JAWS-UG朝会 #63
セッション
セッション① ”とにかくやってみる"で始めるAWS Security Hub
株式会社Fusic 宮崎真衣さん
- Security Hubの概要
- 設定すると
設定は先にしても対応するまで通知は一旦止めるというやりかともあるということ。
そうなのよね、Configは結構高いし本番が始まってから対応したほうがコスパ的にはいいですね。
Security Hubは、コンソールで設定なら簡単に導入できそうです。
セッション② ガードレールの有用性とリスク対策
NRIネットコム株式会社 大林優斗さん
- AWSで起きるインシデント
- アクセスキー漏洩、S3バケットパブリック公開
- EC2を大量に利用されてしまう
- アクセスキー漏洩、S3バケットパブリック公開
- ガードレール
- 予防的ガードレール
- 特定のIAMロール以外はIAMリソースの作成を禁止
- 発見的ガードレール
- GuardDuty S3 Protection:不審なIPからのアクセスを検知(ブラックリスト形式)
- 予防的ガードレール
- 検知結果を分析して改善アクションを実施するのが大事
- 自動化のリスク
- 「GuardDutyで不正と検知されたIPを自動で脅威リストに追加する」などすると意図しないIPが入ることもありインシデントへつながる可能性もある
- 小さく自動化を進めてリスク回避
- 「GuardDutyで不正と検知されたIPを自動で脅威リストに追加する」などすると意図しないIPが入ることもありインシデントへつながる可能性もある
- 小さく自動化
- Security Hubオートメーションルールを活用
- 大量課金が発生するリスク
- Configの設定が継続的になっているとコストがかさむ
- 日時記録にしてコストを抑えることもできるが発見が遅れるリスクもある
- Configの設定が継続的になっているとコストがかさむ
- 自動化のリスク
- セキュリティとコストのバランスを考える
1つ目のセッションの続きのような内容でした。
セキュリティとコストのバランスは本当に大事。
あと、設定のバランスもよくしないと、結局検知しても運用で改善できないし、コストだけ増えてしまうので、できる範囲から始めるのがいいですね。
LT① IaC素人がIaC ジェネレーターに触れてみた
パナソニック オートモーティブシステムズ株式会社 山口 侑真さん
- IaCジェネレーターを使うきっかけ
- 今稼働している環境と同じ環境を作る指示がきた
- IaCジェネレーターを使えば簡単にできるんでは?
- 今稼働している環境と同じ環境を作る指示がきた
- IaCジェネレーター
- 対象AWSをスキャンしてコード化したいリソースを選択してコードを生成するだけとはいえ...
- アカウントのリソース全部出てくるのでリソースの選択が大変
- 特定の環境に絞って少ないリソースから始めた
- パラメータが多くなる
- パラメータの汎用化やめて少なくした
- 設定項目が多い
- AWS公式ドキュメント見て減らした
- アカウントのリソース全部出てくるのでリソースの選択が大変
- 対象AWSをスキャンしてコード化したいリソースを選択してコードを生成するだけとはいえ...
IaC始める切っ掛けにはIaCジェネレーターはいいかも。
専用の環境を準備して試さないと、リソースが死ぬほどでるので注意ですね。
LT② Generative AI Use Cases JPのユースケースの活用
AI/ML支部 深江 健士さん
- GenU使えばすぐに活用できるユースケースがたくさんある
- チャット、文書生成、要約、校正、Webコンテンツ抽出(サイトの要約)、画像生成、映像分析
- Bedrockをユースケースに応じた使い方をすぐに試すことができる!
手軽に試せるのがGenUのいいところですね。
昔はKendraとかも入ってて、料金に注意だったんですが、今はどういう構成になってるかまたコード見てみないと。
LT③ オンプレシステムの導入作業で感じたAWSの羨ましいところ
石田祥馬さん
- オンプレはインフラの基礎を学べるのでキャリアとしてはいい経験
- オンプレ独自に必要な作業
- 物理設計と機器選定がいる
- 現行踏襲が多くて意外と選ぶことができない
- DRで物理機器が増えていく
- 現地調査と物理筐体の調達
- 場所だけじゃなくて電源容量とかも必要
- 筐体設置、ネットワークテスト
- LANケーブルにタグ貼ったり配線したり
- 物理設計と機器選定がいる
