手付かずだったSecurity Hub運用を改善した話 / improving the untouched Security Hub operation

Transcript

1. 手付かずだったSecurity Hub運用を改善した 話 2024年06月28日 株式会社コドモン 小西達大 生成AIの話をしたら即終了！ランチタイムLTイベント

2. 2 経歴 1996年生まれ、大阪育ち。前職でアプリケーションエンジニアとし て従事後、株式会社コドモンのSREチームにジョイン。 関心のある分野はコンテナとセキュリティ。 自己紹介 小西 達大 こにし たつひろ

3. 3 Mission

4. 4 すべての先生に 子どもと向き合う 時間と心のゆとりを こんなプロダクトを開発しています メインプロダクトは、保育・教育施設向けWebアプリケーション。 保護者と施設のやり取りを支えるモバイルアプリケーションや、施設職員向けモバイル版 アプリケーション、外部サービスと連携するAPIなども開発しています。

5. 5 導入施設数推移（ICT） 8,000 5,200 1,500 全国導入数 18,000 施設 11,000 17,000

   （2024年3月時点） 14,000 2021年4月 2020年4月 2019年4月 3,000 2018年4月 2017年4月 500 2016年4月 120 2022年2月 2024年3月 2023年4月

6. 6 今日話すこと 弊社が抱えていたSecurity Hub運用の課題 課題に対して実施したSecurity Hub運用改善例 改善実施結果と今後の課題について 1 2 3

7. 7 はじめに

8. 8 CONFIDENTIAL - © 2022 CoDMON Inc. 8 Security Hubとは？

   • 「AWSリソースの設定がセキュリティのベストプラクティスに沿っているか どうか」を自動でチェック & 検出してくれる • https://aws.amazon.com/jp/security-hub/

9. 9 数クリックで容易に導入可能 だけど運用できている？

10. 10 CONFIDENTIAL - © 2022 CoDMON Inc. 10 Security Hubを「運用」できているとは？

    • 検知 → 反応 → 判断 → 対応 のループを回せている状態

11. 11 CONFIDENTIAL - © 2022 CoDMON Inc. 11 Security Hubを「運用」できているとは？

    • 検知 → 反応 → 判断 → 対応 のループを回せている状態 ◦ 検知：セキュリティリスクを伴う設定を検知 ◦ 反応：検知結果に対して人間が反応 ◦ 判断：対応が必要かどうか判断 ◦ 対応：対応必要と判断された場合に、修復対応を実施する

12. 12 CONFIDENTIAL - © 2022 CoDMON Inc. 12 Security Hubを「運用」できているとは？

    • 検知 → 反応 → 判断 → 対応 のループを回せている状態 ◦ 検知：セキュリティリスクを伴う設定を検知 ◦ 反応：検知結果に対して人間が反応 ◦ 判断：対応が必要かどうか判断 ◦ 対応：対応必要と判断された場合に、修復対応を実施する アクティブな検知結果をSlackに通知 通知結果に対して誰も反応しない 通知結果に反応しないので、 対応が必要かどうか判断されない 対応必要かどうか不明なので対応されない

13. 13 せっかくSecurity Hubを導入しているのに、運用 ができていない

14. 14 • Security Hubをより活用するため • 「反応」「判断」「対応」それぞれの工程ごと に改善を実施しました

15. 15 改善1：反応

16. 16 CONFIDENTIAL - © 2022 CoDMON Inc. 16 検出結果に対しての反応を妨げる要因 •

    通知が複数発生することで、流れてしまう • 「誰かがやってくれるだろう」とお見合い状態になる

17. 17 CONFIDENTIAL - © 2022 CoDMON Inc. 17 実施したこと •

    通知が複数発生することで、流れてしまう ◦ → 通知結果をチケット化することで、対応状況を可視化して、流れない ようにする • 「誰かがやってくれるだろう」とお見合い状態になる ◦ → 担当者を自動でアサインする

18. 18 CONFIDENTIAL - © 2022 CoDMON Inc. 18 実現方法 •

    Security Hub検知をトリガーに、Slack通知 & JIRAチケット作成 を自動化 • JIRAのAutomation機能を用いて、担当者アサインを自動化

19. 19 CONFIDENTIAL - © 2022 CoDMON Inc. 19 実例 Slack通知

    JIRAチケット

20. 20 改善2：判断

21. 21 CONFIDENTIAL - © 2022 CoDMON Inc. 21 検出結果に対しての判断を妨げる要因 •

    チームとしての判断基準がない

22. 22 CONFIDENTIAL - © 2022 CoDMON Inc. 22 実施したこと •

    チームとしての判断基準がない ◦ → Security Hub検出コントロール項目ごとに、対応判断基準を作成

23. 23 CONFIDENTIAL - © 2022 CoDMON Inc. 23 実現方法 •

    検出コントロール項目ごとに、対応する/しない の基準を作成 ◦ 対応必要 ◦ 対応不要 ◦ 一部条件を満たした場合に対応必要

24. 24 CONFIDENTIAL - © 2022 CoDMON Inc. 24 実例

25. 25 改善3：対応

26. 26 CONFIDENTIAL - © 2022 CoDMON Inc. 26 検知結果に対しての対応を妨げる要因 •

    対応手順がわからない

27. 27 CONFIDENTIAL - © 2022 CoDMON Inc. 27 実施したこと •

    対応手順がわからない ◦ → Security Hub検出コントロール項目ごとに、対応手順を作成

28. 28 CONFIDENTIAL - © 2022 CoDMON Inc. 28 実例

29. 29 実施結果

30. 30 CONFIDENTIAL - © 2022 CoDMON Inc. 30 Security Hub運用改善後

    ◦ 検知：アクティブな検知結果をSlackに通知 ◦ 反応：通知結果に対して誰も反応しない 　　　　→ JIRAチケットにアサインされたメンバーが反応 ◦ 判断：対応が必要かどうか判断されない 　　　　→ 判断基準に基づき対応可否を判断 ◦ 対応：対応必要かどうか不明なので対応されない 　　　　→対応必要と判断された場合に、対応手順書に沿って修復対応実施

31. 31 CONFIDENTIAL - © 2022 CoDMON Inc. 31 Security Hub運用改善後

    ◦ 検知：アクティブな検知結果をSlackに通知 ◦ 反応：通知結果に対して誰も反応しない 　　　　→ JIRAチケットにアサインされたメンバーが反応 ◦ 判断：対応が必要かどうか判断されない 　　　　→ 判断基準に基づき対応可否を判断 ◦ 対応：対応必要かどうか不明なので対応されない 　　　　→対応必要と判断された場合に、対応手順書に沿って修復対応実施 検知 → 反応 → 判断 → 対応 のループを 回せている

32. 32 今後の課題

33. 33 CONFIDENTIAL - © 2022 CoDMON Inc. 33 今後目指していきたい姿 現状

    今後

34. 34 CONFIDENTIAL - © 2022 CoDMON Inc. 34 目指していきたい姿に到達するためには •

    検知結果のチケット化 ◦ 各開発チームの開発フローや、利用しているタスク管理ツールに合わせ て、チケット自動作成機構を構築 • 対応手順の充足 ◦ AWSに詳しくない場合でも、迷わず対応できるようにする

35. 35 まとめ

36. 36 今日話したこと 手付かずだったSecurity Hub運用の改善事例 改善によって得られた効果 今後の課題について 1 2 3

37. 37 最後に

38. 38 コドモン採用ページ 開発ブログ コドモンでは一緒に働きたい仲間を募集しています！

39. 39 ご清聴ありがとうございました！

40. None