Upgrade to Pro — share decks privately, control downloads, hide ads and more …

スタートアップがSecurityをSREから担保するには?

 スタートアップがSecurityをSREから担保するには?

B2B SaaS Tech「避けては通れぬセキュリティ」

Eiji Sugiura

July 31, 2019
Tweet

More Decks by Eiji Sugiura

Other Decks in Technology

Transcript

  1. 創業からIPOまで、中小企業活性化のためのサービスを一気通貫で提供
 freee会社概要
 ❂ 納税する
 ↗ 育てる
 ↻ 運営する 
 ✩

    はじめる
 会社設立 freee
 開業 freee
 クラウド会計ソフト freee 
 人事労務 freee
 (マイナンバー管理 freee 含む) 
 クラウド申告 freee
 161億603万円 (資本準備金等含む) 従業員数 事業内容 クラウド型バックオフィスサービスの開発・販売 資本金 設立年月日 2012年7月 505名(2019年1月末時点) 2017年「働きがいのある会社」 ランキング3位 4

  2. 会計・給与共に法人シェアNo.1
 クラウド給与ソフト
 市場
 40% クラウド会計ソフト
 市場
 35.2% 100万
 事業所
 以上


    10万
 事業所
 以上
 * BCN調べ * MM総研調べ * 2017年8月より、クラウド給与計算ソフト freeeは、機能を強化し、新たに 「人事労務 freee」というサービス名に変更しました。  
 5
  3. 9 9 金融機関・
 各種サービス連携数
 4,000 以上
 ※2019年1月時点
 POSレジ
 金融機関
 ログイン・

    認証
 業務システム
 ECサイト
 共有ツール
 決済サービス
 ファイル取込
 クラウド会計ソフト 業界最多の連携数を実現 9

  4. Culture of Developers 開発文化 12 品質を犠牲にしない最高速度 最優先するミッションは、高速リリースにより顧客に価値を届けること リリースには、顧客にとって価値がある最低限の品質が求められる 速さと品質を両立するために、自動化や開発プロセスの工夫を行なう トラッカビリティ大事

    プロダクトや施策は作りっぱなしにせず追跡可能な状態にしておく 推測より計測:反復するかどうかは、計測されたデータを見て決める 失敗して攻めよう 学びのある失敗をして最速で成長しよう 学びのある失敗=チームやプロダクトの成長につながる失敗 学びのある失敗をしていない=成長への挑戦が足りない あえて、共有する あえて、記事に残す チームの壁を突き抜けろ! freeeの開発文化は、開発をする上で実際に全員が 意識している判断基準です
  5. VPC 外部と内部からの侵入を想定
 想定攻略経路/Cyber Kill Chain
 Security group Availability Zone web

    ALB log jpeg pdf Redis Amazon RDS WAF Instance Profile Users GuardDuty Gotanda HQ Developer Maintainer Step 15

  6. VPC 外部と内部からの侵入を想定
 想定攻略経路/Cyber Kill Chain
 Security group Availability Zone web

    ALB log jpeg pdf Redis Amazon RDS Instance Profile Users GuardDuty Gotanda HQ Developer Maintainer Step intruder intruder WAF 16

  7. Logを集める = S3 Centric Apploach
 VPC ALB Flow logs WAF

    Firehose Redshift Log Elasticsearch 18

  8. 外部からの侵入
 HTTP request regex filter
 L3/L4 restriction
 IPS = HTTP

    request signature filter
 
 Ratelimit/session/URI
 Application Logic
 AntiMalware
 LogInspection
 IntegrityCheck
 ALB WAF Security Group Flow logs 19

  9. Security Group Namespace ClusterにNamespaceは1つだけ
 EKS / Single Cluster でサービスするには...
 WAF

    GuardDuty IAM Node Node Node worker nodeにいれるには?
 
 k8s未対応?
 使えない?
 流用できそう
 Flow logs 直kubectl exec -it $POD bash
 ログなしでアクセス可能
 EKS 25

  10. 内部からの侵入が容易?
 MFA
 IP restriction
 Login/Logout
 Remote copy restriction
 Console logging


    Gotanda HQ Namespace Node Session Manager 直kubectl exec -it $POD /bin/bashを許さない
 28

  11. 32 • サイバー脅威を知る
 ◦ サイバー脅威を知るには、攻撃者の思考を知るのが一番
 • 脆弱性を探せ!
 ◦ あえてヨワヨワにしたプロダクトを、修正・強化する研修プログラム
 ◦

    実際に攻撃をうける体験をすることで、セキュリティ意識を醸成
 新人研修でHardening Program
 Private Network
 Shared System:zzz.zzz.zzz.zzz 会計 認証基盤 DB 人事労務 KVS Team A システム
 xxx.xxx.xxx.xxx
 application Team B システム
 yyy.yyy.yyy.yyy
 application 攻撃者
 攻撃
 ユーザX
 登録
 閲覧
 ユーザY
 登録
 閲覧
 通常
 利用