JAWS-UG SRE支部 #7 Security Hubは俺の姑

Transcript

1. 株式会社 Gunosy テクノロジー本部 プロダクト開発部 SREチーム マネージャー 山口 隆史 <YAMAGUCHI Takashi>

   2023年10月18日(水) Security Hubは俺の姑

2. （C） Gunosy Inc. All Rights Reserved. PAGE | 2 エレベーターピッチ

   ［Security Hubを触ったことがない人］、 ［Security Hubを運用している人］向けに発表する ［Security Hubは俺の姑］は ［Security Hubのネタセッション］です これは［現場での発生した事案に基づいて構成しているネタセッションのた め、納得感］があり これまでの事例発表や公式資料とは違って ［Security Hubのちょっと困った挙動と、Security Hubとのほどよい付き 合い方に焦点をあてている］

3. （C） Gunosy Inc. All Rights Reserved. PAGE | 3 LT終了後に狙う状態

   論理面 - Security Hubのちょっと困ったところが理解できる - Security Hubとの付き合い方が理解できる 感情面 - Security Hubってそんなところあるよなーと共感してもらう - Security Hubに興味をもってもらう

4. （C） Gunosy Inc. All Rights Reserved. 本題に入る前に自己紹介

5. （C） Gunosy Inc. All Rights Reserved. PAGE | 5 自己紹介

   氏名：山口隆史(やまぐちたかし) 所属：株式会社Gunosy テクノロジー本部 プロダクト開発部 SREチーム マネージャー 業務：Pure SREとしての活動 略歴：フリーランス、SIer等を渡り歩く→現職（2022/01〜） 自称：Security Hub芸人 好きなAWSサービス：Security Hub、GuardDuty、サポート 他：AWS Community Builder(Security & Identity)、JAWS-UG千葉支部運営 第022587号

6. （C） Gunosy Inc. All Rights Reserved. PAGE | 6 株式会社Gunosy

   ギリシャ語で「知識」を意味する「Gnosis（グノーシス）」＋「u(“you”)」 「”Gnosis” for “you”」あなたのための知識 　＝情報を届けるサービスを提供し続ける、という意味 ▪ 2012年11月創業 ▪ 2015年4月東証マザーズ上場 ▪ 2017年12月東証第一部に市場変更 ▪ 2022年4月東京証券取引所の市場一部からプライム市場に移行 ▪ 従業員数 252名 （2023年5月末現在 連結ベース） ▪ 事業内容 – 情報キュレーションサービスその他メディアの開発及び運営 ▪ 提供サービス 　グノシー、ニュースパス、 auサービスToday、YOU IN 企業理念「情報を世界中の人に最適に届ける」

7. （C） Gunosy Inc. All Rights Reserved. ここから本題

8. （C） Gunosy Inc. All Rights Reserved. PAGE | 8 アジェンダ

   話すこと • AWS Security Hubとは • AWS Security Hubのちょっと困ったところ • AWS Security Hubとの付き合い方

9. （C） Gunosy Inc. All Rights Reserved. 前提

10. （C） Gunosy Inc. All Rights Reserved. AWS Security Hubとはどんなサービスなのか

11. （C） Gunosy Inc. All Rights Reserved. PAGE | 11 AWS

    Security Hubとは AWS Security Hub は、セキュリティのベストプラクティスのチェックを行い、アラートを集約 し、自動修復を可能にするクラウドセキュリティ体制管理サービスです。

12. （C） Gunosy Inc. All Rights Reserved. この説明だとよくわかんないですよね？

13. （C） Gunosy Inc. All Rights Reserved. PAGE | 13 AWS

    Security Hubがやってくれること ▪ AWSリソースのミスコンフィグ（脆弱性）のチェック – AWS Configを使ってリソース情報を収集してチェック – ベストプラクティス、業界規制やコンプライアンスフレームワークに合わせたセ キュリティチェック ▪ AWSのセキュリティ系サービスの情報集約 – Amazon GuardDuty – Amazon Inspector – AWS Systems Managers – AWS Health – AWS Config – AWS Firewall Manager – AWS IAM Access Analyzer – Amazon Macie

14. （C） Gunosy Inc. All Rights Reserved. PAGE | 14 AWS

    Security Hubがやってくれること ▪ パートナーサービスの情報も一元管理可能 – ASFFフォーマットで送信することで、Security Hubに集約可能 ▪ セキュリティスコアと概要のダッシュボード – セキュリティスコアはAWS Configを使用したミスコンフィグだけ ▪ 以上の情報をリージョン集約、アカウント集約して委任アカウントで確認できる – 委任アカウントの設定はAWS Organizationの導入が必要 ▪ 検出結果が自動更新される ▪ 修復アクションが可能 – 自動でも手動でも

