Upgrade to Pro — share decks privately, control downloads, hide ads and more …

1000+プロジェクトを超えるサイバーエージェントグループのクラウドセキュリティモニタリング/ cloud-security-monitoring

gassara-kys
March 23, 2022
Technology
1
400

1000+プロジェクトを超えるサイバーエージェントグループのクラウドセキュリティモニタリング/ cloud-security-monitoring

CyberAgent Developer Conference 2022に登壇しました。
https://cadc.cyberagent.co.jp/2022/program/cloud-security-monitoring/

現在サイバーエージェントでは、636+のAWSアカウントと458+のGCPプロジェクトが存在しており、これまで年々増え続けるクラウド開発環境に対してセキュリティリスクの把握や利用実態の把握が追いつかないという課題がありました。さらにセキュリティインシデントが起こった時の影響は大きく、調査や対応に多くの時間を費やしてきました。そこでRISKENというツールを内製し、社内に導入することで一気通貫でセキュリティの状態を可視化し、不要なコストを削減、属人的なセキュリティオペレーションの排除を実現しました。本セッションではこうした取り組みや組織体制、OSSとして公開されているRISKENの技術的実現方法やアーキテクチャについて紹介します。

Developer Conference(Top): https://cadc.cyberagent.co.jp/2022/
RISKEN(Docs): https://docs.security-hub.jp/
RISKEN(GitHub): https://github.com/ca-risken/
デモ動画: https://youtu.be/3HbIpBDmSRw
#CADC2022

gassara-kys

March 23, 2022
Tweet

More Decks by gassara-kys

See All by gassara-kys
生成AIをセキュリティ業務に導入した話 / generative-ai for security operations
gassara
0
42
FIRST Annual Conference LT RISKEN / FIRST LT RISKEN
gassara
0
34
クラウドセキュリティとの付き合い方 / wakate.org 2022
gassara
0
72
600アカウントのセキュリティを見る
gassara
0
460

Other Decks in Technology

See All in Technology
「スニダン」開発組織の構造に込めた意図 ~組織作りはパッションや政治ではない!~
rinchsan
4
610
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
5
37k
Azureの基本的な権限管理の勉強会
yhana
1
2.1k
生成AIの変革の時代に、 直近1年で直面した課題とその解決策
ktc_wada
0
610
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
2.1k
Google Cloud Next '24でブログを10本書いた方法と勉強会を沸かせた方法
yasumuusan
0
330
LangSmith入門―トレース/評価/プロンプト管理などを担うLLMアプリ開発プラットフォーム
os1ma
5
710
Babylon.jsと色々なものを組み合わせる:ブラウザのAPIやガジェットや2D描画ライブラリなど / Babylon.js 勉強会 vol.3
you
PRO
0
160
R3のコードから見る実践LINQ実装最適化・コンカレントプログラミング実例
neuecc
3
2.4k
MapLibreとAmazon Location Service
dayjournal
1
190
The AI Revolution Will Not Be Monopolized: Behind the scenes
inesmontani
PRO
1
160
Cypress or Playwright?
rainerhahnekamp
0
170

Featured

See All Featured
Navigating Team Friction
lara
179
13k
Fontdeck: Realign not Redesign
paulrobertlloyd
76
4.9k
[RailsConf 2023] Rails as a piece of cake
palkan
28
4k
The Invisible Customer
myddelton
114
12k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
Building Your Own Lightsaber
phodgson
100
5.7k
The Mythical Team-Month
searls
216
42k
What's in a price? How to price your products and services
michaelherold
238
11k
How to name files
jennybc
65
93k
Designing the Hi-DPI Web
ddemaree
276
33k
jQuery: Nuts, Bolts and Bling
dougneiner
59
7.2k
Gamification - CAS2011
davidbonilla
77
4.6k

Transcript

  1. 1000+プロジェクトを超えるサイ バーエージェントグループのクラウ ドセキュリティモニタリング @CyberAgent Developers Conference 2022.03

  2. 小笠原 清志 2017年 CyberAgent ジョイン System Security 推進 Group @gassara-kys

    サイバーセキュリティに対して技術的な課題解決の 提案・提供を行っています @gassara5

  3. • クラウド利用の実態 • インシデント増加と難しさ • RISKENのご紹介 Agenda

  4. クラウド利用の実態

  5. 主なCSP 636+ 458+ * 2021.10 時点

  6. • 1プロダクトで複数環境を用意する傾向 • 個人用に環境を用意しているところも • 棚卸しされずに残り続ける 急に増えた要因

  7. • 利用実態の把握が困難 • セキュリティリスク増 増えるとどうなるか

  8. インシデント増加と難しさ

  9. インシデント対応フロー インシデント発生 エスカレ 調査 暫定対応 トリアージ 対応方針立案 アサイン CyberAgent CSIRTインシデント対応フローより

