SlideShare a Scribd company logo

上司の一言から始めるAWSセキュリティ確保生活 〜SecurityHubでスコア100を目指す〜

S
ssuseredf77a

JAWS DAYS 2022 のスピーカーとして発表した際の資料です。

Technology
1 of 24
Download to read offline
上司の一言から始める 〜SecurityHubでスコア100を目指す〜 AWSセキュリティ確保生活 JAWS DAYS 2022 2022/10/08 株式会社ベガコーポレーション 石内 涼太
名前:石内 涼太 所属:株式会社ベガコーポレーション SRE G 経歴:独学で色々な言語を触り、就職後は PHP を中心に WEB の開発保 守に従事。現在の会社に移ってから AWS を触り、1年半ほど前から SRE グループに異動となる。 趣味:車、釣り 最近の出来事:3日ほど前に車のクラッチシリンダーが壊れ修理中。釣りに 行けねぇ! 自己紹介
● AWS のセキュリティ関連サービス ○ AWS SecurityHub ○ Amazon GuardDuty ○ Amazon Inspector ○ Amazon Detective ○ SIEM on Opensearc ● 構成について ● SecurityHub の運用 ● まとめ 本日のお品書き
- IAM - Amazon Cognito - AWS Directory Service - AWS Resource Access Manager - AWS Organizations - AWS Security Hub - Amazon GuardDuty - Amazon Inspector - AWS Config - AWS CloudTrail - AWS IoT Device Defender - AWS Network Firewall - AWS Shield AWS のセキュリティ関連サービス - Amazon R53 Resolver DNS Firewall - AWS WAF - AWS Firewall Manager - Amazon Macie - AWS KMS - AWS CloudHSM - AWS Certificate Manager - AWS Secrets Manager - Amazon Detective - AWS Elastic Disaster Recovery - AWS Artifact - AWS Audit Manager - SIEM on Amazon Opensearch Service
- IAM - Amazon Cognito - AWS Directory Service - AWS Resource Access Manager - AWS Organizations - AWS Security Hub - Amazon GuardDuty - Amazon Inspector - AWS Config - AWS CloudTrail - AWS IoT Device Defender - AWS Network Firewall - AWS Shield AWS のセキュリティ関連サービス - Amazon R53 Resolver DNS Firewall - AWS WAF - AWS Firewall Manager - Amazon Macie - AWS KMS - AWS CloudHSM - AWS Certificate Manager - AWS Secrets Manager - Amazon Detective - AWS Elastic Disaster Recovery - AWS Artifact - AWS Audit Manager - SIEM on Amazon Opensearch Service
- 有効化することで各リソースに対し自動的にチェックが行われる - 実態は AWS Config - チェック項目は AWS 側が管理し、不定期で項目の変更が行われる - より強固なセキュリティ基準も存在(CIS、PCI DSS) - チェック結果に従いスコアが算出される - 複数アカウント、リージョンの結果を一つのアカウントに集約 - カスタムアクションを定義することで検出時の自動実行ができる - GuardDuty や Inspector の結果も集約 AWS Security Hub
AWS Security Hub
- 有効化することで各リソースに対する怪しいアクティビティを検知する - 検知結果には脅威度が設定され、優先順位づけて対処が可能 - S3、Kubernetes、Malware(EC2, ECS) も検知が可能 - コンソール内にて別途有効化が必要 - 複数アカウントの結果を一つのアカウントに集約 Amazon GuardDuty
Amazon GuardDuty
- 有効化することで EC2 インスタンス、ECR コンテナイメージに対して脆 弱性スキャンが行われる - 検知結果には脅威度が設定され、優先順位づけて対処が可能 - スキャンタイミングは自動実行と継続実行 - 自動実行:インスタンス作成時やイメージプッシュ時 - 継続実行:新しい脆弱性が公開された時など - 複数アカウントを一括操作(可能だが Organizations が使える場合の み orz) Amazon Inspector
Amazon Inspector
- SecurityHub、GuardDuty、パートナー企業のセキュリティサービスの 結果を集約し原因特定をより簡単に行える - 従来は複数の結果、ログを ETL ツールなどを使用して独自に分析 する必要があった - ダッシュボード化されているので視覚的にも簡素化される - 複数アカウントを一括操作 Amazon Detective
Amazon Detective
(本家より)SIEM on Amazon OpenSearch Service は、セキュリティインシ デントを調査するためのソリューション SIEM on Amazon Opensearch Service
- SIEM は Security Information and Event Management の略 - あらゆる機器のデータを収集及び一元管理をして、相関分析によって 脅威検出とインシデントレスポンスをサポートする - GitHub にて公開されており、CloudFormation テンプレートからデプロ イする - 各種データは Opensearch に集約され、事前に用意されたダッシュ ボードにより視覚化される SIEM on Amazon Opensearch Service
SIEM on Amazon Opensearch Service
構成について
重要なポイント - やる、やらないを決める - 段階的にスコアの目標を定める - スコアよりも脅威度の高いものから対応する - 一人で解決しない SecurityHub の運用
やる、やらないを決める SecurityHub の運用 全部やろうとすると途方 に暮れる。 自社の運用にマッチしな いチェックも存在する。 SRE 内で相談し実施 要否を判断。
段階的にスコアの目標を定める SecurityHub の運用 いきなり短期間で100% を目指すとなると他業務 にも支障が出る場合が ある。 半期ごとに10%ずつ上 げることを KPI として設 定する。など
スコアよりも脅威度の高いものから対応する SecurityHub の運用 脅威度が低いものから 対処しても全体的なセ キュリティリスクは軽減さ れない。 重要度 (Critical) から優 先的に対処する。
一人で解決しない SecurityHub の運用 数が多いので、特に複 数アカウント存在する環 境だと途方に暮れる。 属人化が進む要因に。 各サービスの担当者に 対応をお願いする。
一人で解決しない SecurityHub の運用 数が多いので、特に複 数アカウント存在する環 境だと途方に暮れる。 属人化が進む要因に。 各サービスの担当者に 対応をお願いする。
セキュリティ対策は継続的な監視、対応が重要。これを円滑に行うための仕 組み化、運用手順の設定、組織としての目標設定が必要になる。 まとめ

