--- title: AWS Config さんセキュリティグループのチェック手伝って tags: author: [somasun](https://www.docswell.com/user/3222660331) site: [Docswell](https://www.docswell.com/) thumbnail: https://bcdn.docswell.com/page/4JQVGP657P.jpg?width=480 description: AWS Config さんセキュリティグループのチェック手伝って by somasun published: October 30, 25 canonical: https://www.docswell.com/s/3222660331/KQXP33-2025-10-30-210336 --- # Page. 1 ![Page Image](https://bcdn.docswell.com/page/4JQVGP657P.jpg) AWS Con ig さん セキュリティグループのチェック手伝って 2025/09/11 (木) JAWS-UG 初心者支部 #68 f 残暑のサメとあざらしSecurity-JAWSコラボ # Page. 2 ![Page Image](https://bcdn.docswell.com/page/K74M5Y4VJ1.jpg) 自己紹介 廣瀬 蒼馬 (Hirose Soma) • 所属 - SIer企業 • 経歴 - 2024年新卒入社(8月よりAWSを利用開始) • Xアカウント @somasun̲aws # Page. 3 ![Page Image](https://bcdn.docswell.com/page/LJ18W644EG.jpg) アジェンダ • はじめに • セキュリティグループでよくあるミス • AWS Con g とは • 今回行ったこと • つまづきポイント fi • まとめ # Page. 4 ![Page Image](https://bcdn.docswell.com/page/GJWZ6WXZJ2.jpg) セキュリティグループ、気づいたら穴だら けになっていませんか? # Page. 5 ![Page Image](https://bcdn.docswell.com/page/4EZ1Y56L73.jpg) セキュリティグループでよくあるミス ① 0.0.0.0/0 でSSHポートが解放されている ② HTTP / HTTPS が無制限に解放されている ③ 使われていないセキュリティグループが放置されている # Page. 6 ![Page Image](https://bcdn.docswell.com/page/Y76LD92MJV.jpg) セキュリティグループでよくあるミス ① 0.0.0.0/0 でSSHポートが解放されている 原因:開発中にとりあえず全開放で作成 → そのまま本番環境 リスク:ブルートフォースの対象、踏み台にされる可能性あり ⚠ # Page. 7 ![Page Image](https://bcdn.docswell.com/page/G7513N2QE4.jpg) セキュリティグループでよくあるミス ② HTTP / HTTPS が無制限に解放されている 原因:Webアプリ用にポート80 / 443 を開放 → IP制限をかけていない リスク:脆弱性スキャンやDDoS攻撃の対象 ⚠ # Page. 8 ![Page Image](https://bcdn.docswell.com/page/9J21Z54W7R.jpg) セキュリティグループでよくあるミス ③ 使われていないセキュリティグループが放置されている 原因:リソースの削除忘れ → そのまま気づかない リスク:誤って再利用されると古い設定がそのまま適用 ⚠ # Page. 9 ![Page Image](https://bcdn.docswell.com/page/DEYZRKM97M.jpg) そんな時に助けてくれるのが fi AWS Con g さん # Page. 10 ![Page Image](https://bcdn.docswell.com/page/VJN3DRWDJ8.jpg) AWS Con ig とは AWS Con g - AWS上のリソースの設定変更を記録・監視 特徴 - AWSリソースの設定変更を自動で記録 - リソースがポリシーに準拠しているか判定 f fi - SNS + Lambda、SSMと統合して、ルール違反時に通知や修復処理を実行 # Page. 11 ![Page Image](https://bcdn.docswell.com/page/YE99GMX8E3.jpg) 今回行ったこと 概要 ① AWS Con g を有効化し、AWSリソースの設定変更を記録 ② ポリシーに非準拠のセキュリティグループを検出 fi ③ SSMと統合して自動修復を行う # Page. 12 ![Page Image](https://bcdn.docswell.com/page/GE89VL2Z7D.jpg) 今回行ったこと ① AWS Con ig の有効化・リソースの設定変更を記録 → EC2にアタッチされていないSGの検出 → HTTP / HTTPS などの一般的なポートが無制限に 解放されていないか f →SSHポート (22) が 0.0.0.0/0 解放されていないか # Page. 13 ![Page Image](https://bcdn.docswell.com/page/LELW5L21JR.jpg) 今回行ったこと ② ポリシーに非準拠のセキュリティグループを検出 # Page. 14 ![Page Image](https://bcdn.docswell.com/page/4JM93M85EW.jpg) 今回行ったこと ③ SSMと統合し、自動修復を行う # Page. 15 ![Page Image](https://bcdn.docswell.com/page/PJRGQV5ZE9.jpg) つまづきポイント 問題点 自動修復機能がうまく動作しない - 手動で実行すると修復できた 原因 不明(わかる方いたら教えてください😭) # Page. 16 ![Page Image](https://bcdn.docswell.com/page/PEXX5ZK1EX.jpg) まとめ • AWS Con g について理解できた • AWS Con g を有効化し、ポリシーに非準拠のセキュリティグループを検出できた fi fi • SSMと統合して自動修復はできそうでできなかった(手動でならできた) # Page. 17 ![Page Image](https://bcdn.docswell.com/page/3EKW685MED.jpg) ありがとうございました!