Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
スタートアップが AWS FTR を取得するべき理由
Search
izzii
May 27, 2024
Technology
0
450
スタートアップが AWS FTR を取得するべき理由
izzii
May 27, 2024
Tweet
Share
More Decks by izzii
See All by izzii
WAF に頼りすぎない AWS WAF 運用術 meguro sec #1
izzii
0
480
触って理解する Go コンパイラ最適化 go conference mini 2023
izzii
2
260
Goのとある未定義動作 golang.tokyo #33
izzii
1
640
Other Decks in Technology
See All in Technology
偶然 × 行動で人生の可能性を広げよう / Serendipity × Action: Discover Your Possibilities
ar_tama
1
1.2k
全文検索+セマンティックランカー+LLMの自然文検索サ−ビスで得られた知見
segavvy
2
120
技術的負債解消の取り組みと専門チームのお話 #技術的負債_Findy
bengo4com
1
1.3k
PHPカンファレンス名古屋-テックリードの経験から学んだ設計の教訓
hayatokudou
2
430
開発スピードは上がっている…品質はどうする? スピードと品質を両立させるためのプロダクト開発の進め方とは #DevSumi #DevSumiB / Agile And Quality
nihonbuson
2
3.1k
Raycast AI APIを使ってちょっと便利な拡張機能を作ってみた / created-a-handy-extension-using-the-raycast-ai-api
kawamataryo
0
110
インフラをつくるとはどういうことなのか、 あるいはPlatform Engineeringについて
nwiizo
5
2.6k
Goで作って学ぶWebSocket
ryuichi1208
3
1.8k
ホワイトボードチャレンジ 説明&実行資料
ichimichi
0
130
コンピュータビジョンの社会実装について考えていたらゲームを作っていた話
takmin
0
110
Developers Summit 2025 浅野卓也(13-B-7 LegalOn Technologies)
legalontechnologies
PRO
1
790
室長と気ままに学ぶマイクロソフトのビジネスアプリケーションとビジネスプロセス
ryoheig0405
0
370
Featured
See All Featured
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
4
410
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.1k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
27
1.9k
Art, The Web, and Tiny UX
lynnandtonic
298
20k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
114
50k
YesSQL, Process and Tooling at Scale
rocio
172
14k
Documentation Writing (for coders)
carmenintech
67
4.6k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.3k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
The Power of CSS Pseudo Elements
geoffreycrofte
75
5.5k
Java REST API Framework Comparison - PWX 2021
mraible
28
8.4k
Transcript
スタートアップが AWS FTR を取得するべき理由 市川悠人/izzii @ Techtouch 2024/05/27
スタートアップが AWS パートナーになる理由
自己紹介 名前:市川悠人/izzii 所属:テックタッチ株式会社 経歴:AI -> セキュリティ系PdM -> SRE 趣味:登山!ボルダリング! X:
ahneahneahne
「テックタッチ」の紹介 任意のシステムの上にガイダンスや UI/AI をあと載せできるDigital Addaptation Platform (DAP) 製品を作っています!
「テックタッチ」導入企業(一部)
AWS Qualified Software です! 本テーマである AWS FTR を通過した証!
本日のテイクノート スタートアップが AWS FTR を取得するべき理由は セキュリティ知識がなくても かなり具体的な ToDo を通して
価値あるコンプライアンス型セキュリティを 進める事ができるから! そして後でやるより今やったほうが高コスパ!
AWS FTR とは? AWS Fundamental Technical Review の略称で、 AWS からのレビューを受けて認定をもらう仕組みです。
パートナーステージを Validated に上げるために必要です。 パートナーであれば無料で受けられます!! 対象はソフトウェアベンダーだけではありません!! 参考:https://aws.amazon.com/jp/blogs/psa/what-is-aws-ftr/
AWS FTR のレビュー内容 - Partner Hosted - サポートレベル -
アーキテクチャレビュー - AWS ルートアカウント - AWS からの連絡 - AWS CloudTrail - アイデンティティおよびアクセス管理 - 運用セキュリティ - ネットワークセキュリティ - バックアップと復元 - レジリエンス - Amazon S3 バケットアクセス - クロスアカウントアクセス - 機密データ - 規則遵守の検証プロセス (注意)最新や詳細の情報は AWS から直接得てください!