Recommended

Security hub workshop
Security hub workshopSecurity hub workshop
Security hub workshop
Ryuhei Shibata
 
Security Operations and Automation on AWS
Security Operations and Automation on AWSSecurity Operations and Automation on AWS
Security Operations and Automation on AWS
Noritaka Sekiyama
 
Security JAWS Amazon GuardDuty 20180223
Security JAWS Amazon GuardDuty 20180223Security JAWS Amazon GuardDuty 20180223
Security JAWS Amazon GuardDuty 20180223
Hayato Kiriyama
 
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfAWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
Hayato Kiriyama
 
Reinforce2021 recap session2
Reinforce2021 recap session2Reinforce2021 recap session2
Reinforce2021 recap session2
Shogo Matsumoto
 
S3 Client-Side Encryption by AWS SDK for Java/Ruby
S3 Client-Side Encryption by AWS SDK for Java/RubyS3 Client-Side Encryption by AWS SDK for Java/Ruby
S3 Client-Side Encryption by AWS SDK for Java/Ruby
真吾 吉田
 
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めようAWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
Amazon Web Services Japan
 
20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws
Amazon Web Services Japan
 

Recommended

Security hub workshop
Security hub workshopSecurity hub workshop
Security hub workshop
Ryuhei Shibata
 
Security Operations and Automation on AWS
Security Operations and Automation on AWSSecurity Operations and Automation on AWS
Security Operations and Automation on AWS
Noritaka Sekiyama
 
Security JAWS Amazon GuardDuty 20180223
Security JAWS Amazon GuardDuty 20180223Security JAWS Amazon GuardDuty 20180223
Security JAWS Amazon GuardDuty 20180223
Hayato Kiriyama
 
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfAWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
Hayato Kiriyama
 
Reinforce2021 recap session2
Reinforce2021 recap session2Reinforce2021 recap session2
Reinforce2021 recap session2
Shogo Matsumoto
 
S3 Client-Side Encryption by AWS SDK for Java/Ruby
S3 Client-Side Encryption by AWS SDK for Java/RubyS3 Client-Side Encryption by AWS SDK for Java/Ruby
S3 Client-Side Encryption by AWS SDK for Java/Ruby
真吾 吉田
 
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めようAWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
Amazon Web Services Japan
 
20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws
Amazon Web Services Japan
 
AWSにおけるセキュリティの考え方
AWSにおけるセキュリティの考え方AWSにおけるセキュリティの考え方
AWSにおけるセキュリティの考え方
morisshi
 
初心者向けWebinar AWSでDRを構築しよう
初心者向けWebinar AWSでDRを構築しよう初心者向けWebinar AWSでDRを構築しよう
初心者向けWebinar AWSでDRを構築しよう
Amazon Web Services Japan
 
