Upgrade to Pro — share decks privately, control downloads, hide ads and more …

本番さながらのインシデント対応訓練を支える freeeのクラウドネイティブ環境と セキュリティチーム

freee
July 22, 2022

本番さながらのインシデント対応訓練を支える freeeのクラウドネイティブ環境と セキュリティチーム

freee

July 22, 2022
Tweet

More Decks by freee

Other Decks in Technology

Transcript

  1.  
    本番さながらのインシデント対応訓練を支える
    freeeのクラウドネイティブ環境と
    セキュリティチーム
    2022.06.23
    freee株式会社 PSIRT ただただし

    View full-size slide

  2.  
    2
    富士通グループのセキュリティ専門の研究所で8年間、サ
    イバー攻撃研究チームを率いたのち、2020年からfreee
    へジョイン。立ち上がって間もないPSIRTのマネージャーと
    して、freeeのプロダクトセキュリティを守る。
    プライベートでもオープンソースプログラマとして30年以上
    の開発経験を持つ。tDiary Project Founder。
    ただただし
    freee PSIRT マネージャー
    Tada, Tadashi
    プロフィール画像の
    トリミング方法

    View full-size slide

  3.  
    freeeについて

    View full-size slide

  4. 4
    SaaS で会計サービスを提供

    View full-size slide

  5.  
    5
    freee会計
    freee開業
    freee福利厚生
    freeeアプリストア
    freee人事労務
    freee会社設立
    freee受発注
    freeeプロジェクト管理
    freee資金調達 freee申告 freeeカード
    プロダクトラインアップ

    View full-size slide

  6. スモールビジネスを、世界の主役に。

    View full-size slide

  7. 7
    誰もが自然に経営できる環境

    View full-size slide

  8. 8
    リアルタイムデータ収集 + 可視化 + 自動化

    View full-size slide

  9.  
    インシデント対応訓練の話

    View full-size slide

  10. 10
    2021年の全社障害訓練が大きな話題に
    ● 【マジで】サイバー演習シナリオの作り方【怖い】 - freee Developers Hub
    ● freee Tech Night 「本当に怖い障害訓練、犯人はfreeeの中にいる!?」
    ● 自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓
    練の舞台裏 「従業員はトラウマに」 - ITmedia NEWS
    ● “自社DB破壊&身代金要求”に直面してfreee経営層が気付いた3つの課
    題 佐々木CEOに聞く - ITmedia NEWS
    ● Software Design 2022年5月号|技術評論社
    ● ITmedia Cloud Native Week 2022 夏 ←New!

    View full-size slide

  11. 11
    なぜ全社障害訓練をするようになったのか
    ● 2018年10月の大規模障害がきっかけ
    ○ 長時間のサービス停止の反省
    ○ 「大規模」であるがゆえの難しさ
    ● 10月をセキュリティ月間と定め、翌年からCIOを中心として訓練を企画
    ○ 2019年:部門ごとのミニ訓練
    ○ 2020年:複数サービスが同時にダウンする大規模訓練
    ○ 2021年:経営層も巻き込む全社訓練

    View full-size slide

  12. 12
    ⑥4BTC払え
    ④2FAリセットして
    CEO
    (被害者)
    CIT
    (被害者)
    AWS本番
    サーバ
    Engineer
    (被害者)
    攻撃者

    - login
    - データ奪取
    - DB破壊
    ① malware
    ②install

    - reverse shell
    - password
    - cookies
    2021年の訓練シナリオ

    View full-size slide

  13. 13
    複合的なインシデントを想定した訓練
    ● サプライチェーンリスクへの対処
    ● 侵入検知と対処
    ● ハイブリッドワーク
    ● 大規模サービス障害対応
    ● ランサムウェア対応