AWS FTR 取得のメリット 1. AWS パートナーシップを利用した営業広報活動が可能に 2. 具体的なコンプライアンス型セキュリティの実践 -> セキュリティ人材の不足するスタートアップでこそより価値が
高い ..
セキュリティ対策の最重要課題 映えある第1位は 「何をやったらいいかわからない」 です。 (個人の経験と直感に基づいてランキングが計算されております?)
セキュリティ対策は大きく2パターン 脅威ベース - 攻撃者目線で何をどう狙うか?という発想から対策を進める方式。 情報セキュリティの過去事例の知識が最低限必要。 コンプライアンスベース - 有識者が基本的なセキュリティ ToDo を整理してくれているので
やるだけ(?)
セキュリティ対策は大きく2パターン 脅威ベース - 攻撃者目線で何をどう狙うか?という発想から対策を進める方式。 情報セキュリティの過去事例の知識が最低限必要。 コンプライアンスベース - 有識者が基本的なセキュリティ ToDo を整理してくれているので
実作業に噛み砕いてやるだけ。
どんなコンプライアンスがあるの? NIST SP 800-53,171,183 .. CIS Benchmarks PCI-DSS ISO-27001, 27017..
OWASP ASVS, SAMM AWS FTR AWS Well Architected Review .. などなど
例1:ISO/IEC 27001 ISMS を運用管理するための 要求事項としてまとめられた国際標準規格。 主にコーポレートセキュリティに関するコンプライアンス。 ToDo は抽象度が高いので外部にコンサルしてもらう場合も。 認定が存在する。 参考:https://www.lrm.jp/security_magazine/difference_isms-iso27001/
例2:OWASP ASVS 脆弱性診断の結果が OWASP ASVS で カテゴリ分けされていたりするので、 見たことがある方も多いのでは。 セキュリティの知識がなくてもできるものから、 そうでないものまで。
公式の認定は存在しない。 参考:https://github.com/OWASP/ASVS
例3:AWS FTR AWS 上で構築されたサービスにおいて、 セキュリティに配慮し、 サービスの安定提供のための設計や運用が一定水準以上であるか といったことを問うもの。 ToDo が具体的なので外部の手を借りる必要はないと感じた。 認定が存在する。
(余談)個人的にはツール系も好きです 過剰気味に脆弱性を教えてくれるので、 意味があるものを判断して対処するとよい。
(注意)発表者はコンプライアンスを広義解 釈している嫌いがあります笑 文脈によって使い分けてください!
AWS FTR 振り返り なセキュリティコンプライアンス AWS を使ったサービスの セキュア化の 1st ステップにおすすめ -
認定がもらえる - 取得と維持が無料 - 必要最低限に絞られている印象(どの会社でもマッチするのでは?) - ToDo が具体的 - プロダクトセキュリティに特化
対策例を紹介します
IAM-009 アプリケーションコードにシークレットを含まない 放置されていたものを全て、AWS Secret Manager などに移し、ローテー ションしました。 さらに gitleaks を導入することで誰かがシークレットをハードコードしてし
まうことをふせぎました。 参考:https://github.com/gitleaks/gitleaks
SECOPS-001 脆弱性管理を実施する テックタッチでは Github dependabot AWS Inspector AWS Lambda Looker
Studio Slack の組み合わせで実施しています。 脆弱性の即時対応と、定期的な脆弱性の削減が運用に載ると 安心感が爆上げです。 ダッシュボードのスクショを 載せるわけにもいかず🥺
IAM-002 クレデンシャルを定期的にローテーションする IAM KEY をほぼ全て削除することで対応しました。 IAM KEY を使わないといけない状況というのは かなり限られるものと思われます。
そもそも漏れるキーが存在しないというのは安心感爆上げです!
本日のテイクノート スタートアップが AWS FTR を取得するべき理由は セキュリティ知識がなくても かなり具体的な ToDo を通して
価値あるコンプライアンス型セキュリティを 進める事ができるから! そして後でやるより今やったほうが高コスパ!
テックタッチでは絶賛採用募集中です!