Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security Hub と出会ってから 1年半が過ぎました
Search
rch850
January 17, 2026
Technology
1
240
Security Hub と出会ってから 1年半が過ぎました
JAWS-UG 福井 #1 での発表資料
rch850
January 17, 2026
Tweet
Share
More Decks by rch850
See All by rch850
#2022年に学んで良かった技術
rch850
0
1.3k
face-api.js で璃奈ちゃんボードを作ってみたよ
rch850
0
610
いい感じにスピードアップするコンテストの紹介
rch850
0
460
†2020年に建つ墓標達†
rch850
0
110
大掃除中の困ったを解決しようとした話
rch850
0
470
もしかして頻尿
rch850
0
61
SVGのよさみを語る会
rch850
0
140
俺の git-review
rch850
0
150
おじいちゃんが無事に晩御飯を食べるためのリトライ処理
rch850
0
600
Other Decks in Technology
See All in Technology
Interop Tokyo 2025 ShowNet Team Memberで学んだSRv6を基礎から丁寧に
miyukichi_ospf
0
170
プロダクト開発の品質を守るAIコードレビュー:事例に見る導入ポイント
moongift
PRO
1
400
AWSが推進する AI駆動開発ライフサイクル入門 〜 AI駆動開発時代に必要な人材とは 〜 / introduction_to_aidlc_and_skills
fatsushi
7
4.7k
React 19時代のコンポーネント設計ベストプラクティス
uhyo
17
6.8k
30分でわかるアーキテクチャモダナイゼーション
nwiizo
7
3.4k
サンタコンペ2025完全攻略 ~お前らの焼きなましは遅すぎる~
terryu16
1
310
NW構成図の自動描画は何が難しいのか?/netdevnight3
corestate55
2
300
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
57
47k
OCI技術資料 : 外部接続 VPN接続 詳細
ocise
1
10k
技術選定 したい人 したくない人
shirayanagiryuji
0
340
歴史に敬意を! パラシュートVPoEが組織と共同で立ち上がる信頼醸成オンボーディング
go0517go
PRO
0
180
AITuberKit+Bedrock AgentCoreで作る 3Dキャラクターエージェント
yokomachi
2
1.5k
Featured
See All Featured
Mind Mapping
helmedeiros
PRO
1
100
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
9.7k
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
110
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
21k
Building a Scalable Design System with Sketch
lauravandoore
463
34k
Testing 201, or: Great Expectations
jmmastey
46
8.1k
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.2k
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
130
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
5.8k
The browser strikes back
jonoalderson
0
730
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.6k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
270
Transcript
Security Hub と出会って ら 1年半 過 ました JAWS-UG 福井 #1
株式会社 jig.jp 木村秀敬
祝 JAWS-UG 福井 リブート!
• 木村 秀敬 / KIMURA, Hidetaka ◦ りちゃ / rch850
ともいいます • 茨城出身、福井在住 ◦ サッカー茨城旋風! • 昨年頑張ったことはビール検定3級の取得 ◦ 1F の OUR BREWING をぜひ • 紀元前の JAWS-UG 福井メンバー 🦕 • 仕事は色々やってます ◦ AWS のセキュリティ対策もそのひとつ ◦ 好きなサービス AWSサポート 自己紹介
jaws ug 福井 第0回 でググってみよう
• 注意しなければならない事 た さんある! • EC2 の設定は安全か? ◦ 意図せずパブリックIPがついてない? •
セキュリティグループがゆるくなってないか? ◦ 22番ポートを 0.0.0.0/0 に許可してない? • S3 バケットの設定は安全か? ◦ ブロックパブリックアクセスしてる? • RDS の設定は安全か? ◦ 削除保護は有効になってる? 初心者には、そもそもどの設定が必要か、危険かも分からない AWS のセキュリティ対策
AWS Security Hub CSPM AWS のセキュリティ分からんを 解消してくれる 頼もしい味方
AWS Security Hub CSPM • セキュリティのベストプラクティスに準拠しているかを自動チェック • セキュリティスコアをパーセント表示
ここでちょっと歴史の話 (当時の) AWS Security Hub 2024年 AWS Security Hub CSPM
(現在の) AWS Security Hub 2026年 Security Hub と出会ってから1年半が過ぎました というタイトルですが、今で言う AWS Security Hub CSPM の話をしています 似て非なるもの
AWS Security Hub CSPM に出て る用語 • 個々のセキュリティチェックは「コントロール」 ◦ 例.
