[レポート]【A-8】 AWS Security Hub findings を開発者自らが修復するための仕組みと考え方 - JAWS DAYS 2025 #jawsdays2025 #jawsug #jawsdays2025_a

[レポート]【A-8】 AWS Security Hub findings を開発者自らが修復するための仕組みと考え方 - JAWS DAYS 2025 #jawsdays2025 #jawsug #jawsdays2025_a

Folder Icon
JAWS DAYS 2025
#JAWS-UG
#AWS
臼田佳祐

臼田佳祐

facebook logohatena logotwitter logo
Clock Icon2025.03.01

こんにちは、臼田です。

みなさん、JAWS参加してますか?(挨拶

今回はJAWS DAYS 2025で行われた下記セッションのレポートです。

【A-8】 AWS Security Hub findings を開発者自らが修復するための仕組みと考え方

レポート

  • 去年のre:Inventで登壇した内容の日本語化したもの
  • セキュリティ大好きおじさん
  • 本題の前にカミナシにおけるAWS環境
    • 複数のプロダクトをAWS Control Towerで展開
  • セキュリティエンジニアの役割
    • セキュリティの対応責任は開発者にある
    • オーナーシップがある
    • セキュリティエンジニアはイネーブルメントを行う
  • ミッション
    • セキュリティ文化を構築すること
    • 具体的には
    • 開発者が呼吸するようにセキュリティを意識するようになること
    • セキュアな環境を構築しながらも俊敏性を保ち続けること
      • スタートアップなので速さが大切
    • 自浄作用があるということ(問題を放置し続けないということ)
      • いろんなビジネス要求の対応でセキュリティがおざなりになることがないようにする
  • Security HubでFindings対応でセキュアにする話というより、文化を作っていく話
  • Liverというシステムをつくった
    • レバー、つまり肝臓
      • 好きな人とそうじゃない人が分かれる
    • 構成
      • Auditに集約してLambdaで加工して担当者に連絡
      • Security toolingアカウントを別で用意している
      • Auditはクリーンに保っておきたいので分けている
    • コンセプト
      • アクショナブルであること
        • 何をしたらいいかわからない通知には価値はない
        • アクションを必要としない通知は可能な限り送らない
        • どう対応すべきかもセットで通知する
        • Terraformのコードも付けてあげる
        • 対応がいらない場合も証跡を残す
      • 対応責任者を明確にする
        • チームではなく個人に責任を持たせる
        • チームに通知すると同じ人や得意な人がやりがち
        • カミナシではフルスタックでインフラ開発なんでもやる
        • ナレッジシェアの意味でも個人に通知する
        • 直接対応しなくてもよく、協力しながら責任を持ってクローズする
      • リスクマネジメント
        • サービスの重要性に基づいて通知をする
        • 重要なサービスはMediumも対応するなど
        • 必要ないものはSecurity Hub Automationsで通知しないようにしている
        • ControlTower/aws-controltowerのリソースは対象外
        • 環境によってコントロールを変える
          • プロトタイプのアカウントがあり、捨てる前提なので対応コストを切り捨てている
  • 運用と結果
    • 開発者が受け入れられるシステムではないといけない
    • 対応すると判断して、対応していく
    • 対応しないと判断したら理由を記述し、許容するか判断される
      • 判断はセキュリティ側ではなくCTOが扱う
      • ビジネス判断を含むため
    • ちょっとしたインシデントが発生
      • Security Hubではサービスやシステムのコンテキストを理解していない
      • 空のS3を消したら、リダイレクトの設定が入っていたのでそれが動作しなくなった
      • 古いシステムはコンテキストがなくなっていて事故が起きやすい
      • Liverのようなシステムをできるだけ早く導入する必要がある
        • 「ような」としているのは、各社違うから
        • それぞれの会社の状態が異なる
        • 組織にあったものをやっていく必要がある
        • カミナシでは組織に対する種まきをたくさんしていた
        • 開発者が自発的に対応できるようにする
        • 開発者が対応していく口実を作るのがセキュリティエンジニアの仕事
    • 結果
      • クリティカルなリスクが1週間で17から0になった

感想

きちんとすべての開発者に責任を持たせて、主体的にセキュリティの対応を実施いただくことは大切ですね。

文化づくりも含めて頑張りまっしょい!

Share this article

facebook logohatena logotwitter logo

関連記事

[レポート] 【B-8】 JAWS DAYS 2025 「AIエージェント時代のエンジニアになろう: Agentic Workflows から環境に溶けこむ Ambient Agents まで基礎と実践を50分で身につける」 #jawsdays2025 #jawsug #jawsdays2025_b

[レポート] 【B-8】 JAWS DAYS 2025 「AIエージェント時代のエンジニアになろう: Agentic Workflows から環境に溶けこむ Ambient Agents まで基礎と実践を50分で身につける」 #jawsdays2025 #jawsug #jawsdays2025_b

User avatar
笠原宏
2025.03.01
[登壇レポート] Aurora PostgreSQLがCloudWatch Logsに出力するログの課金を削減してみる #jawsdays2025 #jawsug #jawsdays2025_c

[登壇レポート] Aurora PostgreSQLがCloudWatch Logsに出力するログの課金を削減してみる #jawsdays2025 #jawsug #jawsdays2025_c

User avatar
のんピ
2025.03.01
[レポート] 【B-7】 JAWS DAYS 2025 「JAWS-UG 討論会 新支部・リブート支部の運営に聞く!」 #jawsdays2025 #jawsug #jawsdays2025_b

[レポート] 【B-7】 JAWS DAYS 2025 「JAWS-UG 討論会 新支部・リブート支部の運営に聞く!」 #jawsdays2025 #jawsug #jawsdays2025_b

User avatar
笠原宏
2025.03.01
[レポート] 【C-1】 JAWS DAYS 2025 「JAWS FESTA 2024 「バスロケ」 GPS x サーバーレスの開発と運用の舞台裏」 #jawsdays2025 #jawsug #jawsdays2025_c #soracomug #soracom

[レポート] 【C-1】 JAWS DAYS 2025 「JAWS FESTA 2024 「バスロケ」 GPS x サーバーレスの開発と運用の舞台裏」 #jawsdays2025 #jawsug #jawsdays2025_c #soracomug #soracom

User avatar
笠原宏
2025.03.01
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.