Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Secur...

TomoyaKitaura
August 08, 2024
Technology
0
85

セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Security Initiatives

2024/7/29にKGDCの登壇資料です。

TomoyaKitaura

August 08, 2024
Tweet

More Decks by TomoyaKitaura

See All by TomoyaKitaura
社内共通コンテナレジストリを設立して、開発者体験向上を狙ってみた /Establishing container registry to improve DX
tomoyakitaura
2
170
LTワークショップ3日目 / LT Workshop Day 3
tomoyakitaura
0
140
LTワークショップ2日目 / LT Workshop Day 2
tomoyakitaura
0
130
LTワークショップ(1日目) / LT workshop day 1
tomoyakitaura
1
140
これまでの監視とクラウド時代の監視 / Monitoring the Past and the Cloud
tomoyakitaura
1
220
エンタープライズにおけるSRE立ち上げとNew Relic選定に至った背景とは / SRE Startup and New Relic in the Enterprise
tomoyakitaura
2
700
AWSとNew Relicのデータ連携を超高速で実装した話 / The story of a super-fast implementation of data integration between AWS and New Relic
tomoyakitaura
0
1.4k
Resilience Hubの登場が騒がれないなんておかしい!? / Resilience Hub is the best.
tomoyakitaura
0
210
セキュリティ勉強会 / How do we confront the threat
tomoyakitaura
0
120

Other Decks in Technology

See All in Technology
君は隠しイベントを見つけれるか?
mujyun
0
250
新卒1年目が挑む!生成AI × マルチエージェントで実現する次世代オンボーディング / operation-ai-onboarding
cyberagentdevelopers
PRO
1
160
生成AIの強みと弱みを理解して、生成AIがもたらすパワーをプロダクトの価値へ繋げるために実践したこと / advance-ai-generating
cyberagentdevelopers
PRO
1
170
よくわからんサービスについての問い合わせが来たときの強い味方 Amazon Q について
kazzpapa3
0
210
AWSコンテナ本出版から3年経った今、もし改めて執筆し直すなら / If I revise our container book
iselegant
15
3.9k
チームを主語にしてみる / Making "Team" the Subject
ar_tama
4
300
Java x Spring Boot Warm up
kazu_kichi_67
2
480
独自ツール開発でスタジオ撮影をDX!「VLS(Virtual LED Studio)」 / dx-studio-vls
cyberagentdevelopers
PRO
1
170
2024-10-30-reInventStandby_StudyGroup_Intro
shinichirokawano
1
590
いまならこう作りたい AWSコンテナ[本格]入門ハンズオン 〜2024年版 ハンズオンの構想〜
horsewin
9
2k
グローバル展開を見据えたサービスにおける機械翻訳プラクティス / dp-ai-translating
cyberagentdevelopers
PRO
1
150
LLMアプリをRagasで評価して、Langfuseで可視化しよう!
minorun365
PRO
3
300

Featured

See All Featured
Building Flexible Design Systems
yeseniaperezcruz
327
38k
Unsuck your backbone
ammeep
668
57k
Automating Front-end Workflow
addyosmani
1365
200k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
A Modern Web Designer's Workflow
chriscoyier
692
190k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
32
1.8k
Fontdeck: Realign not Redesign
paulrobertlloyd
81
5.2k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
3
370
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
41
2.1k
How GitHub (no longer) Works
holman
311
140k
Why You Should Never Use an ORM
jnunemaker
PRO
53
9k
[RailsConf 2023] Rails as a piece of cake
palkan
51
4.8k

Transcript

  1. セキュリティ活動をちょっとずつやる作戦を 導入するにあたって目指したこと、得られたもの KDDIアジャイル開発センター株式会社 Tomoya Kitaura KDDI Group Developer Community(KGDC) 2024/7/29

  2. 自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センター リードSRE ▪技術コミュニティ運営 - - JAWS-UG

    コンテナ支部 - JAWS-UG SRE支部 - NRUG SRE支部 2 2 ▪著書 - 俺たちのSREとNew Relic

  3. 当時の僕のポジション 3 SRE Unit プロダクトA プロダクトA プロダクトB プロダクトC チーム横断組織とプロダクト開発を大体5:5くらいの 割合で従事

  4. 当時の僕のモチベーション 4 上手にセキュリティ活動がやりたい!!!

