Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS 初心者が取り組んだセキュリティ強化の2年間とこれから/Two years of sec...

Avatar for yayoi_dd yayoi_dd
September 24, 2023
Technology
0
2.4k

AWS 初心者が取り組んだセキュリティ強化の2年間とこれから/Two years of security enhancement efforts by AWS beginners and the future

アップデート紹介とちょっぴり DiveDeep する AWS の時間 - AWS re:Inforce デモ祭り【第33回】Security(2023/08/31)
https://pages.awscloud.com/choppiri-divedeep-seminar-series-reg.html
Avatar for yayoi_dd

yayoi_dd

September 24, 2023
Tweet

More Decks by yayoi_dd

See All by yayoi_dd
弥生のQAエンジニア 品質保証活動と今後の課題 / Yayoi QA engineers, Quality assurance activities and future challenges
Avatar for yayoi_dd yayoi_dd
0
87
【弥生】20250130_AWSマルチアカウント運用セミナー登壇資料
Avatar for yayoi_dd yayoi_dd
2
2.7k
Amazon OpenSearchのコスト最適化とZeroETLへの期待 / Amazon OpenSearch Cost Optimization and ZeroETL Expectations
Avatar for yayoi_dd yayoi_dd
1
72
フロントエンドとバックエンド非同期連携パターンのセッションを見てきた話 / Talk about seeing a session on front-end and back-end asynchronous coordination patterns
Avatar for yayoi_dd yayoi_dd
0
68
reInventで学んだWebシステム運用のBadDayへの備え方 / How to Prepare for BadDay in Web System Operations Learned at reInvent
Avatar for yayoi_dd yayoi_dd
0
51
AWS reInventで感じた世界に見る生成AIの競争 / Competition in Generative AI as Seen Around the World at AWS reInvent
Avatar for yayoi_dd yayoi_dd
0
62
データの意味を適切に伝えましょう データ可視化のお手本/Conveying the Meaning of Data Appropriately: Exemplary Data Visualization
Avatar for yayoi_dd yayoi_dd
0
79
「失敗」から学ぶこと ~ソフトウェア開発と失敗の歴史~/Learning from 'Failures': The History of Software Development and Failures
Avatar for yayoi_dd yayoi_dd
0
73
ソフトウェアアーキテクチャーの基礎 エンジニアリングに基づく体系的アプローチ/Fundamentals of Software Architecture: A Systematic Approach Based on Engineering
Avatar for yayoi_dd yayoi_dd
0
79

Other Decks in Technology

See All in Technology
Cloudflare Use Cases at CADDi
Avatar for minato128 minato128
2
320
インフラからSREへ
Avatar for Issei Naruta mirakui
20
7.9k
「祝」Desktop Linux 元年 2025年度版
Avatar for rlysleepynick rlysleepynick
0
100
Design for Failure - リージョンとAZについて
Avatar for 矢儀丈博 yuki_ink
0
130
newmo の創業を支える Software Architecture と Platform Engineering
Avatar for Yuki Ito 110y
5
770
フロントエンドがTypeScriptなら、バックエンドはPHPでもいいじゃない/php-is-not-bad
Avatar for Ryo Tomidokoro hanhan1978
1
110
生成AI時代における人間の情熱とプロダクト志向 / 20250517 Takuya Oikawa
Avatar for SHIFT EVOLVE shift_evolve
2
280
SRE/インフラエンジニアの市場価値とキャリアパス/Market value and career path for SRE-infrastructure engineers
Avatar for Takuma Kume takumakume
1
230
技術的負債を「戦略的投資」にするためのPdMとエンジニアの連携と実践
Avatar for satomino satomino
4
850
さくらのクラウド 開発の挑戦とその舞台裏
Avatar for kazeburo kazeburo
0
230
MagicPod MCPサーバー開発の裏側とAIエージェント活用の展望
Avatar for MagicPod magicpod
0
330
SONiCで構築・運用する生成AI向けパブリッククラウドネットワーク
Avatar for SONiC Users Group Japan sonic
1
550

