AWS Organizations を活用したセキュリティ通知のやり方

2022年 12月 AWS Organizations を活用したセキュリティ通知のやり方

自己紹介 2 STORES 株式会社セキュリティ本部所属 shimizu yuhei / toripiyo 趣味
- ランニング、投資、読書好きなAWSサービス - SecurityHub、StepFunctions、Lambda

セキュリティ本部の紹介 3 - 外部認証機関（ISMS, PCIDSS など）の監査対応 - 情報セキュリティポリシーの作成・改訂、遵守状況の確認 - 社内のセキュリティ教育コンテンツの作成・取りまとめ
- セキュリティを考慮した開発ガイドラインの作成 - セキュリティインシデントに備えたBCP策定・訓練 - 開発・運用工程へのセキュリティ導入　<- 今回はこのあたりの話 - 脆弱性診断 - WEBアプリ、プラットフォーム、モバイル、ソースコード、パブリッククラウド - 脆弱性情報の収集とその影響評価 - セキュリティチェックシートの回答 - 外部サービス利用時のセキュリティチェック - などなど

本題：AWS Organizations を活用したセキュリティ通知

目次 5 背景デザイン実装運用課題導入効果今後の予定 01 02
03 04 05 06

背景

- パブリッククラウドの監査 - AWS アカウントの設定を監査してチケットに起票 - 問題点 - 設定されてから監査までには時間差がある -
危ない設定があっても監査まで気付けない - 解決法 - 怪しい設定や不正アクセスについて監査前に気付けるように通知の仕組みを導入しよう問題点 7

デザイン

◦ 将来的なスケールを考えると、SecurityHub を経由させたほうが良いのでは？（ハブというぐらいだし）初期案（GuardDutyの場合） 9

SecurityHub を追加したイメージ（GuardDutyの場合） 10

SecurityHubを経由した構成を採用 11

SecurityHub を経由するメリット • サービス、リージョン、アカウント単位で通知設定をする必要がなくなる • 通知フォーマットが揃うので、EventBridgeのフィルタリング条件を再利用しやすい • Slack 通知時のフォーマットがサービス（GuardDuty, IAM
Access Analyzerなど）で共通化 • 通知をオフにするときの手順を統一できる（workﬂow status を supressed に変更） • 通知内容に記載のリンクをクリックしてブラウザから内容を確認できる（InspectorなどはURLで絞り込めない） • Findings の閲覧権限を持っていれば、別AWSアカウントからも同一のURLで SecurityHub の Findings を参照できる • Findings の検索やグラフ表示（SecurityHub Insights）機能を利用できる 12

実装

この構成を実装したい 14

サービスの有効化 15

AWS Organizations の活用 AWS アカウントを AWS Organizations に追加するだけで有効化できるサービスがある 16 サービス名
有効化方法 IAM Access Analyzer AWS Organizationsに追加で有効化可能 Amazon GuardDuty AWS Organizationsに追加で有効化可能 Amazon Inspector AWS Organizationsに追加で有効化可能 AWS Health デフォルトで有効 AWS Security Hubの Security standards 機能 AWS Organizationsに追加とAWS Configの有効化が実質必要

AWS Organizations の活用 AWS アカウントを AWS Organizations に追加するだけで有効化できるサービスがある 17 サービス名
リージョン単位の設定必要有効化方法 IAM Access Analyzer Yes AWS Organizationsに追加で有効化可能 Amazon GuardDuty Yes AWS Organizationsに追加で有効化可能 Amazon Inspector Yes AWS Organizationsに追加で有効化可能 AWS Health No デフォルトで有効 AWS Security Hubの Security standards Yes AWS Organizationsに追加とAWS Configの有効化が必要

ベースライン設定の自動適用 • CodeBuildを利用してベースライン設定（AWSアカウント作成時に最低限設定するもの）を適用 18

SecurityHub の Findings の集約 19

SecurityHubの委任設定 • マネジメントアカウントからセキュリティ本部のアカウントにSecurityHubの設定権限を委任 20

東京リージョンに通知を集約 • Finding aggregation で東京リージョンに Findings を集約設定 21

SecurityHub の Integrations の有効化 • 各サービスの Findings 情報が SecurityHub に集約されるよう設定
22

通知経路の設定 23

Terraform の利用 • Terraform のモジュール機能を利用 ◦ Cloudformation も検討したが、社内では Terraform 利用者が多い。
◦ モジュールのパラメータを変更して、AWS リソースをデプロイ。 ◦ ChatBot は Terraform で直接提供されていないので、CloudFormationをラッパーしている Terraformモジュールを利用 24 モジュール化

通知例 AWS Security Hub の Security standards からの通知 25

運用課題

AWS Security Hub の Security standards から頻繁に通知が届く • 一度届いた Finding
の workﬂow status を supressed に変更するようにして、同じ通知が再び届かないようにした 27

