Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Simple and secure service delivery environment ...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Toshiyuki Tanaka
February 27, 2020
Technology
0
500
Simple and secure service delivery environment using AWS
Toshiyuki Tanaka
February 27, 2020
Tweet
Share
More Decks by Toshiyuki Tanaka
See All by Toshiyuki Tanaka
LOGILESS Engineer Recruitment Pitch
emegane
0
230
Logiless Outline 2019/10/10
emegane
0
290
第141回 PHP勉強会@東京
emegane
0
660
IVS 2019 Summer
emegane
1
77
Other Decks in Technology
See All in Technology
Bill One 開発エンジニア 紹介資料
sansan33
PRO
5
17k
Introduction to Sansan, inc / Sansan Global Development Center, Inc.
sansan33
PRO
0
3k
Agent Skils
dip_tech
PRO
0
120
Tebiki Engineering Team Deck
tebiki
0
24k
GitHub Issue Templates + Coding Agentで簡単みんなでIaC/Easy IaC for Everyone with GitHub Issue Templates + Coding Agent
aeonpeople
1
240
インフラエンジニア必見!Kubernetesを用いたクラウドネイティブ設計ポイント大全
daitak
1
370
~Everything as Codeを諦めない~ 後からCDK
mu7889yoon
3
430
ブロックテーマでサイトをリニューアルした話 / 2026-01-31 Kansai WordPress Meetup
torounit
0
470
What happened to RubyGems and what can we learn?
mikemcquaid
0
310
10Xにおける品質保証活動の全体像と改善 #no_more_wait_for_test
nihonbuson
PRO
2
320
今日から始める Amazon Bedrock AgentCore
har1101
4
410
[CV勉強会@関東 World Model 読み会] Orbis: Overcoming Challenges of Long-Horizon Prediction in Driving World Models (Mousakhan+, NeurIPS 2025)
abemii
0
140
Featured
See All Featured
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
200
The Invisible Side of Design
smashingmag
302
51k
How to Think Like a Performance Engineer
csswizardry
28
2.4k
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
910
The Art of Programming - Codeland 2020
erikaheidi
57
14k
A Tale of Four Properties
chriscoyier
162
24k
Java REST API Framework Comparison - PWX 2021
mraible
34
9.1k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.2k
sira's awesome portfolio website redesign presentation
elsirapls
0
150
Transcript
© 2020 LOGILESS inc. 株式会社ロジレス AWSをフル活用して実現する、 シンプルでセキュアなサービス提供環境 2020/02/26
自己紹介 大学時代 4年間Webデザイナー 2009年 楽天 入社 : エンジニアに転身
2012年 前身企業を現メンバーで起業 3つのEC事業を経て、LOGILESSを開発 田中 稔之 Toshiyuki Tanaka Twitter : emegane
LOGILESSについて 物流危機からECの未来を守り、進化させる。 EC市場が成長する一方で、それを支える労働力は減り続けています。 物流危機によって、当たり前だったECの利便性が失われるかもしれません。 ロジレスは、LOGISTICS INNOVATION STARTUPとして、 物流危機からECの未来を守り、業界をテクノロジーで進化させます。 3
配送 配送 仕入先 LOGILESSについて : 日本でも数少ないフルサービスのフルフィルメントプラットフォーム 4 出荷指示連携 倉庫別在庫管理 複数拠点出荷
OMS 受注管理システム WMS 倉庫管理システム WMS 倉庫管理システム 配送 配送 店舗 店舗 基幹 システム 仕入先 SCM 需要予測 受注取込 在庫連携 API連携 自動発注 納品/消込 各店舗の受注/在庫連携と、 各倉庫での出荷/在庫管理を ひとつのシステムで統合管理。
