AWS Config さんセキュリティグループのチェック手伝って

AWS Con ig さん セキュリティグループのチェック手伝って 2025/09/11 (木) JAWS-UG 初心者支部 #68 f 残暑のサメとあざらしSecurity-JAWSコラボ

自己紹介 廣瀬 蒼馬 (Hirose Soma) • 所属 - SIer企業 • 経歴 - 2024年新卒入社（8月よりAWSを利用開始） • Xアカウント @somasun̲aws

アジェンダ • はじめに • セキュリティグループでよくあるミス • AWS Con g とは • 今回行ったこと • つまづきポイント fi • まとめ

セキュリティグループ、気づいたら穴だら けになっていませんか？

セキュリティグループでよくあるミス ① 0.0.0.0/0 でSSHポートが解放されている ② HTTP / HTTPS が無制限に解放されている ③ 使われていないセキュリティグループが放置されている

セキュリティグループでよくあるミス ① 0.0.0.0/0 でSSHポートが解放されている 原因：開発中にとりあえず全開放で作成 → そのまま本番環境 リスク：ブルートフォースの対象、踏み台にされる可能性あり ⚠

セキュリティグループでよくあるミス ② HTTP / HTTPS が無制限に解放されている 原因：Webアプリ用にポート80 / 443 を開放 → IP制限をかけていない リスク：脆弱性スキャンやDDoS攻撃の対象 ⚠

セキュリティグループでよくあるミス ③ 使われていないセキュリティグループが放置されている 原因：リソースの削除忘れ → そのまま気づかない リスク：誤って再利用されると古い設定がそのまま適用 ⚠

そんな時に助けてくれるのが fi AWS Con g さん

AWS Con ig とは AWS Con g - AWS上のリソースの設定変更を記録・監視 特徴 - AWSリソースの設定変更を自動で記録 - リソースがポリシーに準拠しているか判定 f fi - SNS + Lambda、SSMと統合して、ルール違反時に通知や修復処理を実行

今回行ったこと 概要 ① AWS Con g を有効化し、AWSリソースの設定変更を記録 ② ポリシーに非準拠のセキュリティグループを検出 fi ③ SSMと統合して自動修復を行う

今回行ったこと ① AWS Con ig の有効化・リソースの設定変更を記録 → EC2にアタッチされていないSGの検出 → HTTP / HTTPS などの一般的なポートが無制限に 解放されていないか f →SSHポート (22) が 0.0.0.0/0 解放されていないか

今回行ったこと ② ポリシーに非準拠のセキュリティグループを検出

今回行ったこと ③ SSMと統合し、自動修復を行う

つまづきポイント 問題点 自動修復機能がうまく動作しない - 手動で実行すると修復できた 原因 不明（わかる方いたら教えてください😭）

まとめ • AWS Con g について理解できた • AWS Con g を有効化し、ポリシーに非準拠のセキュリティグループを検出できた fi fi • SSMと統合して自動修復はできそうでできなかった（手動でならできた）

ありがとうございました！