Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CloudSecurityとANDPAD

ANDPAD inc
November 08, 2021
Technology
0
90

 CloudSecurityとANDPAD

2021.03.29 ANDPAD TechLive #9 ANDPAD SRE Night

ANDPAD inc

November 08, 2021
Tweet

More Decks by ANDPAD inc

See All by ANDPAD inc
本編では話さない Zig の話
andpad
2
160
"noncopyable types" の使いどころについて考えてみた
andpad
0
260
ANDPAD黒板のオフラインモード機能 リリースまでの軌跡
andpad
0
110
アンドパッドのマルチプロダクト戦略を支える SRE
andpad
1
130
Introduction of Cybersecurity with OSS (RDRC2024)
andpad
1
33
開発チームとともに進めるインフラセキュリティの継続的な改善
andpad
2
68
ANDPAD and Ruby
andpad
1
550
Modular semantic actions
andpad
0
120
about #67401 //go:linkname
andpad
3
22k

Other Decks in Technology

See All in Technology
EventHub Startup CTO of the year 2024 ピッチ資料
eventhub
0
110
The Rise of LLMOps
asei
7
1.5k
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k
個人でもIAM Identity Centerを使おう!(アクセス管理編)
ryder472
3
200
The Role of Developer Relations in AI Product Success.
giftojabu1
0
120
Introduction to Works of ML Engineer in LY Corporation
lycorp_recruit_jp
0
120
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
データプロダクトの定義からはじめる、データコントラクト駆動なデータ基盤
chanyou0311
2
310
複雑なState管理からの脱却
sansantech
PRO
1
140
サイバーセキュリティと認知バイアス:対策の隙を埋める心理学的アプローチ
shumei_ito
0
380
SREが投資するAIOps ~ペアーズにおけるLLM for Developerへの取り組み~
takumiogawa
1
240
Engineer Career Talk
lycorp_recruit_jp
0
170

Featured

See All Featured
What's new in Ruby 2.0
geeforr
343
31k
Music & Morning Musume
bryan
46
6.2k
The Cost Of JavaScript in 2023
addyosmani
45
6.7k
Docker and Python
trallard
40
3.1k
Happy Clients
brianwarren
98
6.7k
Documentation Writing (for coders)
carmenintech
65
4.4k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
How to Think Like a Performance Engineer
csswizardry
20
1.1k
Adopting Sorbet at Scale
ufuk
73
9.1k
Faster Mobile Websites
deanohume
305
30k

Transcript

  1. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 CloudSecurityとANDPAD SRE 宜野座 清貴

  2. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 名前: 宜野座 清貴 (ぎのざ きよたか) 大学卒業後、新卒で証券会社に入社。 その後、派遣エンジニアとして経験を積み、アンド パッドに入社 入社: 2020年 6月 (参加: 2019.2 ~) 職種: SREエンジニア 自己紹介 自己紹介 Confidential

  3. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 1. なぜCloudSecurityは重要なのか a. 世界のCloud市場 拡大 b. CloudSecuirty市場も拡大 c. 便利なクラウドサービス d. クラウドセキュリティインシデ ントはなぜ起きるのか 2. SREが取り組むCloudSecurity a. 責任共有モデル b. 予防的統制と発展的統制 c. 入 り 口 としてのアカウント 権 限 ・管理 d. データの保護 アジェンダ Confidential 話す内容に関して ※ 時間の都合上網羅的にお話しできるわけではありません。こ ちらに記載のない事項でももちろん重要なこともあると思われ ます。 ※ パブリッククラウドとしてAWS,GCPを使用しているためそ ちらに則ったお話しが多くなります。 ※ 今回はSecurityに関する話が中心になります。 最後に. ANDPAD Mission と CloudSecurity a. ANDPADのMission

  4. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 1. なぜCloudSecurityは重要なのか

  5. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ Cloud市場は拡大を続けている ◦ 今後も世界的に拡大を続ける予測 ▪ (出典: ガートナーNews記事) ◦ IDCjapanによると日本国内も2025年には2020年の2.4 倍 に 成 長 すると 予 測 されている (リンク: IDC JapanNews記事) ➢ 2020年は世界のデータセンター需要をクラウド需要が大きく抜い た年だった ◦ COVID-19がより変化を加速したという見立て ◦ 前年度比 35%増加で1300億ドルに達している ▪ (出典: Synergy Research Group) 世界のCloud市場の拡大 Confidential

  6. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ Cloud市場の拡大に合わせて、国内CloudSecurity市場も拡大して いる ➢ モバイルセキュリティソフトウェア ◦ スマホやタブレットなどに利用されるセキュリティソフト ◦ リモートの拡大と共に拡大している ➢ クラウドセキュリティソフトウェア ◦ インターネットゲートウェイセキュリティ ◦ クラウドシングルサインオン ◦ etc... ➢ 米Security Software関連企業の成長 ◦ Okta (IDass) ◦ Crowd Strike (エンドポイントセキュリティ) ◦ CloudFlare (CDN, DDos保護など) ◦ Paloalto Networks CloudSecurity市場の拡大 Confidential 国内モバイル/クラウドセキュリティ市場 製品セグメント別 売上額 予測、2017年~2024年(出典:IDC Japan)

