Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CloudSecurityとANDPAD

ANDPAD inc
November 08, 2021
Technology
0
66

 CloudSecurityとANDPAD

2021.03.29 ANDPAD TechLive #9 ANDPAD SRE Night

ANDPAD inc

November 08, 2021
Tweet

More Decks by ANDPAD inc

See All by ANDPAD inc
MySQL の SQL クエリチューニングの要所を掴む勉強会
andpad
3
6.4k
Long journey of Ruby standard library
andpad
0
19
Go 1.22 の Vet 変更点について
andpad
0
280
アンドパッドのある開発チームでの OSS への取り組み
andpad
2
4.4k
最初のファンを作り、最初のファンに価値を届けるまで
andpad
1
740
Deep dive into Ruby's require
andpad
0
86
AWS Security Hub を 「有効化したけど見てない」人に向けた DevSecOps の実現方法
andpad
0
79
EC2 からの脱出劇:多用途なサーバの全役割をサーバレス・コンテナ環境へ
andpad
0
27
Ruby on Rails + Sidekiq構成のモノリシックサービスをコンテナ化した話
andpad
0
250

Other Decks in Technology

See All in Technology
レガシーをぶっ壊せ。AEONで始めるDevRelの話 / Qiita Night 2024-2-22
aeonpeople
3
1.3k
Cloud Native Java with Spring Boot (CNCF Aarhus, April 2024)
thomasvitale
1
170
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
4
16k
反実仮想機械学習とは何か
usaito
PRO
11
4.7k
20240418_Google ColabにLLMが搭載されたようなのでPython x データ分析の勉強方法を考えてみる
doradora09
0
140
ワールドカフェI /チューターを改良する / World Café I and Improving the Tutors
ks91
PRO
0
120
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
daitak
0
240
Google Cloud Next '24 Recap(Cloud Run/k8s)
mokocm
0
240
「スニダン」開発組織の構造に込めた意図 ~組織作りはパッションや政治ではない!~
rinchsan
3
570
Janus
bkuhlmann
1
490
Databricks における 『MLOps』
databricksjapan
2
170
どうするコスト最適化のトレードオフ
tetsuyaooooo
1
530

Featured

See All Featured
Embracing the Ebb and Flow
colly
80
4.1k
Web Components: a chance to create the future
zenorocha
305
41k
Why Our Code Smells
bkeepers
PRO
331
56k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
How GitHub Uses GitHub to Build GitHub
holman
468
290k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
78
43k
Being A Developer After 40
akosma
57
580k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
25
2.3k
Into the Great Unknown - MozCon
thekraken
10
990
Done Done
chrislema
178
15k
Practical Orchestrator
shlominoach
182
9.7k

Transcript

  1. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 CloudSecurityとANDPAD SRE 宜野座 清貴

  2. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 名前: 宜野座 清貴 (ぎのざ きよたか) 大学卒業後、新卒で証券会社に入社。 その後、派遣エンジニアとして経験を積み、アンド パッドに入社 入社: 2020年 6月 (参加: 2019.2 ~) 職種: SREエンジニア 自己紹介 自己紹介 Confidential

  3. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 1. なぜCloudSecurityは重要なのか a. 世界のCloud市場 拡大 b. CloudSecuirty市場も拡大 c. 便利なクラウドサービス d. クラウドセキュリティインシデ ントはなぜ起きるのか 2. SREが取り組むCloudSecurity a. 責任共有モデル b. 予防的統制と発展的統制 c. 入 り 口 としてのアカウント 権 限 ・管理 d. データの保護 アジェンダ Confidential 話す内容に関して ※ 時間の都合上網羅的にお話しできるわけではありません。こ ちらに記載のない事項でももちろん重要なこともあると思われ ます。 ※ パブリッククラウドとしてAWS,GCPを使用しているためそ ちらに則ったお話しが多くなります。 ※ 今回はSecurityに関する話が中心になります。 最後に. ANDPAD Mission と CloudSecurity a. ANDPADのMission

  4. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 1. なぜCloudSecurityは重要なのか

  5. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ Cloud市場は拡大を続けている ◦ 今後も世界的に拡大を続ける予測 ▪ (出典: ガートナーNews記事) ◦ IDCjapanによると日本国内も2025年には2020年の2.4 倍 に 成 長 すると 予 測 されている (リンク: IDC JapanNews記事) ➢ 2020年は世界のデータセンター需要をクラウド需要が大きく抜い た年だった ◦ COVID-19がより変化を加速したという見立て ◦ 前年度比 35%増加で1300億ドルに達している ▪ (出典: Synergy Research Group) 世界のCloud市場の拡大 Confidential

