Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security Hub と出会ってから 1年半が過ぎました
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
rch850
January 17, 2026
Technology
330
1
Share
Security Hub と出会ってから 1年半が過ぎました
JAWS-UG 福井 #1 での発表資料
rch850
January 17, 2026
More Decks by rch850
See All by rch850
#2022年に学んで良かった技術
rch850
0
1.3k
face-api.js で璃奈ちゃんボードを作ってみたよ
rch850
0
620
いい感じにスピードアップするコンテストの紹介
rch850
0
460
†2020年に建つ墓標達†
rch850
0
120
大掃除中の困ったを解決しようとした話
rch850
0
480
もしかして頻尿
rch850
0
66
SVGのよさみを語る会
rch850
0
150
俺の git-review
rch850
0
160
おじいちゃんが無事に晩御飯を食べるためのリトライ処理
rch850
0
610
Other Decks in Technology
See All in Technology
The Journey of Box Building
tagomoris
4
2.5k
目的ファーストのハーネス設計 ~ハーネスの変更容易性を高めるための優先順位~
gotalab555
8
2.2k
こんなアーキテクチャ図はいやだ / Anti-pattern in AWS Architecture Diagrams
naospon
1
450
AWS Agent Registry の基礎・概要を理解する/aws-agent-registry-intro
ren8k
3
370
ハーネスエンジニアリングをやりすぎた話 ~そのハーネスは解体された~
gotalab555
4
1.7k
Oracle AI Database@AWS:サービス概要のご紹介
oracle4engineer
PRO
4
2.3k
基盤を育てる 外部SaaS連携の運用
gamonges_dresscode
1
120
ネットワーク運用を楽にするAWS DevOps Agent活用法!! / 20260421 Masaki Okuda
shift_evolve
PRO
2
210
Standards et agents IA : un tour d’horizon de MCP, A2A, ADK et plus encore
glaforge
0
160
Chasing Real-Time Observability for CRuby
whitegreen
0
110
Contract One Engineering Unit 紹介資料
sansan33
PRO
0
16k
Rebirth of Software Craftsmanship in the AI Era
lemiorhan
PRO
4
2k
Featured
See All Featured
sira's awesome portfolio website redesign presentation
elsirapls
0
220
Exploring anti-patterns in Rails
aemeredith
3
320
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.2k
Large-scale JavaScript Application Architecture
addyosmani
515
110k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
baasie
0
510
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
100
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
2
1.4k
Side Projects
sachag
455
43k
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
260
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
420
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
190
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.7k
Transcript
Security Hub と出会って ら 1年半 過 ました JAWS-UG 福井 #1
株式会社 jig.jp 木村秀敬
祝 JAWS-UG 福井 リブート!
• 木村 秀敬 / KIMURA, Hidetaka ◦ りちゃ / rch850
ともいいます • 茨城出身、福井在住 ◦ サッカー茨城旋風! • 昨年頑張ったことはビール検定3級の取得 ◦ 1F の OUR BREWING をぜひ • 紀元前の JAWS-UG 福井メンバー 🦕 • 仕事は色々やってます ◦ AWS のセキュリティ対策もそのひとつ ◦ 好きなサービス AWSサポート 自己紹介
jaws ug 福井 第0回 でググってみよう
• 注意しなければならない事 た さんある! • EC2 の設定は安全か? ◦ 意図せずパブリックIPがついてない? •
セキュリティグループがゆるくなってないか? ◦ 22番ポートを 0.0.0.0/0 に許可してない? • S3 バケットの設定は安全か? ◦ ブロックパブリックアクセスしてる? • RDS の設定は安全か? ◦ 削除保護は有効になってる? 初心者には、そもそもどの設定が必要か、危険かも分からない AWS のセキュリティ対策
AWS Security Hub CSPM AWS のセキュリティ分からんを 解消してくれる 頼もしい味方
AWS Security Hub CSPM • セキュリティのベストプラクティスに準拠しているかを自動チェック • セキュリティスコアをパーセント表示
ここでちょっと歴史の話 (当時の) AWS Security Hub 2024年 AWS Security Hub CSPM
(現在の) AWS Security Hub 2026年 Security Hub と出会ってから1年半が過ぎました というタイトルですが、今で言う AWS Security Hub CSPM の話をしています 似て非なるもの
AWS Security Hub CSPM に出て る用語 • 個々のセキュリティチェックは「コントロール」 ◦ 例.
