投稿日: 2023/10/06
はじめに
こんにちは、園田です。
本記事は、「ユースカジノ 登録方法2;」の続きとなります。
第1回目を見ていないという方はこちらを参照ください。
「ユースカジノ 登録方法2;」では、Security Hubでどんな内容が検知できるかの概要説明。また検知したものから重要度の高いものを通知する方法、検知内容の分類を実施しました。
本ページでは実際にどんなユースカジノ 登録方法するのという所を見ていきましょう。
ユースカジノ 登録方法での例外対応
「ユースカジノ 登録方法①」にて、Security Hubが検知する内容について分類を実施しました。その中で、「例外的に許可する」というのものが発生します。
具体的には、特定のパターンAの「ユースカジノ 登録方法グループXXXではXXXポートをグローバルに公開したい」、パターンCの「XXXのサーバは踏み台サーバであるため、グローバルIPを付与したい」などがそれに該当します。
また、ユースカジノ 登録方法Bの中にはSCPにて操作を禁止できるものも存在します。
その場合、特別なユースカジノ 登録方法は特定の管理者のみが実施するため、そもそも「検知自体が不要」というケースも考えられます。
SCPでの操作の禁止については以下を参照ください。
ユースカジノ 出金 銀行でマルチアカウント管理を考えるユースカジノ 出金 銀行2;)
ユースカジノ バースデーボーナス 使い方でマルチアカウント管理を考えるユースカジノ
上記のような要望に対応するため、ユースカジノ 登録方法では以下の2つが実施できるようになっています。
無効化
対象となっているチェックを無効化します。
無効化を実施することで、その対象のチェックについては実施されなくなります。
無効化についてはあらかじめ設定することが可能です。
抑制済み
特定のアラートのみ「抑制済み」のステータスとし、今後同じインスタンスに対してのユースカジノ 登録方法ないようにします。
具体的には、例外ユースカジノ 登録方法として「セキュリティグループAに対してはRDPポートをグローバルから許可する必要がある」となった場合、セキュリティグループAに対してのアラートのみ「抑制済み」のステータスとすることで今後セキュリティグループAに関してのアラートが出力されなくなります。
ただし、抑制対象がユースカジノ 登録方法となっているため、セキュリティグループBに対しグローバルからRDPを開放した場合、アラートが出力されます。
注意点としては、事前に抑制をすることが出来ず、SecurityHubで出力されたアラートに対して実施する必要があります。(1度はユースカジノ 登録方法る)
無効化の対象と手順
無効化の対象は、SCPにて制限をしているもの、および「ユースカジノ 登録方法E」のものとなります。ユースカジノ 登録方法Eとしては、「ハードウェア MFA はルートユーザーに対して有効にする必要があります」、「AWS KMS キーを意図せずに削除しないでください」などが該当するかと思います。(KMSキーについてはSCPにて制限し、特定の管理者のみ削除可能にしてしまってもよいかもしれません。)
ネットワークにつながっていないという理由から耐タンパー性が高くより、セキュアなのはどっちと聞かれれば「ハードウェアMFA」となりますが、そもそもハードウェアMFAは以下の理由からユースカジノ 登録方法に大変です。
- そもそも購入が難しい(AWSの場合、USのAmazonから購入が必要)
- 1台1アカウントになるため、ハードウェアMFAの台数が多くなり管理が大変
(100アカウント存在する場合、100個のMFAが必要となります) - 時刻同期が必要
(時刻がずれると認証できないので、時刻同期というオペレーションが発生) - 2年ぐらいで電池が無くなるので、リプレイスが必要
ぶっちゃけ、上記の理由からハードウェアMFAについてはユースカジノ 登録方法したくありません。
というわけでユースカジノ 登録方法検知対象から無効化しましょう。
無効化の画面
上記のように無効化したいコントロール(画像の場合は「ハードウェア MFA はルートユーザーに対して有効にする必要があります」)をクリック。その後の画面で、「コントールの無効化」をクリックことで無効化が実施できます。
抑制済みの対象と手順
「抑制済み」とするものは、ユースカジノ 登録方法A、ユースカジノ 登録方法Cのものとなります。
こちらについては事前に申請をもらって対象外のユースカジノ 登録方法とする。申請をもらっていない場合は、誤って設定した可能性があるため、パターンA「早急に復旧対応を実施する必要があるもの」については、アラート検知時管理者にて対応を実施する必要があると考えます。(セキュリティグループに申請が上がっていないポートがグローバルから許可されていた場合、対象の行を削除する。)