    初動対応 ステークホルダー への報告 恒久対応 報告書作成 各省庁への報告 本対応 完了

  10. インシデント対応フロー CyberAgent CSIRTインシデント対応フローより この辺から入 ることになる インシデント発生 エスカレ 調査 暫定対応 トリアージ

    対応方針立案 アサイン 初動対応 ステークホルダー への報告 恒久対応 報告書作成 各省庁への報告 本対応 完了

  11. クラウド系のインシデント 例えばIAMクレデンシャルの流出事故の場合 • 流出した可能性のあるIAMを特定 • IAMに紐づく権限を把握 • 監査ログなどでアクティビティの確認 • 実被害の整理

    • さらに権限の範囲内でどういったリソースに影響があるかの 確認(ラテラルムーブメント) • 確実に流出してる場合はキーの無効化や権限の最小化の判断 • 流出原因の特定→恒久対応方針の検討

  12. • サービスの特性だったり、クラウドの状況を 知らない状態で対応に入るケースがほとんど • 調査や対応はケース・バイ・ケース • クラウドリソースの変更を伴う作業が必要な ケースでも判断できないことが多々ある(権 限変更、NW隔離、インスタンス停止) 難しさ

  13. • 実態の把握に時間がかかる • セキュリティ担当者だけでは適切な判断 ができない セキュリティチームの課題

  14. 考え方の変化 Product-A Product-B Product-C 専門性の分離 生産性 アジリティ Security Cloud Admin

    今まで...

  15. 考え方の変化 Security Cloud Admin Product-A Product-B Product-C 巻き込み 責任共有 透明性

    少しづつ変化... PSIRT

  16. RISKENのご紹介

  17. CyberAgentでは「セキュリティリスクを可視化するためのツー ル」RISKENを内製し、セキュリティ課題に取り組んでいます RISKENのご紹介

  18. デモ

  19. 内製化のモチベーション • CSPMなどのソリューションはだいたい高かった • 外部のソリューションは数が多くなると運用が 困難だった • セキュリティチームにナレッジが貯まっていた のでそれを活かす場所がほしかった 

  20. マルチクラウドの必要性 • 1サービスで複数のCSPを利用するケースが増え てきた • 適材適所でサービスを使い分けるパターン(動 画配信やDB・ストレージ、ML等) • 見たいのはIaaSだけじゃない •

    今後も増えそうなので早めに手を打っておきた かった

  21. RISKENの運用実態と導入効果 画像 画像 画像 プロジェクト数 879 ユーザ数 305 Finding総数 944k

    * 2022.01時点 • AWSを中心に社内での利用が増えた • 問題が可視化され積極的にセキュリティ対応してくれた • 利用してないリソースが削除され大幅なコストカット

  22. アーキテクチャ 小規模の Elastic Kubernetes Service (Amazon EKS) クラスタで構築

  23. アーキテクチャ 小規模の Elastic Kubernetes Service (Amazon EKS) クラスタで構築 Cognito経由で社内IdPと連携 (ユーザ管理の運用◎)

    データストアなどステートフルな ものはマネージドに寄せて運用面 や可用性を向上 マイクロサービスごとの細かいス ペックチューニング

  24. スケーラビリティ … … Queue Worker Subscribe Scan Ondemand Message Scheduled

    増え続けるクラウド環境をどう継続的にスキャンしていくか

  25. 認可制御(AWS) 大量のクラウドに対して導入のハードルを下げる、かつセキュアに実現 Account-A Scan用ロール AssumeRole (ExternalID) Scan Account-B Scan用ロール Scan

    AssumeRole (ExternalID) IAM

  26. 認可制御(GCP) Project-A IAM Scan Project-B Scan ServiceAccount IAM risken: Verification

    Code risken: Verification Code VerificationCode VerificationCode GCPの場合はサービスアカウントへの認可と検証コードで実現

  27. 汎用的なデータモデル 🔎 Finding Data Source ストレージコスト⬇ 分析・集計・検索パフォーマンス⬆ finding ・Project ・DataSource

    ・レベル ・スコア ・タグ ・生データ … Console format ・Scan ・Analyze ・Alert ・Report ・Search

  28. OSS • RISKENはOSSとして公開しています • もし興味もって頂ければ、まずはローカルPC用 のガイドも用意していますので試してみてもら えると嬉しいです • GitHubもしくはTwitter等でフィードバックお 待ちしております

  29. まとめ • クラウド利用が増えている • インシデント対応は難しい • RISKENというツールを作った

  30. まとめ ご視聴ありがとうございました🙏

  31. Appendix

  32. Reference • RISKENドキュメント • GitHubリポジトリ • CyberAgentの情報セキュリティへの取り組み