Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
実践:AWS Security Hub & Amazon GuardDuty ~私有マルチアカ...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Kubo
July 16, 2025
1
150
実践:AWS Security Hub & Amazon GuardDuty ~私有マルチアカウント環境の統制を最適化する~
Kubo
July 16, 2025
Tweet
Share
More Decks by Kubo
See All by Kubo
コーディングAIエージェントの歴史と関連技術
kubomasataka
1
110
AWS Devops Agent ~ 自動調査とSlack統合をやってみた! ~
kubomasataka
3
1.4k
AWS re:Invent 2025~初参加の成果と学び~
kubomasataka
1
300
AWS re:Invent 2025~成果&アクションアイテム~
kubomasataka
0
200
【入門】AWS Amplify (× Next.js)~AWS上に静的Webサイトを移行する案件を発見!~
kubomasataka
0
140
(続) VPC Lattice vs VPC Endpoint ~Latticeサービスネットワークを使い倒すための序章~
kubomasataka
1
170
VPC Lattice vs VPC Endpoint ~異なる VPC のプライベートリソースにアクセスには?~
kubomasataka
1
170
フロントエンド克服へ~ 生成AIによる伴走で活躍の幅を広げる ~ 2
kubomasataka
0
120
フロントエンド克服へ~ 生成AIによる伴走で活躍の幅を広げる ~
kubomasataka
0
97
Featured
See All Featured
[SF Ruby Conf 2025] Rails X
palkan
2
840
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
96
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
0
180
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
150
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.4k
The Cost Of JavaScript in 2023
addyosmani
55
9.8k
Claude Code どこまでも/ Claude Code Everywhere
nwiizo
64
54k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.5k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
How to Talk to Developers About Accessibility
jct
2
160
Transcript
実践:AWS Security Hub & Amazon GuardDuty ~私有マルチアカウント環境の統制を最適化する~
実現したいこと • マルチアカウント環境にAWS Security HubとAmazon GuardDutyを適用する際、 できる限りコストを抑え、全アカウント・リージョンを監視 • シンプルな構成&リソース数を最小限に •
脆弱性・脅威を検出した際は管理者にメール通知
事前準備:Control Towerでランディングゾーンを設定 • 管理対象リージョン ◦ 米国東部 (オハイオ) ◦ 米国東部 (バージニア北部)
◦ アジアパシフィック (東京) ◦ 米国西部 (オレゴン)
None
ポイント①:メンバーアカウントをSecurity Hubで監視 • メンバーアカウントの全管理対象 リージョンで有効化 • 管理アカウントでは無効化 • Auditアカウントに委任
ポイント②:管理アカウントをGuardDutyで監視 • 管理アカウントの全リージョンで有 効化 • Auditアカウントに委任 →Security HubとGuardDutyが有効化さ れるリージョンを最低限にすることで、 Configルール数、ログ量を抑える
ポイント③ • 全リージョンに検出結果の生成を検 知するRule①を作成 • ホームリージョンに検出結果の集約 &通知用のRule②を作成 • 重要度>=0の場合に通知 →通知の仕組みを導入&全リージョンの検
出結果をホームリージョンに集約し、リソー ス数を最小に
ポイント③(補足) EventBridgeとSNSはCloudFormation StackSetsでデプロイ • サービスマネージドアクセス許可 ◦ OUに属するアカウントの特定のリージョンにスタックをデプロイ (必ずOU IDの指定が必要) ◦
事前準備不要 • セルフサービスのアクセス許可 ◦ 特定のアカウントの特定のリージョンにスタックをデプロイ ◦ cfn StackSets, cfnのサービスロールを事前に作成 →管理アカウントはOUに属さない(組織直下)ため後者
困りごと 拒否リージョンではAWS Configが有効化されないため、コントロール[Config.1 AWS Config should be enabled and use
the service-linked role for resource]の検出結果 においてコンプライアンスステータスがFAILEDになる。 • アカウントを作成するたびに手動でワークフローステータスを「抑制済み (SUPPRESSED)」にするのが面倒
解決策:オートメーションルール 評価が実施されるタイミングで条件に合致した検出結果のステータスや重要度の変更、 メモの追加を自動で行う機能
オートメーションルールの動作確認 Account Factoryでメンバーアカウントを作成し、通知が来ないこと、コントロールステー タスが「成功」であることを確認 ※新規に生成される検出結果が評価対象であるため、既存の検出結果は手動で抑制 済みにする
実現したいこと(振り返り) • ✅マルチアカウント環境にAWS Security HubとAmazon GuardDutyを適用する 際、できる限りコストを抑え、全アカウント・リージョンを監視 • ✅シンプルな構成&リソース数を最小限に •
✅脆弱性・脅威を検出した際は管理者にメール通知 ※べスプラに則っていない箇所もあります
今後 • Security Hubは生まれ変わったらしい ◦ AWS Security Hub Cloud Security
Posture Management (CSPM) ◦ 「アタックパスの可視化」が注目機能?? • Security Hubのセキュリティ標準とそのコントロールの内容を深堀 ◦ 今回はAWS Foundational Security Best Practicesのみ採用 • マルチアカウント環境のコストに配慮しつつべスプラの実践 ◦ IAM Access Analyzerが気になる
さいごに • Zenn https://zenn.dev/kubo_gene • X https://x.com/kubo_gene
End.
Your Podcast. Everywhere. Effortlessly.
kubomasataka
palkan
malarkey
ryanjones
samtorres
.png){kind=avatar}
helenjbeal
marcduiker
addyosmani
nwiizo
katarinadahlin
cassininazir
denniskardys
jct
