Upgrade to Pro — share decks privately, control downloads, hide ads and more …

1000+プロジェクトを超えるサイバーエージェントグループのクラウドセキュリティモニタリング/...

gassara-kys
March 23, 2022
Technology
1
420

1000+プロジェクトを超えるサイバーエージェントグループのクラウドセキュリティモニタリング/ cloud-security-monitoring

CyberAgent Developer Conference 2022に登壇しました。
https://cadc.cyberagent.co.jp/2022/program/cloud-security-monitoring/

現在サイバーエージェントでは、636+のAWSアカウントと458+のGCPプロジェクトが存在しており、これまで年々増え続けるクラウド開発環境に対してセキュリティリスクの把握や利用実態の把握が追いつかないという課題がありました。さらにセキュリティインシデントが起こった時の影響は大きく、調査や対応に多くの時間を費やしてきました。そこでRISKENというツールを内製し、社内に導入することで一気通貫でセキュリティの状態を可視化し、不要なコストを削減、属人的なセキュリティオペレーションの排除を実現しました。本セッションではこうした取り組みや組織体制、OSSとして公開されているRISKENの技術的実現方法やアーキテクチャについて紹介します。

Developer Conference(Top): https://cadc.cyberagent.co.jp/2022/
RISKEN(Docs): https://docs.security-hub.jp/
RISKEN(GitHub): https://github.com/ca-risken/
デモ動画: https://youtu.be/3HbIpBDmSRw
#CADC2022

gassara-kys

March 23, 2022
Tweet

More Decks by gassara-kys

See All by gassara-kys
生成AIをセキュリティ業務に導入した話 / generative-ai for security operations
gassara
0
200
FIRST Annual Conference LT RISKEN / FIRST LT RISKEN
gassara
0
58
クラウドセキュリティとの付き合い方 / wakate.org 2022
gassara
0
85
600アカウントのセキュリティを見る
gassara
0
480

Other Decks in Technology

See All in Technology
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
Can We Measure Developer Productivity?
ewolff
1
150
飲食店データの分析事例とそれを支えるデータ基盤
kimujun
0
130
Incident Response Practices: Waroom's Features and Future Challenges
rrreeeyyy
0
160
Python(PYNQ)がテーマのAMD主催のFPGAコンテストに参加してきた
iotengineer22
0
500
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
210
Platform Engineering for Software Developers and Architects
syntasso
1
520
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.2k
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
870
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
870
20241120_JAWS_東京_ランチタイムLT#17_AWS認定全冠の先へ
tsumita
2
300

Featured

See All Featured
Git: the NoSQL Database
bkeepers
PRO
427
64k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
Intergalactic Javascript Robots from Outer Space
tanoku
269
27k
Typedesign – Prime Four
hannesfritz
40
2.4k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
840
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Into the Great Unknown - MozCon
thekraken
32
1.5k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
Site-Speed That Sticks
csswizardry
0
27
Faster Mobile Websites
deanohume
305
30k
Adopting Sorbet at Scale
ufuk
73
9.1k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.8k

Transcript

  1. 1000+プロジェクトを超えるサイ バーエージェントグループのクラウ ドセキュリティモニタリング @CyberAgent Developers Conference 2022.03

  2. 小笠原 清志 2017年 CyberAgent ジョイン System Security 推進 Group @gassara-kys

    サイバーセキュリティに対して技術的な課題解決の 提案・提供を行っています @gassara5

  3. • クラウド利用の実態 • インシデント増加と難しさ • RISKENのご紹介 Agenda

  4. クラウド利用の実態

  5. 主なCSP 636+ 458+ * 2021.10 時点

  6. • 1プロダクトで複数環境を用意する傾向 • 個人用に環境を用意しているところも • 棚卸しされずに残り続ける 急に増えた要因

  7. • 利用実態の把握が困難 • セキュリティリスク増 増えるとどうなるか

  8. インシデント増加と難しさ

  9. インシデント対応フロー インシデント発生 エスカレ 調査 暫定対応 トリアージ 対応方針立案 アサイン CyberAgent CSIRTインシデント対応フローより

    初動対応 ステークホルダー への報告 恒久対応 報告書作成 各省庁への報告 本対応 完了

  10. インシデント対応フロー CyberAgent CSIRTインシデント対応フローより この辺から入 ることになる インシデント発生 エスカレ 調査 暫定対応 トリアージ

