AWSアカウントのセキュリティ自動化、どこまで進める？　最適な設計と実践ポイント

Transcript

1. AWSアカウントのセキュリティ自動化、 どこまで進める？ 最適な設計と実践ポイント ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

2. ◼ 登壇者：大林 優斗 ◼ 受賞歴：2024 Japan AWS Jr. Champions ◼

   アウトプット最高！ ◼ 今年度のアウトプット ◼ 書籍執筆：AWS の薄い本の合本 Vol.01 ◼ ブログ：記事8本 ◼ 外部向け勉強会：登壇15本(予定を含む)。企画・運営も担当。 自己紹介 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

3. セキュリティ・ガバナンス運用の課題 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

4. セキュリティ・ガバナンス運用の課題 セキュリティ・ガバナンス運用のあるべき姿 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c 調査・修正 分析 改善 検知・通知 セキュリティ検知にどのような

   傾向があるのか分析する 検知内容を確認して リソースの設定変更 分析した結果を踏まえて 改善アクションを実施 ガードレールからの 逸脱などを検出

5. セキュリティ・ガバナンス運用の課題 • 人手不足 ◦ 限られたリソースを効率よく活用したい • 人的リソース配置の最適化 ◦ 人的リソースを単純タスクではなく、複雑なタスクに配置したい •

   ガバナンス強化 ◦ ある程度の自動化を実現して効率的にガバナンスを効かせたい 自動化をする理由 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

6. セキュリティ運用の自動化例 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

7. FW系リソースの自動更新 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

8. セキュリティ運用の自動化例 ⚫ FW系リソースの自動更新するパターン例 1. AWSサービスのみで作成する完全自動化パターン 2. チャットツール起点とした自動化パターン 3. AWSサービスのみで作成する自動化パターン ➢

   ケースごとにそれぞれのパターンをどのように活用していけばいいのか FW系リソースの自動更新 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

9. セキュリティ運用の自動化例 1. AWSサービスのみで作成する完全自動化パターン ⚫ 処理フロー ⚫ WAFのログをS3バケットに出力する ⚫ ログファイルが出力されるたびにStep Functionsを起動する

   ⚫ Step FunctionsでブロックされたIPアドレスをIPSetsに追加する FW系リソースの自動更新 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c AWS WAF Amazon Simple Storage Service (Amazon S3) Amazon EventBridge AWS Step Functions IPSets更新処理

10. セキュリティ運用の自動化例 1. AWSサービスのみで作成する完全自動化パターン ⚫ メリット ⚫ 人の手が加わることがなく、 IPSetsを更新できる ➢ 人的リソースを重要なタスクに割り当てることができる

    ⚫ 考慮しなければならない点 ⚫ 意図しないIPアドレスをIPSetsに追加してしまい、インシデントが発生 するリスクがある ➢ その結果、インシデント対応に人的リソースが取られる FW系リソースの自動更新 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

11. セキュリティ運用の自動化例 2. チャットツール起点とした自動化パターン • 全体構成図 • 処理フロー ◦ チャットツールでチャットボットに話しかける ◦

    チャットボット経由でLambda関数が起動してFW系リソースを更新する FW系リソースの自動更新 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c Amazon Q Developer in chat applications AWS Lambda AWS WAF ・Slack ・Teams

12. 2. チャットツール起点とした自動化パターン • Slackワークフローを活用したパターンの構成 セキュリティ運用の自動化例 FW系リソースの自動更新 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c 運用担当者

    運用責任者 Amazon Q Developer in chat applications AWS Lambda AWS WAF ①依頼 ②承認 ③リソース更新処理 ④処理完了通知

13. 2. チャットツール起点とした自動化パターン ⚫ Slackワークフローを活用したパターンで考慮したい点 1. タスク依頼：直感的な操作を可能とする入力フォームを作成する セキュリティ運用の自動化例 FW系リソースの自動更新 ハッシュタグ：#jawsdays2025 #jawsug

    #jawsdays2025_c

14. 2. チャットツール起点とした自動化パターン ⚫ Slackワークフローを活用したパターンで考慮したい点 2. 承認：承認できるユーザーを限定する ⚫ Slackワークフローで承認ボタンをクリックできるユーザーを限定する ⚫ 承認者だけが参加できるチャンネルに承認依頼メッセージを送信する

    セキュリティ運用の自動化例 FW系リソースの自動更新 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

15. セキュリティ運用の自動化例 2. チャットツール起点とした自動化パターン ⚫ メリット・使いどころ ⚫ チャットツール側のアップデートがあるため作りこみやすい ⚫ 簡単に承認フローを追加して、運用を効率化できる ⚫