  7. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ パブリッククラウドが一般的に利用されるようになってきている ◦ ネットワークやインフラ知識がすごくある人でなくても利用できるマネージ ドサービスの増加 ◦ 管理の手間の削減 (セキュリティパッチの適応、サーバーの保守運用 な ど) ◦ 必要な時に必要な分だけ ◦ 安価なデータ置き場 (データレイク など) ➢ 便利であるがゆえ、注意しなければならない点も多い ◦ 画面ぽちぽちすれば、公開設定ができてしまう ◦ 権限を与えすぎると、ちょっとしたミスで大惨事に ◦ デフォルトでポートがオープンになるVPC ◦ etc... 便利なクラウドサービス Confidential

  8. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ パスワード管理の問題 ◦ ログインする情報を簡単なパスワードにしていた ➢ 設定ミス ◦ 不要なポートが開きっぱなしになってしまっていた ◦ WAFの設定ミス ◦ S3のバケットポリシーが公開されていた(事例: ZDnet Japan) ➢ アプリ構築時のミス ◦ ソースコードにハードコートしたままGithubへ ◦ OSやミドルウェアのバージョンが脆弱性を残したまま本番稼働 ➢ 管理漏れ ◦ テスト環境から本番環境のサーバーへ不正アクセス ◦ アクセスキー の漏洩 (事例: ZDnet Japan) クラウドセキュリティインシデントはなぜ起きるのか Confidential

  9. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 2. SREが取り組むCloudSecurity

  10. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ AWSにおける責任共有モデル ◦ AWSにおいてセキュリティ対 策をする際に念 頭に置く必要がある ➢ AWSの責任部分 ◦ ハードウェア部分 ◦ マネージドサービス部分 ➢ ユーザーの責任部分 ◦ 主にOSより上の部分 ◦ ネットワークの保護 ◦ データの保護 ◦ IDアクセス管理 ◦ アプリケーション 責任共有モデル Confidential 出典: AWS 責任共有モデル

  11. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ 予防的統制 ◦ ユーザーの権限制御 ▪ ポリシーによる権限管理 ◦ アカウントの使用の制御 ▪ アカウント利用者を絞る ▪ 適切なアカウント発行フロー ◦ アクセス情報などの保護 ▪ Secrets Manager ▪ ParameterStore ◦ WAFでのアプリケーションの保護 ▪ マネージドルールやオリジナルルール などの活用 ▪ アクセスやBlock状況を可視化 予防的統制と発見的統制 Confidential ➢ 発見的統制 ◦ CloudTrail ▪ セキュリティに関わる変更を通知す る ◦ Config ▪ ルールから外れたものの自動修復 ◦ Guard Duty ▪ ネットワーク周りやS3への不 審なア クティビティを検知 ◦ Security Hub ◦ CloudWatch ◦ etc...

  12. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ IAMの権限管理 ◦ パスワードポリシーの適性化 ◦ 最小権限の原則 ◦ MFAを必須にする ◦ 静的クレデンシャルの発行抑制 ◦ 定期的な棚卸し ➢ アカウントの管理 ◦ SCPによるアカウントへのポリシー適応 ◦ 特定のリージョンの使用を制限する など ➢ ユーザーが増えると管理が煩雑になる(さまざまなインシデントの 入り口となるので非常に重要) ◦ アンドパッドも直面している課題の1つ ◦ IAM管理を考えるMTGを定期的に行って対策を進めてい る 入り口としてのアカウント権限・管理 Confidential

  13. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ➢ ストレージの暗号化 ◦ DB ◦ オブジェクトストレージ(S3, GCSなど) ◦ ブロックストレージ ➢ 通信の暗号化 ◦ SSLの必須化 ◦ プライベート通信の利用 ➢ 誤った削除からの保護 ◦ 削除できる権限を絞るかつ ◦ バージョン管理、バックアップ ➢ 適切なアクセス権限管理 ◦ 各種ストレージへのアクセスを絞る ➢ お客様のデータを預かるSaaS事業では非常に重要!! ◦ ANDPADでも取り組んでいます データの保護 Confidential

  14. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 最後に. ANDPAD Mission と CloudSecurity

  15. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 アンドパッドを使うことでより多くのユーザーの方に幸せになっていただくため、SREチームは 仲間と共に日々邁進しております。 日本を代表するSaaSカンパニーを支えるために、より安全で安心して使えるSecurityの取り組み を続けていきます。 幸せを築く人を、幸せに。 ANDPADのMission Confidential

  16. Copyright © 2020 Present ANDPAD Inc. This information is confidential

    and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止 ご清聴いただきありがとうございました! Copyright © 2020 Present ANDPAD Inc. This information is confidential and was prepared by ANDPAD Inc. for the use of our client. It is not to be relied on by and 3rd party. Proprietary & Confidential 無断転載・無断複製の禁止