実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜
実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜
実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜
真吾 吉田
 
10分で押さえる AWS re:Invent 2014 新サービス・アップデート
10分で押さえる AWS re:Invent 2014 新サービス・アップデート10分で押さえる AWS re:Invent 2014 新サービス・アップデート
10分で押さえる AWS re:Invent 2014 新サービス・アップデート
真吾 吉田
 
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016 AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
Hayato Kiriyama
 
20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告
真吾 吉田
 
Running Amazon S3 Encryption
Running Amazon S3 EncryptionRunning Amazon S3 Encryption
Running Amazon S3 Encryption
Satoru Ishikawa
 
アマゾンにおけるAWSを用いた社内システム移行事例
アマゾンにおけるAWSを用いた社内システム移行事例アマゾンにおけるAWSを用いた社内システム移行事例
アマゾンにおけるAWSを用いた社内システム移行事例
SORACOM, INC
 
AWS Summit New York 2017 Keynote Recap
AWS Summit New York 2017 Keynote RecapAWS Summit New York 2017 Keynote Recap
AWS Summit New York 2017 Keynote Recap
Eiji Shinohara
 
[AWS Developers Meetup 2017] Developerのための ライブAWSウォークスルー 〜 AWS SDKの使い方 〜
[AWS Developers Meetup 2017] Developerのための ライブAWSウォークスルー 〜 AWS SDKの使い方 〜[AWS Developers Meetup 2017] Developerのための ライブAWSウォークスルー 〜 AWS SDKの使い方 〜
[AWS Developers Meetup 2017] Developerのための ライブAWSウォークスルー 〜 AWS SDKの使い方 〜
Atsushi Fukui
 
AWS WAF Security Automation
AWS WAF Security AutomationAWS WAF Security Automation
AWS WAF Security Automation
Hayato Kiriyama
 
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返りAWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
Shogo Matsumoto
 
AWS Black Belt Online Seminar 2017 AWS Shield
AWS Black Belt Online Seminar 2017 AWS ShieldAWS Black Belt Online Seminar 2017 AWS Shield
AWS Black Belt Online Seminar 2017 AWS Shield
Amazon Web Services Japan
 
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
Amazon Web Services Japan
 
20200414 Advanced Features in Amazon Elasticsearch Service
20200414 Advanced Features in Amazon Elasticsearch Service20200414 Advanced Features in Amazon Elasticsearch Service
20200414 Advanced Features in Amazon Elasticsearch Service
Amazon Web Services Japan
 
Amazon Web Services(AWS)とcloudpack について
Amazon Web Services(AWS)とcloudpack についてAmazon Web Services(AWS)とcloudpack について
Amazon Web Services(AWS)とcloudpack について
Hiroyasu Suzuki
 
Running Java Apps with Amazon EC2, AWS Elastic Beanstalk or Serverless
Running Java Apps with Amazon EC2, AWS Elastic Beanstalk or ServerlessRunning Java Apps with Amazon EC2, AWS Elastic Beanstalk or Serverless
Running Java Apps with Amazon EC2, AWS Elastic Beanstalk or Serverless
Keisuke Nishitani
 
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
morisshi
 
AWSを含めたハイブリッド環境の監視の実現 ~zabbixのクラウド対応モジュールHyClops~
AWSを含めたハイブリッド環境の監視の実現 ~zabbixのクラウド対応モジュールHyClops~AWSを含めたハイブリッド環境の監視の実現 ~zabbixのクラウド対応モジュールHyClops~
AWSを含めたハイブリッド環境の監視の実現 ~zabbixのクラウド対応モジュールHyClops~
Daisuke Ikeda
 
実践!AWSクラウドデザインパターン
実践!AWSクラウドデザインパターン実践!AWSクラウドデザインパターン
実践!AWSクラウドデザインパターン
Hiroyasu Suzuki
 

More Related Content

Similar to 上司の一言から始めるAWSセキュリティ確保生活 〜SecurityHubでスコア100を目指す〜

実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜
実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜
実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜
真吾 吉田
 
20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告
真吾 吉田
 
Running Amazon S3 Encryption
Running Amazon S3 EncryptionRunning Amazon S3 Encryption
Running Amazon S3 Encryption
Satoru Ishikawa
 
Amazon Web Services(AWS)とcloudpack について
Amazon Web Services(AWS)とcloudpack についてAmazon Web Services(AWS)とcloudpack について
Amazon Web Services(AWS)とcloudpack について
Hiroyasu Suzuki
 
