Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
KAGが関わるアカウント全てにSecurity Hubを導入した(い)話
Search
wkm2
April 15, 2024
Technology
0
210
KAGが関わるアカウント全てにSecurity Hubを導入した(い)話
JAWS-UG情シス支部 第30回 登壇資料
wkm2
April 15, 2024
Tweet
Share
More Decks by wkm2
See All by wkm2
札幌にいながら全国案件!?_アジャイル開発で実現する場所を選ばない働き方
wkm2
0
92
生成AI素人でも玄人でもない私がセイセイAIチョットワカルために勉強したこと
wkm2
2
330
AWS CLIの新しい認証情報設定方法aws loginコマンドの実態
wkm2
7
1.2k
API叩くだけのLambdaを作るつもりがコンテナ on EC2になった話
wkm2
0
33
AWSネイティブなセキュリティを考える
wkm2
1
340
地方在住フルリモートワークエンジニアのリアル 〜ジモトで_活きる_エンジニアライフ〜
wkm2
1
760
Keynote以外のアップデートピックアップ!
wkm2
1
170
Bedrock素人がKnowledgeBaseでRAGを構築するまで
wkm2
2
460
EC2を再起動したいがためにNew Relicを使った話
wkm2
1
470
Other Decks in Technology
See All in Technology
Lookerの最新バージョンv26.2がやばい話
waiwai2111
1
150
白金鉱業Meetup_Vol.22_Orbital Senseを支える衛星画像のマルチモーダルエンベディングと地理空間のあいまい検索技術
brainpadpr
1
140
クラウド時代における一時権限取得
krrrr38
1
150
新職業『オーケストレーター』誕生 — エージェント10体を同時に回すAgentOps
gunta
3
800
管理者向けGitHub Enterpriseの運用Tips紹介: 人にもAIにも優しいプラットフォームづくり
yuriemori
0
110
Agentic Codingの実践とチームで導入するための工夫
lycorptech_jp
PRO
0
400
Master Dataグループ紹介資料
sansan33
PRO
1
4.4k
Kaggleの経験が実務にどう活きているか / kaggle_findy
sansan_randd
3
490
Oracle Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
5
1.1k
20260305_【白金鉱業】分析者が地理情報を武器にするための軽量なアドホック分析環境
yucho147
0
120
AIに視覚を与えモバイルアプリケーション開発をより円滑に行う
lycorptech_jp
PRO
1
780
研究開発部メンバーの働き⽅ / Sansan R&D Profile
sansan33
PRO
4
22k
Featured
See All Featured
How to make the Groovebox
asonas
2
2k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.7k
The agentic SEO stack - context over prompts
schlessera
0
680
Utilizing Notion as your number one productivity tool
mfonobong
4
240
Docker and Python
trallard
47
3.8k
Google's AI Overviews - The New Search
badams
0
930
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
63
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
17k
The untapped power of vector embeddings
frankvandijk
2
1.6k
We Are The Robots
honzajavorek
0
190
Statistics for Hackers
jakevdp
799
230k
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.1k
Transcript
KAGが関わるアカウント全てに Security Hubを導入した(い)話 JAWS-UG情シス支部 第30回 KDDIアジャイル開発センター 若松剛志
Who am I ? 若松 剛志 AWS チョットデキル エンジニア 秋田出身、札幌在住
@t_wkm2
Who am I ? ぽんず 生後6ヶ月 北海道足寄町生まれ 趣味:新築の家を破壊すること
KAGが関わるアカウント全てに Security Hubを導入した話
KAG= KDDIアジャイル開発センター
KAGはアジャイル開発にこだわる開発会社 • KDDIの部署として10年の実績 • 2022年にKDDIの子会社として独立した • KDDIグループの開発プロジェクトに加え、 外部から受注するプロジェクトも増えてきた
開発プロジェクトがたくさんある
開発プロジェクトがたくさんあると... • プロジェクト毎に開発品質を担保をしてるが、セ キュリティの専門家が各プロジェクトにいるわけ じゃない • KAGとして一定以上のセキュリティ品質の担保を 保証したい • KAGのプロジェクトのほとんどはAWS上で行われ
るが、AWSの専門家が各プロジェクトにいるわけ じゃない
AWS Security Hub
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると...
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... AWS謹製のベストプラクティスやCIS ベンチーマーク、NISTなど様々な ルールがあり、その中から選択して 使用する
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... 選択したルールが適用されているか を12時間 or 24時間毎に自動で チェックする
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... ルールに反しているもの(アラート)を 1つのアカウントのダッシュボードに 集約してくれる
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS
Security Hubとは AWSによると... Organizationに所属しているアカウ ントはSecurity Hubを有効にするだ けで自動で集約される Org外のアカウントもInvitationと Acceptは必要だが集約可能
KAG内のSecurity Hub集約図
責任共有モデルとSecurity Hub
責任共有モデルとSecurity Hub AWS設定に関わる部分を 対象としている
Security Hubの画面
Security Hubの導入にあたって準備したこと • クロスアカウント設定の確立 • 共通コントロールの作成と全アカウントへの適用 方法確立 • 社員向けの説明資料作成
クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする
4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布
クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする
4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布
共通コントロールの作成と全アカウントへの適用方法確立 Org外のコントロール設定はAWS公式のサンプルソリューションである aws-security-hub-cross-account-controls-disabler を使う https://github.com/aws-samples/aws-security-hub-cross-account-controls-disabler
共通コントロールの作成と全アカウントへの適用方法確立
社員向けの説明資料作成
KAGが関わるアカウント全てに Security Hubを導入した話
KAGが関わるアカウント全てに Security Hubを導入した(い)話
ぶっちゃけまだ1プロジェクトしか 終わってないw
これから全プロジェクトへ展開して 5月までに導入完了の予定
導入後にやりたいこと • GuardDuty ◦ 悪意のあるアクティビティの検知/可視化 • Inspecter ◦ 脆弱性の検知/可視化 •
Amazon Detective ◦ セキュリティ調査プロセス効率化
まとめ • AWSのセキュリティ品質を一定以上に保つため、AWS Security Hubを導入するのがおすすめ • 導入に当たってはクロスアカウント設定はポリシー適用などい くつかの手順を踏む踏む必要がある • Security
Hub以外にもセキュリティに関わるサービスがあるの で、導入していきたい
wkm2
waiwai2111
brainpadpr
krrrr38
gunta
yuriemori
lycorptech_jp
sansan33
sansan_randd
oracle4engineer
yucho147
asonas
bcantrill
schlessera
mfonobong
trallard
badams
akademiya2063
afnizarnur
frankvandijk
honzajavorek
jakevdp
inesmontani
