Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Secur...

セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Security Initiatives

2024/7/29にKGDCの登壇資料です。

TomoyaKitaura

August 08, 2024
Tweet

More Decks by TomoyaKitaura

Other Decks in Technology

Transcript

  1. 自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センター リードSRE ▪技術コミュニティ運営 - - JAWS-UG

    コンテナ支部 - JAWS-UG SRE支部 - NRUG SRE支部 2 2 ▪著書 - 俺たちのSREとNew Relic
  2. 選定したセキュリティツール 12 - AWS Security Hub - AWSの設定上の脅威を検知。 - マネコン上から数クリックで実装が可能

    - みんなAWSは触り慣れてる。 - New Relic Vulnerability Management - アプリケーションモジュール脆弱性検知 - APM導入してたので、 自動で計測されていた。
  3. 実施した活動 13 - パフォーマンス定点観測会 - 週に1回、1時間枠で実施。 - やろうと思えば無限にできてしまうので、 1時間枠は守る。 -

    手ぶら参加OK(事前用意などはしない) - モブプロスタイル - 気づきがあれば、みんなで考察し、 必要あれば、調査タスクや対応タスクを作る
  4. パフォーマンス定点観測会のアジェンダ② 15 - New Relicのメトリクスダッシュボードを サッと見る。 - ALBの2xx,4xx,5xxカウントやレイテンシー - RDSのCPU使用量、スロークエリ

    - APMのTransactions - SLO/SLI(作ってたら) - プロダクトのビジネスにとって最も大切に していることが観測できると良い。
  5. パフォーマンス定点観測会のアジェンダ③ 16 - セキュリティ周りの遵守状況をサッと見る。 - Security Hubのコントロール - New Relic

    Vulnerability Managementの 検知状況 - STG環境で活用した。 - 抑制処理や優先度などは開発チームが 意思決定する。 - 検知項目を解消することを目的としない。
  6. 所感 18 - シフトレフトできたか。 - 体感できた。 - 緊急性の高い脆弱性が発見された時の初動も 早くなった。 -

    週に1回やってることだし慣れた。 - トリアージも開発チーム内でできるし、提案 までいけるようになった。 - 何より、システムを観測することは楽しかった