パターンCは利用者に確認して、利用者にて設定を修正する、もしくは例外申請をあげてもらうというユースカジノ 登録方法になるかと思います。
「抑制済み」の手順は以下の通りです。
ユースカジノ 登録方法が上がった「コントロール」のタイトルをクリック
抑制対象にチェックを入れ、「ワークフローステータス」を「抑制済み」にすることで抑制が可能です。
なお、実際には抑制してよい対象か確認するため、以下のようにリソースをクリックし対象かどうかのチェックを実施します。
対象のチェック
対象の抑制
本例外対応、およびそれ以外の項目については設定の修正を実施することで、ユースカジノ 登録方法を減らしていくことが可能です。
しつこいですが、セキュリティは「ユースカジノ 登録方法」をきちんと回すことが重要ですので、対応は重要度が「重要」および「高」のみとしましょう。その後よりセキュリティを強化したいというのであれば、「中」を追加するなどのユースカジノ 登録方法としましょう。
ユースカジノ 登録方法AWSアカウントへの導入
「ユースカジノ 登録方法」をきちんと回すという観点においては、現状Security Hubを導入していないアカウントに対し、どのように導入するかという点についても触れておきます。
アラート出力時、「パターンA「早急に復旧対応を実施する必要があるもの」については、管理者にて対応を実施する」と記載した通り、ユースカジノ 登録方法が存在し、管理を実施しているものと想定しています。
Security HubをAWSアカウントへの導入する際に、最初からユースカジノ 登録方法にアラートを飛ばす運用を実施した場合、アラートが多数出力され、運用負荷が非常に大きなものとなってしまいます。
運負荷を減らすため、特定アカウントについては無視対応、などの例外対応をしてしまうとセキュリティユースカジノ 登録方法がどんどん形骸化されてしまいます。
そのため、Security Hub導入時はアラート通知を実施せず、コンソール上での出力のみとしましょう。コンソールにて「重要」、「高」の出力が消えたことをもって、アラート通知を含む正式ユースカジノ 登録方法開始しましょう。
ステップとしては以下のような形となるかと思います。
- Step1:
対象ユースカジノ 登録方法有効化を実施。
本タイミングにて「無効化」のユースカジノ 登録方法を実施。
SecurityHubにてアラートが発生するが、ユースカジノ 登録方法考慮し、通知は実施しない。 - Step2:
SecurityHub、ユースカジノ 登録方法の状況について、データのエクスポートを実施。
重要度「高」以上で発生したユースカジノ 登録方法に対し、「パターンA」から「パターンD」のパターンへの分類を実施する。 - Step3:
システム担当者に修正依頼を実施。
ユースカジノ 登録方法A、ユースカジノ 登録方法Cに対しては必要に応じて例外申請を挙げてもらうよう依頼。
パターンBは早急にユースカジノ 登録方法するよう依頼。
ユースカジノ 登録方法Dは修正日程を出してもらうよう依頼。 - Step4:
修正予定(対応予定日(暫定)) 日以降、ユースカジノ 登録方法チームにて、対応状況の確認を実施。重要度「高」以上のアラートについて、画面上から削除されていることを確認 - Step5:
運用開始(Security Hubの通知ユースカジノ 登録方法開始。検知後は運用ルールに従って対応を実施する)
ポイントは「ともかくきちんと対応が出来たことを運用担当者が確認し、ユースカジノ 登録方法実施することです。これが出来ないとユースカジノ 登録方法回すという事は非常に難しいと思います。
最後に
セキュリティユースカジノ 登録方法についてはともかく「ユースカジノ 登録方法」をきちんと回すのが難しいと考えています。
依頼等のオペレーションについては実施されないと誰かが困りますのですぐにわかりますが、セキュリティユースカジノ 登録方法については出来ていなくても「直接困る人がいない」のが原因と考えます。
とはいえ、何かユースカジノ 登録方法事故が発生してからでは遅いですし、その影響度は甚大です。
Security Hubについては非常に良い製品だと思っていますが、とりあえず導入ができる反面、ユースカジノ 登録方法きちんと回しているところは案外少ないのではないでしょうか。
これが正しいユースカジノ 登録方法とは思いませんが、このブログがセキュリティユースカジノ 登録方法の助けになればと思っています。
読んでいただいた方々、どうもありがとうございます。
カジノゲームは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。