Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Secur...

Avatar for TomoyaKitaura TomoyaKitaura
August 08, 2024
Technology
0
190

セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Security Initiatives

2024/7/29にKGDCの登壇資料です。

Avatar for TomoyaKitaura

TomoyaKitaura

August 08, 2024
Tweet

More Decks by TomoyaKitaura

See All by TomoyaKitaura
New Relicの推せるところ・推せないところ / newrelic good and bad
Avatar for TomoyaKitaura tomoyakitaura
0
120
サービスレベルを管理してアジャイルを加速しよう!! / slm-accelerate-agility
Avatar for TomoyaKitaura tomoyakitaura
1
270
「頑張る」を「楽しむ」に変換する技術
Avatar for TomoyaKitaura tomoyakitaura
17
11k
これからの設計で変わること pre:invent2024アップデート速報 / pre:invent2024 network update
Avatar for TomoyaKitaura tomoyakitaura
1
250
社内共通コンテナレジストリを設立して、開発者体験向上を狙ってみた /Establishing container registry to improve DX
Avatar for TomoyaKitaura tomoyakitaura
2
210
LTワークショップ3日目 / LT Workshop Day 3
Avatar for TomoyaKitaura tomoyakitaura
0
190
LTワークショップ2日目 / LT Workshop Day 2
Avatar for TomoyaKitaura tomoyakitaura
0
170
LTワークショップ(1日目) / LT workshop day 1
Avatar for TomoyaKitaura tomoyakitaura
1
200
これまでの監視とクラウド時代の監視 / Monitoring the Past and the Cloud
Avatar for TomoyaKitaura tomoyakitaura
1
330

Other Decks in Technology

See All in Technology
AWSのProductのLifecycleについて
Avatar for Takuya Shibata stknohg
PRO
0
300
AI×Data×SaaS×Operation
Avatar for SansanTech sansantech
PRO
0
110
業務自動化プラットフォーム Google Agentspace に入門してみる #devio2025
Avatar for maroon1st maroon1st
0
170
Green Tea Garbage Collector の今
Avatar for zchee zchee
PRO
2
360
Railsアプリケーション開発者のためのブックガイド
Avatar for Masayoshi Takahashi takahashim
12
5.2k
"複雑なデータ処理 × 静的サイト" を両立させる、楽をするRails運用 / A low-effort Rails workflow that combines “Complex Data Processing × Static Sites”
Avatar for hogelog hogelog
3
1.3k
KAGのLT会 #8 - 東京リージョンでGAしたAmazon Q in QuickSightを使って、報告用の資料を作ってみた
Avatar for arap / 0air 0air
0
180
Go Conference 2025: GoのinterfaceとGenericsの内部構造と進化 / Go type system internals
Avatar for turbofish ryokotmng
3
540
ユニットテストに対する考え方の変遷 / Everyone should watch his live coding
Avatar for mdstoy mdstoy
0
110
Flaky Testへの現実解をGoのプロポーザルから考える | Go Conference 2025
Avatar for upamune / Yu SERIZAWA upamune
1
310
Goを使ってTDDを体験しよう!
Avatar for chiroruxx chiroruxx
1
230
Why React!?? Next.jsそしてReactを改めてイチから選ぶ
Avatar for ypresto ypresto
10
3.7k

Featured

See All Featured
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
352
21k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
15k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
56
14k
Scaling GitHub
Avatar for Zach Holman holman
463
140k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
84
9.2k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
30
9.7k
How GitHub (no longer) Works
Avatar for Zach Holman holman
315
140k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
33
2.4k
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
3
140
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
950

Transcript

  1. セキュリティ活動をちょっとずつやる作戦を 導入するにあたって目指したこと、得られたもの KDDIアジャイル開発センター株式会社 Tomoya Kitaura KDDI Group Developer Community(KGDC) 2024/7/29

  2. 自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センター リードSRE ▪技術コミュニティ運営 - - JAWS-UG

    コンテナ支部 - JAWS-UG SRE支部 - NRUG SRE支部 2 2 ▪著書 - 俺たちのSREとNew Relic

  3. 当時の僕のポジション 3 SRE Unit プロダクトA プロダクトA プロダクトB プロダクトC チーム横断組織とプロダクト開発を大体5:5くらいの 割合で従事

  4. 当時の僕のモチベーション 4 上手にセキュリティ活動がやりたい!!!

