Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
力が欲しいか!!力が欲しいのなら...最小権限をくれてやる!!
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Broadleaf Co., Ltd.
August 24, 2023
Technology
0
280
力が欲しいか!!力が欲しいのなら...最小権限をくれてやる!!
Cloud Operator Days Tokyo 2023
Broadleaf Co., Ltd.
August 24, 2023
Tweet
Share
More Decks by Broadleaf Co., Ltd.
See All by Broadleaf Co., Ltd.
日常にバージョンアップを 〜 Kubernetes Operator で持続的な運用 〜
broadleaf
0
49
クラウドコスト管理の正攻法を知りたい〜FinOps Foundationに学ぶFinOpsの考え方〜
broadleaf
0
210
Elasticsearch_Community_in_Fukuoka_20240711
broadleaf
0
190
アンチパターンだらけ!?Cassandraを基盤とした大規模業務アプリケーションと2DX実現の裏側
broadleaf
0
580
効果的なアラートを再考する [メモリ使用率が80%になりました。] んで、どうすればいいん?
broadleaf
0
650
Our60DaysWar-MigrationFromOn-premiseToCloud
broadleaf
0
2.6k
Infrastructure as Codeで インフラチームはもっと強くなる/developersummitsummer-iac
broadleaf
3
2.3k
Spring Bootでマイクロサービス作って苦労したお話 / DeveloperSummit2019-SpringBoot
broadleaf
12
10k
今どきのインフラはペットでは無かった / DeveloperSummit2019-IaC
broadleaf
0
1.9k
Other Decks in Technology
See All in Technology
【Claude Code】Plugins作成から始まったファインディの開発フロー改革
starfish719
0
440
使って学ぼう MCP (と GitHub Codespaces)
tsubakimoto_s
1
220
Claude Codeと駆け抜ける 情報収集と実践録
sontixyou
1
740
Intro SAGA Event Space
midnight480
0
150
生成AIの研究活用_AILab2025研修
cyberagentdevelopers
PRO
11
6.2k
AWS Bedrock Guardrails / 機密情報の入力・出力をブロックする — Blocking Sensitive Information Input/Output
kazuhitonakayama
2
170
プロダクト開発の品質を守るAIコードレビュー:事例に見る導入ポイント
moongift
PRO
1
400
OCI技術資料 : 外部接続 VPN接続 詳細
ocise
1
10k
Three-Legged OAuth in AgentCore Gateway
hironobuiga
2
190
EKSで実践する オブザーバビリティの現在地
honmarkhunt
2
300
AI駆動開発とRAGプロダクトへの挑戦の軌跡 - 弁護士ドットコムでの学びから -
bengo4com
2
800
2026年のAIエージェント構築はどうなる?
minorun365
10
2.2k
Featured
See All Featured
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
140
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
81
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
370
XXLCSS - How to scale CSS and keep your sanity
sugarenia
249
1.3M
The Art of Programming - Codeland 2020
erikaheidi
57
14k
Balancing Empowerment & Direction
lara
5
920
Reality Check: Gamification 10 Years Later
codingconduct
0
2k
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.1k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
59
50k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3.3k
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
akihiro_kokubo
PRO
67
37k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.3k
Transcript
力が欲しいか!! 力が欲しいのなら...最小権限をくれてやる!! 株式会社ブロードリーフ 左近充 裕樹 #CODT2023
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. ## 名前 左近充 裕樹 _さこんじゅう ひろき_ ## 所属 - 株式会社 ブロードリーフ - プロダクトインフラ課 ## 役割 インフラエンジニア # 自己紹介
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. 会社紹介
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. • 今回話すこと • 最小権限の原則とは? • 明日から使えるプラクティス • 最小権限の先にあるもの • 話さないこと • セキュリティ全体の話 • オンプレミスに関わるプラクティス • 完璧な最小権限に関する話(不可能に近いため) • 今よりチョットでもセキュアにするプラクティスのみ Agenda
Copyright (c) Broadleaf Co., Ltd. All rights reserved. 最小権限の原則、 守れてますか?
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. • 人、またはシステムが役割を果たすことが可能な最小の権限のみを与えること • ビジネスインパクトの許容限界点とも考えられる • 何がインパクトがあるのかという情報のアセット管理が必要となる • 英語表記はPrinciple of Least Privilege(PoLP)、最小特権の原則とも言う • セキュリティフレームワーク・規格でも言及されている • NIST CSF • ISO 27001 • PCI DSS 最小権限の原則とは?