[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっ ている必要があります • 複数のコントロールがまとまった「セキュリティ標準」 ◦ 例. AWS基礎セキュリティのベストプラクティス • チェック結果に応じて「セキュリティスコア」が算出される • コントロールの要件を満たしていれば「成功(合格)」 • コントロールごとに「重大度」が決まっている ◦ CRITICAL / HIGH / MEDIUM / LOW
AWS基礎セキュリティの ベストプラクティス セキュリティ標準とコントロール 300コントロールのうち 240で成功 → セキュリティスコア 80% セキュリティ標準 [Account.1]
AWS アカウント について、セ キュリティの連絡先情報を提供する必要 があります [ACM.1] インポートされ ACM によって発行 された証明書は、一定期間後に更新する 必要があります その他たくさんのコントロール コントロール 成功 失敗 …… この標準に含まれるコントロール一覧 https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/fsbp-standard.html
チェックすべき300以上の項目が まとまっている それらを自動チェックしてくれる これは便利!
[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク
コントロールの成功/失敗 パブリック IPv4 なし → 成功 パブリック IPv4 なし → 成功 パブリック IPv4 なし → 成功 対象リソースが全て成功 → 成功 コントロール 設定状況は AWS Config 経由で取得(後述)
[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク
コントロールの成功/失敗 パブリック IPv4 なし → 成功 パブリック IPv4 あり → 失敗 パブリック IPv4 なし → 成功 対象リソースがひとつでも失敗 → 失敗 コントロール
チェック結果 このように表示される
1年半使ってみて
状況に応じたカスタマイズ • コントロールを無効化 ◦ 「このサービスは使ってないな」 • コントロールでチェックする一部リソースを抑制 ◦ 「開発環境でのバックアップはコストと不要だな」
AWS Config のコスト対策 • あるときに AWS Config のコストが高いことに気づいた • なぜ
AWS Config? ◦ Security Hub CSPM を使うためには AWS Config を有効化する必要がある • Config の記録頻度を調整してコスト対策 ◦ 連続 → 日次 → 除外
好 なコントロール3選 • [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウン ドトラフィックまたはアウトバウンドトラフィックを許可しないよう にすることをお勧めします • [EC2.9]
Amazon EC2 インスタンスは、パブリック IPv4 アドレスを 未設定にすることをお勧めします • [S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有 効になっている必要があります
まとめ AWS Security Hub CSPM をセキュリティ強化のヒントに! コントロールのドキュメントを読むだけでも気づきがあります
SiteGround - Reliable hosting with speed, security, and support you can count on.
rch850
tagomoris
gotalab555
naospon
ren8k
oracle4engineer
gamonges_dresscode
shift_evolve
glaforge
whitegreen
sansan33
lemiorhan
elsirapls
aemeredith
charlesmeaden
addyosmani
baasie
akademiya2063
sarafernandez
sachag
axbom
reverentgeek
nikkihalliwell
thoeni
![AWS基礎セキュリティの ベストプラクティス セキュリティ標準とコントロール 300コントロールのうち 240で成功 → セキュリティスコア 80% セキュリティ標準 [Account.1]](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_9.jpg){kind=link}
![[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_11.jpg){kind=link}
![[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_12.jpg){kind=link}
![好 なコントロール3選 • [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウン ドトラフィックまたはアウトバウンドトラフィックを許可しないよう にすることをお勧めします • [EC2.9]](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_17.jpg){kind=link}