  5. ところで。 5 上手とは・・・?

  6. 料理の場合 6 作りたい料理を考える。 思いつく。 材料や使う調味料の種類や 量、調理工程を計画 作る 食べる 無理やり料理に例えてみる。 全体の流れはこんな感じ。

  7. 問題点にいつ気づけるか 7 作りたい料理を考える。 思いつく。 材料や使う調味料の種類や 量、調理工程を計画 作る 食べる 修正コスト 影響

    検知する 難易度

  8. セキュリティも同じ 8 企画 設計 実装 リリース 如何にコストや影響が低いタイミングで 問題を解決できるかどうか。 より左での解決を目指すアプローチを シフトレフトという。

  9. ところで。 9 さて、何をやろう?

  10. ツールの導入(ボツ) 10 企画 設計 実装 リリース ツールを導入するところまでをゴールと するような企画も検討した。 ただ、それだと企画・設計での解決アプローチから は遠いと感じた。(導入コスト高いし)

    ツール導入の検知タイミング

  11. 企画・設計に介入するためには 11 企画 設計 実装 リリース 開発者の予兆能力を上げるために、 少ない投資でセキュリティと向き合うことを 習慣化したらどうかと考えた。

  12. 選定したセキュリティツール 12 - AWS Security Hub - AWSの設定上の脅威を検知。 - マネコン上から数クリックで実装が可能

    - みんなAWSは触り慣れてる。 - New Relic Vulnerability Management - アプリケーションモジュール脆弱性検知 - APM導入してたので、 自動で計測されていた。

  13. 実施した活動 13 - パフォーマンス定点観測会 - 週に1回、1時間枠で実施。 - やろうと思えば無限にできてしまうので、 1時間枠は守る。 -

    手ぶら参加OK(事前用意などはしない) - モブプロスタイル - 気づきがあれば、みんなで考察し、 必要あれば、調査タスクや対応タスクを作る

  14. パフォーマンス定点観測会のアジェンダ① 14 - 開催イベントの確認 - システムに影響のありそうな 今週分のイベントをサッと見る。 - プッシュ通知いつ打ったとか。 -

    最初にイベントを把握しておくと、 後に因果関係を把握することができる。

  15. パフォーマンス定点観測会のアジェンダ② 15 - New Relicのメトリクスダッシュボードを サッと見る。 - ALBの2xx,4xx,5xxカウントやレイテンシー - RDSのCPU使用量、スロークエリ

    - APMのTransactions - SLO/SLI(作ってたら) - プロダクトのビジネスにとって最も大切に していることが観測できると良い。

  16. パフォーマンス定点観測会のアジェンダ③ 16 - セキュリティ周りの遵守状況をサッと見る。 - Security Hubのコントロール - New Relic

    Vulnerability Managementの 検知状況 - STG環境で活用した。 - 抑制処理や優先度などは開発チームが 意思決定する。 - 検知項目を解消することを目的としない。

  17. パフォーマンス定点観測会のアジェンダ④ 17 - AWSの請求ダッシュボードをサッと見る。 - 月に一回、最初の週だけ実施。 - 先月と比較して、料金に変化はあるか - 変化は想定の範囲かどうか

  18. 所感 18 - シフトレフトできたか。 - 体感できた。 - 緊急性の高い脆弱性が発見された時の初動も 早くなった。 -

    週に1回やってることだし慣れた。 - トリアージも開発チーム内でできるし、提案 までいけるようになった。 - 何より、システムを観測することは楽しかった

  19. さいごに 19 ご静聴ありがとうございました!!