    対応方針立案 アサイン 初動対応 ステークホルダー への報告 恒久対応 報告書作成 各省庁への報告 本対応 完了

  11. クラウド系のインシデント 例えばIAMクレデンシャルの流出事故の場合 • 流出した可能性のあるIAMを特定 • IAMに紐づく権限を把握 • 監査ログなどでアクティビティの確認 • 実被害の整理

    • さらに権限の範囲内でどういったリソースに影響があるかの 確認(ラテラルムーブメント) • 確実に流出してる場合はキーの無効化や権限の最小化の判断 • 流出原因の特定→恒久対応方針の検討

  12. • サービスの特性だったり、クラウドの状況を 知らない状態で対応に入るケースがほとんど • 調査や対応はケース・バイ・ケース • クラウドリソースの変更を伴う作業が必要な ケースでも判断できないことが多々ある(権 限変更、NW隔離、インスタンス停止) 難しさ

  13. • 実態の把握に時間がかかる • セキュリティ担当者だけでは適切な判断 ができない セキュリティチームの課題

  14. 考え方の変化 Product-A Product-B Product-C 専門性の分離 生産性 アジリティ Security Cloud Admin

    今まで...

  15. 考え方の変化 Security Cloud Admin Product-A Product-B Product-C 巻き込み 責任共有 透明性

    少しづつ変化... PSIRT

  16. RISKENのご紹介

  17. CyberAgentでは「セキュリティリスクを可視化するためのツー ル」RISKENを内製し、セキュリティ課題に取り組んでいます RISKENのご紹介

  18. デモ

  19. 内製化のモチベーション • CSPMなどのソリューションはだいたい高かった • 外部のソリューションは数が多くなると運用が 困難だった • セキュリティチームにナレッジが貯まっていた のでそれを活かす場所がほしかった 

  20. マルチクラウドの必要性 • 1サービスで複数のCSPを利用するケースが増え てきた • 適材適所でサービスを使い分けるパターン(動 画配信やDB・ストレージ、ML等) • 見たいのはIaaSだけじゃない •

    今後も増えそうなので早めに手を打っておきた かった

  21. RISKENの運用実態と導入効果 画像 画像 画像 プロジェクト数 879 ユーザ数 305 Finding総数 944k

    * 2022.01時点 • AWSを中心に社内での利用が増えた • 問題が可視化され積極的にセキュリティ対応してくれた • 利用してないリソースが削除され大幅なコストカット

  22. アーキテクチャ 小規模の Elastic Kubernetes Service (Amazon EKS) クラスタで構築

  23. アーキテクチャ 小規模の Elastic Kubernetes Service (Amazon EKS) クラスタで構築 Cognito経由で社内IdPと連携 (ユーザ管理の運用◎)

    データストアなどステートフルな ものはマネージドに寄せて運用面 や可用性を向上 マイクロサービスごとの細かいス ペックチューニング

  24. スケーラビリティ … … Queue Worker Subscribe Scan Ondemand Message Scheduled

    増え続けるクラウド環境をどう継続的にスキャンしていくか

  25. 認可制御(AWS) 大量のクラウドに対して導入のハードルを下げる、かつセキュアに実現 Account-A Scan用ロール AssumeRole (ExternalID) Scan Account-B Scan用ロール Scan

    AssumeRole (ExternalID) IAM

  26. 認可制御(GCP) Project-A IAM Scan Project-B Scan ServiceAccount IAM risken: Verification

    Code risken: Verification Code VerificationCode VerificationCode GCPの場合はサービスアカウントへの認可と検証コードで実現

  27. 汎用的なデータモデル 🔎 Finding Data Source ストレージコスト⬇ 分析・集計・検索パフォーマンス⬆ finding ・Project ・DataSource

    ・レベル ・スコア ・タグ ・生データ … Console format ・Scan ・Analyze ・Alert ・Report ・Search

  28. OSS • RISKENはOSSとして公開しています • もし興味もって頂ければ、まずはローカルPC用 のガイドも用意していますので試してみてもら えると嬉しいです • GitHubもしくはTwitter等でフィードバックお 待ちしております

  29. まとめ • クラウド利用が増えている • インシデント対応は難しい • RISKENというツールを作った

  30. まとめ ご視聴ありがとうございました🙏

  31. Appendix

  32. Reference • RISKENドキュメント • GitHubリポジトリ • CyberAgentの情報セキュリティへの取り組み