    考慮しなければならない点 ⚫ ケースによっては、タスク依頼用の入力フォームの改修が頻発する ⚫ 誤って承認ボタンをクリックする可能性もある ⚫ そもそも社内規定上、チャットツールを起点としたフローでの承認を受け入 れるのか ⚫ チャットツール自体の障害が起きることを考慮して、別の手段でFWを更新 できるようにしておく FW系リソースの自動更新 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

16. セキュリティ運用の自動化例 3. AWSサービスのみで作成する自動化パターン ⚫ 処理フロー ⚫ 運用担当者がFWリソースに追加するIPアドレスをファイルに記載 ⚫ ファイルをS3バケットにアップロード ⚫

    ファイルがS3バケットにアップロードされたことをトリガーに Step Functionsを起動して更新処理 FW系リソースの自動更新 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c AWS WAF Amazon Simple Storage Service (Amazon S3) Amazon EventBridge AWS Step Functions AWS Cloud

17. セキュリティ運用の自動化例 3. AWSサービスのみで作成する自動化パターン ⚫ メリット・使いどころ ⚫ 今回提示したケースで最も汎用的な運用 ⚫ チャットツールのように誤って処理が実行されるリスクは小さい ⚫

    社内規定でチャットツールが使用できないケースでも使用可能 ⚫ デメリット ⚫ チャットツールを起点とした自動化と比較すると、俊敏性はなくなる ⚫ AWSリソースの運用が必要になる FW系リソースの自動更新 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

18. 自動更新したFWはFirewall Managerを活用して組織に展開する ⚫ タグを用いた管理で柔軟性を確保しつつ、統制を強化できる セキュリティ運用の自動化例 FW系リソースの自動更新 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c AWS

    Organizations 監査アカウント AWS Firewall Manager System OU A AWS WAF タグ「FMSPolicy：WAF-Block-A」 WAFポリシー FMSPolicy：WAF-Block-A WAFポリシー FMSPolicy：WAF-Block-B AWS WAF タグ「FMSPolicy：WAF-Block-B」 WAFポリシー FMSPolicy：WAF-Block-C System OU B AWS WAF タグ「FMSPolicy：WAF-Block-C」 AWS WAF タグ「FMSPolicy：WAF-Block-B」

19. GuardDuty Malware Protection for S3 を最大限活用するための自動化 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

20. セキュリティ運用の自動化例 GuardDuty Malware Protection for S3 ⚫ 概要 ⚫ S3バケットに新しくアップロードされたファイルをスキャンしてマルウェア

    を検出してくれる機能 ⚫ 制約 ⚫ 指定できるパスは最大5個までの制限がある ⚫ ワイルドカードを使用したパスパターンを設定できない ⚫ マルウェアを検出するだけでマルウェアが検出されたファイルを隔離・削除 はしてくれない ⚫ Security Hubに検知結果を集約できない GuardDuty Malware Protection for S3を最大限活用するための自動化 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

21. セキュリティ運用の自動化例 GuardDuty Malware Protection for S3 ⚫ 特に対処すべき制約 ⚫ マルウェアを検出するだけでマルウェアが検出されたファイルを隔離・削除

    はしてくれない ➢ 感染拡大を防ぐためにマルウェアが検出されたファイルは隔離・削除す るべき ⚫ Security Hubに検知結果を集約できない ➢ セキュリティ検知はSecurity Hubで管理すれば、対応漏れがなくなりや すい GuardDuty Malware Protection for S3を最大限活用するための自動化 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

22. セキュリティ運用の自動化例 GuardDuty Malware Protection for S3 ⚫ 「マルウェアを検出するだけで隔離はしてくれない」への対処を自動化する GuardDuty Malware

    Protection for S3を最大限活用するための自動化 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c Amazon GuardDuty Amazon Simple Storage Service (Amazon S3) （マルウェアスキャン用） Amazon EventBridge AWS Lambda （マルウェアファイルを削除・隔離） Amazon Simple Storage Service (Amazon S3) （マルウェアファイル隔離用） マルウェアが検出された 場合にトリガー ユーザー

23. セキュリティ運用の自動化例 GuardDuty Malware Protection for S3 ⚫ 「Security Hubに検知結果を集約できない」への対処を自動化する ⚫

    「Boto3：batch_import_findings」で検出結果をインポートする GuardDuty Malware Protection for S3を最大限活用するための自動化 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c Amazon GuardDuty Amazon Simple Storage Service (Amazon S3) （マルウェアスキャン用） AWS Security Hub AWS Lambda （検出結果をインポート） 検出結果をSecurity Hubにインポート Amazon EventBridge

24. Configを活用した自動修復機能とそのポイント ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

25. セキュリティ運用の自動化例 Configの非準拠リソースをLambdaで自動修復する Configを活用した自動修復機能とそのポイント ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c Security group Public subnet

    Amazon Elastic Compute Cloud (Amazon EC2) AWS Config [インバウンドルール] 0.0.0.0/0 Amazon EventBridge AWS Lambda 「インバウンドルール 0.0.0.0/0」を削除

26. セキュリティ運用の自動化例 Configの非準拠リソースをLambdaで自動修復するときのポイント 1. 修復対象をタグで制御する • 全てのリソースを修復してしまうとインシデントにつながるため、修復 対象をタグで制御する必要がある • 例：「Config-AutoRepair：True」というタグが設定されていたら削除しない 2.

