日本居残り組の情シス/セキュリティ担当が、去年のre:Inventの心残りを晴らした話 ~AWS Security Incident Responseをかじってみた~

日本居残り組の情シス/セキュリティ担当が、去年のre:Inventの心残りを晴らした話 AWS Security Incident Responseをかじってみた ↑をかじるため、個人アカウントにControl Tower設定した tsunojun
@tsunojun2451821

目次 AWS Security Incident Responseとは？ re:Invent 2024 時点では、機能は魅力的だが、費用がかさんだため見送り re:Invent 2025
前にあった、価格モデルと機能のアップデート実際に使ってみた個人アカウントにControl Towerをセットアップ AWS Security Incident Responseを導入他にも気になっているアップデート AWS Security Agent AWS Certified Security - Specialty 2 / 25

自己紹介ロール製造業（空調）のR&D部門主務：AWS・GitHub などのプラットフォーム提供 Organization / Control Tower /
IAM Identity Centerを運用セキュリティレビュー：AWS インフラのレビュー自動化（Configカスタムルール） re:Inventと自分昨年 re:Invent 2024に初参加し、感銘を受ける 2025は社内の枠の都合で後輩に譲り、日本居残り組 3 / 25

去年のre:Invent参加時の目標 WorkshopやGameDay （JAWS名古屋で予習した上で）現地では初対面の方と多国籍チームを組めた →満たされたセキュリティの新サービスを知りたい会期前にAWS Security Incident Responseが発表されていたため、関連セッションに足を運ぶことに
→... 4 / 25

※AWS Summit Japanで日本語化されたものを掲載 AWS Security Incident Response を活用したインシデント対応（AWS-12） 5 /
25

25

ケースにコメントを残したり、ステータス管理したり 8 / 25

25

Security Incident Response、いい感じっぽい！しっくりくる表現をQiitaから拝借 @yoji-csc (Watanabe Yoji)コミュニケーションという切り口で振り返る１２月のセキュリティイベント - qiita
これはまさにインシデントレスポンスのコラボレーション（コミュニケーション）ツール（メンバー管理、権限管理、チケット管理）であると感じました。ちょうど社内で類似SaaSを導入検討していたため、これを使えないか検討開始（社内チャットにて）良いサービスを見つけました！ 10 / 25

よく調べると、セッションで言及なかった落とし穴が AWS利用料全体に応じて階層が変わる費用形態だが、最低階層でも高い（AWSによる24/365サポートがあるため、高くなっていると思われる）（社内チャットにて）先程の報告はご放念ください！ 11 / 25

去年のre:Invent参加時の目標（再掲） WorkshopやGameDay （JAWS名古屋で予習した上で）現地では初対面の方と多国籍チームを組めた →満たされたセキュリティの新サービスを知りたい会期前にAWS Security Incident Responseが発表されていたため、関連セッションに足を運ぶことに
→ 心残りが生まれた 12 / 25

あれから1年 2025は社内の枠の都合で後輩に譲り、日本居残り組後輩がre:Inventの身支度をする横で、re:Invent漏れアップデートを見ていると... 13 / 25

費用体型が、無料利用枠付きの従量課金に！ 14 / 25

再調査することに（社内チャットにて）昨年のご放念はご放念ください！ Monthly Security Finding Ingestionってなんだ？触ってみないとわからんな... でも、いきなり社内環境に入れると課金事故しそう... 15 /
25

私用環境と、JAWS-UG名古屋で頂いたクレジットがあるじゃないかしかも、そろそろ切れそう 16 / 25

ということで、実際に試してみたまず、AWS Organizationsを有効にしないといけない GuardDutyとSecurity Hub CSPMを有効にするとよい https://docs.aws.amazon.com/ja_jp/security- ir/latest/userguide/onboarding-guide.html 17 /
25

Control Towerを設定し、Organizationなど導入 AWSの考えるベスプラのOU構成を、Landing Zoneで導入 Landing Zone 4.0で、必要な機能だけ選択できるようになったのも追い風 ※GuardDuty/Security Hub CSPMは個別で入れる必要あり
18 / 25

本番：AWS Security Incident Responseを導入メインの画面はシンプル手動ケース起票 Security Hub CSPMに連携したTrend Micro
Cloud Oneなどから自動起票 19 / 25

手動ケース起票 20 / 25

ケースにコメントを残したり、ステータス管理したり（再掲） 21 / 25

自動起票（AWSはこちらが推し） aws security-ir create-case コマンドなどで起票可能 GuardDuty連携にはEventBridge手動設定が必要そう裏で勝手に組んでくれるわけではない。設定せずサンプル発報しても反映されず 22 / 25

AWS Security Incident Responseを使ってみて費用体型の更新があったことで、1年越しに触れることができた少なくとも、個人環境に導入した限りでは、費用発生はわずか(Control Towerでの費用発生のみ) 社内利用は Monthly
Security Finding Ingestion をもう少し細かく見てから公式の例(GuardDuty)は勿論、AWS Health対応状況記録などに使えそうシステム運用中のチケット管理にも使えそう（AWS CIRTへの対応依頼周りは、怖いので触ってないです） re:Inventでのインプットは、即座に役に立たなくても、後々役に立つことがある ↑に気づくには、週刊AWSなどで、アップデートの継続的な確認が必要 23 / 25

その他更新：AWS Security Agent 24 / 25

その他更新：資格試験 AWS Certified Security - Specialty の新バージョン新バージョン（SCS-C03）では、生成 AI と機械学習セキュリティに重点を置いて、
新しいテクノロジーの適用範囲を拡大しています。セキュリティ専門家により良いサービスを提供するため、試験ドメインを再構成し、検出とインシデント対応機能のための明確なセクションを作成しました。ぜひ取りたい！以前SCS-C01を取ったが、失効しているので Exam Guide に目を通しておく AmazonBedrockなど、抑えるべきサービスが増えているのがわかる 25 / 25

日本居残り組の情シス/セキュリティ担当が、去年のre:Inventの心残りを晴らした話 ~AW...

日本居残り組の情シス/セキュリティ担当が、去年のre:Inventの心残りを晴らした話 ~AWS Security Incident Responseをかじってみた~

tsunojun

More Decks by tsunojun

Other Decks in Technology

Featured

Transcript