Upgrade to Pro — share decks privately, control downloads, hide ads and more …

手付かずだったSecurity Hub運用を改善した話 / improving the unt...

手付かずだったSecurity Hub運用を改善した話 / improving the untouched Security Hub operation

More Decks by コドモン開発チーム

Transcript

  1. 5 導入施設数推移(ICT) 8,000 5,200 1,500 全国導入数 18,000 施設 11,000 17,000

    (2024年3月時点) 14,000 2021年4月 2020年4月 2019年4月 3,000 2018年4月 2017年4月 500 2016年4月 120 2022年2月 2024年3月 2023年4月
  2. 8 CONFIDENTIAL - © 2022 CoDMON Inc. 8 Security Hubとは?

    • 「AWSリソースの設定がセキュリティのベストプラクティスに沿っているか どうか」を自動でチェック & 検出してくれる • https://aws.amazon.com/jp/security-hub/
  3. 10 CONFIDENTIAL - © 2022 CoDMON Inc. 10 Security Hubを「運用」できているとは?

    • 検知 → 反応 → 判断 → 対応 のループを回せている状態
  4. 11 CONFIDENTIAL - © 2022 CoDMON Inc. 11 Security Hubを「運用」できているとは?

    • 検知 → 反応 → 判断 → 対応 のループを回せている状態 ◦ 検知:セキュリティリスクを伴う設定を検知 ◦ 反応:検知結果に対して人間が反応 ◦ 判断:対応が必要かどうか判断 ◦ 対応:対応必要と判断された場合に、修復対応を実施する
  5. 12 CONFIDENTIAL - © 2022 CoDMON Inc. 12 Security Hubを「運用」できているとは?

    • 検知 → 反応 → 判断 → 対応 のループを回せている状態 ◦ 検知:セキュリティリスクを伴う設定を検知 ◦ 反応:検知結果に対して人間が反応 ◦ 判断:対応が必要かどうか判断 ◦ 対応:対応必要と判断された場合に、修復対応を実施する アクティブな検知結果をSlackに通知 通知結果に対して誰も反応しない 通知結果に反応しないので、 対応が必要かどうか判断されない 対応必要かどうか不明なので対応されない
  6. 16 CONFIDENTIAL - © 2022 CoDMON Inc. 16 検出結果に対しての反応を妨げる要因 •

    通知が複数発生することで、流れてしまう • 「誰かがやってくれるだろう」とお見合い状態になる
  7. 17 CONFIDENTIAL - © 2022 CoDMON Inc. 17 実施したこと •

    通知が複数発生することで、流れてしまう ◦ → 通知結果をチケット化することで、対応状況を可視化して、流れない ようにする • 「誰かがやってくれるだろう」とお見合い状態になる ◦ → 担当者を自動でアサインする
  8. 18 CONFIDENTIAL - © 2022 CoDMON Inc. 18 実現方法 •

    Security Hub検知をトリガーに、Slack通知 & JIRAチケット作成 を自動化 • JIRAのAutomation機能を用いて、担当者アサインを自動化
  9. 22 CONFIDENTIAL - © 2022 CoDMON Inc. 22 実施したこと •

    チームとしての判断基準がない ◦ → Security Hub検出コントロール項目ごとに、対応判断基準を作成
  10. 23 CONFIDENTIAL - © 2022 CoDMON Inc. 23 実現方法 •

    検出コントロール項目ごとに、対応する/しない の基準を作成 ◦ 対応必要 ◦ 対応不要 ◦ 一部条件を満たした場合に対応必要
  11. 27 CONFIDENTIAL - © 2022 CoDMON Inc. 27 実施したこと •

    対応手順がわからない ◦ → Security Hub検出コントロール項目ごとに、対応手順を作成
  12. 30 CONFIDENTIAL - © 2022 CoDMON Inc. 30 Security Hub運用改善後

    ◦ 検知:アクティブな検知結果をSlackに通知 ◦ 反応:通知結果に対して誰も反応しない     → JIRAチケットにアサインされたメンバーが反応 ◦ 判断:対応が必要かどうか判断されない     → 判断基準に基づき対応可否を判断 ◦ 対応:対応必要かどうか不明なので対応されない     →対応必要と判断された場合に、対応手順書に沿って修復対応実施
  13. 31 CONFIDENTIAL - © 2022 CoDMON Inc. 31 Security Hub運用改善後

    ◦ 検知:アクティブな検知結果をSlackに通知 ◦ 反応:通知結果に対して誰も反応しない     → JIRAチケットにアサインされたメンバーが反応 ◦ 判断:対応が必要かどうか判断されない     → 判断基準に基づき対応可否を判断 ◦ 対応:対応必要かどうか不明なので対応されない     →対応必要と判断された場合に、対応手順書に沿って修復対応実施 検知 → 反応 → 判断 → 対応 のループを 回せている
  14. 34 CONFIDENTIAL - © 2022 CoDMON Inc. 34 目指していきたい姿に到達するためには •

    検知結果のチケット化 ◦ 各開発チームの開発フローや、利用しているタスク管理ツールに合わせ て、チケット自動作成機構を構築 • 対応手順の充足 ◦ AWSに詳しくない場合でも、迷わず対応できるようにする