Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ZOZOTOWN HTTPS化におけるSREチームのアプローチ/SRE team approa...

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for takumi takumi
May 23, 2019
Technology
1.1k
0

ZOZOTOWN HTTPS化におけるSREチームのアプローチ/SRE team approach in ZOZOTOWN full HTTPS support

Avatar for takumi

takumi

May 23, 2019

More Decks by takumi

See All by takumi
システムリプレイスプロジェクト発足から7年、改めてコスト最適化に向き合う / replace and cost optimization
Avatar for takumi takumi
1
3.3k

Other Decks in Technology

See All in Technology
AI時代の私の技術インプットとアウトプット術
Avatar for tonkotsuboy_com tonkotsuboy_com
3
620
AI Agent に“攻略本”を渡したら、150フォームの移行が回り始めた話/登壇資料(高橋 悟生)
Avatar for Hacobu hacobu
PRO
1
430
Kaggle未経験社員をメダリストに育てる「AIドラゴン桜」
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
530
AI時代に求められる思考のパラダイムシフト
Avatar for NRI Netcom nrinetcom
PRO
1
140
Node.js+TypeScriptにおけるCJS/ESM相互運用の最新ポイント
Avatar for Naoki Kiryu grainrigi
2
110
Geek Woman の育ち方 〜コミュニティとAIと〜
Avatar for chicaco chicaco
0
410
キャリア25年目にしてTypeScript に出会うまで - 「型」を通じて振り返るプログラミング言語遍歴 / Meeting TypeScript After 25 Years in Tech - Looking Back at My Programming Language Journey Through "Types"
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
2
270
Amazon Bedrock 経由の Claude Cowork を試してみよう・MCP にも繋いでみよう
Avatar for Kazuya Sugimoto sugimomoto
0
150
RubyでRuby拡張を書いたらRubyより35倍速になったってどういうこと??
Avatar for kazuho kazuho
3
590
基礎から解説!Icebergで紐解くSnowflake×Databricks連携の現在地
Avatar for TomokiYasuhara cm_yasuhara
0
270
TypeScriptはどのようにどこまで推論できるのか ─ とにかく as は禁止で
Avatar for ypresto ypresto
3
420
AIAgentと取り組むKaggle
Avatar for shuto goya 508shuto
2
540

Featured

See All Featured
Groundhog Day: Seeking Process in Gaming for Health
Avatar for Sebastian Deterding codingconduct
0
180
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
830
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
460
The browser strikes back
Avatar for Jono Alderson jonoalderson
0
1.1k
Accessibility Awareness
Avatar for Sarah Abderemane sabderemane
1
120
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
28
2.6k
Paper Plane
Avatar for Katie Cordina Lindsey katiecoart
PRO
1
50k
Designing Powerful Visuals for Engaging Learning
Avatar for Mike Taylor tmiket
1
370
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1033
470k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
Game over? The fight for quality and originality in the time of robots
Avatar for Wayne Barker wayneb77
1
170
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
Avatar for Sara Fernández Carmona sarafernandez
0
190

Transcript

  1. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 株式会社ZOZOテクノロジーズ 開発部

    SREチーム 横田 工 ZOZOTOWN HTTPS化におけるSREチームのアプローチ

  2. Copyright © ZOZO Technologies, Inc. All Rights Reserved. プロフィール ・株式会社スタートトゥデイ(現(株)ZOZO)に2013年新卒入社

    ・社内インフラ経験を2年程経てECサイト側インフラ担当へ ・オンプレ環境のサーバー・NWの運用を担当 ZOZOテクノロジーズ 開発部 SREチーム 横田 工

  3. Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 日本最大級のファッションショッピングサイト/アプリ

    ◦ 1,100以上のショップ、6,900以上のブランドの取り扱い (2018年9月末時点) ◦ 常時65万点以上の商品アイテム数と毎日平均3,100点以上の新 着商品を掲載 ◦ 即日配送サービス / ギフトラッピングサービス / ツケ払い な ど http://zozo.jp/

  4. Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 日本最大級のファッションコーディネートアプリ

    ◦ 1,200万ダウンロード突破、コーディネート投稿総数は800万件以 上(ともに2018年9月末時点) ◦ 全世界(App Store / Google playが利用可能な全ての国)でダ ウンロードが可能 ◦ 10万人以上のフォロワーを持つユーザー(WEARISTA)も誕生 https://wear.jp/

  5. Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 当社が独自に開発した採寸用ボディースーツ

    ◦ 全体に施されたドットマーカーをスマートフォンカメラで360度撮 影することで、体型データを計測 ◦ 計測した体型データは、瞬時に3Dモデル化され、ZOZOTOWNア プリに保存。3Dモデルはあらゆる角度に動かすことができ、体型を 360度チェックすることが可能 https://zozo.jp/zozosuit/

