2021.03.29 ANDPAD TechLive #9 ANDPAD SRE Night
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止CloudSecurityとANDPADSRE 宜野座 清貴
View Slide
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止名前: 宜野座 清貴 (ぎのざ きよたか)大学卒業後、新卒で証券会社に入社。その後、派遣エンジニアとして経験を積み、アンドパッドに入社入社: 2020年 6月 (参加: 2019.2 ~)職種: SREエンジニア自己紹介自己紹介Confidential
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止1. なぜCloudSecurityは重要なのかa. 世界のCloud市場 拡大b. CloudSecuirty市場も拡大c. 便利なクラウドサービスd. クラウドセキュリティインシデントはなぜ起きるのか2. SREが取り組むCloudSecuritya. 責任共有モデルb. 予防的統制と発展的統制c. 入 り 口 としてのアカウント 権 限・管理d. データの保護アジェンダConfidential話す内容に関して※ 時間の都合上網羅的にお話しできるわけではありません。こちらに記載のない事項でももちろん重要なこともあると思われます。※ パブリッククラウドとしてAWS,GCPを使用しているためそちらに則ったお話しが多くなります。※ 今回はSecurityに関する話が中心になります。最後に. ANDPAD Mission と CloudSecuritya. ANDPADのMission
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止1. なぜCloudSecurityは重要なのか
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止➢ Cloud市場は拡大を続けている○ 今後も世界的に拡大を続ける予測■ (出典: ガートナーNews記事)○ IDCjapanによると日本国内も2025年には2020年の2.4倍 に 成 長 すると 予 測 されている(リンク: IDC JapanNews記事)➢ 2020年は世界のデータセンター需要をクラウド需要が大きく抜いた年だった○ COVID-19がより変化を加速したという見立て○ 前年度比 35%増加で1300億ドルに達している■ (出典: Synergy Research Group)世界のCloud市場の拡大Confidential
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止➢ Cloud市場の拡大に合わせて、国内CloudSecurity市場も拡大している➢ モバイルセキュリティソフトウェア○ スマホやタブレットなどに利用されるセキュリティソフト○ リモートの拡大と共に拡大している➢ クラウドセキュリティソフトウェア○ インターネットゲートウェイセキュリティ○ クラウドシングルサインオン○ etc...➢ 米Security Software関連企業の成長○ Okta (IDass)○ Crowd Strike (エンドポイントセキュリティ)○ CloudFlare (CDN, DDos保護など)○ Paloalto NetworksCloudSecurity市場の拡大Confidential国内モバイル/クラウドセキュリティ市場 製品セグメント別 売上額予測、2017年~2024年(出典:IDC Japan)
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止➢ パブリッククラウドが一般的に利用されるようになってきている○ ネットワークやインフラ知識がすごくある人でなくても利用できるマネージドサービスの増加○ 管理の手間の削減 (セキュリティパッチの適応、サーバーの保守運用 など)○ 必要な時に必要な分だけ○ 安価なデータ置き場 (データレイク など)➢ 便利であるがゆえ、注意しなければならない点も多い○ 画面ぽちぽちすれば、公開設定ができてしまう○ 権限を与えすぎると、ちょっとしたミスで大惨事に○ デフォルトでポートがオープンになるVPC○ etc...便利なクラウドサービスConfidential
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止➢ パスワード管理の問題○ ログインする情報を簡単なパスワードにしていた➢ 設定ミス○ 不要なポートが開きっぱなしになってしまっていた○ WAFの設定ミス○ S3のバケットポリシーが公開されていた(事例: ZDnet Japan)➢ アプリ構築時のミス○ ソースコードにハードコートしたままGithubへ○ OSやミドルウェアのバージョンが脆弱性を残したまま本番稼働➢ 管理漏れ○ テスト環境から本番環境のサーバーへ不正アクセス○ アクセスキー の漏洩 (事例: ZDnet Japan)クラウドセキュリティインシデントはなぜ起きるのかConfidential
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止2. SREが取り組むCloudSecurity
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止➢ AWSにおける責任共有モデル○ AWSにおいてセキュリティ対 策をする際に念頭に置く必要がある➢ AWSの責任部分○ ハードウェア部分○ マネージドサービス部分➢ ユーザーの責任部分○ 主にOSより上の部分○ ネットワークの保護○ データの保護○ IDアクセス管理○ アプリケーション責任共有モデルConfidential出典: AWS 責任共有モデル
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止➢ 予防的統制○ ユーザーの権限制御■ ポリシーによる権限管理○ アカウントの使用の制御■ アカウント利用者を絞る■ 適切なアカウント発行フロー○ アクセス情報などの保護■ Secrets Manager■ ParameterStore○ WAFでのアプリケーションの保護■ マネージドルールやオリジナルルールなどの活用■ アクセスやBlock状況を可視化予防的統制と発見的統制Confidential➢ 発見的統制○ CloudTrail■ セキュリティに関わる変更を通知する○ Config■ ルールから外れたものの自動修復○ Guard Duty■ ネットワーク周りやS3への不 審なアクティビティを検知○ Security Hub○ CloudWatch○ etc...
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止➢ IAMの権限管理○ パスワードポリシーの適性化○ 最小権限の原則○ MFAを必須にする○ 静的クレデンシャルの発行抑制○ 定期的な棚卸し➢ アカウントの管理○ SCPによるアカウントへのポリシー適応○ 特定のリージョンの使用を制限する など➢ ユーザーが増えると管理が煩雑になる(さまざまなインシデントの入り口となるので非常に重要)○ アンドパッドも直面している課題の1つ○ IAM管理を考えるMTGを定期的に行って対策を進めている入り口としてのアカウント権限・管理Confidential
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止➢ ストレージの暗号化○ DB○ オブジェクトストレージ(S3, GCSなど)○ ブロックストレージ➢ 通信の暗号化○ SSLの必須化○ プライベート通信の利用➢ 誤った削除からの保護○ 削除できる権限を絞るかつ○ バージョン管理、バックアップ➢ 適切なアクセス権限管理○ 各種ストレージへのアクセスを絞る➢ お客様のデータを預かるSaaS事業では非常に重要!!○ ANDPADでも取り組んでいますデータの保護Confidential
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止最後に. ANDPAD Mission と CloudSecurity
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止アンドパッドを使うことでより多くのユーザーの方に幸せになっていただくため、SREチームは仲間と共に日々邁進しております。日本を代表するSaaSカンパニーを支えるために、より安全で安心して使えるSecurityの取り組みを続けていきます。幸せを築く人を、幸せに。ANDPADのMissionConfidential
Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止ご清聴いただきありがとうございました!Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止
andpad
lmi
soachr
hirokiotsuka
yutaro527
takahashikazutaro
hirosatogamo
line_developers_tw
tamaiyutaro
oracle4engineer
minorun365
aiji42
oogfranz
andyhume
geoffreycrofte
phodgson
brad_frost
cherdarchuk
jlugia
hatefulcrawdad
trishagee
wjessup
chrisshort
tanoku
aki_iinuma