[レポート]【C-4】 AWSアカウントのセキュリティ自動化、どこまで進める？最適な設計と実践ポイント - JAWS DAYS 2025 #jawsdays2025 #jawsug #jawsdays2025_c

こんにちは、臼田です。

みなさん、JAWS参加してますか？(挨拶

今回はJAWS DAYS 2025で行われた下記セッションのレポートです。

【C-4】AWSアカウントのセキュリティ自動化、どこまで進める？最適な設計と実践ポイント

レポート

• セキュリティ・ガバナンスの課題
  • あるべき姿
    • GuardDutyなどで脅威を検出する
    • 検出内容から調査や修正を行う
    • 組織やOU単位で分析して
    • 改善していく
      • ガイドラインを改定したり
      • ベストプラクティスを周知する
• 自動化する理由
  • すべて人でやるのは大変
  • 自動化しよう
• FW系リソースの自動更新
  • AWSサービスのみで完全自動化
  • WAFのログをS3に出してStepFunctionsで更新
    • 人の手が加わること無くIPSetsを更新できる
    • 予期せぬ追加には注意
  • チャットツール起点での自動化
    • Slackワークフローを活用する
    • 運用担当者が依頼して責任者が承認する
    • タスク依頼時に直感的な操作を可能とするフォームが必要
    • 承認できるユーザーを限定する等も必要
    • 誤って承認ボタンを押す場合も考えられるので注意
  • AWSサービスのみの自動化
    • 担当者がIPアドレスのリストを上げて更新する
    • 誤って処理されるリスクは少ない
    • チャットが利用できなくても使える
  • 自動更新したい場合にはFirewall Managerを活用するとよい
    • タグを用いた管理で柔軟性を確保しつつ統制を強化できる
• GuardDuty Malware Protection for S3を最大限活用するための自動化
  • 機能概要
    • S3にアップロードされたファイルをスキャンしてマルウェアを検出してくれる
    • 指定できるパスは最大5個まで
    • ワイルドカードでのパスパターンの指定はできない
    • 隔離・削除は直接できない
    • Security Hubの検出結果を集約できない
  • 隔離
    • 検出したらLambdaで削除したり隔離したりする
    • batch_import?findingsで検出結果のインポートをする
• Configを活用した自動修復機能
  • Configで非準拠リソースをLambdaで自動修復する
  • 例えばSecurity Groupで0.0.0.0/0の公開を削除
  • すべての非準拠を修復するとインシデントにつながる
  • タグがある場合に削除しないカスタマイズをする
  • Security HubのAWSリソースタグ付け標準を活用してタグが設定されていないリソースをチェック
  • Configはリソースを記録するたびに料金が発生する
  • 記録方式は要件により使い分ける
  • とにかく堅牢な環境を作成する場合は継続的な記録を使う
  • コストが増加しにくい環境を作成する場合には日次記録を採用する
  • マルチアカウントでやる場合で、ハイブリッドも考慮する
    • 料金が高いものだけ個別に日次記録にオーバーライドする
  • 意図しない利用料金の増加に気づくためにBudgetsやCost Explorerで確認する
  • ガバナンスを強化するにはコストがかかる
  • バランスを見ていく
• 自動化のポイント
  • クリティカルな作業は自動化しすぎない
    • まずは小さいところから
  • ガバナンス強化における自動化はセキュリティ対応とコストのバランス調整が重要

感想

セキュリティの自動化は嬉しい事がいっぱいありますね。

頑張ってやっていきまっしょい！