Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Security Hub の活用に苦労した話。

Avatar for Aya Okada Aya Okada
March 03, 2025
Technology
0
24

AWS Security Hub の活用に苦労した話。

2024/10/30(水)19:00-21:00 @AWS目黒オフィス
若手エンジニア応援LT会(Japan AWS Jr. Champions&JAWS-UG東京コラボ)
LT登壇資料
Avatar for Aya Okada

Aya Okada

March 03, 2025
Tweet

More Decks by Aya Okada

See All by Aya Okada
新人SEが改善した!AWS Security Hub Tips 3選
Avatar for Aya Okada kotowari
0
33
AWS Bedrock を使って30分で社内文書検索RAGアプリ作ってみた
Avatar for Aya Okada kotowari
0
40

Other Decks in Technology

See All in Technology
あなたの声を届けよう! 女性エンジニア登壇の意義とアウトプット実践ガイド #wttjp / Call for Your Voice
Avatar for kondoyuko kondoyuko
4
500
AIとともに進化するエンジニアリング / Engineering-Evolving-with-AI_final.pdf
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
140
Witchcraft for Memory
Avatar for pocke pocke
1
650
OPENLOGI Company Profile for engineer
Avatar for OPENLOGI hr01
1
33k
Node-RED × MCP 勉強会 vol.1
Avatar for 1ft-seabass 1ftseabass
PRO
0
180
ドメイン特化なCLIPモデルとデータセットの紹介
Avatar for tattaka tattaka
1
370
ネットワーク保護はどう変わるのか?re:Inforce 2025最新アップデート解説
Avatar for Shun Tokuyama tokushun
0
140
低レイヤを知りたいPHPerのためのCコンパイラ作成入門 完全版 / Building a C Compiler for PHPers Who Want to Dive into Low-Level Programming - Expanded
Avatar for HASEGAWA Tomoki tomzoh
4
3.4k
生成AIで小説を書くためにプロンプトの制約や原則について学ぶ / prompt-engineering-for-ai-fiction
Avatar for nwiizo nwiizo
4
3.3k
Delegating the chores of authenticating users to Keycloak
Avatar for Alexander Schwartz ahus1
0
130
無意味な開発生産性の議論から抜け出すための予兆検知とお金とAI
Avatar for Masato Ishigaki / 石垣雅人 i35_267
0
690
怖くない!はじめてのClaude Code
Avatar for Shinya Masadome(東京AI祭) shinya337
0
280

Featured

See All Featured
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
2.9k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
55
5.6k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
357
30k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
331
24k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
46
9.6k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
3.9k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.6k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
51
8.5k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
233
17k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
267
13k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
694
190k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
20
1.3k

Transcript

  1. AWS Security Hubの活用に 苦労した話。 若手エンジニア応援LT会 2024.10.30 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。 本資料に記載されている製品名、会社名、ロゴ等は、各社の商標または登録商標です。

  2. 自 己 紹 介 1 1年目 システムエンジニア 岡田 理 Okada

    Aya ◆ 勤務地:広島 ◆ 仕事内容:クラウド, NW, セキュリティ関連 ◆ 参加イベント: -AWS Jr.Championsイベント @福岡 -AWS勉強会基礎知識講座(社内) @福岡・大阪 -AWS勉強会ハンズオン(社内) @福岡・大阪 -若手エンジニア応援LT会 @東京 ◆ AWS歴:2ヵ月

  3. AWS社内検証環境に AWS Security Hubを導入したんだけど、 スコアがものすごく悪いから、 調査してくれない??

  4. 現 状 3 • セキュリティ状況の可視化 AWS Security Hub スコアが悪い =

    脆弱性が多い、不要なコストが存在する • 脅威検出とリスク評価

  5. 苦労ポイント①

  6. 調査するリソース量 多すぎる、、、

  7. 失 敗 リ ソ ー ス の 量 が 多

    い 6

  8. 失 敗 リ ソ ー ス の 量 が 多

    い 7

  9. 失 敗 リ ソ ー ス の 量 が 多

    い 8

  10. 失 敗 リ ソ ー ス の 量 が 多

    い 9

  11. 依 頼 の 背 景 10 現状、無作法にAWSが使われてる →実態を調べて対処したい 調査の中で様々なサービスを知れる →岡田さんの勉強になるのでは

  12. 依 頼 の 背 景 11 現状、無作法にAWSが使われてる →実態を調べて対処したい 調査の中で様々なサービスを知れる →岡田さんの勉強になるのでは

  13. 泥 臭 く 調 査 12

  14. 泥 臭 く 調 査 13

  15. 失 敗 リ ソ ー ス の 量 が 多

    い 14

  16. 失 敗 リ ソ ー ス の 量 が 多

    い 15

  17. 失 敗 リ ソ ー ス の 量 が 多

    い 16

  18. 泥 臭 く 調 査 17

  19. 泥 臭 く 調 査 18

  20. 泥 臭 く 調 査 19

  21. 泥 臭 く 調 査 20

  22. 学 び 21 このサービスはこんな機能で、 セキュリティの観点だと ここに気を付けたほうが いいんだ!

  23. 学 び 22 機能:ストリーミングデータの処理 • ストリーム内のデータを暗号化して、 不正アクセスから保護する • IAMポリシーを使用して、 ストリームへのアクセスを制限する

    機能:ユーザーやリソースのアクセス管理 • ユーザーやロールには、 必要なアクセス権限のみを付与する • 重要なアカウントには多要素認証を導入し、 セキュリティを強化する AWS Identity and Access Management (IAM) Amazon Kinesis

  24. 調 査 結 果 23 × S3バケットがインターネットアクセス許可されて いた × セキュリティグループにてポートが全開放

    or SSHやRDPが全許可されていた データ漏洩や不正アクセスの危険のある状態、、、

  25. 苦労ポイント②

  26. 検証環境だから、、 対応できない調査結果もあるね

  27. 検 証 環 境 を 考 慮 す る 26

    △ 検証という兼ね合いでコストを使い過ぎたくない △ 検証環境だと機能として強すぎる △ 作成途中のサービスの管理が難しい

  28. よ か っ た こ と 27 • AWSのベストプラクティスを理解したことで、 提案や設計で押さえるべき箇所が分かりやすくなった

    • NWまわりやS3の致命的な設定ミスをわかりやすく拾えた

  29. 今 後 の 付 き 合 い 方 28 ◎

    オートメーションを利用して、調査を簡略化したい ◎ 検証環境でもうまくチューニングし、自動修復させたい ◎ 要対応事項をまとめて、注意喚起を行いたい

  30. ま と め 29 ✓ 失敗チェック項目が多すぎて苦労した ✓ ベストプラクティスと検証環境との兼ね合いを考慮するのに 苦労した AWSの各サービスについてより理解を深め、

    AWS Security Hubを効果的に活用したい 「AWS Security Hubの活用に苦労した話。」 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。 本資料に記載されている製品名、会社名、ロゴ等は、各社の商標または登録商標です。