Featured

See All Featured
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
0
49
Designing for Performance
Avatar for Lara Hogan lara
608
69k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
349
20k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
187
11k
Building an army of robots
Avatar for Kyle Neath kneath
305
45k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
159
23k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
75
5.8k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
172
14k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.5k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
329
21k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
183
22k

Transcript

  1. 弥生株式会社 開発本部 情報システム部 CCoE / インフラ 峯岸純也 AWS 初心者が取り組んだ セキュリティ強化の

    2 年間とこれから

  2.  弥生株式会社 開発本部 情報システム部 CCoE/インフラ TechL(Technical Leader)  ねぎ(峯岸 純也:みねぎしじゅんや)

     2020年1月に弥生に入社  インフラ経歴ゼロでインフラチームへ  AWS経験もゼロ(※ここ大事)  弥生インフラ領域の何でも屋さんです  前職はJava / C#メインで開発 etc  プログラミングが苦手  自宅にCisco Catalyst 1000あります  最近のお仕事内容  AWSセキュリティ/ガバナンス  オンプレ→AWS移行  趣味  お酒ミニボトル集め 自己紹介 1

  3. 2 弥生のAWSにまつわる数字

  4. 3 弥生のAWSにまつわる数字① 2021年10月~2022年9月:2件 2022年10月~2023年8月:0件

  5. 4  AWS環境でブルートフォースアタックを検知した件数です 答え 2021年11月18日に検知 2022年03月10日に検知 過去の教訓 セキュリティを疎かにするとすぐ攻撃される

  6. 5 弥生のAWSにまつわる数字② 2021年8月:23 2022年8月:66 2023年8月:134

  7. 6  AWS環境のアカウント数です 答え 300~500アカウント 規模を見据えた運用

  8. 7  弥生で取り組んでいるセキュリティ施策  AWS SecurityHubの検知・自動修復対応 • AWSでの自動化されたセキュリティ対応 – https://aws.amazon.com/jp/solutions/implementations/automated-security-

    response-on-aws/  SIEM環境の構築 • SIEM on Amazon OpenSearch Service – https://github.com/aws-samples/siem-on-amazon-opensearch- service/blob/main/README_ja.md 本日のお話

  9. 8 弥生のAWS環境の役割分担

  10. 9 AWS環境の役割分担  共通セキュリティ対策:インフラチーム • AWS Security Hub + αのサービスを活用した自動修復+検知

    – 例:SSH/RDPフルオープンのセキュリティグループを自動修復  共通ガバナンス強化:インフラチーム • AWS Control Tower + AWS IAM Identity Centerによる防御、認証認可 – 例:ルートユーザーとしてのアクションを許可しない  各アカウント:各サービス担当者 • 各AWSアカウント内のセキュリティ – 例:セキュリティグループ設定の見直し、AWS WAFによる防御 共通 ガバナンス 強化 各アカウント 共通 セキュリティ 対策 共通セキュリティ対策 共通ガバナンス強化

  11. 10 弥生のAWSセキュリティ

  12. 11 Amazon GuardDuty / AWS Security Hubの検知 Audit Account Amazon

    GuardDuty Amazon EventBridge AWS Chatbot Slack • 検知の仕組みを導入した効果 – メール通知は1日の受信件数が多くて見逃がすのでSlackへ – 全アカウントの検知内容を通知するチャンネルを用意 AWS Security Hub

  13. 12 検知の課題  通知時にアカウントIDしか表示されない • 自チームが保有しているAWSアカウントに関する通知なのか、すぐわか らないといった声が多数出ていた  各通知毎のSlackチャンネルに集約していた •

    AWS Health、Amazon GuardDuty、AWS Security Hubの通知を、それぞれ 1つのSlackチャンネルにしていた • AWSアカウント数が増えるにつれて、情報が流れてしまう状況だった Slack通知のサンプル