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. なぜ最小権限が必要なのか? ゼロトラストセキュリティと最小権限は相互補完
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. セキュリティにおける3大要素 CIA (今は7要素 真正性、信頼性、責任追跡性、否認防止が追加されている) • 機密性 (Confidentiality) • 完全性 (Integrity) • 可用性 (Availability) 悪意が無くても、過度な権限はCIAを脅かす可能性がある • S3を公開Bucketにしてしまった😱 • 本番環境のDBをdropしてしまった 😱 • EC2をTerminateしてしまった😱 なぜ最小権限が必要なのか?
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Hope is
not a strategy 出典: https://sre.google/sre-book/embracing-risk/
Copyright (c) Broadleaf Co., Ltd. All rights reserved. 最小権限導入の難しさ
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. • 過剰な権限でもシステムは動いてしまう • 過剰な権限でもやりたいことが出来る • 何をもって最小権限かという定量的判断が難しい 最小権限導入の難しさ 非機能要件である
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. • 限られた開発期間・コスト • テストが難しい • クラウドサービスに対する絶対的な理解が必要となる 最小権限導入の難しさ 途中導入が難しい
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. • 適切に分割されたマイクロサービス(プロセス)が必要 • オーナーシップが明確な組織が必要 • 使われていない権限が無いかを定期的に監査するプロセスが必要 最小権限導入の難しさ セキュリティは創発特性である 創発 創発(そうはつ)とは、部分の性質の単純な総和にとどまらない性質が、 全体として現れることである。 局所的な複数の相互作用が複雑に組織化することで、個別の要素の振る舞いからは 予想できないようなシステムが構成される 引用: wikipedia ( https://ja.wikipedia.org/wiki/%E5%89%B5%E7%99%BA )
Copyright (c) Broadleaf Co., Ltd. All rights reserved. 大いなる力には 大いなる責任が伴う
“With great power comes great responsibility”
Copyright (c) Broadleaf Co., Ltd. All rights reserved. どうすればいいのか?
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. • 本来は必要な権限を足していく • せめて、引き算から始める プラクティス 権限を引き算する
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. • 個々人に権限付与をしているとすぐにカオスになる • 「同じチームの◯◯さんと同じ権限にしてください」にすぐ対応出来る • GCPの場合、Google Groupをチーム(またはロール)単位で作り、 チームの権限は同一にする。 • AWSの場合、IAM ユーザーグループを作る プラクティス グループ単位で付与する
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. • 各パブリッククラウドプロバイダが用意した分析ツールを使う • AWS: AWS Identity and Access Management Access Analyzer • GCP: Policy Analyzer プラクティス サービスで補う
Copyright (c) Broadleaf Co., Ltd. All rights reserved. 最小権限の先にあるもの
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. “ Zero Touch Prodはプロダクション環境における すべての変更について、(人間ではなく)自動化に よって行うか、ソフトウェアで事前検証するか、 監査済みの非常ボタンの仕組みを通じてトリガーする ことを要求する、Googleのプロジェクトです “ 最小権限の先にあるもの ZTP(Zero Touch Prod) URL: https://www.oreilly.co.jp/books/9784814400256/ 出典: 株式会社オライリー・ジャパン
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. • 直接sshで接続しない • 必ずproxyを通る • 自動化されている • 非常停止ボタンがある 最小権限の先にあるもの ZTP(Zero Touch Prod)はどういうものか?
Copyright (c) Broadleaf Co., Ltd. All rights reserved. Copyright (c)
Broadleaf Co., Ltd. All rights reserved. • 人、またはシステムが役割を果たすことが可能な最小な権限にする • プラクティス • 権限を引き算から始める • グループ単位で付与する • クラウドプロバイダのサービスを使う • Zero Touch Prodを目指そう まとめ
We’re Hiring!!
broadleaf
starfish719
tsubakimoto_s
.jpeg){kind=avatar}
sontixyou
midnight480
cyberagentdevelopers
kazuhitonakayama
moongift
ocise
hironobuiga
.png){kind=avatar}
honmarkhunt
bengo4com
minorun365
gurzu
ryanjones
chikuwait
sugarenia
erikaheidi
lara
codingconduct
inesmontani
madoxten
tammyeverts
akihiro_kokubo
kevinliebholz
