Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティ強化のための自動化 / security-automation
Search
Manabu Sakai
December 12, 2017
Technology
3
34k
セキュリティ強化のための自動化 / security-automation
SRE-SET Automation Night
Manabu Sakai
December 12, 2017
Tweet
Share
More Decks by Manabu Sakai
See All by Manabu Sakai
アウトプットが切り拓いた自分のエンジニア人生 / Infra Study 2nd #8
manabusakai
0
30k
GitHub Actions の self-hosted runner と Amazon EKS を使った Docker のビルドパイプライン / secure-docker-build-pipeline
manabusakai
0
2.2k
SaaS における EKS のシングルテナントクラスタ戦略とスポットインスタンス活用術 / EKS single-tenant cluster strategy and Spot Instances
manabusakai
0
9k
freee のエンジニアは障害から何を学び、どう改善しているのか? / What do freee engineers learn and improve from failures?
manabusakai
8
21k
我々は Kubernetes の何を監視すればいいのか? / CloudNative Days Kansai 2019
manabusakai
25
9k
CI/CD パイプラインを最速で組み立てるための 4 つのポイント / Four points to assemble the CI CD pipeline fastest
manabusakai
9
3.8k
Kubernetes を使ってエンジニア組織の生産性を上げよう / kubernetes-and-engineer-productivity
manabusakai
3
7.8k
freee のマイクロサービスを K8s + Go で組む! 短期プロジェクト成功の記録 / microservices-using-k8s-and-go
manabusakai
4
12k
Kubernetes 入門者が 3 か月で本番導入するためにやったこと / kubernetes-beginner
manabusakai
7
16k
Other Decks in Technology
See All in Technology
「Blue Team Labs Online」入門 - みんなで挑むログ解析バトル
v_avenger
0
150
情シスのための生成AI実践ガイド2026 / Generative AI Practical Guide for Business Technology 2026
glidenote
0
200
猫でもわかるKiro CLI(AI 駆動開発への道編)
kentapapa
0
130
S3はフラットである –AWS公式SDKにも存在した、 署名付きURLにおけるパストラバーサル脆弱性– / JAWS DAYS 2026
flatt_security
0
1.7k
プロジェクトマネジメントをチームに宿す -ゼロからはじめるチームプロジェクトマネジメントは活動1年未満のチームの教科書です- / 20260304 Shigeki Morizane
shift_evolve
PRO
1
250
Dr. Werner Vogelsの14年のキーノートから紐解くエンジニアリング組織への処方箋@JAWS DAYS 2026
p0n
1
130
Yahoo!ショッピングのレコメンデーション・システムにおけるML実践の一例
lycorptech_jp
PRO
1
200
わたしがセキュアにAWSを使えるわけないじゃん、ムリムリ!(※ムリじゃなかった!?)
cmusudakeisuke
1
560
[JAWSDAYS2026][D8]その起票、愛が足りてますか?AWSサポートを味方につける、技術的「ラブレター」の書き方
hirosys_
3
120
OCI技術資料 : コンピュート・サービス 概要
ocise
4
54k
Security Diaries of an Open Source IAM
ahus1
0
210
越境する組織づくり ─ 多様性を前提にしたチームビルディングとリードの実践知
kido_engineer
2
190
Featured
See All Featured
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
140
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
110
The Curse of the Amulet
leimatthew05
1
9.9k
Unsuck your backbone
ammeep
672
58k
A designer walks into a library…
pauljervisheath
210
24k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
287
14k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3.3k
GraphQLとの向き合い方2022年版
quramy
50
14k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
3.4k
The browser strikes back
jonoalderson
0
780
The Pragmatic Product Professional
lauravandoore
37
7.2k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
82
Transcript
セキュリティ強化のための自動化 SRE-SET Automation Night
自己紹介 • 坂井 学(さかい まなぶ) • 2016 年に SRE エンジニアとして入社
• 最近は Ruby / Go を書いています • 得意分野は AWS ◦ AWS 認定ソリューションアーキテクト - プロフェッショナル ◦ AWS 認定 DevOps エンジニア - プロフェッショナル
自己紹介 Twitter / GitHub @manabusakai
スモールビジネスに携わる方が より創造的な活動にフォーカスできるよう
freee が提供するサービス • 会計 freee • 人事労務 freee • 会社設立
freee • 開業 freee • マイナンバー管理 freee お金 人 人
“人やお金”に関わる情報漏洩は 絶対に起こしてはならない
そのためには… • セキュリティパッチが出たらすぐに適用したい ◦ 場合によっては 1 分 1 秒を争うがすぐに適用できる? •
外部からの怪しい攻撃は自動的に遮断したい ◦ 攻撃されてから気づくことの方が多い? 他にも様々なポイントがありますが今回は割愛します。
CodeBuild を使った AMI 作成 • Context ◦ freee で運用している EC2
は Golden AMI 方式 ◦ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え ◦ Ansible + Packer でコード管理
CodeBuild を使った AMI 作成 • Before ◦ SRE が手動で Packer
を実行して AMI を作成 ◦ AMI の種類が多いのですべて作り直すには時間がかかる ◦ 脆弱性が発見されると手分けしてやっていた…
CodeBuild を使った AMI 作成 1 コマンドを 流すだけ 数に応じて並 列化 ref:
https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/
CodeBuild を使った AMI 作成 • After ◦ 面倒で時間のかかる作業を完全に自動化 ◦ ビルドを並列化することで時間短縮
◦ 本番環境に迅速にパッチを適用できるようになった
AWS WAF を使った攻撃の自動遮断 • Before ◦ DoS 攻撃やリスト型攻撃の検知が後手に回る ◦ 攻撃側の
IP アドレスが頻繁に変わるので、 Security Group や Network ACL の遮断では限界がある ◦ 深夜や早朝など手薄な時間帯ができてしまう
DoS 攻撃は 自動的に遮断 サーバの負荷 は上がらない AWS WAF を使った攻撃の自動遮断 ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/
AWS WAF を使った攻撃の自動遮断 • After ◦ DoS 攻撃やリスト型攻撃を自動的に遮断できる ◦ 自動的に遮断してくれるので余裕を持って調査できる
◦ ALB で遮断するので Web サーバの負荷が上がらない
まとめ • アイデア次第でセキュリティ強化も自動化できる時代 • freee の SRE はユーザーに本質的な価値を届けるために、 安心して使えるインフラ環境を目指しています!
manabusakai
v_avenger
glidenote
kentapapa
flatt_security
shift_evolve
p0n
lycorptech_jp
cmusudakeisuke
hirosys_
ocise
ahus1
kido_engineer
.png){kind=avatar}
helenjbeal
marketingsoph
leimatthew05
ammeep
pauljervisheath
stephaniewalter
tammyeverts
quramy
eileencodes
jonoalderson
lauravandoore
techseoconnect
