Upgrade to Pro — share decks privately, control downloads, hide ads and more …

KAGが関わるアカウント全てにSecurity Hubを導入した(い)話

wkm2
April 15, 2024
Technology
0
130

KAGが関わるアカウント全てにSecurity Hubを導入した(い)話

JAWS-UG情シス支部 第30回 登壇資料

wkm2

April 15, 2024
Tweet

More Decks by wkm2

See All by wkm2
AWSネイティブなセキュリティを考える
wkm2
1
260
地方在住フルリモートワークエンジニアのリアル 〜ジモトで_活きる_エンジニアライフ〜
wkm2
1
590
Keynote以外のアップデートピックアップ!
wkm2
1
100
Bedrock素人がKnowledgeBaseでRAGを構築するまで
wkm2
2
370
EC2を再起動したいがためにNew Relicを使った話
wkm2
1
370
ネットワークサービスフル活用で実現するハイブリッド構成 〜コープさっぽろのネットワーク全体像〜
wkm2
2
1.8k
AWS SSO でログインを簡単に〜IAMユーザ管理をしたくない〜
wkm2
1
560
固定IPでLambdaにHTTPリクエストを投げる経路を試してみた
wkm2
1
770
AWS SSOとGoogle Idpのおいしい関係 ~ QuickSightに楽してログインしたい ~
wkm2
0
1.3k

Other Decks in Technology

See All in Technology
30代からでも遅くない! 内製開発の世界に飛び込み、最前線で戦うLLMアプリ開発エンジニアになろう
minorun365
PRO
11
3k
ElixirがHW化され、最新CPU/GPU/NWを過去のものとする数万倍、高速+超省電力化されたWeb/動画配信/AIが動く日
piacerex
0
150
Стильный код: натуральный поиск редких атрибутов по картинке. Юлия Антохина, Data Scientist, Lamoda Tech
lamodatech
0
740
Road to Go Gem #rubykaigi
sue445
0
760
4/16/25 - SFJug - Java meets AI: Build LLM-Powered Apps with LangChain4j
edeandrea
PRO
2
120
SDカードフォレンジック
su3158
1
630
SREからゼロイチプロダクト開発へ ー越境する打席の立ち方と期待への応え方ー / Product Engineering Night #8
itkq
2
930
バックオフィス向け toB SaaS バクラクにおけるレコメンド技術活用 / recommender-systems-in-layerx-bakuraku
yuya4
6
550
3月のAWSアップデートを5分間でざっくりと!
kubomasataka
0
120
PagerDuty×ポストモーテムで築く障害対応文化/Building a culture of incident response with PagerDuty and postmortems
aeonpeople
1
320
Notion x ポストモーテムで広げる組織の学び / Notion x Postmortem
isaoshimizu
1
120
地味にいろいろあった! 2025春のAmazon Bedrockアップデートおさらい
minorun365
PRO
1
270

Featured

See All Featured
Being A Developer After 40
akosma
91
590k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
34
2.2k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
49k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.2k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Designing Experiences People Love
moore
141
24k
Agile that works and the tools we love
rasmusluckow
328
21k
Speed Design
sergeychernyshev
29
900
Music & Morning Musume
bryan
47
6.5k
Building Applications with DynamoDB
mza
94
6.3k
A Modern Web Designer's Workflow
chriscoyier
693
190k

Transcript

  1. KAGが関わるアカウント全てに Security Hubを導入した(い)話 JAWS-UG情シス支部 第30回 KDDIアジャイル開発センター 若松剛志

  2. Who am I ? 若松 剛志 AWS チョットデキル エンジニア 秋田出身、札幌在住

    @t_wkm2

  3. Who am I ? ぽんず 生後6ヶ月 北海道足寄町生まれ 趣味:新築の家を破壊すること

  4. KAGが関わるアカウント全てに Security Hubを導入した話

  5. KAG= KDDIアジャイル開発センター

  6. KAGはアジャイル開発にこだわる開発会社 • KDDIの部署として10年の実績 • 2022年にKDDIの子会社として独立した • KDDIグループの開発プロジェクトに加え、 外部から受注するプロジェクトも増えてきた

  7. 開発プロジェクトがたくさんある

  8. 開発プロジェクトがたくさんあると... • プロジェクト毎に開発品質を担保をしてるが、セ キュリティの専門家が各プロジェクトにいるわけ じゃない • KAGとして一定以上のセキュリティ品質の担保を 保証したい • KAGのプロジェクトのほとんどはAWS上で行われ

    るが、AWSの専門家が各プロジェクトにいるわけ じゃない

  9. AWS Security Hub

  10. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると...

  11. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... AWS謹製のベストプラクティスやCIS ベンチーマーク、NISTなど様々な ルールがあり、その中から選択して 使用する

  12. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... 選択したルールが適用されているか を12時間 or 24時間毎に自動で チェックする

  13. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... ルールに反しているもの(アラート)を 1つのアカウントのダッシュボードに 集約してくれる

  14. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... Organizationに所属しているアカウ ントはSecurity Hubを有効にするだ けで自動で集約される Org外のアカウントもInvitationと Acceptは必要だが集約可能

  15. KAG内のSecurity Hub集約図

  16. 責任共有モデルとSecurity Hub

  17. 責任共有モデルとSecurity Hub AWS設定に関わる部分を 対象としている

  18. Security Hubの画面

  19. Security Hubの導入にあたって準備したこと • クロスアカウント設定の確立 • 共通コントロールの作成と全アカウントへの適用 方法確立 • 社員向けの説明資料作成

  20. クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする

    4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布

  21. クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする

    4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布

  22. 共通コントロールの作成と全アカウントへの適用方法確立 Org外のコントロール設定はAWS公式のサンプルソリューションである aws-security-hub-cross-account-controls-disabler を使う https://github.com/aws-samples/aws-security-hub-cross-account-controls-disabler

  23. 共通コントロールの作成と全アカウントへの適用方法確立

  24. 社員向けの説明資料作成

  25. KAGが関わるアカウント全てに Security Hubを導入した話

  26. KAGが関わるアカウント全てに Security Hubを導入した(い)話

  27. ぶっちゃけまだ1プロジェクトしか 終わってないw

  28. これから全プロジェクトへ展開して 5月までに導入完了の予定

  29. 導入後にやりたいこと • GuardDuty ◦ 悪意のあるアクティビティの検知/可視化 • Inspecter ◦ 脆弱性の検知/可視化 •

    Amazon Detective ◦ セキュリティ調査プロセス効率化

  30. まとめ • AWSのセキュリティ品質を一定以上に保つため、AWS Security Hubを導入するのがおすすめ • 導入に当たってはクロスアカウント設定はポリシー適用などい くつかの手順を踏む踏む必要がある • Security

    Hub以外にもセキュリティに関わるサービスがあるの で、導入していきたい