20250326_管理ツールの権限管理で改善したこと

管理ツールの   権限管理で改善したこと   株式会社MIXI  みてねプラットフォーム部   CREグループ    佐々木
達也 

©MIXI 自己紹介  - ささたつ / @sasata299  - 男子３兄弟の父  - 騒がしい毎日・・ 
- みてねのCREとして頑張っています 

家族アルバムみてねはスマホで撮った子どもの写真や動画を家族と共有し、コミュニケーションして楽しむ家族アルバムサービスです。

©MIXI みてねのミッション   世界中の家族のこころのインフラをつくる

©MIXI みてねのCRE   - 一般的なCREよりもスコープが広い  - もともと CXE (Customer eXperience
Engineering) チームだった   - カスタマーサポート向け、マーケティング向け、それ以外   - ユーザの信頼性向上に繋がることをやっていく！  CS向け  マーケ向け  それ以外 

©MIXI みてねのCRE   - 一般的なCREよりもスコープが広い  - もともと CXE (Customer eXperience
Engineering) チームだった   - カスタマーサポート向け、マーケティング向け、それ以外   - ユーザの信頼性向上に繋がることをやっていく！  ここの話をします！   CS向け  マーケ向け  それ以外 

©MIXI 前提）みてねの管理ツール   - Ruby  - ActiveAdmin + 自作のコントローラ  -
複雑な処理を ActiveAdmin でやるの大変なので..   - CanCanCan で権限管理  - モデル単位で権限を指定する   - 個人ではなく Role に対して権限を付与する   権限設定のイメージ  

©MIXI セキュリティ面での漠然とした不安   - 管理ツールでは様々な情報を扱っている  - 機能改修や権限追加は、各チームが進めている  - 日々、機能や権限が増えていく  
チームA  チームB  チームC  管理ツール 

©MIXI 「何が課題なのか？」を具体化する   - セキュリティチームとあるべき姿を検討  - 特に守るべき重要な情報は何か？   - 権限は、必要な人に、必要なものだけにしたい
  - 後から追跡可能に、など   - 現状とのギャップ（＝解決すべき課題）が見えてきた 

©MIXI 解決すべき課題   - 必要以上の権限付与  - 重要情報への適切なアクセス  - みてねでは、アップロードされた写真や動画  
最小権限の原則  アクセスされる  情報の最小化  ✖ 

©MIXI 課題① 必要以上の権限付与   - 権限の棚卸し + 不要な権限の剥奪  - 権限付与に気付ける仕組み 
- パスごとのアクセス制御の見える化 

©MIXI 課題① 必要以上の権限付与   - 権限の棚卸し + 不要な権限の剥奪  - 直近1ヶ月のアクセス数を洗い出して、アクセスの少ない機能から段階的に棚卸しを依頼
  - 業務に支障が出ないよう徐々に権限を絞っていった   - 権限付与に気付ける仕組み  - パスごとのアクセス制御の見える化 

- GitHubのコードオーナーを指定   - PR時に開発マネージャーに通知が飛ぶようにした   - パスごとのアクセス制御の見える化 

- パスごとのアクセス制御の見える化  - 権限を追加/削除したときに、どのパスがアクセス可/不可になったのか？がわかりにくい   - 実際に確認できると安心なのでは？   - 各 Role で実際にアクセスして、そのときの status code をチェックするテストを作った   - テストが今後も追加されるように管理ツールに機能追加されたらPRでコメントを残す  

©MIXI このテストで気付いたこと   - 誰も権限の無いパス  - 権限管理が効いていないパス  - ActiveAdmin で
member_action や collection_action を使って RESTful ではないカスタムメソッドを定義することもできるが、権限チェックされない（！）   - 公式にも書かれているけど明示的に authorize! を呼ぶ必要がある   - 権限の不整合状態  - 読み取り権限がないのに書き込み権限だけ持っていた、など  

©MIXI - リクエストしたユーザの情報だけが一時的に閲覧可能な仕組み  - リクエストはDBに残るので後から検証可能   - アクセスする必要のない情報には（うっかり）アクセスできないようにする   参考:
内部不正の理由の約6割は故意が認められない“うっかり”   課題② 重要情報への適切なアクセス   閲覧制御  事前のリクエストあり   事前のリクエストなし   ❌  ⭕ 

©MIXI まとめ  - 権限を必要なものに絞り、アクセスされる情報を最小化した  - 継続的な見直しや改善は必要  - 不要な権限を検知する仕組み   -
重要情報が表示される機能が増えた際の対応、など   - あるべき姿に向かって、引き続き一歩ずつ改善を進めていく 

20250326_管理ツールの権限管理で改善したこと

20250326_管理ツールの権限管理で改善したこと

Tatsuya Sasaki

More Decks by Tatsuya Sasaki

Other Decks in Technology

Featured

Transcript

管理ツールの   権限管理で改善したこと   株式会社MIXI  みてねプラットフォーム部   CREグループ    佐々木

©MIXI 自己紹介  - ささたつ / @sasata299  - 男子３兄弟の父  - 騒がしい毎日・・

家族アルバムみてねはスマホで撮った子どもの写真や動画を家族と共有し、コミュニケーションして楽しむ家族アルバムサービスです。

©MIXI みてねのミッション   世界中の家族のこころのインフラをつくる

©MIXI みてねのCRE   - 一般的なCREよりもスコープが広い  - もともと CXE (Customer eXperience

©MIXI みてねのCRE   - 一般的なCREよりもスコープが広い  - もともと CXE (Customer eXperience

©MIXI 前提）みてねの管理ツール   - Ruby  - ActiveAdmin + 自作のコントローラ  -

©MIXI セキュリティ面での漠然とした不安   - 管理ツールでは様々な情報を扱っている  - 機能改修や権限追加は、各チームが進めている  - 日々、機能や権限が増えていく

©MIXI 「何が課題なのか？」を具体化する   - セキュリティチームとあるべき姿を検討  - 特に守るべき重要な情報は何か？   - 権限は、必要な人に、必要なものだけにしたい

©MIXI 解決すべき課題   - 必要以上の権限付与  - 重要情報への適切なアクセス  - みてねでは、アップロードされた写真や動画

©MIXI 課題① 必要以上の権限付与   - 権限の棚卸し + 不要な権限の剥奪  - 権限付与に気付ける仕組み

©MIXI 課題① 必要以上の権限付与   - 権限の棚卸し + 不要な権限の剥奪  - 直近1ヶ月のアクセス数を洗い出して、アクセスの少ない機能から段階的に棚卸しを依頼

©MIXI 課題① 必要以上の権限付与   - 権限の棚卸し + 不要な権限の剥奪  - 権限付与に気付ける仕組み

©MIXI 課題① 必要以上の権限付与   - 権限の棚卸し + 不要な権限の剥奪  - 権限付与に気付ける仕組み

©MIXI この部分を見れば、どの Role がアクセスできるのか一目瞭然    （生きたドキュメントにもなる）

©MIXI このテストで気付いたこと   - 誰も権限の無いパス  - 権限管理が効いていないパス  - ActiveAdmin で

©MIXI - リクエストしたユーザの情報だけが一時的に閲覧可能な仕組み  - リクエストはDBに残るので後から検証可能   - アクセスする必要のない情報には（うっかり）アクセスできないようにする   参考:

©MIXI まとめ  - 権限を必要なものに絞り、アクセスされる情報を最小化した  - 継続的な見直しや改善は必要  - 不要な権限を検知する仕組み   -