    View full-size slide

  14. 14
    うちではとても
    無理だ すごい工数が
    かかりそう
    (技術的に)
    難しそう

    View full-size slide

  15.  
    15
    (1) 環境
    日常業務から開発、運営までほぼすべて
    がクラウド上にある
    (2) 技術
    ふたつのセキュリティチームによる多 層 防
    御と運用・監視
    (3) 文化
    スペシャリストを尊重し、適切な権限委譲
    がある社内文化
    なぜこんな訓練ができるのか

    View full-size slide

  16.  
    (1) クラウドネイティブな環境

    View full-size slide

  17. 17
    クラウドネイティブな業務環境
    ● ほぼすべての業務がクラウドサービス上
    ● Webブラウザという「サンドボックス」
    ● 壊しても良い「端末」

    View full-size slide

  18. 18
    クラウドネイティブな開発・運用環境
    ● コード化されたインフラ
    ● 本番環境の「コピー」
    ● 必要十分なセンサーとログ、監視

    View full-size slide

  19. 19
    全社障害訓練の準備
    ● メンバー: 4名
    ● 準備期間: 2ヶ月 (実質10日程度)
    ● 疑似本番環境の構築 : 既存テスト環境を流用 (+ 監視ツールのインストール程度)
    ● 疑似サイバー攻撃の構築:公開情報のみの利用 (ゼロディ脆弱性などは不使用)

    View full-size slide

  20.  
    (2) 技術とセキュリティチーム

    View full-size slide

  21. 21
    ふたつのセキュリティチーム
    CSIRT (Computer Security Incident Response Team)
    社内の情報システムに関する
    セキュリティを管轄するチーム
    PSIRT (Product Security Incident Response Team)
    freee のプロダクト・サービスに関する
    セキュリティを管轄するチーム

    View full-size slide

  22. 22
    Security Sensors for Products
    EKS cluster
    IPS, VirusScanner
    ALB
    Amazon
    GuardDuty
    Risk based
    authentication
    AWS WAF
    検知率0.2%
    WAFを補完
    realtimeで
    再認証要求
    脅威検出

    View full-size slide

  23. 23
    SIEMにSecurity Sensorのlogを集約、監視、分析
    EKS cluster
    IPS, VirusScanner
    ALB
    Amazon
    GuardDuty
    AWS
    CloudTrail
    Risk based
    authentication
    OpenSearch
    es-loader
    AWS WAF
    NGFW / EDR

    View full-size slide

  24. 24
    Defence In Depth
    多層防御
    外部からの攻撃
    WAF、IPS、AntiMalware で検知
    内部からの攻撃
    EDR、NGFW で検知
    侵入後の水平展開、奪取
    Risk Based Authenication
    CloudTrail、GuardDuty で検知
    Log 集約 + Alert 発砲 + 解析
    前後関係の把握、被害範囲の特定
    DevSecOps
    脆弱性Scanner で検知

    View full-size slide

  25.  
    (3) freeeの文化(カルチャー)

    View full-size slide

  26. 26
    経営層の理解
    ● 適切な権限移譲とスペシャリストの尊重
    ● セキュリティを最重要視
    ● スピードを落とさず安全を担保する

    View full-size slide

  27. 27
    継続的に強化されるセキュリティリテラシー
    ● 共有されるインシデント情報とふりかえり
    ● 個人を責めず、仕組みでフォローする文化
    ● 年4回の「セキュリティチャレンジ」

    View full-size slide

  28.  
    まとめ

    View full-size slide

  29. 29
    まとめ
    ● 環境
    ○ ローカルは「悪」。ブラウザという窓をとおして業務をおこなうプロセス改善を
    ● 技術
    ○ なにはなくとも「ログ」。集約して継続監視できる体制を
    ● 文化
    ○ 信じて任せる。スピードを落とさないためには自律したフットワークの軽い組
    織が必要

    View full-size slide

  30. 30
    障害訓練がしたかったから
    クラウドネイティブになったのではなく
    クラウドネイティブだから
    障害訓練ができるのだ

    View full-size slide

  31. スモールビジネスを、世界の主役に。

    View full-size slide