Upgrade to Pro — share decks privately, control downloads, hide ads and more …

開発者が自律的に AWS Security Hub findings に対応する仕組み / H...

株式会社カミナシ
March 07, 2025
Technology
0
42

開発者が自律的に AWS Security Hub findings に対応する仕組み / How developers can self-remediate AWS Security Hub findings

2025/03/01
JAWS DAYS 2025
https://jawsdays2025.jaws-ug.jp/

開発者が自律的に AWS Security Hub findings に対応する仕組み

西川 彰
セキュリティエンジニア

株式会社カミナシ

March 07, 2025
Tweet

More Decks by 株式会社カミナシ

See All by 株式会社カミナシ
実践ゼロから作らないデザインシステム SaaS × デザインシステム × プロダクトデザイン / Efficient Design System for SaaS—no need to start from scratch.
kaminashi
1
820
プレイングマネージャーは本当に悪なのか? 令和時代のプレイングマネージャーを戦略的にハックする / Re-thinking the Accountability of Playing Manager
kaminashi
8
3.4k
BtoB プロダクトにおけるインサイトマネジメントの必要性 現場ドリブンなカミナシがインサイトマネジメントに取り組むワケ / Why field-driven Kaminashi is working on insight management
kaminashi
1
310
“受動型”から“先導型”カスタマーサクセスへの変革 / Transforming from “Reactive” to “Proactive” Customer Success
kaminashi
0
67
マルチプロダクト戦略を加速させる! ゼロダウンタイムで挑んだID管理機能移行の道のり / The Journey of Migrating ID Management Features with Zero Downtime
kaminashi
2
370
とある EM の初めての育休からの学び / Lessons from an EM's first parental leave
kaminashi
0
200
開発者が自律的に AWS Security Hub findings に 対応する仕組みと AWS re:Invent 2024 登壇体験談 / Developers autonomously report AWS Security Hub findings Corresponding mechanism and AWS re:Invent 2024 presentation experience
kaminashi
0
320
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
1.1k
怖くないオフライン機能開発 〜基本的な技術で実現する現場向けオフライン機能 / Developing offline functions without fear ~ Offline functions for the field realized with basic technology
kaminashi
1
360

Other Decks in Technology

See All in Technology
フォーイット_エンジニア向け会社紹介資料_Forit_Company_Profile.pdf
forit_tech
1
1.7k
株式会社Awarefy(アウェアファイ)会社説明資料 / Awarefy-Company-Deck
awarefy
3
12k
マルチアカウント環境における組織ポリシーについて まとめてみる
nrinetcom
PRO
2
110
アジャイルな開発チームでテスト戦略の話は誰がする? / Who Talks About Test Strategy?
ak1210
1
870
スクラムというコンフォートゾーンから抜け出そう!プロジェクト全体に目を向けるインセプションデッキ / Inception Deck for seeing the whole project
takaking22
3
200
DevinでAI AWSエンジニア製造計画 序章 〜CDKを添えて〜/devin-load-to-aws-engineer
tomoki10
0
230
ExaDB-XSで利用されている Exadata Exascaleについて
oracle4engineer
PRO
3
310
"TEAM"を導入したら最高のエンジニア"Team"を実現できた / Deploying "TEAM" and Building the Best Engineering "Team"
yuj1osm
1
240
【5分でわかる】セーフィー エンジニア向け会社紹介
safie_recruit
0
19k
遷移の高速化 ヤフートップの試行錯誤
narirou
6
2k
エンジニア主導の企画立案を可能にする組織とは?
recruitengineers
PRO
1
320
JAWS FESTA 2024「バスロケ」GPS×サーバーレスの開発と運用の舞台裏/jawsfesta2024-bus-gps-serverless
ma2shita
3
400

Featured

See All Featured
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
13
1k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
38
7.1k
Java REST API Framework Comparison - PWX 2021
mraible
29
8.4k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.3k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
27
1.6k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
30
4.6k
Facilitating Awesome Meetings
lara
53
6.3k
Designing Experiences People Love
moore
140
23k
GraphQLの誤解/rethinking-graphql
sonatard
69
10k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.7k

