Upgrade to Pro — share decks privately, control downloads, hide ads and more …

新人SEが改善した!AWS Security Hub Tips 3選

Avatar for Aya Okada Aya Okada
March 03, 2025
Technology
0
29

新人SEが改善した!AWS Security Hub Tips 3選

2024/11/20(水)19:00-20:20 @伊藤忠テクノソリューションズ株式会社福岡オフィス
九州AWS若手の会#2
LT登壇資料
Avatar for Aya Okada

Aya Okada

March 03, 2025
Tweet

More Decks by Aya Okada

See All by Aya Okada
AWS Security Hub の活用に苦労した話。
Avatar for Aya Okada kotowari
0
23
AWS Bedrock を使って30分で社内文書検索RAGアプリ作ってみた
Avatar for Aya Okada kotowari
0
36

Other Decks in Technology

See All in Technology
ソフトウェアテストのAI活用_ver1.10
Avatar for fumisuke fumisuke
0
240
データ戦略部門 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
3.1k
積み上げられた技術資産と向き合いながら、プロダクトの信頼性をどう守るか
Avatar for PLAID Tech plaidtech
PRO
0
940
実践Kafka Streams 〜イベント駆動型アーキテクチャを添えて〜
Avatar for Tomohiro Hashidate joker1007
0
460
RDRA3.0を知ろう
Avatar for 神崎 kanzaki
2
430
LT:組込み屋さんのオシロが壊れた!
Avatar for windy windy_pon
0
470
CloudBruteによる外部からのS3バケットの探索・公開の発見について / 20250605 Kumiko Hennmi
Avatar for SHIFT EVOLVE shift_evolve
3
190
人とAIとの共創を夢見た2か月 #共創AIミートアップ / Co-Creation with Keito-chan
Avatar for kondoyuko kondoyuko
1
710
他チームへ越境したら、生データ提供ソリューションのクエリ費用95%削減へ繋がった話 / Cross-Team Impact: 95% Off Raw Data Query Costs
Avatar for yamamoto-yuta yamamotoyuta
0
240
カンファレンスのつくりかた / The Conference Code: What Makes It All Work
Avatar for HASEGAWA Tomoki tomzoh
8
930
TypeScript と歩む OpenAPI の discriminator / OpenAPI discriminator with TypeScript
Avatar for 株式会社カミナシ kaminashi
1
150
Introduction to Bill One Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
240

Featured

See All Featured
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
507
140k
Fireside Chat
Avatar for paigeccino paigeccino
37
3.5k
Building Adaptive Systems
Avatar for Chris Keathley keathley
41
2.6k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
231
18k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
52
2.8k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
71
4.8k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
53k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1031
460k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
172
14k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
106
19k

Transcript

  1. 九州AWS若手の会#2 DATE. 2024.11.20 新人SEが改善した! AWS Security Hub Tips 3選 伊藤忠テクノソリューションズ株式会社

    岡田理 Copyright© 2024 ITOCHU Techno-Solutions Corporation 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。 本資料に記載されている、製品名、会社名、ロゴ等は各社の商標または登録商標です。

  2. 自己紹介 岡田 理 Okada Aya 広域社会インフラ事業部 西日本技術統括本部 中国九州SI部 SI第6課 システムエンジニア

    • 大学:応用化学専攻/水素伝導電池を研究 • 2024/4 入社、~2024/7 研修、2024/8~ 配属 • 広島オフィス所属 • 業務分野:クラウド(AWS)、ネットワーク(cisco)、 セキュリティ(paloalto) • 自治体案件 • 資格取得と登壇でのアウトプット 01 Copyright© 2024 ITOCHU Techno-Solutions Corporation 九州AWS若手の会#2 DATE. 2024.11.20

  3. 自己紹介 | 講師、登壇活動 01 2024/10 若手エンジニア応援LT大会 @AWS目黒オフィス 2024/09 AWS勉強会3Daysハンズオン @CTC大阪オフィス

    九州AWS若手の会#2 DATE. 2024.11.20

  4. 背景|AWS社内検証環境 社内検証環境の、AWS Security Hub 調査を任されました 02 Copyright© 2024 ITOCHU Techno-Solutions

    Corporation AWS Security Hubの セキュリティスコアが悪い AWSサービスを網羅的に学べて 基礎力が身につくかも 九州AWS若手の会#2 DATE. 2024.11.20

  5. 背景|社内検証環境の実態+調査上の苦労 • セキュリティスコアが悪い(66%) → 脆弱性、アラートを見落とす危険性 • 失敗リソースが100件、不合格のチェックが792件 • 本番環境と検証環境の違いを考慮する必要がある -

    検証という兼ね合いでコストを使い過ぎたくない, 機能として強すぎる 02 Copyright© 2024 ITOCHU Techno-Solutions Corporation 九州AWS若手の会#2 DATE. 2024.11.20

  6. 背景|セキュリティスコア向上 • 66% → 85% 02 Copyright© 2024 ITOCHU Techno-Solutions

    Corporation 九州AWS若手の会#2 DATE. 2024.11.20

  7. 3つのTips 02 Copyright© 2024 ITOCHU Techno-Solutions Corporation Tips1 自動修復 Tips3

    リソース削除 Tips2 コントロール 無効化 九州AWS若手の会#2 DATE. 2024.11.20

  8. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する AWS-DisablePublicAccessForSecurityGroup (デフォルトの SSM Automationドキュメント) を使用するために、権限を付与する

    九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  9. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする 九州AWS若手の会#2 DATE. 2024.11.20

    Copyright© 2024 ITOCHU Techno-Solutions Corporation

  10. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する 九州AWS若手の会#2

    DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  11. 03 Tips1| セキュリティグループのSSH全開放を自動修復 ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する ④

    SSH全開放を検知して自動修復するConfig Rulesを作成する※デフォルトで存在する 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  12. ① IAMポリシーを作成する ② IAMポリシーをIAMロールにアタッチする ③ EC2からSSMに変更する ④ SSH全開放を検知して自動修復するConfig Rulesを作成する※デフォルトで存在する ⑤

    修復アクションとして、①で作成したIAM ポリシーを選択する 03 Tips1| セキュリティグループのSSH全開放を自動修復 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  13. ◆ IAM.6:ルートユーザーに対してハードウェアMFAを有効にする必要がある → rootユーザーは主管(CTC社内のAWS払い出し担当)管理であるため、対応できない ◆ RDS.5:RDS DBインスタンスは複数のアベイラビリティゾーンで構成する必要がある → RDSをマルチAZにするというのは安全ではあるけどお金がかかる、、 ×

    本番環境 ◎ 検証環境 04 Tips2|検証環境に不要なコントロールの無効化 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  14. ✓ AWS Management Console を用いた手動削除 ✓ AWS CLI (Command Line

    Interface) での削除 ✓ AWS CloudFormation のスタックごとの削除 ✓ タグベースの削除 05 Tips3| 不要リソースの削除 ◎ プロジェクトごとの削除 ◎ 一括削除 ◎ リソースIDよりリスク減 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024 ITOCHU Techno-Solutions Corporation

  15. Tips1:セキュリティグループのSSH全開放を自動修復 Tips2:検証環境に不要なコントロールの無効化 Tips3:不要リソースの削除 06 まとめ 九州AWS若手の会#2 DATE. 2024.11.20 Copyright© 2024

    ITOCHU Techno-Solutions Corporation

  16. ありがとうございました Copyright© 2024 ITOCHU Techno-Solutions Corporation 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。 本資料に記載されている、製品名、会社名、ロゴ等は各社の商標または登録商標です。