    Security Hubの「AWS リソースタグ付け標準」を活用してタグが設定され ていないリソースを追跡する 3. Configの記録頻度設定がポイントになる Configを活用した自動修復機能とそのポイント ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

27. セキュリティ運用の自動化例 Configの記録頻度設定がポイントになる ⚫ Configがリソースタイプを記録するたびに料金が発生する Configを活用した自動修復機能とそのポイント ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

28. セキュリティ運用の自動化例 ケースごとのConfigの記録頻度設定 ⚫ ケース1：とにかく堅牢な環境を作成する ⚫ ケース2：コストが増加しにくい環境を作成する ⚫ ケース3：マルチアカウント環境で運用 Configを活用した自動修復機能とそのポイント ハッシュタグ：#jawsdays2025

    #jawsug #jawsdays2025_c

29. セキュリティ運用の自動化例 ケースごとのConfigの記録頻度設定 ケース1：とにかく堅牢な環境を作成する ⚫ 「継続的な記録」を採用する ⚫ メリット ⚫ コンプライアンス違反のリソースを早期に修復できる ➢

    意図しない脆弱な設定がされたリソースが環境に残りにくい ⚫ デメリット ⚫ リソース作成・削除が高頻度で繰り返される環境ではコストが増加する ➢ 1万円、5万円、10万円単位のコスト増加も起こりうる Configを活用した自動修復機能とそのポイント ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

30. セキュリティ運用の自動化例 ケースごとのConfigの記録頻度設定 ケース2：コストが増加しにくい環境を作成する ⚫ 「日次記録」を採用する ⚫ メリット ⚫ リソース作成・削除が高頻度で繰り返される環境でもコストが増加しに くい

    ⚫ デメリット ⚫ 24時間以内にAWSリソースが侵害される可能性はある ⚫ 24時間以内に攻撃者によってAWSリソースが侵害されて、侵害に気づき にくくなることもある Configを活用した自動修復機能とそのポイント ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

31. セキュリティ運用の自動化例 ケースごとのConfigの記録頻度設定 ケース3：マルチアカウント環境で運用 ⚫ ケース3.1：組織全体で「日次記録」を採用する ⚫ ケース3.2：組織全体で「継続的な記録」を採用する ⚫ ケース3.3：「日次記録」と「継続的な記録」のハイブリッドを採用する Configを活用した自動修復機能とそのポイント

    ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

32. セキュリティ運用の自動化例 ケース3.3： 「日次記録」と「継続的な記録」のハイブリッドを採用する 特定のリソースタイプのみ記録頻度設定を変更する ➢ ドリフト検出対象のAPIではないためドリフト検出はされない Configを活用した自動修復機能とそのポイント ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

    Root OU マネジメントアカウント System OU アカウント_01 アカウント_02 AWS Control Tower AWS Config AWS Config 「AWS::EC2::SecurityGroup」 のみ「日次記録」にオーバーライド

33. セキュリティ運用の自動化例 Configの意図しない利用料の増加に気づくために ⚫ 予算作成 • アカウント全体で予算を作成して、請求金額の閾値を設定する • 特定のサービスで予算を作成して、請求金額の閾値を設定する ⚫ コスト分析

    • 月次、日次などでAWSサービスごとにコスト推移を分析する ⚫ メトリクス分析 • Configがどのリソースタイプを一番記録しているのか確認する Configを活用した自動修復機能とそのポイント ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c AWS Cost Explorer AWS Budgets Amazon CloudWatch 予算作成 コスト分析 メトリクス分析

34. セキュリティ運用の自動化例 ★ガバナンス強化とコストのバランス調整が重要 ➢ ガバナンスを強化するためには一定のコストがかかる ➢ 組織として目指しているAWS環境を実現するための選択が重要になる Configを活用した自動修復機能とそのポイント ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

    コスト セキュリティ

35. 自動化のポイント ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

36. 自動化のポイント ⚫ クリティカルな作業は自動化しすぎない ⚫ 自動化したフロー自体の障害対応に追われる ⚫ 自動化したフロー自体の障害対応に人手が取られるので人手不足になる ➢ 自動化の仕組みが機能しなくなったとしても代替手段で実現可能なフローを 自動化していく

    ➢ まずは小さいところから自動化を進めていく ⚫ ガバナンス強化における自動化は、セキュリティ対策とコストのバランス調整 が重要になる セキュリティ運用における自動化のポイント ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

37. おわりに ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

38. メンバーが足りません！！ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

39. None