Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSセキュリティガードレールにより開発者がセキュリティ監視するようになったDMM_課題...

Wataru Nishiyama
April 05, 2022
120

 AWSセキュリティガードレールにより開発者がセキュリティ監視するようになったDMM_課題と今後.pptx.pdf

Wataru Nishiyama

April 05, 2022
Tweet

Transcript

  1. © DMM.com 自己紹介 2 - 名前 : 西山渉 - 所属

    : 合同会社DMM.com セキュリティ部 • クラウドセキュリティの推進 • WAF 導入支援 • PCIDSS セキュリティ監視
  2. © DMM.com 今日話すこと 4 1. DMM で AWS セキュリティガードレールを構築 2.

    AWS セキュリティガードレールのシステム保守 3. 開発者がセキュリティを自走する仕組み
  3. © DMM.com DMM で AWS セキュリティガードレール構築(2021/9) 7 - AWS レイヤーのセキュリティ監視開始

    • DB パブリック公開:20 • S3 書き込み権限でパブリック公開:6 • セキュリティ侵害 : 3
  4. © DMM.com DMM で AWS セキュリティガードレール構築(2022/3) 8 - AWS レイヤーのセキュリティ監視開始

    • DB パブリック公開:20 → 23 • S3 書き込み権限でパブリック公開:6 → 8 • セキュリティ侵害 : 3 → 4
  5. © DMM.com 9 - AWS レイヤーのセキュリティ監視開始 • DB パブリック公開:20 →

    23 • S3 書き込み権限でパブリック公開:6 → 8 • セキュリティ侵害 : 3 → 4 - 開発者がセキュリティ監視に参加し続けることで セキュリティ自給率が向上中 DMM で AWS セキュリティガードレール構築(2022/3)
  6. © DMM.com DMM のセキュリティガードレール実装 12 - AWS Landing Zone -

    Amazon GuardDuty / AWS Config Rules を監視 - Slack : チャットコミュニケーションツール - JIRA : チケット管理システム - Slackbot
  7. © DMM.com ガードレールに利用されるシステム 40 - AWS Organizations OU - サービスマネージド型

    CloudFormation StackSets - CICD - Slack - JIRA - AWS のセキュリティサービス・通知サービスetc…
  8. © DMM.com ガードレールに利用されるシステム 41 - AWS Organizations OU - サービスマネージド型

    CloudFormation StackSets - CICD - Slack - JIRA - AWS のセキュリティサービス・通知サービスetc… 一気通貫で設計しないと大変
  9. © DMM.com 現状 44 - OU と DMM の組織構造を同じにしていた -

    ex) Root • DMM • 事業部A • チームaaa • チームbbb • 事業部B • チームccc • チームddd…
  10. © DMM.com 問題 45 - DMM の組織変更の頻度が多すぎて合わせるのが困難 • 大胆不敵な合併・再編・サービス譲渡... -

    目当ての OU を見つけられない • Organizations コンソールで OU 名で検索できない
  11. © DMM.com 解決法(未対応) 46 - 事業部 OU を消し、会社 OU 直下に揃える

    - チーム OU に事業部名を入れる - ex) Root • DMM • チームA-aaa • チームA-bbb • チームB-ccc • チームB-ddd…
  12. © DMM.com 現状 48 6個 - 1つの OU に適用する CloudFormation

    テンプレート • chatbot.yaml • config.yaml • config_rules.yaml • config_sns.yaml • guardduty_sns.yaml • lambda_billing_statement.yaml
  13. © DMM.com 解決策(未対応) 51 - 1 OU 1 CloudFormation テンプレートにまとめる

    ※DMM はセキュリティレベルに応じたプランを用意 • strong.yaml • standard.yaml • minimal.yaml
  14. © DMM.com その他問題の数々 56 - どの OU にどの AWS アカウントを入れるかわからない

    - CloudFormation StackSets の自動デプロイ使うべき? 使わないべき? - CloudFormation StackSets のアップデートを手動でやるの つらい、CICD 入れるべき?etc…
  15. © DMM.com もちろんチーム格差がある 70 チームA チームA チームB チームC チームD チームG

    チームE チームF チームH 何も言わなくてもやっ てくれるチーム 未 済