Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSアカウントのセキュリティ自動化、どこまで進める? 最適な設計と実践ポイント

 AWSアカウントのセキュリティ自動化、どこまで進める? 最適な設計と実践ポイント

Yuto Obayashi

March 01, 2025
Tweet

More Decks by Yuto Obayashi

Other Decks in Technology

Transcript

  1. ◼ 登壇者:大林 優斗 ◼ 受賞歴:2024 Japan AWS Jr. Champions ◼

    アウトプット最高! ◼ 今年度のアウトプット ◼ 書籍執筆:AWS の薄い本の合本 Vol.01 ◼ ブログ:記事8本 ◼ 外部向け勉強会:登壇15本(予定を含む)。企画・運営も担当。 自己紹介 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c
  2. セキュリティ・ガバナンス運用の課題 セキュリティ・ガバナンス運用のあるべき姿 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c 調査・修正 分析 改善 検知・通知 セキュリティ検知にどのような

    傾向があるのか分析する 検知内容を確認して リソースの設定変更 分析した結果を踏まえて 改善アクションを実施 ガードレールからの 逸脱などを検出
  3. セキュリティ・ガバナンス運用の課題 • 人手不足 ◦ 限られたリソースを効率よく活用したい • 人的リソース配置の最適化 ◦ 人的リソースを単純タスクではなく、複雑なタスクに配置したい •

    ガバナンス強化 ◦ ある程度の自動化を実現して効率的にガバナンスを効かせたい 自動化をする理由 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c
  4. セキュリティ運用の自動化例 1. AWSサービスのみで作成する完全自動化パターン ⚫ 処理フロー ⚫ WAFのログをS3バケットに出力する ⚫ ログファイルが出力されるたびにStep Functionsを起動する

    ⚫ Step FunctionsでブロックされたIPアドレスをIPSetsに追加する FW系リソースの自動更新 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c AWS WAF Amazon Simple Storage Service (Amazon S3) Amazon EventBridge AWS Step Functions IPSets更新処理
  5. セキュリティ運用の自動化例 1. AWSサービスのみで作成する完全自動化パターン ⚫ メリット ⚫ 人の手が加わることがなく、 IPSetsを更新できる ➢ 人的リソースを重要なタスクに割り当てることができる

    ⚫ 考慮しなければならない点 ⚫ 意図しないIPアドレスをIPSetsに追加してしまい、インシデントが発生 するリスクがある ➢ その結果、インシデント対応に人的リソースが取られる FW系リソースの自動更新 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c
  6. セキュリティ運用の自動化例 2. チャットツール起点とした自動化パターン • 全体構成図 • 処理フロー ◦ チャットツールでチャットボットに話しかける ◦

    チャットボット経由でLambda関数が起動してFW系リソースを更新する FW系リソースの自動更新 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c Amazon Q Developer in chat applications AWS Lambda AWS WAF ・Slack ・Teams
  7. セキュリティ運用の自動化例 2. チャットツール起点とした自動化パターン ⚫ メリット・使いどころ ⚫ チャットツール側のアップデートがあるため作りこみやすい ⚫ 簡単に承認フローを追加して、運用を効率化できる ⚫

    考慮しなければならない点 ⚫ ケースによっては、タスク依頼用の入力フォームの改修が頻発する ⚫ 誤って承認ボタンをクリックする可能性もある ⚫ そもそも社内規定上、チャットツールを起点としたフローでの承認を受け入 れるのか ⚫ チャットツール自体の障害が起きることを考慮して、別の手段でFWを更新 できるようにしておく FW系リソースの自動更新 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c
  8. セキュリティ運用の自動化例 3. AWSサービスのみで作成する自動化パターン ⚫ 処理フロー ⚫ 運用担当者がFWリソースに追加するIPアドレスをファイルに記載 ⚫ ファイルをS3バケットにアップロード ⚫

    ファイルがS3バケットにアップロードされたことをトリガーに Step Functionsを起動して更新処理 FW系リソースの自動更新 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c AWS WAF Amazon Simple Storage Service (Amazon S3) Amazon EventBridge AWS Step Functions AWS Cloud
  9. セキュリティ運用の自動化例 3. AWSサービスのみで作成する自動化パターン ⚫ メリット・使いどころ ⚫ 今回提示したケースで最も汎用的な運用 ⚫ チャットツールのように誤って処理が実行されるリスクは小さい ⚫

    社内規定でチャットツールが使用できないケースでも使用可能 ⚫ デメリット ⚫ チャットツールを起点とした自動化と比較すると、俊敏性はなくなる ⚫ AWSリソースの運用が必要になる FW系リソースの自動更新 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c
  10. 自動更新したFWはFirewall Managerを活用して組織に展開する ⚫ タグを用いた管理で柔軟性を確保しつつ、統制を強化できる セキュリティ運用の自動化例 FW系リソースの自動更新 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c AWS

    Organizations 監査アカウント AWS Firewall Manager System OU A AWS WAF タグ「FMSPolicy:WAF-Block-A」 WAFポリシー FMSPolicy:WAF-Block-A WAFポリシー FMSPolicy:WAF-Block-B AWS WAF タグ「FMSPolicy:WAF-Block-B」 WAFポリシー FMSPolicy:WAF-Block-C System OU A AWS WAF タグ「FMSPolicy:WAF-Block-C」 AWS WAF タグ「FMSPolicy:WAF-Block-」
  11. セキュリティ運用の自動化例 GuardDuty Malware Protection for S3 ⚫ 概要 ⚫ S3バケットに新しくアップロードされたファイルをスキャンしてマルウェア