  14. 13 AWS Lambda Health Dashboard EventBridge EventBridge Amazon DynamoDB AWS

    Secrets Manager ※AWS Health Aware(AHA) Health Slack(SOC 用) Audit アカウント 管理アカウント AWS Lambda EventBridge AWS Security Hub 各チームの Security Hub Slack Assume Role Health API AWS Lambda Amazon DynamoDB 各チームの Health Slack Slack URL 取得 Slack URL 取得 Account 名取得 AWS Lambda EventBridge 各チームの GuardDuty Slack GuardDuty の検知 Security Hub の 検知 各通知情報を各チームのSlackへ ※AWS Health Aware https://aws.amazon.com/jp/blogs/news/aws-health-aware-customize-aws-health-alerts-for-organizational-and-personal-aws-accounts/

  15. 14 AWS Security Hub検知の一部

  16. 15 AWS Security Hubの検知 / 自動修復 AWSでの自動化されたセキュリティ対応 https://aws.amazon.com/jp/solutions/implementations/automated-security-response-on-aws/

  17. 16 AWS Security Hubの検知 / 自動修復

  18. 17 AWS Security Hubの検知と自動修復 検知 自動修復 2022年9月 自動修復8件、検知19件 2023年8月 自動修復27件、検知86件

    2年間でここまで増加

  19. 18 検知・自動修復を啓蒙した結果 本番環境 18 pt up 本番環境以外 28 pt up

    認知度 Up 開発チームの セキュリティ意識 良い効果が出てきました AWS Security Hubスコア

  20. 19 弥生のSIEM

  21. 20 SIEM on Amazon OpenSearch Service全体構成図 各Account Amazon Kinesis Data

    Firehose Amazon OpenSearch Service Log Archive Account Delivery Stream S3 Export S3 Export Replication S3 ログ集約用S3 Audit Account SIEM取込み用S3 Lambda Function es-loader Replication SIEM on Amazon OpenSearch Service https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/README_ja.md

  22. 21 活用方法  各種検知時  Amazon Guard Duty • Amazon

    Detectiveと共にCloudTrailやVPC Flow logsなどをSIEM環境で相関分析  AWS Security Hub • SIEM環境で主にCloudTrailを確認して、いつ、だれが、何をやったのか、を調査  障害発生時  VPC Flow logsやその他AWSのログ情報を相関分析 各AWSのアプリケーションログ+オンプレ環境の ログ分析も可能なSIEM環境へ

  23. 22 Amazon OpenSearch Serverless Amazon Security Lake  Amazon OpenSearch

    Serverless  管理が容易 • クラスタのサイジング、スケーリング、チューニング、およびシャードとインデッ クスのライフサイクル管理が不要  速度 • リソースを自動的にスケールし、高速なデータ取り込みレートとクエリ応答時間を 一貫して維持  エコシステム • 同じOpenSearchクライアント、パイプライン、APIを使用して数秒で利用を開始で きる  費用対効果 • 事前のリソースプロビジョニングは不要  Amazon Security Lake  セキュリティに特化したデータレイクサービス  クラウド・オンプレミスおよびカスタムソースからのセキュリティデータを データレイクに集約  セキュリティデータの制御・統制をしながら任意のツールと連携可能

  24. 23 各Account Amazon Kinesis Data Firehose Delivery Stream S3 Export

    S3 Export S3 Audit Account Security Lake用S3 Lambda Function es-loader シンプルに Corporate data center Amazon Security Lake Source Partners オンプレミスのログもAWSへ Amazon Security Lake Subscriber Partners 多彩な分析手段 Amazon Security Lake Amazon OpenSearch Serverless Log Archive Account ログ集約用S3 SIEM on Amazon OpenSearchのアーキテクチャ変更 全てのログ集約と多彩な分析手段の用意

  25. 24 弥生のこれから

  26. 25 これからのセキュリティ&ガバナンス  セキュリティ&ガバナンス向上へ向けた取り組み  AWS Security Hubのスコア向上→維持への仕組み • 各チームメンバーへのセキュリティ意識のさらなる醸成

     SIEM環境の改善と全社展開 • ログの集約(Amazon Security Lake) • 運用負荷軽減(Amazon OpenSearch Serverless) • 社内規程整備 AWS新サービス / ソリューションを積極的に活用

  27. 26 ご清聴ありがとうございました