Upgrade to Pro — share decks privately, control downloads, hide ads and more …

KAGが関わるアカウント全てにSecurity Hubを導入した(い)話

Avatar for wkm2 wkm2
April 15, 2024
Technology
0
160

KAGが関わるアカウント全てにSecurity Hubを導入した(い)話

JAWS-UG情シス支部 第30回 登壇資料

Avatar for wkm2

wkm2

April 15, 2024
Tweet

More Decks by wkm2

See All by wkm2
AWSネイティブなセキュリティを考える
Avatar for wkm2 wkm2
1
290
地方在住フルリモートワークエンジニアのリアル 〜ジモトで_活きる_エンジニアライフ〜
Avatar for wkm2 wkm2
1
660
Keynote以外のアップデートピックアップ!
Avatar for wkm2 wkm2
1
120
Bedrock素人がKnowledgeBaseでRAGを構築するまで
Avatar for wkm2 wkm2
2
410
EC2を再起動したいがためにNew Relicを使った話
Avatar for wkm2 wkm2
1
420
ネットワークサービスフル活用で実現するハイブリッド構成 〜コープさっぽろのネットワーク全体像〜
Avatar for wkm2 wkm2
2
1.9k
AWS SSO でログインを簡単に〜IAMユーザ管理をしたくない〜
Avatar for wkm2 wkm2
1
590
固定IPでLambdaにHTTPリクエストを投げる経路を試してみた
Avatar for wkm2 wkm2
1
860
AWS SSOとGoogle Idpのおいしい関係 ~ QuickSightに楽してログインしたい ~
Avatar for wkm2 wkm2
0
1.4k

Other Decks in Technology

See All in Technology
Browser
Avatar for Recruit recruitengineers
PRO
3
320
夢の印税生活 / Life on Royalties
Avatar for とみたまさひろ tmtms
0
280
ZOZOTOWNフロントエンドにおけるディレクトリの分割戦略
Avatar for ZOZO Developers zozotech
PRO
17
5.3k
Claude Code x Androidアプリ 開発
Avatar for Shinnosuke Kugimiya kgmyshin
1
580
EKS Pod Identity における推移的な session tags
Avatar for z63d z63d
1
200
Gaze-LLE: Gaze Target Estimation via Large-Scale Learned Encoders
Avatar for Kazuyuki Miyazawa kzykmyzw
0
320
Go で言うところのアレは TypeScript で言うとコレ / Kyoto.なんか #7
Avatar for Susisu susisu
6
1.8k
広島銀行におけるAWS活用の取り組みについて
Avatar for Masaki Mori[JAWS-UG広島] masakimori
0
130
ソフトウェア エンジニアとしての 姿勢と心構え
Avatar for Recruit recruitengineers
PRO
3
720
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
8.6k
イオン店舗一覧ページのパフォーマンスチューニング事例 / Performance tuning example for AEON store list page
Avatar for AEON aeonpeople
2
280
Preferred Networks (PFN) とLLM Post-Training チームの紹介 / 第4回 関東Kaggler会 スポンサーセッション
Avatar for Preferred Networks pfn
PRO
1
190

Featured

See All Featured
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
134
9.5k
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k
Side Projects
Avatar for Sacha Greif sachag
455
43k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
28
4k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
190
11k
Faster Mobile Websites
Avatar for Dean Hume deanohume
309
31k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
25
1.8k
Code Review Best Practice
Avatar for Trisha Gee trishagee
70
19k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
367
19k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
71
11k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3.1k
It's Worth the Effort
Avatar for 3n 3n
187
28k

Transcript

  1. KAGが関わるアカウント全てに Security Hubを導入した(い)話 JAWS-UG情シス支部 第30回 KDDIアジャイル開発センター 若松剛志

  2. Who am I ? 若松 剛志 AWS チョットデキル エンジニア 秋田出身、札幌在住

    @t_wkm2

  3. Who am I ? ぽんず 生後6ヶ月 北海道足寄町生まれ 趣味:新築の家を破壊すること

  4. KAGが関わるアカウント全てに Security Hubを導入した話

  5. KAG= KDDIアジャイル開発センター

  6. KAGはアジャイル開発にこだわる開発会社 • KDDIの部署として10年の実績 • 2022年にKDDIの子会社として独立した • KDDIグループの開発プロジェクトに加え、 外部から受注するプロジェクトも増えてきた

  7. 開発プロジェクトがたくさんある

  8. 開発プロジェクトがたくさんあると... • プロジェクト毎に開発品質を担保をしてるが、セ キュリティの専門家が各プロジェクトにいるわけ じゃない • KAGとして一定以上のセキュリティ品質の担保を 保証したい • KAGのプロジェクトのほとんどはAWS上で行われ

    るが、AWSの専門家が各プロジェクトにいるわけ じゃない

  9. AWS Security Hub

  10. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると...

  11. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... AWS謹製のベストプラクティスやCIS ベンチーマーク、NISTなど様々な ルールがあり、その中から選択して 使用する

  12. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... 選択したルールが適用されているか を12時間 or 24時間毎に自動で チェックする

  13. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... ルールに反しているもの(アラート)を 1つのアカウントのダッシュボードに 集約してくれる

  14. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... Organizationに所属しているアカウ ントはSecurity Hubを有効にするだ けで自動で集約される Org外のアカウントもInvitationと Acceptは必要だが集約可能

  15. KAG内のSecurity Hub集約図

  16. 責任共有モデルとSecurity Hub

  17. 責任共有モデルとSecurity Hub AWS設定に関わる部分を 対象としている

  18. Security Hubの画面

  19. Security Hubの導入にあたって準備したこと • クロスアカウント設定の確立 • 共通コントロールの作成と全アカウントへの適用 方法確立 • 社員向けの説明資料作成

  20. クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする

    4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布

  21. クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする

    4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布

  22. 共通コントロールの作成と全アカウントへの適用方法確立 Org外のコントロール設定はAWS公式のサンプルソリューションである aws-security-hub-cross-account-controls-disabler を使う https://github.com/aws-samples/aws-security-hub-cross-account-controls-disabler

  23. 共通コントロールの作成と全アカウントへの適用方法確立

  24. 社員向けの説明資料作成

  25. KAGが関わるアカウント全てに Security Hubを導入した話

  26. KAGが関わるアカウント全てに Security Hubを導入した(い)話

  27. ぶっちゃけまだ1プロジェクトしか 終わってないw

  28. これから全プロジェクトへ展開して 5月までに導入完了の予定

  29. 導入後にやりたいこと • GuardDuty ◦ 悪意のあるアクティビティの検知/可視化 • Inspecter ◦ 脆弱性の検知/可視化 •

    Amazon Detective ◦ セキュリティ調査プロセス効率化

  30. まとめ • AWSのセキュリティ品質を一定以上に保つため、AWS Security Hubを導入するのがおすすめ • 導入に当たってはクロスアカウント設定はポリシー適用などい くつかの手順を踏む踏む必要がある • Security

    Hub以外にもセキュリティに関わるサービスがあるの で、導入していきたい