  6. Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦「ZOZOSUIT」で計測した体型データをもとに、一人ひとりの体型 に合った「あなたサイズ」のアイテム

    ◦「究極のフィット感」を実現したベーシックアイテムを提供 ◦ グローバルサイト「ZOZO.com」で海外展開 ◦ アイテム : Tシャツ、デニムパンツ、シャツ、ビジネススーツ、 ネクタイ、ボーダーTシャツ、長袖クルーネックTシャツ など https://zozo.jp/pb/

  7. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化におけるSREチームの取り組みについて ・SSL/TLSの向上

    ・HTTPS化に耐えうるインフラ構成への変更 2019年3月にZOZOTOWN(PC版・スマートフォン版サイト)のHTTPS化を実施 インフラ担当者としての取り組みについて紹介

  8. Copyright © ZOZO Technologies, Inc. All Rights Reserved. そもそもなぜサイトをHTTPS化するのか? ・各ブラウザ表示でのイメージダウン

    ・HTTP/2対応などが実現できる環境づくり ・SEOに与える影響

  9. Copyright © ZOZO Technologies, Inc. All Rights Reserved. →様々な理由・メリットが存在するが 自分たちの1番の目的は

    「ユーザーに安心してサイトをご利用いただくこと」

  10. Copyright © ZOZO Technologies, Inc. All Rights Reserved. Connection/Key Exchange

    RSA Forward Secrecy (ECDHE) SSL通信のおさらい

  11. Copyright © ZOZO Technologies, Inc. All Rights Reserved. SSL通信のおさらい 公開鍵・・・復号には秘密鍵が必要

    秘密鍵・・・公開鍵の復号に必要 共通鍵・・・暗号と復号にこの鍵を使う

  12. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 将来・・・ 秘密鍵

    GET! 秘密鍵から 共通鍵GET! SSL通信のおさらい

  13. Copyright © ZOZO Technologies, Inc. All Rights Reserved. SSL通信のおさらい クライアントとサーバー側で使い捨ての公開鍵と秘密鍵を持つ

    Forward Secrecy (ECDHE)

  14. Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN HTTPS化されたページはログインページなど一部のみ

  15. Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN 一部しかなかった保護されたページに関しても気になる点が・・・

    Google Chrome Developer Tool Securityパネル

  16. Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN 一部しかなかった保護されたページに関しても気になる点が・・・

    SSL Labs(https://www.ssllabs.com/)での判定

  17. Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN 一部しかなかった保護されたページに関しても気になる点が・・・

    SSL Labs(https://www.ssllabs.com/)での判定 →サイトHTTPS化と並行してSSL/TLSアルゴリズムを見直そう! そしてSSL評価をA判定まで持っていこう! SSL Labs(https://www.ssllabs.com/)での判定

  18. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 見直しとしては以下を実施することに決定 ①鍵交換の優先順位をRSA→ECDHE方式に変更する

    ②不要なCiphers等を精査する さらに、インフラ構成の見直しを行う SSL/TLSの向上

  19. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更

  20. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更 ・構成変更前の懸念点

    FW兼LBの役割が多く、サイトHTTPS化前からも アクセスの多い時期にはある程度の負荷状況が計測されていた

  21. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更 ・構成変更前の懸念点

    FW兼LBの役割が多く、サイトHTTPS化前からも アクセスの多い時期にはある程度の負荷状況が計測されていた →SSLの復号ポイントを変更し、スケールアウトが取れる構成への変更を決意 またSSL復号機器はECDHE-RSAの処理に特化した製品へ入替を決意

  22. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更

  23. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更 なるべく、本番に近い通信を・・・

    スループットやRequest量、Cookie長やWAF検知量など、このあたりはパートナーとも協力 構成の変更後、ピーク時のアクセスを捌ききれるか(且つECDHE系の鍵交換) →アクセス量ピーク時を想定した負荷試験を実施(1/N) 負荷試験にあたり専用の機器をレンタルした

  24. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 構成変更の結果・・・ 当日のSSL復号機器の負荷はほぼ想定通り

    負荷試験を行ったことで、HTTPS化当日は精神的にもかなり余裕がある状態で迎えられた さらに今後どの程度の成長まで既存の環境で耐えられるかの目途にもなる

  25. Copyright © ZOZO Technologies, Inc. All Rights Reserved. Ciphers見直しの結果・・・ Google

    Chrome Developer ToolのSecurityパネルもAllGreen SSL Labsの評価はB判定→A判定に(そもそもHTTP時代はF・・・)

  26. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 今後・・・ より安全なサイトにするためにできることはまだまだある

    また、HTTPS化を行った事で取り組んでいけるようになったことなども 自分たちからの提案や、開発チームからの依頼を受けた際に迅速に対応できる準備を ご清聴ありがとうございました!