Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20250509_AWSアカウント管理担当者が、Security Hub活用のためにQuick...
Search
tsunojun
May 09, 2025
Business
0
210
20250509_AWSアカウント管理担当者が、Security Hub活用のためにQuickSightに手を出したら大変だった話
JAWS-UG 名古屋 5月会①「データ利活用研究会」
https://jawsug-nagoya.connpass.com/event/349797/
tsunojun
May 09, 2025
Tweet
Share
More Decks by tsunojun
See All by tsunojun
20241012_社内セキュリティチェックリストのAWS前提での書き直しと、リストに準拠した自動チェックの実装
tsunojun
0
4
Other Decks in Business
See All in Business
株式会社HRbase_労務開発会社説明資料
hrbase_recruit
0
400
AI駆動開発、 猫からシーサーへ進化中。 現場での実践と未来
eltociear
0
380
BoostDraft 会社紹介資料
boostdraft
0
240
地方中小企業のエンジニアから大企業の執行役員になるまで #phpcon_niigata / road to executive
kyonmm
PRO
7
14k
FERMENSTATION Recruitment
fermenstation
0
120
LW_brochure_engineer
lincwellhr
0
34k
水産庁長官への提言書_Chefs for the Blue
mahong
0
630
リーダーシップとマネジメントの違いとは?
baroqueworksdev
12
3.9k
株式会社BALLAS 会社案内
ballas_inc
0
19k
M3 Career Culture Deck(セールス&コンサルティング職)
m3c
1
280k
別業種から医療業界に入ったPMの悩みと歩き方 / healthtech meetup-vol.1
medley
0
370
RF会社紹介250605.pdf
shotaroabe
0
260
Featured
See All Featured
How to Think Like a Performance Engineer
csswizardry
24
1.7k
For a Future-Friendly Web
brad_frost
179
9.8k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
20
1.3k
Writing Fast Ruby
sferik
628
61k
Stop Working from a Prison Cell
hatefulcrawdad
269
20k
Intergalactic Javascript Robots from Outer Space
tanoku
271
27k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
252
21k
GraphQLとの向き合い方2022年版
quramy
46
14k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
657
60k
Scaling GitHub
holman
459
140k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
26k
Transcript
AWS アカウント管理担当者が、 Security Hub 活用のために QuickSight に手を出したら 大変だった話 tsunojun @tsunojun2451821
自己紹介 大阪の某機械メーカーの研究機関 7 年目 製造業が盛んな名古屋に興味があり、JAWS-UG Nagoya に遠征 主務:AWS ・GitHub などのプラットフォーム提供
Organization からアカウントの払い出し・棚卸 ↑ の延長で、AWS インフラのセキュリティレビューをすることも 手動レビュー レビュー自動化(Security Hub/ カスタムルール) 今後は Amazon Q などを用いて、もっと積極的に?
目次 社内での Security Hub の導入目的 デフォルトの画面では満足できない! どんな画面(可視化機能)が必要か Security Hub と
QuickSight のつなぎ方 AWS ブログを基に、Athena でクエリ 問題発生したため、OpenSearch でのクエリに挑戦中 所感
社内での Security Hub の導入目的 各アカウント上の設定が適切か 利用者に確認させたい 情シス部門の Admin から一覧したい 確認項目
汎用的なベスプラ( 例:EC2 をパブリック 0.0.0.0/0 に公開しない) 社内規定( 例:社内向けアプリは、社内からの接続のみに限定) Config カスタムルールを作成し、配布
デフォルトの画面では満足できない! - 利用者に確認させたい 各アカウント毎の表示 or 全アカウント集約表示 前者は手間がかかるし、後者は見せたくない情報が多い - Configカスタムルールを作成し、配布 汎用的なべスプラと
Config カスタムルールが別々に表示される
どんな画面(可視化機能)が必要か やらないといけないこと 利用者ごとに表示するアカウントを変更する カスタムルールを一覧表示する 追加でやりたいこと Security Hub 以外にも、情シス部門 Admin が確認するログの表示
GitHub Enterprise の Audit Log (各リポジトリのアクセス状況) CloudTrail (AWS の API コールの履歴)
他の方の記事を参考にする JAWS-UG 千葉支部 #19 AWS Security Hub のダッシュボードがイ ケてないので AWS
Security Lake を試してみた JAWS-UG 千葉 #20 AWS Security Lake を試してみたら 最高の運用 者体験だった Security Lake を用いれば、S3 と LakeFormation からなるデータレイ クを一発構築し、各アカウントの情報を集約できるようだ → 上手いことクエリすれば、やりたいことができるのでは?
AWS ブログを基に、Athena でクエリ (最近、QuickSight も Amazon Q 推し 使ったことはないが、 、 、
)
可視化結果
Athena でクエリした際に問題発生 利用者が QuickSight 上のダッシュボードにアクセスした際に 都度クエリするため、表示が遅い(~1 分程度) ▪JAWS-UG千葉支部 #19 AWS
Security HubのダッシュボードがイケてないのでAWS Security Lakeを試してみた 現在の情報を取得するのが難しいかも - 既に存在しない情報がファイルに存在している - なのでfinding ID + リソースで、最新の情報を取得する必要がある → 裏で定期的にクエリし、SPICE キャッシュに格納することで対応 しかし、SPICE がダッシュボード毎に作成される仕様があった → ダッシュボード件数が増えるにつれ費用が増大
さっきの図、細かく書くとこんな感じ ↑ よくわかってなかった(Blackbelt で学んだ)
Athena を使わずにクエリしたい、 、 、 いったんOpenSearch に格納し、QuickSight→OpenSearch にクエリ すればよいのでは? 事前検証で、ある程度パフォーマンスが出ることは判明 現在、Lake→Athena
から Lake→OpenSearch に移行中だが、難航 中 難航している理由:接続方法が複数ある
サービス名 利点 欠点 OpenSearch Ingestion Pipeline OpenSearch 上にデー タを移動するため、ク エリ時間短縮が見込ま
れる ランニングコスト(USD 0.326 per OCU per hour) SIEM on Amazon OpenSearch Service ↑ に加えランニングコス トが安い AWS 提供の OSS かつ 更新頻度が下がってい る・内部 Lambda の内 容把握が必要 Zero-ETL 統合 設定が容易 前述の問題が解消しな い(Athena 同様クエ リ時に都度 S3 を参照)
所感 アカウント管理が主務のため、データ利活用の知見が不足と痛感 Security Lake のような「まとめて一発構築するサービス」は、活用 を進めるにつれ中身の理解が必要 最初の一歩を軽くしてくれることはとても助かる 運用を考えた際に、色々な問題が出てくるため、都度対応する アーキテクチャが最適でないと気づいたら、再構築する勇気が要る 再構築の際は、サービス選定だけでなく、連携方法の選定も必要
今日の登壇で LT される DuckDB にも、興味あり、 、 、