Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
KAGが関わるアカウント全てにSecurity Hubを導入した(い)話
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
wkm2
April 15, 2024
Technology
220
0
Share
KAGが関わるアカウント全てにSecurity Hubを導入した(い)話
JAWS-UG情シス支部 第30回 登壇資料
wkm2
April 15, 2024
More Decks by wkm2
See All by wkm2
オレ達はAWS管理をやりたいんじゃない!開発の生産性を爆アゲしたいんだ!!
wkm2
5
570
札幌にいながら全国案件!?_アジャイル開発で実現する場所を選ばない働き方
wkm2
0
150
生成AI素人でも玄人でもない私がセイセイAIチョットワカルために勉強したこと
wkm2
2
350
AWS CLIの新しい認証情報設定方法aws loginコマンドの実態
wkm2
7
1.3k
API叩くだけのLambdaを作るつもりがコンテナ on EC2になった話
wkm2
0
41
AWSネイティブなセキュリティを考える
wkm2
1
350
地方在住フルリモートワークエンジニアのリアル 〜ジモトで_活きる_エンジニアライフ〜
wkm2
1
790
Keynote以外のアップデートピックアップ!
wkm2
1
170
Bedrock素人がKnowledgeBaseでRAGを構築するまで
wkm2
2
470
Other Decks in Technology
See All in Technology
Code Interpreter で、AIに安全に コードを書かせる。
yokomachi
0
6.9k
CDK Insightsで見る、AIによるCDKコード静的解析(+AI解析)
k_adachi_01
2
180
AI時代のガードレールとしてのAPIガバナンス
nagix
0
200
最初の一歩を踏み出せなかった私が、誰かの背中を押したいと思うようになるまで / give someone a push
mii3king
0
150
Azure Lifecycle with Copilot CLI
torumakabe
3
990
20260415_生成AIを専属DSに_自動レポート作成_ハンズオン_交通事故データ
doradora09
PRO
0
110
AWS DevOps Agentはチームメイトになれるのか?/ Can AWS DevOps Agent become a teammate
kinunori
6
660
生成AI時代のエンジニア育成 変わる時代と変わらないコト
starfish719
0
8.9k
明日からドヤれる!超マニアックなAWSセキュリティTips10連発 / 10 Ultra-Niche AWS Security Tips
yuj1osm
0
520
AIを共同作業者にして書籍を執筆する方法 / How to Write a Book with AI as a Co-Creator
ama_ch
2
120
LLM時代の検索アーキテクチャと技術的意思決定
shibuiwilliam
2
810
EBS暗号化に失敗してEC2が動かなくなった話
hamaguchimmm
2
170
Featured
See All Featured
SEO for Brand Visibility & Recognition
aleyda
0
4.5k
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
180
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
180
What does AI have to do with Human Rights?
axbom
PRO
1
2.1k
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
akihiro_kokubo
PRO
69
38k
[SF Ruby Conf 2025] Rails X
palkan
2
950
Balancing Empowerment & Direction
lara
6
1k
Building the Perfect Custom Keyboard
takai
2
730
Java REST API Framework Comparison - PWX 2021
mraible
34
9.3k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
21k
We Have a Design System, Now What?
morganepeng
55
8.1k
YesSQL, Process and Tooling at Scale
rocio
174
15k
Transcript
KAGが関わるアカウント全てに Security Hubを導入した(い)話 JAWS-UG情シス支部 第30回 KDDIアジャイル開発センター 若松剛志
Who am I ? 若松 剛志 AWS チョットデキル エンジニア 秋田出身、札幌在住
@t_wkm2
Who am I ? ぽんず 生後6ヶ月 北海道足寄町生まれ 趣味:新築の家を破壊すること
KAGが関わるアカウント全てに Security Hubを導入した話
KAG= KDDIアジャイル開発センター
KAGはアジャイル開発にこだわる開発会社 • KDDIの部署として10年の実績 • 2022年にKDDIの子会社として独立した • KDDIグループの開発プロジェクトに加え、 外部から受注するプロジェクトも増えてきた
開発プロジェクトがたくさんある
開発プロジェクトがたくさんあると... • プロジェクト毎に開発品質を担保をしてるが、セ キュリティの専門家が各プロジェクトにいるわけ じゃない • KAGとして一定以上のセキュリティ品質の担保を 保証したい • KAGのプロジェクトのほとんどはAWS上で行われ
るが、AWSの専門家が各プロジェクトにいるわけ じゃない
AWS Security Hub
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると...
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... AWS謹製のベストプラクティスやCIS ベンチーマーク、NISTなど様々な ルールがあり、その中から選択して 使用する
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... 選択したルールが適用されているか を12時間 or 24時間毎に自動で チェックする
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... ルールに反しているもの(アラート)を 1つのアカウントのダッシュボードに 集約してくれる
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... Organizationに所属しているアカウ ントはSecurity Hubを有効にするだ けで自動で集約される Org外のアカウントもInvitationと Acceptは必要だが集約可能
KAG内のSecurity Hub集約図
責任共有モデルとSecurity Hub
責任共有モデルとSecurity Hub AWS設定に関わる部分を 対象としている
Security Hubの画面
Security Hubの導入にあたって準備したこと • クロスアカウント設定の確立 • 共通コントロールの作成と全アカウントへの適用 方法確立 • 社員向けの説明資料作成
クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする
4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布
クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする
4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布
共通コントロールの作成と全アカウントへの適用方法確立 Org外のコントロール設定はAWS公式のサンプルソリューションである aws-security-hub-cross-account-controls-disabler を使う https://github.com/aws-samples/aws-security-hub-cross-account-controls-disabler
共通コントロールの作成と全アカウントへの適用方法確立
社員向けの説明資料作成
KAGが関わるアカウント全てに Security Hubを導入した話
KAGが関わるアカウント全てに Security Hubを導入した(い)話
ぶっちゃけまだ1プロジェクトしか 終わってないw
これから全プロジェクトへ展開して 5月までに導入完了の予定
導入後にやりたいこと • GuardDuty ◦ 悪意のあるアクティビティの検知/可視化 • Inspecter ◦ 脆弱性の検知/可視化 •
Amazon Detective ◦ セキュリティ調査プロセス効率化
まとめ • AWSのセキュリティ品質を一定以上に保つため、AWS Security Hubを導入するのがおすすめ • 導入に当たってはクロスアカウント設定はポリシー適用などい くつかの手順を踏む踏む必要がある • Security
Hub以外にもセキュリティに関わるサービスがあるの で、導入していきたい
SiteGround - Reliable hosting with speed, security, and support you can count on.
wkm2
yokomachi
k_adachi_01
nagix
mii3king
torumakabe
doradora09
kinunori
starfish719
yuj1osm
ama_ch
shibuiwilliam
hamaguchimmm
aleyda
ryanjones
gurzu
axbom
akihiro_kokubo
palkan
lara
takai
mraible
panda_program
morganepeng
rocio