  5. ところで。 5 上手とは・・・?

  6. 料理の場合 6 作りたい料理を考える。 思いつく。 材料や使う調味料の種類や 量、調理工程を計画 作る 食べる 無理やり料理に例えてみる。 全体の流れはこんな感じ。

  7. 問題点にいつ気づけるか 7 作りたい料理を考える。 思いつく。 材料や使う調味料の種類や 量、調理工程を計画 作る 食べる 修正コスト 影響

    検知する 難易度

  8. セキュリティも同じ 8 企画 設計 実装 リリース 如何にコストや影響が低いタイミングで 問題を解決できるかどうか。 より左での解決を目指すアプローチを シフトレフトという。

  9. ところで。 9 さて、何をやろう?

  10. ツールの導入(ボツ) 10 企画 設計 実装 リリース ツールを導入するところまでをゴールと するような企画も検討した。 ただ、それだと企画・設計での解決アプローチから は遠いと感じた。(導入コスト高いし)

    ツール導入の検知タイミング

  11. 企画・設計に介入するためには 11 企画 設計 実装 リリース 開発者の予兆能力を上げるために、 少ない投資でセキュリティと向き合うことを 習慣化したらどうかと考えた。

  12. 選定したセキュリティツール 12 - AWS Security Hub - AWSの設定上の脅威を検知。 - マネコン上から数クリックで実装が可能

    - みんなAWSは触り慣れてる。 - New Relic Vulnerability Management - アプリケーションモジュール脆弱性検知 - APM導入してたので、 自動で計測されていた。

  13. 実施した活動 13 - パフォーマンス定点観測会 - 週に1回、1時間枠で実施。 - やろうと思えば無限にできてしまうので、 1時間枠は守る。 -

    手ぶら参加OK(事前用意などはしない) - モブプロスタイル - 気づきがあれば、みんなで考察し、 必要あれば、調査タスクや対応タスクを作る

  14. パフォーマンス定点観測会のアジェンダ① 14 - 開催イベントの確認 - システムに影響のありそうな 今週分のイベントをサッと見る。 - プッシュ通知いつ打ったとか。 -

    最初にイベントを把握しておくと、 後に因果関係を把握することができる。

  15. パフォーマンス定点観測会のアジェンダ② 15 - New Relicのメトリクスダッシュボードを サッと見る。 - ALBの2xx,4xx,5xxカウントやレイテンシー - RDSのCPU使用量、スロークエリ

    - APMのTransactions - SLO/SLI(作ってたら) - プロダクトのビジネスにとって最も大切に していることが観測できると良い。

  16. パフォーマンス定点観測会のアジェンダ③ 16 - セキュリティ周りの遵守状況をサッと見る。 - Security Hubのコントロール - New Relic

    Vulnerability Managementの 検知状況 - STG環境で活用した。 - 抑制処理や優先度などは開発チームが 意思決定する。 - 検知項目を解消することを目的としない。

  17. パフォーマンス定点観測会のアジェンダ④ 17 - AWSの請求ダッシュボードをサッと見る。 - 月に一回、最初の週だけ実施。 - 先月と比較して、料金に変化はあるか - 変化は想定の範囲かどうか

  18. 所感 18 - シフトレフトできたか。 - 体感できた。 - 緊急性の高い脆弱性が発見された時の初動も 早くなった。 -

    週に1回やってることだし慣れた。 - トリアージも開発チーム内でできるし、提案 までいけるようになった。 - 何より、システムを観測することは楽しかった

  19. さいごに 19 ご静聴ありがとうございました!!