    を検出してくれる機能 ⚫ 制約 ⚫ 指定できるパスは最大5個までの制限がある ⚫ ワイルドカードを使用したパスパターンを設定できない ⚫ マルウェアを検出するだけでマルウェアが検出されたファイルを隔離・削除 はしてくれない ⚫ Security Hubに検知結果を集約できない GuardDuty Malware Protection for S3を最大限活用するための自動化 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c
  12. セキュリティ運用の自動化例 GuardDuty Malware Protection for S3 ⚫ 特に対処すべき制約 ⚫ マルウェアを検出するだけでマルウェアが検出されたファイルを隔離・削除

    はしてくれない ➢ 感染拡大を防ぐためにマルウェアが検出されたファイルは隔離・削除す るべき ⚫ Security Hubに検知結果を集約できない ➢ セキュリティ検知はSecurity Hubで管理すれば、対応漏れがなくなりや すい GuardDuty Malware Protection for S3を最大限活用するための自動化 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c
  13. セキュリティ運用の自動化例 GuardDuty Malware Protection for S3 ⚫ 「マルウェアを検出するだけで隔離はしてくれない」への対処を自動化する GuardDuty Malware

    Protection for S3を最大限活用するための自動化 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c Amazon GuardDuty Amazon Simple Storage Service (Amazon S3) (マルウェアスキャン用) Amazon EventBridge AWS Lambda (マルウェアファイルを削除・隔離) Amazon Simple Storage Service (Amazon S3) (マルウェアファイル隔離用) マルウェアが検出された 場合にトリガー ユーザー
  14. セキュリティ運用の自動化例 GuardDuty Malware Protection for S3 ⚫ 「Security Hubに検知結果を集約できない」への対処を自動化する ⚫

    「Boto3:batch_import_findings」で検出結果をインポートする GuardDuty Malware Protection for S3を最大限活用するための自動化 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c Amazon GuardDuty Amazon Simple Storage Service (Amazon S3) (マルウェアスキャン用) AWS Security Hub AWS Lambda (検出結果をインポート) 検出結果をSecurity Hubにインポート Amazon EventBridge
  15. セキュリティ運用の自動化例 Configの非準拠リソースをLambdaで自動修復する Configを活用した自動修復機能とそのポイント ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c Security group Public subnet

    Amazon Elastic Compute Cloud (Amazon EC2) AWS Config [インバウンドルール] 0.0.0.0/0 Amazon EventBridge AWS Lambda 「インバウンドルール 0.0.0.0/0」を削除
  16. セキュリティ運用の自動化例 Configの非準拠リソースをLambdaで自動修復するときのポイント 1. 修復対象をタグで制御する • 全てのリソースを修復してしまうとインシデントにつながるため、修復 対象をタグで制御する必要がある • 例:「Config-AutoRepair:True」というタグが設定されていたら削除しない 2.

    Security Hubの「AWS リソースタグ付け標準」を活用してタグが設定され ていないリソースを追跡する 3. Configの記録頻度設定がポイントになる Configを活用した自動修復機能とそのポイント ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c
  17. セキュリティ運用の自動化例 ケースごとのConfigの記録頻度設定 ケース1:とにかく堅牢な環境を作成する ⚫ 「継続的な記録」を採用する ⚫ メリット ⚫ コンプライアンス違反のリソースを早期に修復できる ➢

    意図しない脆弱な設定がされたリソースが環境に残りにくい ⚫ デメリット ⚫ リソース作成・削除が高頻度で繰り返される環境ではコストが増加する ➢ 1万円、5万円、10万円単位のコスト増加も起こりうる Configを活用した自動修復機能とそのポイント ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c
  18. セキュリティ運用の自動化例 ケースごとのConfigの記録頻度設定 ケース2:コストが増加しにくい環境を作成する ⚫ 「日次記録」を採用する ⚫ メリット ⚫ リソース作成・削除が高頻度で繰り返される環境でもコストが増加しに くい

    ⚫ デメリット ⚫ 24時間以内にAWSリソースが侵害される可能性はある ⚫ 24時間以内に攻撃者によってAWSリソースが侵害されて、侵害に気づき にくくなることもある Configを活用した自動修復機能とそのポイント ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c
  19. セキュリティ運用の自動化例 Configの意図しない利用料の増加に気づくために ⚫ 予算作成 • アカウント全体で予算を作成して、請求金額の閾値を設定する • 特定のサービスで予算を作成して、請求金額の閾値を設定する ⚫ コスト分析

    • 月次、日次などでAWSサービスごとにコスト推移を分析する ⚫ メトリクス分析 • Configがどのリソースタイプを一番記録しているのか確認する Configを活用した自動修復機能とそのポイント ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c AWS Cost Explorer AWS Budgets Amazon CloudWatch 予算作成 コスト分析 メトリクス分析
  20. 自動化のポイント ⚫ クリティカルな作業は自動化しすぎない ⚫ 自動化したフロー自体の障害対応に追われる ⚫ 自動化したフロー自体の障害対応に人手が取られるので人手不足になる ➢ 自動化の仕組みが機能しなくなったとしても代替手段で実現可能なフローを 自動化していく

    ➢ まずは小さいところから自動化を進めていく ⚫ ガバナンス強化における自動化は、セキュリティ対策とコストのバランス調整 が重要になる セキュリティ運用における自動化のポイント ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c