20250509_AWSアカウント管理担当者が、Security Hub活用のためにQuickSightに手を出したら大変だった話

AWS アカウント管理担当者が、 Security Hub 活用のために QuickSight に手を出したら大変だった話 tsunojun @tsunojun2451821

自己紹介大阪の某機械メーカーの研究機関　 7 年目製造業が盛んな名古屋に興味があり、JAWS-UG Nagoya に遠征主務：AWS ・GitHub などのプラットフォーム提供
Organization からアカウントの払い出し・棚卸 ↑ の延長で、AWS インフラのセキュリティレビューをすることも手動レビューレビュー自動化（Security Hub/ カスタムルール）今後は Amazon Q などを用いて、もっと積極的に？

目次社内での Security Hub の導入目的デフォルトの画面では満足できない！どんな画面（可視化機能）が必要か Security Hub と
QuickSight のつなぎ方 AWS ブログを基に、Athena でクエリ問題発生したため、OpenSearch でのクエリに挑戦中所感

社内での Security Hub の導入目的各アカウント上の設定が適切か利用者に確認させたい情シス部門の Admin から一覧したい確認項目
汎用的なベスプラ( 例：EC2 をパブリック 0.0.0.0/0 に公開しない) 社内規定( 例：社内向けアプリは、社内からの接続のみに限定) Config カスタムルールを作成し、配布

デフォルトの画面では満足できない！ - 利用者に確認させたい各アカウント毎の表示 or 全アカウント集約表示前者は手間がかかるし、後者は見せたくない情報が多い - Configカスタムルールを作成し、配布汎用的なべスプラと
Config カスタムルールが別々に表示される

どんな画面（可視化機能）が必要かやらないといけないこと利用者ごとに表示するアカウントを変更するカスタムルールを一覧表示する追加でやりたいこと Security Hub 以外にも、情シス部門 Admin が確認するログの表示
GitHub Enterprise の Audit Log （各リポジトリのアクセス状況） CloudTrail （AWS の API コールの履歴）

他の方の記事を参考にする JAWS-UG 千葉支部 #19 AWS Security Hub のダッシュボードがイケてないので AWS
Security Lake を試してみた JAWS-UG 千葉 #20 AWS Security Lake を試してみたら最高の運用者体験だった Security Lake を用いれば、S3 と LakeFormation からなるデータレイクを一発構築し、各アカウントの情報を集約できるようだ → 上手いことクエリすれば、やりたいことができるのでは？

AWS ブログを基に、Athena でクエリ（最近、QuickSight も Amazon Q 推し　使ったことはないが、、、
）

可視化結果

Athena でクエリした際に問題発生利用者が QuickSight 上のダッシュボードにアクセスした際に都度クエリするため、表示が遅い(~1 分程度) ▪JAWS-UG千葉支部 #19 AWS
Security HubのダッシュボードがイケてないのでAWS Security Lakeを試してみた現在の情報を取得するのが難しいかも - 既に存在しない情報がファイルに存在している - なのでfinding ID + リソースで、最新の情報を取得する必要がある → 裏で定期的にクエリし、SPICE キャッシュに格納することで対応しかし、SPICE がダッシュボード毎に作成される仕様があった → ダッシュボード件数が増えるにつれ費用が増大

さっきの図、細かく書くとこんな感じ ↑ よくわかってなかった(Blackbelt で学んだ)

Athena を使わずにクエリしたい、、、いったんOpenSearch に格納し、QuickSight→OpenSearch にクエリすればよいのでは？事前検証で、ある程度パフォーマンスが出ることは判明現在、Lake→Athena
から Lake→OpenSearch に移行中だが、難航中難航している理由：接続方法が複数ある

サービス名利点欠点 OpenSearch Ingestion Pipeline OpenSearch 上にデータを移動するため、クエリ時間短縮が見込ま
れるランニングコスト(USD 0.326 per OCU per hour) SIEM on Amazon OpenSearch Service ↑ に加えランニングコストが安い AWS 提供の OSS かつ更新頻度が下がっている・内部 Lambda の内容把握が必要 Zero-ETL 統合設定が容易前述の問題が解消しない（Athena 同様クエリ時に都度 S3 を参照）

所感アカウント管理が主務のため、データ利活用の知見が不足と痛感 Security Lake のような「まとめて一発構築するサービス」は、活用を進めるにつれ中身の理解が必要最初の一歩を軽くしてくれることはとても助かる運用を考えた際に、色々な問題が出てくるため、都度対応するアーキテクチャが最適でないと気づいたら、再構築する勇気が要る再構築の際は、サービス選定だけでなく、連携方法の選定も必要
今日の登壇で LT される DuckDB にも、興味あり、、、

20250509_AWSアカウント管理担当者が、Security Hub活用のためにQuick...

20250509_AWSアカウント管理担当者が、Security Hub活用のためにQuickSightに手を出したら大変だった話

tsunojun

More Decks by tsunojun

Other Decks in Business

Featured

Transcript

AWS アカウント管理担当者が、 Security Hub 活用のために QuickSight に手を出したら大変だった話 tsunojun @tsunojun2451821

自己紹介大阪の某機械メーカーの研究機関　 7 年目製造業が盛んな名古屋に興味があり、JAWS-UG Nagoya に遠征主務：AWS ・GitHub などのプラットフォーム提供

目次社内での Security Hub の導入目的デフォルトの画面では満足できない！どんな画面（可視化機能）が必要か Security Hub と

社内での Security Hub の導入目的各アカウント上の設定が適切か利用者に確認させたい情シス部門の Admin から一覧したい確認項目

どんな画面（可視化機能）が必要かやらないといけないこと利用者ごとに表示するアカウントを変更するカスタムルールを一覧表示する追加でやりたいこと Security Hub 以外にも、情シス部門 Admin が確認するログの表示

他の方の記事を参考にする JAWS-UG 千葉支部 #19 AWS Security Hub のダッシュボードがイケてないので AWS

AWS ブログを基に、Athena でクエリ（最近、QuickSight も Amazon Q 推し　使ったことはないが、、、

可視化結果

Athena でクエリした際に問題発生利用者が QuickSight 上のダッシュボードにアクセスした際に都度クエリするため、表示が遅い(~1 分程度) ▪JAWS-UG千葉支部 #19 AWS

さっきの図、細かく書くとこんな感じ ↑ よくわかってなかった(Blackbelt で学んだ)

Athena を使わずにクエリしたい、、、いったんOpenSearch に格納し、QuickSight→OpenSearch にクエリすればよいのでは？事前検証で、ある程度パフォーマンスが出ることは判明現在、Lake→Athena

サービス名利点欠点 OpenSearch Ingestion Pipeline OpenSearch 上にデータを移動するため、クエリ時間短縮が見込ま