Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
スタートアップがSecurityをSREから担保するには?
Search
Eiji Sugiura
July 31, 2019
Technology
1
1.9k
スタートアップがSecurityをSREから担保するには?
B2B SaaS Tech「避けては通れぬセキュリティ」
Eiji Sugiura
July 31, 2019
Tweet
Share
More Decks by Eiji Sugiura
See All by Eiji Sugiura
AWSをフル活用するサービスを保護するセキュリティの考え方とは / Secure with Cloud One for freee
eijisugiura
0
24k
AES SIEMを運用してわかった できること、できないこと/Incident Handling with AES SIEM
eijisugiura
0
2k
EC2からKubernetesへの移行をセキュリティから考える
eijisugiura
2
5.3k
Other Decks in Technology
See All in Technology
Oracle Cloud Infrastructure:2024年12月度サービス・アップデート
oracle4engineer
PRO
0
170
レンジャーシステムズ | 会社紹介(採用ピッチ)
rssytems
0
150
PHPからGoへのマイグレーション for DMMアフィリエイト
yabakokobayashi
1
170
MLOps の現場から
asei
6
630
AI時代のデータセンターネットワーク
lycorptech_jp
PRO
1
280
組織に自動テストを書く文化を根付かせる戦略(2024冬版) / Building Automated Test Culture 2024 Winter Edition
twada
PRO
13
3.6k
LINEヤフーのフロントエンド組織・体制の紹介【24年12月】
lycorp_recruit_jp
0
530
20241220_S3 tablesの使い方を検証してみた
handy
3
360
複雑性の高いオブジェクト編集に向き合う: プラガブルなReactフォーム設計
righttouch
PRO
0
110
非機能品質を作り込むための実践アーキテクチャ
knih
3
980
Fanstaの1年を大解剖! 一人SREはどこまでできるのか!?
syossan27
2
160
Wvlet: A New Flow-Style Query Language For Functional Data Modeling and Interactive Data Analysis - Trino Summit 2024
xerial
1
110
Featured
See All Featured
Designing for humans not robots
tammielis
250
25k
We Have a Design System, Now What?
morganepeng
51
7.3k
The Pragmatic Product Professional
lauravandoore
32
6.3k
Faster Mobile Websites
deanohume
305
30k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Practical Orchestrator
shlominoach
186
10k
Typedesign – Prime Four
hannesfritz
40
2.4k
Designing for Performance
lara
604
68k
A Modern Web Designer's Workflow
chriscoyier
693
190k
It's Worth the Effort
3n
183
28k
How to Ace a Technical Interview
jacobian
276
23k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
Transcript
freee 株式会社 スタートアップがSecurityをSREから担保するには? B2B SaaS Tech 2019-07-31
10年間、受託開発。TCP/IPとかLinux Kernel netfilter 10年間、MSSPでUTMのOSとサービス基盤を開発 2017年12月にfreeeにjoin Eiji Sugiura 杉浦 英史
freee株式会社 CSIRT専属エンジニア 2 Incident Response SRE
freee 株式会社 3
創業からIPOまで、中小企業活性化のためのサービスを一気通貫で提供 freee会社概要 ❂ 納税する ↗ 育てる ↻ 運営する ✩
はじめる 会社設立 freee 開業 freee クラウド会計ソフト freee 人事労務 freee (マイナンバー管理 freee 含む) クラウド申告 freee 161億603万円 (資本準備金等含む) 従業員数 事業内容 クラウド型バックオフィスサービスの開発・販売 資本金 設立年月日 2012年7月 505名(2019年1月末時点) 2017年「働きがいのある会社」 ランキング3位 4
会計・給与共に法人シェアNo.1 クラウド給与ソフト 市場 40% クラウド会計ソフト 市場 35.2% 100万 事業所 以上
10万 事業所 以上 * BCN調べ * MM総研調べ * 2017年8月より、クラウド給与計算ソフト freeeは、機能を強化し、新たに 「人事労務 freee」というサービス名に変更しました。 5
6 成長企業においての導入が進む 41 社 資金調達TOP100社における freee 導入社数 *VCからの資金調達額TOP100社: 直近1年で1億円以上の 資金調達をした企業 を対象に調査。
6
01 freee の直面する恐怖 7 Section
最新テクノロジーでリアルタイムデータ収集 8 クレジット 金融機関 決済サービス 業務データ freee Core Engine
9 9 金融機関・ 各種サービス連携数 4,000 以上 ※2019年1月時点 POSレジ 金融機関 ログイン・
認証 業務システム ECサイト 共有ツール 決済サービス ファイル取込 クラウド会計ソフト 業界最多の連携数を実現 9
生の経営情報 深刻な情報漏洩 金融機関サイトからのスクレイピング、API連携 10
freeeの失敗=Fintech業界の危機 一企業を超えた悪影響 Fintech業界のセキュリティにおいて重要な役割を担っている 11
