Upgrade to Pro — share decks privately, control downloads, hide ads and more …

KAGが関わるアカウント全てにSecurity Hubを導入した(い)話

Avatar for wkm2 wkm2
April 15, 2024
Technology
0
200

KAGが関わるアカウント全てにSecurity Hubを導入した(い)話

JAWS-UG情シス支部 第30回 登壇資料

Avatar for wkm2

wkm2

April 15, 2024
Tweet

More Decks by wkm2

See All by wkm2
AWS CLIの新しい認証情報設定方法aws loginコマンドの実態
Avatar for wkm2 wkm2
7
1k
API叩くだけのLambdaを作るつもりがコンテナ on EC2になった話
Avatar for wkm2 wkm2
0
23
AWSネイティブなセキュリティを考える
Avatar for wkm2 wkm2
1
320
地方在住フルリモートワークエンジニアのリアル 〜ジモトで_活きる_エンジニアライフ〜
Avatar for wkm2 wkm2
1
740
Keynote以外のアップデートピックアップ!
Avatar for wkm2 wkm2
1
160
Bedrock素人がKnowledgeBaseでRAGを構築するまで
Avatar for wkm2 wkm2
2
440
EC2を再起動したいがためにNew Relicを使った話
Avatar for wkm2 wkm2
1
450
ネットワークサービスフル活用で実現するハイブリッド構成 〜コープさっぽろのネットワーク全体像〜
Avatar for wkm2 wkm2
2
2.1k
AWS SSO でログインを簡単に〜IAMユーザ管理をしたくない〜
Avatar for wkm2 wkm2
1
620

Other Decks in Technology

See All in Technology
インフラエンジニア必見!Kubernetesを用いたクラウドネイティブ設計ポイント大全
Avatar for 高棹大樹 daitak
0
180
コスト削減から「セキュリティと利便性」を担うプラットフォームへ
Avatar for SansanTech sansantech
PRO
3
990
Tebiki Engineering Team Deck
Avatar for Tebiki, Inc. tebiki
0
23k
新規事業における「一部だけどコア」な
AI精度改善の優先順位づけ
Avatar for Higuchi kokoro zerebom
0
490
AI時代、1年目エンジニアの悩み
Avatar for JINYOUNG KIM jin4
1
150
2026年、サーバーレスの現在地 -「制約と戦う技術」から「当たり前の実行基盤」へ- /serverless2026
Avatar for Serverless Operations slsops
2
170
Kubecon NA 2025: DRA 関連の Recap と社内 GPU 基盤での課題
Avatar for Yohei Kevin Namba kevin_namba
0
120
Mosaic AI Gatewayでコーディングエージェントを配るための運用Tips / JEDAI 2026 新春 Meetup! AIコーディング特集
Avatar for GENDA genda
0
150
学生・新卒・ジュニアから目指すSRE
Avatar for Hiroya Onoe hiroyaonoe
2
460
日本語テキストと音楽の対照学習の技術とその応用
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
410
20260129_CB_Kansai
Avatar for Takuya Yonezawa takuyay0ne
1
260
予期せぬコストの急増を障害のように扱う――「コスト版ポストモーテム」の導入とその後の改善
Avatar for Masahiro Yoshizawa muziyoshiz
1
890

Featured

See All Featured
We Are The Robots
Avatar for Honza Javorek honzajavorek
0
160
The Limits of Empathy - UXLibs8
Avatar for Cassini Nazir cassininazir
1
210
The SEO Collaboration Effect
Avatar for Kristina Bergwall kristinabergwall1
0
350
Accessibility Awareness
Avatar for Sarah Abderemane sabderemane
0
47
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
74
11k
Applied NLP in the Age of Generative AI
Avatar for Ines Montani inesmontani
PRO
4
2k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
Designing for humans not robots
Avatar for Tammie Lister tammielis
254
26k
Docker and Python
Avatar for Tania Allard trallard
47
3.7k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
Odyssey Design
Avatar for Ryan Kendrick rkendrick25
PRO
1
480

Transcript

  1. KAGが関わるアカウント全てに Security Hubを導入した(い)話 JAWS-UG情シス支部 第30回 KDDIアジャイル開発センター 若松剛志

  2. Who am I ? 若松 剛志 AWS チョットデキル エンジニア 秋田出身、札幌在住

    @t_wkm2

  3. Who am I ? ぽんず 生後6ヶ月 北海道足寄町生まれ 趣味:新築の家を破壊すること

  4. KAGが関わるアカウント全てに Security Hubを導入した話

  5. KAG= KDDIアジャイル開発センター

  6. KAGはアジャイル開発にこだわる開発会社 • KDDIの部署として10年の実績 • 2022年にKDDIの子会社として独立した • KDDIグループの開発プロジェクトに加え、 外部から受注するプロジェクトも増えてきた

  7. 開発プロジェクトがたくさんある

  8. 開発プロジェクトがたくさんあると... • プロジェクト毎に開発品質を担保をしてるが、セ キュリティの専門家が各プロジェクトにいるわけ じゃない • KAGとして一定以上のセキュリティ品質の担保を 保証したい • KAGのプロジェクトのほとんどはAWS上で行われ

    るが、AWSの専門家が各プロジェクトにいるわけ じゃない

  9. AWS Security Hub

  10. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると...

  11. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... AWS謹製のベストプラクティスやCIS ベンチーマーク、NISTなど様々な ルールがあり、その中から選択して 使用する

  12. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... 選択したルールが適用されているか を12時間 or 24時間毎に自動で チェックする

  13. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... ルールに反しているもの(アラート)を 1つのアカウントのダッシュボードに 集約してくれる

  14. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... Organizationに所属しているアカウ ントはSecurity Hubを有効にするだ けで自動で集約される Org外のアカウントもInvitationと Acceptは必要だが集約可能

  15. KAG内のSecurity Hub集約図

  16. 責任共有モデルとSecurity Hub

  17. 責任共有モデルとSecurity Hub AWS設定に関わる部分を 対象としている

  18. Security Hubの画面

  19. Security Hubの導入にあたって準備したこと • クロスアカウント設定の確立 • 共通コントロールの作成と全アカウントへの適用 方法確立 • 社員向けの説明資料作成

  20. クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする

    4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布

  21. クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする

    4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布

  22. 共通コントロールの作成と全アカウントへの適用方法確立 Org外のコントロール設定はAWS公式のサンプルソリューションである aws-security-hub-cross-account-controls-disabler を使う https://github.com/aws-samples/aws-security-hub-cross-account-controls-disabler

  23. 共通コントロールの作成と全アカウントへの適用方法確立

  24. 社員向けの説明資料作成

  25. KAGが関わるアカウント全てに Security Hubを導入した話

  26. KAGが関わるアカウント全てに Security Hubを導入した(い)話

  27. ぶっちゃけまだ1プロジェクトしか 終わってないw

  28. これから全プロジェクトへ展開して 5月までに導入完了の予定

  29. 導入後にやりたいこと • GuardDuty ◦ 悪意のあるアクティビティの検知/可視化 • Inspecter ◦ 脆弱性の検知/可視化 •

    Amazon Detective ◦ セキュリティ調査プロセス効率化

  30. まとめ • AWSのセキュリティ品質を一定以上に保つため、AWS Security Hubを導入するのがおすすめ • 導入に当たってはクロスアカウント設定はポリシー適用などい くつかの手順を踏む踏む必要がある • Security

    Hub以外にもセキュリティに関わるサービスがあるの で、導入していきたい