Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Secur...
Search
TomoyaKitaura
August 08, 2024
Technology
0
230
セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Security Initiatives
2024/7/29にKGDCの登壇資料です。
TomoyaKitaura
August 08, 2024
Tweet
Share
More Decks by TomoyaKitaura
See All by TomoyaKitaura
New Relicの推せるところ・推せないところ / newrelic good and bad
tomoyakitaura
0
210
サービスレベルを管理してアジャイルを加速しよう!! / slm-accelerate-agility
tomoyakitaura
1
330
「頑張る」を「楽しむ」に変換する技術
tomoyakitaura
19
11k
これからの設計で変わること pre:invent2024アップデート速報 / pre:invent2024 network update
tomoyakitaura
1
290
社内共通コンテナレジストリを設立して、開発者体験向上を狙ってみた /Establishing container registry to improve DX
tomoyakitaura
2
220
LTワークショップ3日目 / LT Workshop Day 3
tomoyakitaura
0
210
LTワークショップ2日目 / LT Workshop Day 2
tomoyakitaura
0
190
LTワークショップ(1日目) / LT workshop day 1
tomoyakitaura
1
230
これまでの監視とクラウド時代の監視 / Monitoring the Past and the Cloud
tomoyakitaura
1
360
Other Decks in Technology
See All in Technology
Oracle Cloud Infrastructure IaaS 新機能アップデート 2025/12 - 2026/2
oracle4engineer
PRO
0
170
It’s “Time” to use Temporal
sajikix
3
220
ABEMAのバグバウンティの取り組み
kurochan
1
110
生成AIで速度と品質を両立する、QAエンジニア・開発者連携のAI協調型テストプロセス
shota_kusaba
0
200
(Test) ai-meetup slide creation
oikon48
3
460
品質を経営にどう語るか #jassttokyo / Communicating the Strategic Value of Quality to Executive Leadership
kyonmm
PRO
2
570
WebアクセシビリティをCI/CDで担保する ― axe DevTools × Playwright C#実践ガイド
tomokusaba
2
180
visionOS 開発向けの MCP / Skills をつくり続けることで XR の探究と学習を最大化
karad
1
840
Mitigating geopolitical risks with local-first software and atproto
ept
0
120
Kubernetesにおける推論基盤
ry
1
420
Claude Code Skills 勉強会 (DevelersIO向けに調整済み) / claude code skills for devio
masahirokawahara
1
22k
【Λ(らむだ)】最近のアプデ情報 / RPALT20260318
lambda
0
100
Featured
See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.7k
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
150
Music & Morning Musume
bryan
47
7.1k
A designer walks into a library…
pauljervisheath
210
24k
Exploring the relationship between traditional SERPs and Gen AI search
raygrieselhuber
PRO
2
3.7k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
kimpetersen
PRO
0
270
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
230
A better future with KSS
kneath
240
18k
Technical Leadership for Architectural Decision Making
baasie
3
300
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
130
Building the Perfect Custom Keyboard
takai
2
710
Become a Pro
speakerdeck
PRO
31
5.9k
Transcript
セキュリティ活動をちょっとずつやる作戦を 導入するにあたって目指したこと、得られたもの KDDIアジャイル開発センター株式会社 Tomoya Kitaura KDDI Group Developer Community(KGDC) 2024/7/29
自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センター リードSRE ▪技術コミュニティ運営 - - JAWS-UG
コンテナ支部 - JAWS-UG SRE支部 - NRUG SRE支部 2 2 ▪著書 - 俺たちのSREとNew Relic
当時の僕のポジション 3 SRE Unit プロダクトA プロダクトA プロダクトB プロダクトC チーム横断組織とプロダクト開発を大体5:5くらいの 割合で従事
当時の僕のモチベーション 4 上手にセキュリティ活動がやりたい!!!
ところで。 5 上手とは・・・?
料理の場合 6 作りたい料理を考える。 思いつく。 材料や使う調味料の種類や 量、調理工程を計画 作る 食べる 無理やり料理に例えてみる。 全体の流れはこんな感じ。
問題点にいつ気づけるか 7 作りたい料理を考える。 思いつく。 材料や使う調味料の種類や 量、調理工程を計画 作る 食べる 修正コスト 影響
検知する 難易度
セキュリティも同じ 8 企画 設計 実装 リリース 如何にコストや影響が低いタイミングで 問題を解決できるかどうか。 より左での解決を目指すアプローチを シフトレフトという。
ところで。 9 さて、何をやろう?
ツールの導入(ボツ) 10 企画 設計 実装 リリース ツールを導入するところまでをゴールと するような企画も検討した。 ただ、それだと企画・設計での解決アプローチから は遠いと感じた。(導入コスト高いし)
ツール導入の検知タイミング
企画・設計に介入するためには 11 企画 設計 実装 リリース 開発者の予兆能力を上げるために、 少ない投資でセキュリティと向き合うことを 習慣化したらどうかと考えた。
選定したセキュリティツール 12 - AWS Security Hub - AWSの設定上の脅威を検知。 - マネコン上から数クリックで実装が可能
- みんなAWSは触り慣れてる。 - New Relic Vulnerability Management - アプリケーションモジュール脆弱性検知 - APM導入してたので、 自動で計測されていた。
実施した活動 13 - パフォーマンス定点観測会 - 週に1回、1時間枠で実施。 - やろうと思えば無限にできてしまうので、 1時間枠は守る。 -
手ぶら参加OK(事前用意などはしない) - モブプロスタイル - 気づきがあれば、みんなで考察し、 必要あれば、調査タスクや対応タスクを作る
パフォーマンス定点観測会のアジェンダ① 14 - 開催イベントの確認 - システムに影響のありそうな 今週分のイベントをサッと見る。 - プッシュ通知いつ打ったとか。 -
最初にイベントを把握しておくと、 後に因果関係を把握することができる。
パフォーマンス定点観測会のアジェンダ② 15 - New Relicのメトリクスダッシュボードを サッと見る。 - ALBの2xx,4xx,5xxカウントやレイテンシー - RDSのCPU使用量、スロークエリ
- APMのTransactions - SLO/SLI(作ってたら) - プロダクトのビジネスにとって最も大切に していることが観測できると良い。
パフォーマンス定点観測会のアジェンダ③ 16 - セキュリティ周りの遵守状況をサッと見る。 - Security Hubのコントロール - New Relic
Vulnerability Managementの 検知状況 - STG環境で活用した。 - 抑制処理や優先度などは開発チームが 意思決定する。 - 検知項目を解消することを目的としない。
パフォーマンス定点観測会のアジェンダ④ 17 - AWSの請求ダッシュボードをサッと見る。 - 月に一回、最初の週だけ実施。 - 先月と比較して、料金に変化はあるか - 変化は想定の範囲かどうか
所感 18 - シフトレフトできたか。 - 体感できた。 - 緊急性の高い脆弱性が発見された時の初動も 早くなった。 -
週に1回やってることだし慣れた。 - トリアージも開発チーム内でできるし、提案 までいけるようになった。 - 何より、システムを観測することは楽しかった
さいごに 19 ご静聴ありがとうございました!!
tomoyakitaura
oracle4engineer
sajikix
kurochan
.jpg){kind=avatar}
shota_kusaba
oikon48
kyonmm
tomokusaba
karad
ept
ry
masahirokawahara
lambda
jcasabona
jacobtomlinson
bryan
pauljervisheath
raygrieselhuber
kimpetersen
tamaranovitovic
kneath
baasie
jdejongh
takai
speakerdeck