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
morisshi
 
実践!AWSクラウドデザインパターン
実践!AWSクラウドデザインパターン実践!AWSクラウドデザインパターン
実践!AWSクラウドデザインパターン
Hiroyasu Suzuki
 

Similar to 上司の一言から始めるAWSセキュリティ確保生活 〜SecurityHubでスコア100を目指す〜 (20)

AWSにおけるセキュリティの考え方
AWSにおけるセキュリティの考え方AWSにおけるセキュリティの考え方
AWSにおけるセキュリティの考え方
 
初心者向けWebinar AWSでDRを構築しよう
初心者向けWebinar AWSでDRを構築しよう初心者向けWebinar AWSでDRを構築しよう
初心者向けWebinar AWSでDRを構築しよう
 
実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜
実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜
実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜
 
10分で押さえる AWS re:Invent 2014 新サービス・アップデート
10分で押さえる AWS re:Invent 2014 新サービス・アップデート10分で押さえる AWS re:Invent 2014 新サービス・アップデート
10分で押さえる AWS re:Invent 2014 新サービス・アップデート
 
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016 AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
 
20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告
 
Running Amazon S3 Encryption
Running Amazon S3 EncryptionRunning Amazon S3 Encryption
Running Amazon S3 Encryption
 
アマゾンにおけるAWSを用いた社内システム移行事例
アマゾンにおけるAWSを用いた社内システム移行事例アマゾンにおけるAWSを用いた社内システム移行事例
アマゾンにおけるAWSを用いた社内システム移行事例
 
AWS Summit New York 2017 Keynote Recap
AWS Summit New York 2017 Keynote RecapAWS Summit New York 2017 Keynote Recap
AWS Summit New York 2017 Keynote Recap
 
[AWS Developers Meetup 2017] Developerのための ライブAWSウォークスルー 〜 AWS SDKの使い方 〜
[AWS Developers Meetup 2017] Developerのための ライブAWSウォークスルー 〜 AWS SDKの使い方 〜[AWS Developers Meetup 2017] Developerのための ライブAWSウォークスルー 〜 AWS SDKの使い方 〜
[AWS Developers Meetup 2017] Developerのための ライブAWSウォークスルー 〜 AWS SDKの使い方 〜
 
AWS WAF Security Automation
AWS WAF Security AutomationAWS WAF Security Automation
AWS WAF Security Automation
 
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返りAWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
 
AWS Black Belt Online Seminar 2017 AWS Shield
AWS Black Belt Online Seminar 2017 AWS ShieldAWS Black Belt Online Seminar 2017 AWS Shield
AWS Black Belt Online Seminar 2017 AWS Shield
 
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
AWS Black Belt Tech シリーズ 2015 - AWS CodeCommit & AWS CodePipeline & AWS CodeD...
 
20200414 Advanced Features in Amazon Elasticsearch Service
20200414 Advanced Features in Amazon Elasticsearch Service20200414 Advanced Features in Amazon Elasticsearch Service
20200414 Advanced Features in Amazon Elasticsearch Service
 
Amazon Web Services(AWS)とcloudpack について
Amazon Web Services(AWS)とcloudpack についてAmazon Web Services(AWS)とcloudpack について
Amazon Web Services(AWS)とcloudpack について
 
Running Java Apps with Amazon EC2, AWS Elastic Beanstalk or Serverless
Running Java Apps with Amazon EC2, AWS Elastic Beanstalk or ServerlessRunning Java Apps with Amazon EC2, AWS Elastic Beanstalk or Serverless
Running Java Apps with Amazon EC2, AWS Elastic Beanstalk or Serverless
 
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
 
AWSを含めたハイブリッド環境の監視の実現 ~zabbixのクラウド対応モジュールHyClops~
AWSを含めたハイブリッド環境の監視の実現 ~zabbixのクラウド対応モジュールHyClops~AWSを含めたハイブリッド環境の監視の実現 ~zabbixのクラウド対応モジュールHyClops~
AWSを含めたハイブリッド環境の監視の実現 ~zabbixのクラウド対応モジュールHyClops~
 
実践!AWSクラウドデザインパターン
実践!AWSクラウドデザインパターン実践!AWSクラウドデザインパターン
実践!AWSクラウドデザインパターン
 

上司の一言から始めるAWSセキュリティ確保生活 〜SecurityHubでスコア100を目指す〜