Culture of Developers 開発文化 12 品質を犠牲にしない最高速度 最優先するミッションは、高速リリースにより顧客に価値を届けること リリースには、顧客にとって価値がある最低限の品質が求められる 速さと品質を両立するために、自動化や開発プロセスの工夫を行なう トラッカビリティ大事
プロダクトや施策は作りっぱなしにせず追跡可能な状態にしておく 推測より計測:反復するかどうかは、計測されたデータを見て決める 失敗して攻めよう 学びのある失敗をして最速で成長しよう 学びのある失敗=チームやプロダクトの成長につながる失敗 学びのある失敗をしていない=成長への挑戦が足りない あえて、共有する あえて、記事に残す チームの壁を突き抜けろ! freeeの開発文化は、開発をする上で実際に全員が 意識している判断基準です
スタートアップらしくリスクは取り、 高いセキュリティも実現する あえて、二兎を追う 13
02 CloudNative SaaSをどう守る? 14 Section
VPC 外部と内部からの侵入を想定 想定攻略経路/Cyber Kill Chain Security group Availability Zone web
ALB log jpeg pdf Redis Amazon RDS WAF Instance Profile Users GuardDuty Gotanda HQ Developer Maintainer Step 15
VPC 外部と内部からの侵入を想定 想定攻略経路/Cyber Kill Chain Security group Availability Zone web
ALB log jpeg pdf Redis Amazon RDS Instance Profile Users GuardDuty Gotanda HQ Developer Maintainer Step intruder intruder WAF 16
ログを残さないと、検知できない Access Log, Deny/Accept Log 17
Logを集める = S3 Centric Apploach VPC ALB Flow logs WAF
Firehose Redshift Log Elasticsearch 18
外部からの侵入 HTTP request regex filter L3/L4 restriction IPS = HTTP
request signature filter Ratelimit/session/URI Application Logic AntiMalware LogInspection IntegrityCheck ALB WAF Security Group Flow logs 19
VPC 内部からの侵入 MFA IP restriction Login/Logout Remote copy restriction Console
logging web api Gotanda HQ Step 20
PR出さないと、変更できない Change History, Review 21
Codeで記述する VPC Security Group Auto Scaling group ALB IAM 22
SREって何をしてる? 新しい環境への先導役 Kubernetes on AWSの場合 23
03 Securityを意識したSaaSを作るに は? Section 24
Security Group Namespace ClusterにNamespaceは1つだけ EKS / Single Cluster でサービスするには... WAF
GuardDuty IAM Node Node Node worker nodeにいれるには? k8s未対応? 使えない? 流用できそう Flow logs 直kubectl exec -it $POD bash ログなしでアクセス可能 EKS 25
伝統的なtoolは、k8s非対応? IPS/AntiMalwareが動かない? worker nodeにいれるには? k8s signatureある? podで入れられる default ruleでOK?
26
SecurityGroup、FlowLogがk8s非対応 Namespaceの中は把握できない? Security Group Namespace Node Node Node EKS podで入れられる
L3/L4/L7 Firewall 27
内部からの侵入が容易? MFA IP restriction Login/Logout Remote copy restriction Console logging
Gotanda HQ Namespace Node Session Manager 直kubectl exec -it $POD /bin/bashを許さない 28
これまでのものだけでは記述できない Clusterを何で記述する? Security Group Namespace Node IAM ECR EKS HELMFILE
ekscluster 29
DevSecOps 普通にcode書いてdeployしたら、secure SaaSになる仕組み code書かないとdeploy出来ません 30
まとめ Logがないと検知できない Passive/Active Defence PR出さないと変更できない yaml書かないと、releaseできない なければ作る
Hack Everything★ 共有する みんなで感じる、考える 31
32 • サイバー脅威を知る ◦ サイバー脅威を知るには、攻撃者の思考を知るのが一番 • 脆弱性を探せ! ◦ あえてヨワヨワにしたプロダクトを、修正・強化する研修プログラム ◦
実際に攻撃をうける体験をすることで、セキュリティ意識を醸成 新人研修でHardening Program Private Network Shared System:zzz.zzz.zzz.zzz 会計 認証基盤 DB 人事労務 KVS Team A システム xxx.xxx.xxx.xxx application Team B システム yyy.yyy.yyy.yyy application 攻撃者 攻撃 ユーザX 登録 閲覧 ユーザY 登録 閲覧 通常 利用
カジュアルに失敗から何を学んだかを共有する 希望者によるLT形式 月1回の「失敗.js」 33
Engineer組織としてSecureになる Security Engineerなんていない世界 Monitoring, Vulnability management, Incident Responseについては、またの機会に... 34
スモールビジネスを、 世界の主役に。 35