0 100,000 200,000 300,000 400,000 500,000 600,000 出荷件数の推移 出荷件数の推移 2.8倍
56万件 LOGILESSを経由して出荷される注文 月間 昨年比
個人情報を大量に取り扱うBtoB SaaSにとって データ保護を中心としたセキュリティ対策は 最重要課題
2019年4月 セキュリティ強化プロジェクトをスタート! 2019年 4月 セキュリティ・エンジニア 参画 業務委託 AWS環境の棚卸 リスクの洗い出し 理想的な構成案の作成
7月 インフラ・エンジニア 参画 業務委託 セキュリティグループの見直し VPCの分離 VPNの全社展開 12月~ サービス提供環境の抜本的な見直し 使い捨て可能なWebサーバー リリース手順の自動化 内部統制 侵入テスト
基本的な考え方 AWS Cloud Amazon RDS ALB Web Server Web Server
ユーザ RDSのデータを 守り抜く戦い RDSと、管理用機能への侵入を いかに塞ぐことができるかに フォーカス
リスクのパターン AWS Cloud Amazon RDS ALB Web Server Web Server
ユーザ アプリ以外の サーバー 管理用の サーバー アプリケーションの 脆弱性を悪用 サーバーの 脆弱性を悪用 1 2 不正アクセスによる 管理画面への侵入 3 認証情報の漏洩による サーバーへのアクセス 4 従業員のPC 内部統制 5 インターネットから 直接接続はできない
アプリケーションの脆弱性を悪用 AWS WAF Amazon CloudWatch 対策 WAFの適用 メトリックスの収集 解析 /
アラート SQL インジェクションやXSSから アプリケーションを自動で保護。 システムの健全性を把握するための 情報を集約し、閾値を超えた場合は Slackに通知。 定期的な侵入テストも実施 外部のテスターが疑似的にシステムへの侵入を試み、検知、防御が可能かを検証。 検知、防御ができなかった場合も、そのログを調査(フォレンジック調査)可能かどうかを検証。 1
サーバーの脆弱性を悪用 Amazon EC2 ディスポーザブルな サーバー構築 一度作ったインスタンスを使い続け ず、定期的に新たに作り直したイン スタンスに差し替え。 可能な限りマネージド サービスを活用
EC2以外の各機能をマネージドサー ビスに移行。リソースのアクセスコ ントロールと権限管理以外のセキュ リティをAWSが担ってくれる。 対策 Amazon VPC サービス環境とそれ以外を VPCで分離 VPNサーバーや管理用サーバーなど をサービス環境と分離 2
不正アクセスによる管理画面への侵入 Pritunl Authy 対策 課題 リモート勤務時のセキュリティ確保 オフィスの固定IPのみアクセスを許可 する基本的なセキュリティ対策が、 リモート勤務を許可する環境では容易 に実現できない。
Amazon EC2 Amazon EC2上にオープンソースの 「Pritunl」を使用してVPNサーバーを 構築し、「Authy」を使用して2要素認 証を必須化。 エンジニアや、サポート担当者にアカ ウントを配布して、リモート環境 でも固定IPによるアクセスが可能な よう整備。 + + 3
認証情報の漏洩によるサーバーへのアクセス Security group Amazon Lambda HTTP(s)以外の ポートを閉塞 Session manager経由の アクセスはSlackに通知
作業担当者はSlackで申告。異常な アクセスはすぐに遮断。 対策 Security group SSHでの作業は Session managerに インスタンスへのアクセスをIAM ポリシーで一元管理。ログ記録も 可能。 4
内部統制 対策 Endpoint Protectionで クライアント端末の保護を クラウドで実現 Amazon EC2にデプロイした 管理用サーバーで 情報の流れを統制
各端末のセキュリティを自動で監視。マル ウェアおよびゼロデイ攻撃を、侵入前の段 階で阻止。初期費用ゼロ、1ライセンス単位 で購入可能。 情報漏洩防止ソリューション。外部ストレージ の接続を検知して制御。 保存、転送中のデータをスキャンし、ログ取得、 暗号化、ブロックが可能。 5
セキュリティ強化のための重要なポイント 1 複雑にしない。 シンプルさを維持し、マネージドサービスを活用する。 少人数でサービスを開発、運用するスタートアップにとって、複雑性は悪。 特に、設定まわりが複雑化すると、どこかでメンテナンスが疎かになり、新たな脆弱性を生み出す もとになる。 使用するサービス、設定ともに可能な限りマネージドなものを選択し、メンテナンスフリーとなる ように気を付ける。
セキュリティ強化のための重要なポイント 2 セキュリティの監督、実施担当者は、 サービスの開発者とは別にする。 急ぎのタスクを大量に抱えるスタートアップでは、”重要だけど緊急ではない”セキュリティ対策は どれだけ重要性を認識していても後回しになる。 しかし、セキュリティインシデントは今日起きるかもしれないので、後回しにするほどリスクが高 くなっていく。 セキュリティの監督・レビューと、その改善策の実行は、サービスの開発者から切り離したほうが ベター。
emegane
sansan33
dip_tech
tebiki
aeonpeople
daitak
mu7889yoon
torounit
mikemcquaid
nihonbuson
har1101
abemii
tamaranovitovic
smashingmag
csswizardry
inesmontani
caitiem20
szymonslowik
erikaheidi
chriscoyier
mraible
tanoku
kastner
elsirapls