[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっ ている必要があります • 複数のコントロールがまとまった「セキュリティ標準」 ◦ 例. AWS基礎セキュリティのベストプラクティス • チェック結果に応じて「セキュリティスコア」が算出される • コントロールの要件を満たしていれば「成功(合格)」 • コントロールごとに「重大度」が決まっている ◦ CRITICAL / HIGH / MEDIUM / LOW
AWS基礎セキュリティの ベストプラクティス セキュリティ標準とコントロール 300コントロールのうち 240で成功 → セキュリティスコア 80% セキュリティ標準 [Account.1]
AWS アカウント について、セ キュリティの連絡先情報を提供する必要 があります [ACM.1] インポートされ ACM によって発行 された証明書は、一定期間後に更新する 必要があります その他たくさんのコントロール コントロール 成功 失敗 …… この標準に含まれるコントロール一覧 https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/fsbp-standard.html
チェックすべき300以上の項目が まとまっている それらを自動チェックしてくれる これは便利!
[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク
コントロールの成功/失敗 パブリック IPv4 なし → 成功 パブリック IPv4 なし → 成功 パブリック IPv4 なし → 成功 対象リソースが全て成功 → 成功 コントロール 設定状況は AWS Config 経由で取得(後述)
[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク
コントロールの成功/失敗 パブリック IPv4 なし → 成功 パブリック IPv4 あり → 失敗 パブリック IPv4 なし → 成功 対象リソースがひとつでも失敗 → 失敗 コントロール
チェック結果 このように表示される
1年半使ってみて
状況に応じたカスタマイズ • コントロールを無効化 ◦ 「このサービスは使ってないな」 • コントロールでチェックする一部リソースを抑制 ◦ 「開発環境でのバックアップはコストと不要だな」
AWS Config のコスト対策 • あるときに AWS Config のコストが高いことに気づいた • なぜ
AWS Config? ◦ Security Hub CSPM を使うためには AWS Config を有効化する必要がある • Config の記録頻度を調整してコスト対策 ◦ 連続 → 日次 → 除外
好 なコントロール3選 • [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウン ドトラフィックまたはアウトバウンドトラフィックを許可しないよう にすることをお勧めします • [EC2.9]
Amazon EC2 インスタンスは、パブリック IPv4 アドレスを 未設定にすることをお勧めします • [S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有 効になっている必要があります
まとめ AWS Security Hub CSPM をセキュリティ強化のヒントに! コントロールのドキュメントを読むだけでも気づきがあります
rch850
miyukichi_ospf
moongift
fatsushi
uhyo
nwiizo
terryu16
corestate55
oracle4engineer
ocise
shirayanagiryuji
go0517go
yokomachi
helmedeiros
aleyda
codingconduct
panda_program
lauravandoore
jmmastey
signer
pwiseman
reverentgeek
jonoalderson
philnash
tmiket
![AWS基礎セキュリティの ベストプラクティス セキュリティ標準とコントロール 300コントロールのうち 240で成功 → セキュリティスコア 80% セキュリティ標準 [Account.1]](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_9.jpg){kind=link}
![[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_11.jpg){kind=link}
![[EC2.9] Amazon EC2 インスタンスは、 パブリック IPv4 アドレスを 未設定にすることをお勧めします 重大度=HIGH ドキュメントへのリンク](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_12.jpg){kind=link}
![好 なコントロール3選 • [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウン ドトラフィックまたはアウトバウンドトラフィックを許可しないよう にすることをお勧めします • [EC2.9]](https://files.speakerdeck.com/presentations/4b95c3e1421e4bc196a05b62ee8b2044/slide_17.jpg){kind=link}
