🐡

Security Hubのチェック項目に従って1つ1つAWSリソースを確認していった話

2021/12/13に公開

社内のAWS勉強の目的で、自動でやってくれるSecurity-Hubのセキュリティチェックを手動で行いました。

Security-Hubについて
https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

今回使用したチェック項目の一覧https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html

結論、やってよかったです。

以下、やり方と気づきを書いていきます。

対象者:
AWSを使う人全員(幣チームでは勉強中だけどまだ触っていない人から経験2年ほどの人が参加しました)

やり方:
1.毎日30分AWS勉強会の時間を確保

  • 日によって来れない人は来なくてよい

2.当日参加した人に、チェック項目を1人1つ割り振る

  • 幣チームでは優先度ミディアム以上を対象にした
  • AWS経験の長い人が項目の重要度や内容の難易度によって誰に割り振るかを決めた

3.各自10~15分程度、担当の項目を調べる

  • 調べた結果は共有のWikiに記載
  • 現状がどうなっているか、どういうアクションが必要かを記載

4.各自数分以内に内容を発表。

  • 発表を聞いたメンバーで何か補足説明できる人がいたら補足する
  • 改善のアクションもメンバーで議論する(時間がないので長くなりすぎないように)

以上の1日30分の勉強会を3~5人のメンバーで毎日回しました。

約1か月かけて全項目をチェックし、緊急の対応を行ったり今後のアクションプランとして残しました。

気付き:
基礎的なAWSのセキュリティベストプラクティスがまとまっているので勉強になります。
セキュリティは何より大事なので、全員が知っておくべき知識です。
AWS初心者は普段触らないリソースを調べるきっかけになります。
デフォルト設定ではセキュリティとしては甘い設定が数多くあることを知りました。
暗号化や権限設定は常識的な内容なので、普段から気をつけなければと思いました。

以上、こんな勉強会をやったよ、というお話でした。
次の勉強会はWell-Architected toolを使ってWell-Architected Frameworkについて学んでいきます。

Discussion