  6. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ Cloud市場の拡大に合わせて、国内CloudSecurity市場も拡大して いる ➢ モバイルセキュリティソフトウェア ◦ スマホやタブレットなどに利用されるセキュリティソフト ◦ リモートの拡大と共に拡大している ➢ クラウドセキュリティソフトウェア ◦ インターネットゲートウェイセキュリティ ◦ クラウドシングルサインオン ◦ etc... ➢ 米Security Software関連企業の成長 ◦ Okta (IDass) ◦ Crowd Strike (エンドポイントセキュリティ) ◦ CloudFlare (CDN, DDos保護など) ◦ Paloalto Networks CloudSecurity市場の拡大 Confidential 国内モバイル/クラウドセキュリティ市場 製品セグメント別 売上額 予測、2017年~2024年(出典:IDC Japan)

  7. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ パブリッククラウドが一般的に利用されるようになってきている ◦ ネットワークやインフラ知識がすごくある人でなくても利用できるマネージ ドサービスの増加 ◦ 管理の手間の削減 (セキュリティパッチの適応、サーバーの保守運用 な ど) ◦ 必要な時に必要な分だけ ◦ 安価なデータ置き場 (データレイク など) ➢ 便利であるがゆえ、注意しなければならない点も多い ◦ 画面ぽちぽちすれば、公開設定ができてしまう ◦ 権限を与えすぎると、ちょっとしたミスで大惨事に ◦ デフォルトでポートがオープンになるVPC ◦ etc... 便利なクラウドサービス Confidential

  8. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ パスワード管理の問題 ◦ ログインする情報を簡単なパスワードにしていた ➢ 設定ミス ◦ 不要なポートが開きっぱなしになってしまっていた ◦ WAFの設定ミス ◦ S3のバケットポリシーが公開されていた(事例: ZDnet Japan) ➢ アプリ構築時のミス ◦ ソースコードにハードコートしたままGithubへ ◦ OSやミドルウェアのバージョンが脆弱性を残したまま本番稼働 ➢ 管理漏れ ◦ テスト環境から本番環境のサーバーへ不正アクセス ◦ アクセスキー の漏洩 (事例: ZDnet Japan) クラウドセキュリティインシデントはなぜ起きるのか Confidential

  9. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 2. SREが取り組むCloudSecurity

  10. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ AWSにおける責任共有モデル ◦ AWSにおいてセキュリティ対 策をする際に念 頭に置く必要がある ➢ AWSの責任部分 ◦ ハードウェア部分 ◦ マネージドサービス部分 ➢ ユーザーの責任部分 ◦ 主にOSより上の部分 ◦ ネットワークの保護 ◦ データの保護 ◦ IDアクセス管理 ◦ アプリケーション 責任共有モデル Confidential 出典: AWS 責任共有モデル

  11. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ 予防的統制 ◦ ユーザーの権限制御 ▪ ポリシーによる権限管理 ◦ アカウントの使用の制御 ▪ アカウント利用者を絞る ▪ 適切なアカウント発行フロー ◦ アクセス情報などの保護 ▪ Secrets Manager ▪ ParameterStore ◦ WAFでのアプリケーションの保護 ▪ マネージドルールやオリジナルルール などの活用 ▪ アクセスやBlock状況を可視化 予防的統制と発見的統制 Confidential ➢ 発見的統制 ◦ CloudTrail ▪ セキュリティに関わる変更を通知す る ◦ Config ▪ ルールから外れたものの自動修復 ◦ Guard Duty ▪ ネットワーク周りやS3への不 審なア クティビティを検知 ◦ Security Hub ◦ CloudWatch ◦ etc...

  12. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ IAMの権限管理 ◦ パスワードポリシーの適性化 ◦ 最小権限の原則 ◦ MFAを必須にする ◦ 静的クレデンシャルの発行抑制 ◦ 定期的な棚卸し ➢ アカウントの管理 ◦ SCPによるアカウントへのポリシー適応 ◦ 特定のリージョンの使用を制限する など ➢ ユーザーが増えると管理が煩雑になる(さまざまなインシデントの 入り口となるので非常に重要) ◦ アンドパッドも直面している課題の1つ ◦ IAM管理を考えるMTGを定期的に行って対策を進めてい る 入り口としてのアカウント権限・管理 Confidential

  13. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ ストレージの暗号化 ◦ DB ◦ オブジェクトストレージ(S3, GCSなど) ◦ ブロックストレージ ➢ 通信の暗号化 ◦ SSLの必須化 ◦ プライベート通信の利用 ➢ 誤った削除からの保護 ◦ 削除できる権限を絞るかつ ◦ バージョン管理、バックアップ ➢ 適切なアクセス権限管理 ◦ 各種ストレージへのアクセスを絞る ➢ お客様のデータを預かるSaaS事業では非常に重要!! ◦ ANDPADでも取り組んでいます データの保護 Confidential

  14. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 最後に. ANDPAD Mission と CloudSecurity

  15. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 アンドパッドを使うことでより多くのユーザーの方に幸せになっていただくため、SREチームは 仲間と共に日々邁進しております。 日本を代表するSaaSカンパニーを支えるために、より安全で安心して使えるSecurityの取り組み を続けていきます。 幸せを築く人を、幸せに。 ANDPADのMission Confidential

  16. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ご清聴いただきありがとうございました! Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止