Upgrade to Pro — share decks privately, control downloads, hide ads and more …

KAGが関わるアカウント全てにSecurity Hubを導入した(い)話

Avatar for wkm2 wkm2
April 15, 2024
Technology
0
200

KAGが関わるアカウント全てにSecurity Hubを導入した(い)話

JAWS-UG情シス支部 第30回 登壇資料

Avatar for wkm2

wkm2

April 15, 2024
Tweet

More Decks by wkm2

See All by wkm2
AWS CLIの新しい認証情報設定方法aws loginコマンドの実態
Avatar for wkm2 wkm2
7
1k
API叩くだけのLambdaを作るつもりがコンテナ on EC2になった話
Avatar for wkm2 wkm2
0
22
AWSネイティブなセキュリティを考える
Avatar for wkm2 wkm2
1
320
地方在住フルリモートワークエンジニアのリアル 〜ジモトで_活きる_エンジニアライフ〜
Avatar for wkm2 wkm2
1
740
Keynote以外のアップデートピックアップ!
Avatar for wkm2 wkm2
1
150
Bedrock素人がKnowledgeBaseでRAGを構築するまで
Avatar for wkm2 wkm2
2
440
EC2を再起動したいがためにNew Relicを使った話
Avatar for wkm2 wkm2
1
450
ネットワークサービスフル活用で実現するハイブリッド構成 〜コープさっぽろのネットワーク全体像〜
Avatar for wkm2 wkm2
2
2.1k
AWS SSO でログインを簡単に〜IAMユーザ管理をしたくない〜
Avatar for wkm2 wkm2
1
620

Other Decks in Technology

See All in Technology
AI開発の落とし穴 〜馬には乗ってみよAIには添うてみよ〜
Avatar for SansanTech sansantech
PRO
8
3.6k
Git Training GitHub
Avatar for Yuki Hattori yuhattor
1
270
Claude Codeベストプラクティスまとめ
Avatar for みのるん minorun365
43
24k
EventBridge API Destination × AgentCore Runtimeで実現するLambdaレスなイベント駆動エージェント
Avatar for Har1101 har1101
7
260
20260120 Amazon VPC のパブリックサブネットを無くしたい!
Avatar for Masaru Ogura masaruogura
2
160
Security Hub と出会ってから 1年半が過ぎました
Avatar for rch850 rch850
0
180
re:Inventで見つけた「運用を捨てる」技術。
Avatar for shinji ezaki ezaki
1
140
「AIでできますか?」から「Agentを作ってみました」へ ~「理論上わかる」と「やってみる」の隔たりを埋める方法
Avatar for Michiru Kato applism118
5
4k
DEVCON 14 Report at AAMSX RU65: V9968, MSX0tab5, MSXDIY etc
Avatar for Akira Tsukamoto mcd500
0
220
The Engineer with a Three-Year Cycle
Avatar for YAMADA Nobuko e99h2121
0
160
一番人に近いコードレビューア CodeRabbit
Avatar for kinopee kinopeee
0
110
いよいよ仕事を奪われそうな波が来たぜ
Avatar for kazzpapa3 kazzpapa3
2
230

Featured

See All Featured
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
666
130k
First, design no harm
Avatar for Per Axbom axbom
PRO
2
1.1k
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
110
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2k
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
170
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
0
1.8k
New Earth Scene 8
Avatar for Sydney Stone popppiees
1
1.4k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
8.6k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
Avatar for Takuto Wada twada
PRO
116
100k
A better future with KSS
Avatar for Kyle Neath kneath
240
18k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
9
1.1k
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.2k

Transcript

  1. KAGが関わるアカウント全てに Security Hubを導入した(い)話 JAWS-UG情シス支部 第30回 KDDIアジャイル開発センター 若松剛志

  2. Who am I ? 若松 剛志 AWS チョットデキル エンジニア 秋田出身、札幌在住

    @t_wkm2

  3. Who am I ? ぽんず 生後6ヶ月 北海道足寄町生まれ 趣味:新築の家を破壊すること

  4. KAGが関わるアカウント全てに Security Hubを導入した話

  5. KAG= KDDIアジャイル開発センター

  6. KAGはアジャイル開発にこだわる開発会社 • KDDIの部署として10年の実績 • 2022年にKDDIの子会社として独立した • KDDIグループの開発プロジェクトに加え、 外部から受注するプロジェクトも増えてきた

  7. 開発プロジェクトがたくさんある

  8. 開発プロジェクトがたくさんあると... • プロジェクト毎に開発品質を担保をしてるが、セ キュリティの専門家が各プロジェクトにいるわけ じゃない • KAGとして一定以上のセキュリティ品質の担保を 保証したい • KAGのプロジェクトのほとんどはAWS上で行われ

    るが、AWSの専門家が各プロジェクトにいるわけ じゃない

  9. AWS Security Hub

  10. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると...

  11. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... AWS謹製のベストプラクティスやCIS ベンチーマーク、NISTなど様々な ルールがあり、その中から選択して 使用する

  12. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... 選択したルールが適用されているか を12時間 or 24時間毎に自動で チェックする

  13. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... ルールに反しているもの(アラート)を 1つのアカウントのダッシュボードに 集約してくれる

  14. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典:https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... Organizationに所属しているアカウ ントはSecurity Hubを有効にするだ けで自動で集約される Org外のアカウントもInvitationと Acceptは必要だが集約可能

  15. KAG内のSecurity Hub集約図

  16. 責任共有モデルとSecurity Hub

  17. 責任共有モデルとSecurity Hub AWS設定に関わる部分を 対象としている

  18. Security Hubの画面

  19. Security Hubの導入にあたって準備したこと • クロスアカウント設定の確立 • 共通コントロールの作成と全アカウントへの適用 方法確立 • 社員向けの説明資料作成

  20. クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする

    4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布

  21. クロスアカウント設定の確立 Org外のアカウントはひと手間必要になる 1. 対象アカウント:Security Hubを有効化 2. 管理アカウント:対象アカウントにInvitationを 送る 3. 対象アカウント:InvitationをAcceptする

    4. 対象アカウント:コントロール設定用IAMロール 作成 5. 管理アカウント:コントロール定義配布

  22. 共通コントロールの作成と全アカウントへの適用方法確立 Org外のコントロール設定はAWS公式のサンプルソリューションである aws-security-hub-cross-account-controls-disabler を使う https://github.com/aws-samples/aws-security-hub-cross-account-controls-disabler

  23. 共通コントロールの作成と全アカウントへの適用方法確立

  24. 社員向けの説明資料作成

  25. KAGが関わるアカウント全てに Security Hubを導入した話

  26. KAGが関わるアカウント全てに Security Hubを導入した(い)話

  27. ぶっちゃけまだ1プロジェクトしか 終わってないw

  28. これから全プロジェクトへ展開して 5月までに導入完了の予定

  29. 導入後にやりたいこと • GuardDuty ◦ 悪意のあるアクティビティの検知/可視化 • Inspecter ◦ 脆弱性の検知/可視化 •

    Amazon Detective ◦ セキュリティ調査プロセス効率化

  30. まとめ • AWSのセキュリティ品質を一定以上に保つため、AWS Security Hubを導入するのがおすすめ • 導入に当たってはクロスアカウント設定はポリシー適用などい くつかの手順を踏む踏む必要がある • Security

    Hub以外にもセキュリティに関わるサービスがあるの で、導入していきたい