保護

12. 12 © 2025 Japan Digital Design, Inc. 2 チェックできるものは全部チェックや！ 〜

    とりあえず全ルールOn 〜

13. 13 © 2025 Japan Digital Design, Inc. Security Hub EventBridge

    SNS SNS Chatbot （現 Q Dev） Systems Manager Incident Manager （OpsItem） ノーコードで様々な通知経路が実現できる

14. 14 © 2025 Japan Digital Design, Inc. 一番シンプル。ただし玄人向け。 生ASFFを目grepできる選ばれし猛者向けの通知方法

15. 15 © 2025 Japan Digital Design, Inc. 内容のカスタマイズは出来ないけど、分かりやすく通知できる 内容がサマリされているので見やすい Slackを起点とした検知、Supress、Runbook実行、調査など

16. 16 © 2025 Japan Digital Design, Inc. ゴリゴリの高度な統制環境向け "誰が" "いつ"

    対応を始めた/完了したかのトラッキング メール, SMS, TELといった豊富な通知チャネル

17. 17 © 2025 Japan Digital Design, Inc. Incident Managerは機能が豊富。上記資料を読むことをオススメ https://speakerdeck.com/yoshiiryo1/aws-systems-manager-incident-manager-deshi-xian-suruinsidentoguan-li

18. 18 © 2025 Japan Digital Design, Inc. ただし。。 簡単に通知できるからといって いろんなものを通知するのはヤメロ！

19. 19 © 2025 Japan Digital Design, Inc. https://www.oreilly.co.jp/books/9784873119847/ ノイズの多いアラートはアラート疲れを起こし、 アラートを役に立たないものにしてしまいます。

    アラートシステムに多くのノイズを発生させていしまい、 それらはすぐに無視されるようになり、 アラートが発生しているのが 正常だと見られてしまうことです。 通知未読件数 6章 アラート疲れ より ＼ こうなります ／

20. 20 © 2025 Japan Digital Design, Inc. SecurityHub運用で 忘れてはいけないコスト

21. 21 © 2025 Japan Digital Design, Inc. SecurityHubとConfigはセット 1. SecurityHubルールをOn

    2. Configルールが作成される（securityhub-hoge） 3. Configの評価結果をSecurityHubへ連携 Config Config Rule Security Hub CSPM 各種AWSリソース 変更記録 評価結果連携 課金ポイント1 課金ポイント2 課金ポイント3

22. 22 © 2025 Japan Digital Design, Inc. 各課金ポイントの詳細（2025/09時点） 1. Configレコーダーのリソース記録

    2. Configルールの評価 3. SecurityHubチェック結果取り込み https://aws.amazon.com/jp/config/pricing/ https://aws.amazon.com/jp/security-hub/pricing/

23. 23 © 2025 Japan Digital Design, Inc. 各課金ポイントの詳細（2025/09時点） 1. Configレコーダーのリソース記録

    https://aws.amazon.com/jp/about-aws/whats-new/2023/11/aws-config-periodic-recording/ 連続的な変更：リソースに変更があるたびに記録する 定期的な記録：1日1回、特定の断面でリソースを記録する ※1 コスト観点での個人的おすすめは。。 ・本番環境：連続的な記録 ・リソース変更などが多い開発環境：定期的な記録 （リソース種類別に記録スパンをオーバーライドできるが設定管理が面倒なのであまりオススメしない）

24. 24 © 2025 Japan Digital Design, Inc. 各課金ポイントの詳細（2025/09時点） 2. Configルールの評価

    https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/evaluate-config_components.html 頻繁にEC2やECSがオートスケールする場合などは、 Configルールの評価課金 + SecHubへの取り込み課金が結構響くので注意

25. 25 © 2025 Japan Digital Design, Inc. わかった！ じゃあSecurityHubのルールをチューニングする！

26. 26 © 2025 Japan Digital Design, Inc. Case.1 人力ルール選定

27. 27 © 2025 Japan Digital Design, Inc. Case 1： 全ルール人力チェック

    企業内の独自ルールもあるだろうし、 SCPで縛っているから チェックしなくても良いでしょう というケースも有る CCoEといった専任部隊が SecHubルールを選定・管理している ケースも（Excelで。。） 【最新】SucHubルール設計_20231101_master_ver4.xlsx

28. 28 © 2025 Japan Digital Design, Inc. 辛い...

29. 29 © 2025 Japan Digital Design, Inc. https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-announcements.html SecHub CSPMのアップデートは上記SNSトピック経由で配信される

30. 30 © 2025 Japan Digital Design, Inc. アップデート情報を受信できるとはいえ、 人力でルールメンテナンスしていくのは中々に大変

31. 31 © 2025 Japan Digital Design, Inc. Case.2 Severity（重要度）起点の通知

32. 32 © 2025 Japan Digital Design, Inc. Security Hub EventBridge

    SNS SNS Chatbot （現 Q Dev） Systems Manager Incident Manager EventBridgeでSeverityに応じた振り分け AWSさんに委ねる Severity : LOW は一括OFF Severity : CRITICAL Status : NEW Severity : HIGH Status : NEW Severity : MEDIUM Status : NEW

33. 33 © 2025 Japan Digital Design, Inc. 先述した通知パターンは絶対解ではない 通知するのは簡単だが、 ちゃんと運用プロセスまで

    落とせないのであれば一旦立ち止まってくれ

34. 34 © 2025 Japan Digital Design, Inc. 3 まとめ

35. 35 © 2025 Japan Digital Design, Inc. まとめ SecurityHubのスコアは真に受けない あくまで1つの指標というスタンスで

    “スコアを100%にすること”を目的としない 雑な全ルール通知はダメ オオカミ少年問題やアラートの無意味化に 何より精神的によろしくない SecurityHubに振り回される要因に アラートに気付いてプロアクティブに カイゼンできる体制・フロー・文化の整備を セキュリティは”全員参加”です

36. 36 © 2025 Japan Digital Design, Inc. https://www.oreilly.co.jp/books/9784873119847/ たとえ緊急性の低い内容であっても、 電話・テキストアラート・夜中のプッシュ通知

    といった呼び出しはすべて、 オンコールエンジニアのストレス要因となります。 これらのストレス要因は より多くのフラストレーションとなり、 仕事の満足度は低下し、LinkedInでリクルータからの メッセージに返答するようになってしまいます。 6.7.3 アラートはどのように通知されているか？ より ／ ｻﾖﾅﾗｰ ＼

37. Thank you. 37 © 2025 Japan Digital Design, Inc.