Transcript

  1. 開発者が自律的に AWS Security Hub findings に対応する仕組み ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  2.  株式会社カミナシ  西川 彰(Security Engineering) • 一般社団法人鹿児島県サイバーセキュリティ協議会 代表理事 • 大和セキュリティ Hayabusa, Takajo 開発者

    ◦ HITCON 2024(台湾)、SecTor 2024(カナダ)登壇 • CISSP 自己紹介 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  3. カミナシにおける AWS 環境と前提の共有 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  4. • カミナシは複数のプロダクトを提供している • それぞれのプロダクト毎に dev/stg/prod のアカウントが存在する • それらのアカウントでは AWS Security

    Hub を有効化している カミナシにおける AWS 環境 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a プロダクトA プロダクトB Prod Stg Dev Prod Stg Dev Audit

  5. • それぞれのプロダクトのセキュリティへの対応の責任は開発者にある • セキュリティエンジニアは開発チームのイネーブルメントを行う • 開発チームが自分たちのプロダクトを堅牢化したり教育を行う カミナシにおけるセキュリティエンジニアの役割 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  6. 私たちのミッションはセキュリティ文化を構築すること。 具体的には、、、 • 開発者が呼吸するようにセキュリティを意識するようになること • セキュアな環境を構築しながらも敏捷性を保ち続けること • 自浄作用があるということ(問題を放置し続けないということ) カミナシにおけるセキュリティエンジニアのミッション ハッシュタグ:#jawsdays2025

    #jawsug #jawsdays2025_a

  7. Liver というシステム ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  8. Liver の構成図 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a アカウント A アカウント B アカウント

    C Audit Security tooling On-call 担当者 AWS Security Hub Amazon EventBridge Amazon EventBridge AWS Lambda

  9. 1. アクショナブルであること   通知を受け取った人が何をすれば良いかを明確にする 2. 対応責任者を明確にする その通知を”誰が”対応するかを明確にする 3. リスクマネジメント  

    プロダクトによってセキュアにしなければいけない度合いは異なるので カスタマイズできるようにしておく Liver のコンセプト ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  10. アクショナブルであること ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a 何をしたら良いかがわからない 通知に価値はない アクションを必要としない通知は可能な限り 送らない 対応が必要ない場合でも、何らかのアクション や確認は必要

  11. 対応責任者を明確化する ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a カミナシではチームではなく ”個人”に対応責任を持たせる 開発チームは AWS 環境で発生した あらゆる問題に対処する責任を負う

    重要な問題やリスクが漏れ ないようにする

  12. リスクマネジメント ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a サービスの重要性に基づいて 通知する最低重要度を設定 不要な通知を無くす Security Hub Automations

    ResourceId に下記が含まれ ていれば対象外にしている • ControlTower • aws-controltower 環境によってコントロールを変える Security Hub configuration

  13. 運用と結果 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  14. 運用設計 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a 対応すると判断 対応 自動解決 対応しないと判断 理由をチケットに 記載

    許容するか否認 するか判断 対応する/しない

  15. ちょっとしたインシデントが発生 Security Hub findings は、サービスやシステムのコンテキストを理解していない。 サービスやシステムのコンテキストをよく理解しないまま対応するとインシデントに つながる可能性がある Liver のようなシステムをできるだけ早く導入する Shift

    Left はやっぱり重要で本番リリース前に可能な限り問題に対処したい 運用を開始したところ... ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  16. 結果 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  17. リスクアセスメントマトリクス ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  18. Ramp-up 期間を設けることに ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a Ramp-up 期間の開始 Security Hub findings

    を確認する 無視したい検知項目 があればリソースに 対してタグをつける 運用開始

  19. • セキュリティに開発者が自律的に対応する仕組みを用意する • Security Hub の機能を使い倒す • 運用設計を徹底的に開発者目線で考える まとめ ハッシュタグ:#jawsdays2025

    #jawsug #jawsdays2025_a