Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
KAGが関わるアカウント全てにSecurity Hubを導入した(い)話
Search
wkm2
April 15, 2024
Technology
220
0
Share
KAGが関わるアカウント全てにSecurity Hubを導入した(い)話
JAWS-UG情シス支部 第30回 登壇資料
wkm2
April 15, 2024
More Decks by wkm2
See All by wkm2
オレ達はAWS管理をやりたいんじゃない!開発の生産性を爆アゲしたいんだ!!
wkm2
5
590
札幌にいながら全国案件!?_アジャイル開発で実現する場所を選ばない働き方
wkm2
0
230
生成AI素人でも玄人でもない私がセイセイAIチョットワカルために勉強したこと
wkm2
2
360
AWS CLIの新しい認証情報設定方法aws loginコマンドの実態
wkm2
7
1.3k
API叩くだけのLambdaを作るつもりがコンテナ on EC2になった話
wkm2
0
41
AWSネイティブなセキュリティを考える
wkm2
1
350
地方在住フルリモートワークエンジニアのリアル 〜ジモトで_活きる_エンジニアライフ〜
wkm2
1
800
Keynote以外のアップデートピックアップ!
wkm2
1
180
Bedrock素人がKnowledgeBaseでRAGを構築するまで
wkm2
2
470
Other Decks in Technology
See All in Technology
The 7 pitfalls of AI
ufried
0
200
変化の激しい時代をゴキゲンに生き抜くために 〜ストレスマネジメントのススメ〜
kakehashi
PRO
4
1.2k
Oracle Cloud Infrastructure presents managed, serverless MCP Servers for Oracle AI Database
thatjeffsmith
0
180
エンタープライズの厳格な制約を開発者に意識させない:クラウドネイティブ開発基盤設計/cloudnative-kaigi-golden-path
mhrtech
0
370
[Oracle TechNight#99] 生成AI時代のAI/ML入門 ~ AIとオラクルデータベースの関係 (後半)
oracle4engineer
PRO
3
250
AI時代に越境し、 組織を変えるQAスキルの正体 / QA Skills for Transforming an Organization
mii3king
5
4.2k
Agent Skillsで実現する記憶領域の運用とその後
yamadashy
2
1.6k
自動テストだけで リリース判断できるチームへ - 鍵はテストの量ではなくリリース判断基準の再設計にあった / Redesigning Release Criteria for Lightweight Releases
ewa
7
3.6k
Sociotechnical Architecture Reviews: Understanding Teams, not just Artefacts
ewolff
1
150
OWASP APTSを眺めてみた
su3158
0
130
Forget technical debt
ufried
0
180
AI時代に、 データアナリストがデータエンジニアに異動して
jackojacko_
0
530
Featured
See All Featured
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
110
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
55k
Are puppies a ranking factor?
jonoalderson
1
3.4k
Typedesign – Prime Four
hannesfritz
42
3k
[SF Ruby Conf 2025] Rails X
palkan
2
1k
A Soul's Torment
seathinner
6
2.8k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
130
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
davidcarrasco
3
120
Design in an AI World
tapps
1
210
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
apolaine
0
300
Prompt Engineering for Job Search
mfonobong
0
290
Raft: Consensus for Rubyists
vanstee
141
7.4k
Transcript
KAGが関わるアカウント全てに Security Hubを導入した(い)話 JAWS-UG情シス支部 第30回 KDDIアジャイル開発センター 若松剛志
Who am I ? 若松 剛志 AWS チョットデキル エンジニア 秋田出身、札幌在住
@t_wkm2
Who am I ? ぽんず 生後6ヶ月 北海道足寄町生まれ 趣味:新築の家を破壊すること
KAGが関わるアカウント全てに Security Hubを導入した話
KAG= KDDIアジャイル開発センター
KAGはアジャイル開発にこだわる開発会社 • KDDIの部署として10年の実績 • 2022年にKDDIの子会社として独立した • KDDIグループの開発プロジェクトに加え、 外部から受注するプロジェクトも増えてきた
開発プロジェクトがたくさんある
開発プロジェクトがたくさんあると... • プロジェクト毎に開発品質を担保をしてるが、セ キュリティの専門家が各プロジェクトにいるわけ じゃない • KAGとして一定以上のセキュリティ品質の担保を 保証したい • KAGのプロジェクトのほとんどはAWS上で行われ
るが、AWSの専門家が各プロジェクトにいるわけ じゃない
AWS Security Hub
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると...
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... AWS謹製のベストプラクティスやCIS ベンチーマーク、NISTなど様々な ルールがあり、その中から選択して 使用する
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... 選択したルールが適用されているか を12時間 or 24時間毎に自動で チェックする
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... ルールに反しているもの(アラート)を 1つのアカウントのダッシュボードに 集約してくれる
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... Organizationに所属しているアカウ ントはSecurity Hubを有効にするだ けで自動で集約される Org外のアカウントもInvitationと Acceptは必要だが集約可能
KAG内のSecurity Hub集約図
責任共有モデルとSecurity Hub
責任共有モデルとSecurity Hub AWS設定に関わる部分を 対象としている
Security Hubの画面
Security Hubの導入にあたって準備したこと • クロスアカウント設定の確立 • 共通コントロールの作成と全アカウントへの適用 方法確立 • 社員向けの説明資料作成
クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする
4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布
クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする
4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布
共通コントロールの作成と全アカウントへの適用方法確立 Org外のコントロール設定はAWS公式のサンプルソリューションである aws-security-hub-cross-account-controls-disabler を使う https://github.com/aws-samples/aws-security-hub-cross-account-controls-disabler
共通コントロールの作成と全アカウントへの適用方法確立
社員向けの説明資料作成
KAGが関わるアカウント全てに Security Hubを導入した話
KAGが関わるアカウント全てに Security Hubを導入した(い)話
ぶっちゃけまだ1プロジェクトしか 終わってないw
これから全プロジェクトへ展開して 5月までに導入完了の予定
導入後にやりたいこと • GuardDuty ◦ 悪意のあるアクティビティの検知/可視化 • Inspecter ◦ 脆弱性の検知/可視化 •
Amazon Detective ◦ セキュリティ調査プロセス効率化
まとめ • AWSのセキュリティ品質を一定以上に保つため、AWS Security Hubを導入するのがおすすめ • 導入に当たってはクロスアカウント設定はポリシー適用などい くつかの手順を踏む踏む必要がある • Security
Hub以外にもセキュリティに関わるサービスがあるの で、導入していきたい
wkm2
ufried
kakehashi
thatjeffsmith
mhrtech
oracle4engineer
mii3king
yamadashy
ewa
ewolff
su3158
jackojacko_
marketingsoph
aki_iinuma
jonoalderson
hannesfritz
palkan
seathinner
techseoconnect
davidcarrasco
tapps
apolaine
mfonobong
vanstee
