導入事例_継続的セキュリティチェック成功体験 #cmdevio2019sec

今回自社主催のイベントであるDevelopers.IO 2019 Securityにて「AWSのセキュリティ設定がどうなっているか抜け漏れなくちゃんと確認する方法 2019 SPRING」のパートで話をしましたので資料を共有します。
2019.04.26

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、吉井です。
いかがお過ごしでしょうか。

今回自社主催のイベントであるDevelopers.IO 2019 Securityにて
「AWSのセキュリティ設定がどうなっているか抜け漏れなくちゃんと確認する方法 2019 SPRING」
のパートで話をしましたので資料を共有します。

【4/25(木)東京】Developers.IO 2019 Securityを開催します #cmdevio2019sec

資料

サマリ

継続的にセキュリティチェックを行い、自社のセキュリティを正しく運用維持していくための秘訣は以下だと考えています。

  • セキュリティ対策をする担当者の強い気持ち
  • セキュリティチェックを行う前提の運用設計
  • 継続的なチェックができる文化や習慣作り
  • チェックに異常を発見しても事故ではない

補足

資料内で「”注意”or”重要”とマークされたとしても、事故ではない、犯人探ししない」旨の記述があります。
犯人探しをしない、という表現が誤解を与えてしまうかもしれません。
ここで言っている「犯人探し」とは「悪者にしない」という意味だと思ってください。

原因解明は必要ですので、CloudTrail、AWS Config、その他ツールなどで
誰が何をしたのかは把握しておくことは大切です。