KAGが関わるアカウント全てにSecurity Hubを導入した(い)話

Transcript

1. KAGが関わるアカウント全てに Security Hubを導入した(い)話 JAWS-UG情シス支部 第30回 KDDIアジャイル開発センター 若松剛志

2. Who am I ? 若松 剛志 AWS ﾁｮｯﾄﾃﾞｷﾙ エンジニア 秋田出身、札幌在住

   @t_wkm2

3. Who am I ? ぽんず 生後6ヶ月 北海道足寄町生まれ 趣味：新築の家を破壊すること

4. KAGが関わるアカウント全てに Security Hubを導入した話

5. KAG＝ KDDIアジャイル開発センター

6. KAGはアジャイル開発にこだわる開発会社 • KDDIの部署として10年の実績 • 2022年にKDDIの子会社として独立した • KDDIグループの開発プロジェクトに加え、 外部から受注するプロジェクトも増えてきた

7. 開発プロジェクトがたくさんある

8. 開発プロジェクトがたくさんあると... • プロジェクト毎に開発品質を担保をしてるが、セ キュリティの専門家が各プロジェクトにいるわけ じゃない • KAGとして一定以上のセキュリティ品質の担保を 保証したい • KAGのプロジェクトのほとんどはAWS上で行われ

   るが、AWSの専門家が各プロジェクトにいるわけ じゃない

9. AWS Security Hub

10. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典：https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると...

11. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典：https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... AWS謹製のベストプラクティスやCIS ベンチーマーク、NISTなど様々な ルールがあり、その中から選択して 使用する

12. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典：https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... 選択したルールが適用されているか を12時間 or 24時間毎に自動で チェックする

13. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典：https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... ルールに反しているもの（アラート）を 1つのアカウントのダッシュボードに 集約してくれる

14. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典：https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... Organizationに所属しているアカウ ントはSecurity Hubを有効にするだ けで自動で集約される Org外のアカウントもInvitationと Acceptは必要だが集約可能

15. KAG内のSecurity Hub集約図

16. 責任共有モデルとSecurity Hub

17. 責任共有モデルとSecurity Hub AWS設定に関わる部分を 対象としている

18. Security Hubの画面

19. Security Hubの導入にあたって準備したこと • クロスアカウント設定の確立 • 共通コントロールの作成と全アカウントへの適用 方法確立 • 社員向けの説明資料作成

20. クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント：Security Hubを有効化 2. 管理アカウント：対象アカウントにInvitationを 送る 3. 対象アカウント：InvitationをAcceptする

    4. 対象アカウント：コントロール設定用IAMロール 作成 5. 管理アカウント：コントロール定義配布

21. クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント：Security Hubを有効化 2. 管理アカウント：対象アカウントにInvitationを 送る 3. 対象アカウント：InvitationをAcceptする

    4. 対象アカウント：コントロール設定用IAMロール 作成 5. 管理アカウント：コントロール定義配布

22. 共通コントロールの作成と全アカウントへの適用方法確立 Org外のコントロール設定はAWS公式のサンプルソリューションである aws-security-hub-cross-account-controls-disabler を使う https://github.com/aws-samples/aws-security-hub-cross-account-controls-disabler

23. 共通コントロールの作成と全アカウントへの適用方法確立

24. 社員向けの説明資料作成

25. KAGが関わるアカウント全てに Security Hubを導入した話

26. KAGが関わるアカウント全てに Security Hubを導入した(い)話

27. ぶっちゃけまだ1プロジェクトしか 終わってないｗ

28. これから全プロジェクトへ展開して 5月までに導入完了の予定

29. 導入後にやりたいこと • GuardDuty ◦ 悪意のあるアクティビティの検知/可視化 • Inspecter ◦ 脆弱性の検知/可視化 •

    Amazon Detective ◦ セキュリティ調査プロセス効率化

30. まとめ • AWSのセキュリティ品質を一定以上に保つため、AWS Security Hubを導入するのがおすすめ • 導入に当たってはクロスアカウント設定はポリシー適用などい くつかの手順を踏む踏む必要がある • Security

    Hub以外にもセキュリティに関わるサービスがあるの で、導入していきたい