セキュリティ本部で全ての通知を確認するのは難しい • 全AWSアカウントの重要な通知のみ受けるSlackチャンネルを用意 ◦ Event pattern を調整すれば、さまざまな通知条件を実現できる 28 # 特定のアカウントの
SecurityHubのCRITICAL, HIGH, MEDIUMの通知を受ける { "detail": { "findings": { "AwsAccountId": ["123456789012"], "ProductName": ["Security Hub"], "RecordState": ["ACTIVE"], "Severity": { "Label": ["CRITICAL", "HIGH", "MEDIUM"] }, "Types": ["Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"], "Workflow": { "Status": ["NEW"] } } }, "detail-type": ["Security Hub Findings - Imported"], "source": ["aws.securityhub"] } # 全てのアカウントの SecurityHubのCRITICALの通知を受ける { "detail": { "findings": { "ProductName": ["Security Hub"], "RecordState": ["ACTIVE"], "Severity": { "Label": ["CRITICAL"] }, "Types": ["Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"], "Workflow": { "Status": ["NEW"] } } }, "detail-type": ["Security Hub Findings - Imported"], "source": ["aws.securityhub"] }

導入効果

導入して良かったこと • 危ない設定がされた時には監査前から気づけるようになった • 新しく作成されたアカウントについて追加工数なしで通知を受けられるようになった • 各AWSアカウントの通知の仕組みを設計・実装する工数を削減できるようになった • 通知箇所の運用費用はいまのところ月あたり10数ドルで済んでいる 30

今後の予定

今後 AWS Organizations を活用して取り組みたいところ • SCPの利用 ◦ 今回のセキュリティ通知は、発見的統制の考えに沿ったシステムの設計・実装。 ◦ SCP
を活用して予防的統制の実現にも取り組んでいきたい。 32

セキュリティエンジニアを募集中 • STORES のセキュリティ本部では会社のセキュリティリスクをコントロールする施策であれば、主体的に取り組める環境にあります。 • いまの会社では出来ないけれど、セキュリティ施策としてこんなことをやりたいなどありましたら、是非 STORES をご検討いただければと思います。
• 応募要件や福利厚生など、詳しくは、STORESの採用サイト（https://jobs.st.inc/）をご覧ください。 33

AWS Organizations を活用したセキュリティ通知のやり方

AWS Organizations を活用したセキュリティ通知のやり方

toripiyo

Other Decks in Technology

Featured

Transcript

2022年 12月 AWS Organizations を活用したセキュリティ通知のやり方

自己紹介 2 STORES 株式会社セキュリティ本部所属 shimizu yuhei / toripiyo 趣味

セキュリティ本部の紹介 3 - 外部認証機関（ISMS, PCIDSS など）の監査対応 - 情報セキュリティポリシーの作成・改訂、遵守状況の確認 - 社内のセキュリティ教育コンテンツの作成・取りまとめ

本題：AWS Organizations を活用したセキュリティ通知

目次 5 背景デザイン実装運用課題導入効果今後の予定 01 02

背景

- パブリッククラウドの監査 - AWS アカウントの設定を監査してチケットに起票 - 問題点 - 設定されてから監査までには時間差がある -

デザイン

◦ 将来的なスケールを考えると、SecurityHub を経由させたほうが良いのでは？（ハブというぐらいだし）初期案（GuardDutyの場合） 9

SecurityHub を追加したイメージ（GuardDutyの場合） 10

SecurityHubを経由した構成を採用 11

実装

この構成を実装したい 14

サービスの有効化 15

AWS Organizations の活用 AWS アカウントを AWS Organizations に追加するだけで有効化できるサービスがある 16 サービス名

AWS Organizations の活用 AWS アカウントを AWS Organizations に追加するだけで有効化できるサービスがある 17 サービス名

ベースライン設定の自動適用 • CodeBuildを利用してベースライン設定（AWSアカウント作成時に最低限設定するもの）を適用 18

SecurityHub の Findings の集約 19

SecurityHubの委任設定 • マネジメントアカウントからセキュリティ本部のアカウントにSecurityHubの設定権限を委任 20

東京リージョンに通知を集約 • Finding aggregation で東京リージョンに Findings を集約設定 21

SecurityHub の Integrations の有効化 • 各サービスの Findings 情報が SecurityHub に集約されるよう設定

通知経路の設定 23

Terraform の利用 • Terraform のモジュール機能を利用 ◦ Cloudformation も検討したが、社内では Terraform 利用者が多い。

通知例 AWS Security Hub の Security standards からの通知 25

運用課題

AWS Security Hub の Security standards から頻繁に通知が届く • 一度届いた Finding

セキュリティ本部で全ての通知を確認するのは難しい • 全AWSアカウントの重要な通知のみ受けるSlackチャンネルを用意 ◦ Event pattern を調整すれば、さまざまな通知条件を実現できる 28 # 特定のアカウントの

導入効果

今後の予定

今後 AWS Organizations を活用して取り組みたいところ • SCPの利用 ◦ 今回のセキュリティ通知は、発見的統制の考えに沿ったシステムの設計・実装。 ◦ SCP

34