Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティ強化のための自動化 / security-automation
Search
Manabu Sakai
December 12, 2017
Technology
3
11k
セキュリティ強化のための自動化 / security-automation
SRE-SET Automation Night
Manabu Sakai
December 12, 2017
Tweet
Share
More Decks by Manabu Sakai
See All by Manabu Sakai
アウトプットが切り拓いた自分のエンジニア人生 / Infra Study 2nd #8
manabusakai
0
28k
GitHub Actions の self-hosted runner と Amazon EKS を使った Docker のビルドパイプライン / secure-docker-build-pipeline
manabusakai
0
2.1k
SaaS における EKS のシングルテナントクラスタ戦略とスポットインスタンス活用術 / EKS single-tenant cluster strategy and Spot Instances
manabusakai
0
7.1k
freee のエンジニアは障害から何を学び、どう改善しているのか? / What do freee engineers learn and improve from failures?
manabusakai
8
19k
我々は Kubernetes の何を監視すればいいのか? / CloudNative Days Kansai 2019
manabusakai
25
8.6k
CI/CD パイプラインを最速で組み立てるための 4 つのポイント / Four points to assemble the CI CD pipeline fastest
manabusakai
9
3.7k
Kubernetes を使ってエンジニア組織の生産性を上げよう / kubernetes-and-engineer-productivity
manabusakai
3
7.3k
freee のマイクロサービスを K8s + Go で組む! 短期プロジェクト成功の記録 / microservices-using-k8s-and-go
manabusakai
4
10k
Kubernetes 入門者が 3 か月で本番導入するためにやったこと / kubernetes-beginner
manabusakai
7
14k
Other Decks in Technology
See All in Technology
SDカードフォレンジック
su3158
1
640
バックオフィス向け toB SaaS バクラクにおけるレコメンド技術活用 / recommender-systems-in-layerx-bakuraku
yuya4
5
570
地味にいろいろあった! 2025春のAmazon Bedrockアップデートおさらい
minorun365
PRO
1
440
クォータ監視、AWS Organizations環境でも楽勝です✌️
iwamot
PRO
1
340
コードや知識を組み込む / Incorporating Codes and Knowledge
ks91
PRO
0
110
【Λ(らむだ)】最近のアプデ情報 / RPALT20250422
lambda
0
120
Porting PicoRuby to Another Microcontroller: ESP32
yuuu
4
460
2025-04-24 "Manga AI Understanding & Localization" Furukawa Arata (CyberAgent, Inc)
ornew
2
260
Oracle Cloud Infrastructure:2025年4月度サービス・アップデート
oracle4engineer
PRO
0
120
От ручной разметки к LLM: как мы создавали облако тегов в Lamoda. Анастасия Ангелова, Data Scientist, Lamoda Tech
lamodatech
0
790
Writing Ruby Scripts with TypeProf
mame
0
360
ドキュメント管理の理想と現実
kazuhe
1
230
Featured
See All Featured
For a Future-Friendly Web
brad_frost
176
9.7k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Git: the NoSQL Database
bkeepers
PRO
430
65k
Navigating Team Friction
lara
184
15k
How GitHub (no longer) Works
holman
314
140k
GraphQLの誤解/rethinking-graphql
sonatard
71
10k
Building an army of robots
kneath
304
45k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Making the Leap to Tech Lead
cromwellryan
133
9.2k
Rails Girls Zürich Keynote
gr2m
94
13k
Bash Introduction
62gerente
611
210k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
227
22k
Transcript
セキュリティ強化のための自動化 SRE-SET Automation Night
自己紹介 • 坂井 学(さかい まなぶ) • 2016 年に SRE エンジニアとして入社
• 最近は Ruby / Go を書いています • 得意分野は AWS ◦ AWS 認定ソリューションアーキテクト - プロフェッショナル ◦ AWS 認定 DevOps エンジニア - プロフェッショナル
自己紹介 Twitter / GitHub @manabusakai
スモールビジネスに携わる方が より創造的な活動にフォーカスできるよう
freee が提供するサービス • 会計 freee • 人事労務 freee • 会社設立
freee • 開業 freee • マイナンバー管理 freee お金 人 人
“人やお金”に関わる情報漏洩は 絶対に起こしてはならない
そのためには… • セキュリティパッチが出たらすぐに適用したい ◦ 場合によっては 1 分 1 秒を争うがすぐに適用できる? •
外部からの怪しい攻撃は自動的に遮断したい ◦ 攻撃されてから気づくことの方が多い? 他にも様々なポイントがありますが今回は割愛します。
CodeBuild を使った AMI 作成 • Context ◦ freee で運用している EC2
は Golden AMI 方式 ◦ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え ◦ Ansible + Packer でコード管理
CodeBuild を使った AMI 作成 • Before ◦ SRE が手動で Packer
を実行して AMI を作成 ◦ AMI の種類が多いのですべて作り直すには時間がかかる ◦ 脆弱性が発見されると手分けしてやっていた…
CodeBuild を使った AMI 作成 1 コマンドを 流すだけ 数に応じて並 列化 ref:
https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/
CodeBuild を使った AMI 作成 • After ◦ 面倒で時間のかかる作業を完全に自動化 ◦ ビルドを並列化することで時間短縮
◦ 本番環境に迅速にパッチを適用できるようになった
AWS WAF を使った攻撃の自動遮断 • Before ◦ DoS 攻撃やリスト型攻撃の検知が後手に回る ◦ 攻撃側の
IP アドレスが頻繁に変わるので、 Security Group や Network ACL の遮断では限界がある ◦ 深夜や早朝など手薄な時間帯ができてしまう
DoS 攻撃は 自動的に遮断 サーバの負荷 は上がらない AWS WAF を使った攻撃の自動遮断 ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/
AWS WAF を使った攻撃の自動遮断 • After ◦ DoS 攻撃やリスト型攻撃を自動的に遮断できる ◦ 自動的に遮断してくれるので余裕を持って調査できる
◦ ALB で遮断するので Web サーバの負荷が上がらない
まとめ • アイデア次第でセキュリティ強化も自動化できる時代 • freee の SRE はユーザーに本質的な価値を届けるために、 安心して使えるインフラ環境を目指しています!