15. （C） Gunosy Inc. All Rights Reserved. 細かいところに気づいたり（ミスコンフィグ） ご近所からいろんなうわさばなしを集めてきたり （リージョン集約アカウント集約） 勝手にいろいろやってくれる（自動修復）

16. （C） Gunosy Inc. All Rights Reserved. なかなか便利ですごいですよね

17. （C） Gunosy Inc. All Rights Reserved. イメージ的には 細かいところによく気がついて ご近所付き合いが上手で お世話上手な

    スーパー姑さん

18. （C） Gunosy Inc. All Rights Reserved. そんなAWS Security Hub（姑さん）にも ちょっと困ったところがあります

19. （C） Gunosy Inc. All Rights Reserved. PAGE | 19 チェックが細かい

    例えば • [RDS.16] タグをスナップショットにコピーするように RDS DB クラス ターを設定する必要があります • [CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィル ターとアラームが存在することを確認します • [RDS.23] RDS インスタンスはデータベースエンジンのデフォルト ポートを使用しないようにする必要があります

20. （C） Gunosy Inc. All Rights Reserved. PAGE | 20 チェックが細かい

    例えば • [RDS.16] タグをスナップショットにコピーするように RDS DB クラス ターを設定する必要があります • [CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィル ターとアラームが存在することを確認します • [RDS.23] RDS インスタンスはデータベースエンジンのデフォルト ポートを使用しないようにする必要があります 対応する必要があるかどうかはそれぞれのセキュリティポリシーや運用に 応じて決定しましょう コントロールによっては無効化することが有効です

21. （C） Gunosy Inc. All Rights Reserved. PAGE | 21 お金のことを気にしてくれない

    例えば • [CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統 合する必要があります

22. （C） Gunosy Inc. All Rights Reserved. PAGE | 22 お金のことを気にしてくれない

    例えば • [CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統 合する必要があります CloudTrailはAthenaで確認出るのと、GuardDutyでチェックできることも多 いので必要かどうかは要検討 通信量、APIコール量によっては課金爆発してしまうので、ご利用は計画的 に！

23. （C） Gunosy Inc. All Rights Reserved. PAGE | 23 こっちの事情は気にせずいろいろ言ってくる

    例えば • [IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必 要があります

24. （C） Gunosy Inc. All Rights Reserved. PAGE | 24 こっちの事情は気にせずいろいろ言ってくる

    例えば • [IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必 要があります ハードウェアMFAが推奨なのはわかるんですが、運用の都合で仮想MFAを 使っています その他、組織の運用と合わない例もいくつか

25. （C） Gunosy Inc. All Rights Reserved. PAGE | 25 集めた情報を整理して伝えてくれない

    例えば • アカウント別だと検出数の合計になる • 重要度別だと全てのアカウントの合計になる

26. （C） Gunosy Inc. All Rights Reserved. PAGE | 26 集めた情報を整理して伝えてくれない

    例えば • アカウント別だと検出数の合計になる • 重要度別だと全てのアカウントの合計になる ダッシュボードは別で作りましょう Security Lake＋QuickSightでもいけます 参考：https://tech.gunosy.io/entry/amazon-security-lake-start

27. （C） Gunosy Inc. All Rights Reserved. PAGE | 27 ときどきお願いしたことを忘れる

    例えば • 例外にしてたのに、何かのサービスアップデートのタイミングで例外 が外れたり（サポートに確認したらバグでした）

28. （C） Gunosy Inc. All Rights Reserved. PAGE | 28 ときどきお願いしたことを忘れる

    例えば • 例外にしてたのに、何かのサービスアップデートのタイミングで例外 が外れたり（サポートに確認したらバグでした） 面倒でも例外にしたリソース、その理由はドキュメント化して残しておいたほ うが良いです （リスクを許容しているのが前提ですが）例外にしたリソースもサービスアッ プデートによって対応できたり、アプリ修正のタイミングで対応できたりしま す

29. （C） Gunosy Inc. All Rights Reserved. まとめ

30. （C） Gunosy Inc. All Rights Reserved. PAGE | 30 まとめ

    ▪ AWS Security Hubはよく気がつくかわいい姑さん ▪ 指摘に対する対応要否は適宜判断しましょう – 組織の運用ルールと合わない場合もあるので、ルール毎に組織のポリシーと 照らし合わせて対応の要否、コントロール自体の無効化を判断しましょう Security Hubといい距離感を保って楽しくセキュリティ対応をしましょう

31. 情報を世界中の人に最適に届ける