Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CloudSecurityとANDPAD

8847086af047cbf895ab3277b59529fe?s=47 ANDPAD inc
November 08, 2021

 CloudSecurityとANDPAD

2021.03.29 ANDPAD TechLive #9 ANDPAD SRE Night

8847086af047cbf895ab3277b59529fe?s=128

ANDPAD inc

November 08, 2021
Tweet

Transcript

  1. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 CloudSecurityとANDPAD SRE 宜野座 清貴
  2. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 名前: 宜野座 清貴 (ぎのざ きよたか) 大学卒業後、新卒で証券会社に入社。 その後、派遣エンジニアとして経験を積み、アンド パッドに入社 入社: 2020年 6月 (参加: 2019.2 ~) 職種: SREエンジニア 自己紹介 自己紹介 Confidential
  3. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 1. なぜCloudSecurityは重要なのか a. 世界のCloud市場 拡大 b. CloudSecuirty市場も拡大 c. 便利なクラウドサービス d. クラウドセキュリティインシデ ントはなぜ起きるのか 2. SREが取り組むCloudSecurity a. 責任共有モデル b. 予防的統制と発展的統制 c. 入 り 口 としてのアカウント 権 限 ・管理 d. データの保護 アジェンダ Confidential 話す内容に関して ※ 時間の都合上網羅的にお話しできるわけではありません。こ ちらに記載のない事項でももちろん重要なこともあると思われ ます。 ※ パブリッククラウドとしてAWS,GCPを使用しているためそ ちらに則ったお話しが多くなります。 ※ 今回はSecurityに関する話が中心になります。 最後に. ANDPAD Mission と CloudSecurity a. ANDPADのMission
  4. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 1. なぜCloudSecurityは重要なのか
  5. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ Cloud市場は拡大を続けている ◦ 今後も世界的に拡大を続ける予測 ▪ (出典: ガートナーNews記事) ◦ IDCjapanによると日本国内も2025年には2020年の2.4 倍 に 成 長 すると 予 測 されている (リンク: IDC JapanNews記事) ➢ 2020年は世界のデータセンター需要をクラウド需要が大きく抜い た年だった ◦ COVID-19がより変化を加速したという見立て ◦ 前年度比 35%増加で1300億ドルに達している ▪ (出典: Synergy Research Group) 世界のCloud市場の拡大 Confidential
  6. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ Cloud市場の拡大に合わせて、国内CloudSecurity市場も拡大して いる ➢ モバイルセキュリティソフトウェア ◦ スマホやタブレットなどに利用されるセキュリティソフト ◦ リモートの拡大と共に拡大している ➢ クラウドセキュリティソフトウェア ◦ インターネットゲートウェイセキュリティ ◦ クラウドシングルサインオン ◦ etc... ➢ 米Security Software関連企業の成長 ◦ Okta (IDass) ◦ Crowd Strike (エンドポイントセキュリティ) ◦ CloudFlare (CDN, DDos保護など) ◦ Paloalto Networks CloudSecurity市場の拡大 Confidential 国内モバイル/クラウドセキュリティ市場 製品セグメント別 売上額 予測、2017年~2024年(出典:IDC Japan)
  7. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ パブリッククラウドが一般的に利用されるようになってきている ◦ ネットワークやインフラ知識がすごくある人でなくても利用できるマネージ ドサービスの増加 ◦ 管理の手間の削減 (セキュリティパッチの適応、サーバーの保守運用 な ど) ◦ 必要な時に必要な分だけ ◦ 安価なデータ置き場 (データレイク など) ➢ 便利であるがゆえ、注意しなければならない点も多い ◦ 画面ぽちぽちすれば、公開設定ができてしまう ◦ 権限を与えすぎると、ちょっとしたミスで大惨事に ◦ デフォルトでポートがオープンになるVPC ◦ etc... 便利なクラウドサービス Confidential
  8. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ パスワード管理の問題 ◦ ログインする情報を簡単なパスワードにしていた ➢ 設定ミス ◦ 不要なポートが開きっぱなしになってしまっていた ◦ WAFの設定ミス ◦ S3のバケットポリシーが公開されていた(事例: ZDnet Japan) ➢ アプリ構築時のミス ◦ ソースコードにハードコートしたままGithubへ ◦ OSやミドルウェアのバージョンが脆弱性を残したまま本番稼働 ➢ 管理漏れ ◦ テスト環境から本番環境のサーバーへ不正アクセス ◦ アクセスキー の漏洩 (事例: ZDnet Japan) クラウドセキュリティインシデントはなぜ起きるのか Confidential
  9. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 2. SREが取り組むCloudSecurity
  10. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ AWSにおける責任共有モデル ◦ AWSにおいてセキュリティ対 策をする際に念 頭に置く必要がある ➢ AWSの責任部分 ◦ ハードウェア部分 ◦ マネージドサービス部分 ➢ ユーザーの責任部分 ◦ 主にOSより上の部分 ◦ ネットワークの保護 ◦ データの保護 ◦ IDアクセス管理 ◦ アプリケーション 責任共有モデル Confidential 出典: AWS 責任共有モデル
  11. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ 予防的統制 ◦ ユーザーの権限制御 ▪ ポリシーによる権限管理 ◦ アカウントの使用の制御 ▪ アカウント利用者を絞る ▪ 適切なアカウント発行フロー ◦ アクセス情報などの保護 ▪ Secrets Manager ▪ ParameterStore ◦ WAFでのアプリケーションの保護 ▪ マネージドルールやオリジナルルール などの活用 ▪ アクセスやBlock状況を可視化 予防的統制と発見的統制 Confidential ➢ 発見的統制 ◦ CloudTrail ▪ セキュリティに関わる変更を通知す る ◦ Config ▪ ルールから外れたものの自動修復 ◦ Guard Duty ▪ ネットワーク周りやS3への不 審なア クティビティを検知 ◦ Security Hub ◦ CloudWatch ◦ etc...
  12. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ IAMの権限管理 ◦ パスワードポリシーの適性化 ◦ 最小権限の原則 ◦ MFAを必須にする ◦ 静的クレデンシャルの発行抑制 ◦ 定期的な棚卸し ➢ アカウントの管理 ◦ SCPによるアカウントへのポリシー適応 ◦ 特定のリージョンの使用を制限する など ➢ ユーザーが増えると管理が煩雑になる(さまざまなインシデントの 入り口となるので非常に重要) ◦ アンドパッドも直面している課題の1つ ◦ IAM管理を考えるMTGを定期的に行って対策を進めてい る 入り口としてのアカウント権限・管理 Confidential
  13. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ ストレージの暗号化 ◦ DB ◦ オブジェクトストレージ(S3, GCSなど) ◦ ブロックストレージ ➢ 通信の暗号化 ◦ SSLの必須化 ◦ プライベート通信の利用 ➢ 誤った削除からの保護 ◦ 削除できる権限を絞るかつ ◦ バージョン管理、バックアップ ➢ 適切なアクセス権限管理 ◦ 各種ストレージへのアクセスを絞る ➢ お客様のデータを預かるSaaS事業では非常に重要!! ◦ ANDPADでも取り組んでいます データの保護 Confidential
  14. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 最後に. ANDPAD Mission と CloudSecurity
  15. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 アンドパッドを使うことでより多くのユーザーの方に幸せになっていただくため、SREチームは 仲間と共に日々邁進しております。 日本を代表するSaaSカンパニーを支えるために、より安全で安心して使えるSecurityの取り組み を続けていきます。 幸せを築く人を、幸せに。 ANDPADのMission Confidential
  16. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ご清聴いただきありがとうございました! Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止