Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

セキュアに デプロイしょう / Ship securely

Avatar for kanamsasa kanamsasa
February 12, 2023
Technology
6
2.3k

セキュアに デプロイしょう / Ship securely

とあるAWS SAとSecurity-JAWS#01 ~ほんと、退屈しないわねこのセキュリティは!~
https://s-jaws.doorkeeper.jp/events/149297

の資料です

Avatar for kanamsasa

kanamsasa

February 12, 2023
Tweet

More Decks by kanamsasa

See All by kanamsasa
AI 駆動開発ライフサイクル(AI-DLC):ソフトウェアエンジニアリングの再構築 / AI-DLC Introduction
Avatar for kanamsasa kanamasa
11
3.6k
How to accelerate DDD practice using Amazon Q Developer
Avatar for kanamsasa kanamasa
2
190
[NIKKEI Tech Talk] Bias for Action!! 実践から学ぶための仕組とコミュニティ / Community for Practice and Learning
Avatar for kanamsasa kanamasa
1
1.1k
ミニステージ: Feature Flag、その後に / After Feature Flag
Avatar for kanamsasa kanamasa
0
160
Spring と AWS サービスを活用して実現する安全なデプロイメント / How to launch safely using Spring and AWS services
Avatar for kanamsasa kanamasa
5
550
はこだてデベロッパーカンファレンス 開発者のためのAWS の始め方 / how to start AWS for developer
Avatar for kanamsasa kanamasa
0
610
Amazon CodeCatalyst のサーバーレス Blueprint 探訪 / Serverless Blueprint in Amazon CodeCatalyst
Avatar for kanamsasa kanamasa
0
440
カオスエンジニアリングはじめの一歩のためのAWS FIS入門@Chaos Night / AWS FIS for starting chaos engineering
Avatar for kanamsasa kanamasa
1
330
Java アプリとAWS の良い関係 - AWS でJava アプリを実行する一番簡単な方法教えます / AWS for Javarista
Avatar for kanamsasa kanamasa
3
6.4k

Other Decks in Technology

See All in Technology
特別捜査官等研修会
Avatar for Nomizo Nomizo nomizone
0
540
ActiveJobUpdates
Avatar for Kuniaki IGARASHI igaiga
1
310
20251219 OpenIDファウンデーション・ジャパン紹介 / OpenID Foundation Japan Intro
Avatar for OpenID Foundation Japan oidfj
0
470
TED_modeki_共創ラボ_20251203.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
140
20251218_AIを活用した開発生産性向上の全社的な取り組みの進め方について / How to proceed with company-wide initiatives to improve development productivity using AI
Avatar for yayoi_dd yayoi_dd
0
640
【開発を止めるな】機能追加と並行して進めるアーキテクチャ改善/Keep Shipping: Architecture Improvements Without Pausing Dev
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
1
120
Oracle Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
2
190
202512_AIoT.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
130
普段使ってるClaude Skillsの紹介(by Notebooklm)
Avatar for Higuchi kokoro zerebom
8
2k
日本Rubyの会: これまでとこれから
Avatar for Koji SHIMADA snoozer05
PRO
5
220
AI時代のワークフロー設計〜Durable Functions / Step Functions / Strands Agents を添えて〜
Avatar for やくも yakumo
3
2k
SREが取り組むデプロイ高速化 ─ Docker Buildを最適化した話
Avatar for capytan capytan
0
130

Featured

See All Featured
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
413
23k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
54k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
162
23k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
Avatar for Tech SEO Connect techseoconnect
PRO
0
30
Building AI with AI
Avatar for Ines Montani inesmontani
PRO
1
570
Joys of Absence: A Defence of Solitary Play
Avatar for Sebastian Deterding codingconduct
1
260
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.2k
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
Avatar for Sara Fernández Carmona sarafernandez
1
1.3k
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
340
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.7k
Evolving SEO for Evolving Search Engines
Avatar for Ryan Jones ryanjones
0
73

Transcript

  1. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2023, Amazon Web Services, Inc. or its affiliates. Masao Kanamori Solutions Architect, DevAx Amazon Web Services Japan G.K セキュアにデプロイしよう 開発者のためのセキュリティテスト自動化

  2. © 2023, Amazon Web Services, Inc. or its affiliates. 自己紹介

    • 金森 政雄 Ø 所属/役職 : DevAx(Developer Acceleration) チーム ソリューションアーキテクト Ø 好きなサービス Amazon Elastic Container Service AWS Step Functions AWS Fault Injection Simulator

  3. © 2023, Amazon Web Services, Inc. or its affiliates. シフトレフトとは...

    セキュリティへの関⼼をソフトウェア開発ライフサイクルの 可能な限り早い段階に移すこと

  4. © 2023, Amazon Web Services, Inc. or its affiliates. セキュリティに対する注意のタイミング

  5. © 2023, Amazon Web Services, Inc. or its affiliates. シフトレフトは開発者の仕事

    を増やすのでは? • セキュリティ問題の早期解消は 運用メンバーのストレスを減少させる • 早期に修正するほどコストは安い [1] • 市場投入までの時間を短縮し、 ターンアラウンドタイムを短縮する • 多くのプロセスは自動化できる 1 https://ntrs.nasa.gov/citations/20100036670

  6. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2023, Amazon Web Services, Inc. or its affiliates. シフトレフトは どのように実装されるか

  7. © 2023, Amazon Web Services, Inc. or its affiliates. シークレット検出

    漏洩防止 セキュアなコーディングプラクティス 動的コード解析 脆弱性テスト ペネトレーションテスト 静的コード解析 使用するライブラリの コンプライアンス コンプライアンスチェック 環境設定 秘匿情報と鍵の管理 セキュアなネットワーク設計 Well-Architected アーキテクチャのガードレール コンプライアンス 脆弱性評価 シークレット管理 セキュリティ監視の有効化 コンプライアンスチェックの 有効化 脆弱性評価 ペネトレーションテスト コンプライアンスチェック 行動異常 脅威モデリング

  8. © 2023, Amazon Web Services, Inc. or its affiliates. シークレット検出

    漏洩防止 セキュアなコーディングプラクティス 動的コード解析 脆弱性テスト ペネトレーションテスト 静的コード解析 使用するライブラリの コンプライアンス コンプライアンスチェック 環境設定 秘匿情報と鍵の管理 セキュアなネットワーク設計 Well-Architected アーキテクチャのガードレール コンプライアンス 脆弱性評価 シークレット管理 セキュリティ監視の有効化 コンプライアンスチェックの 有効化 脆弱性評価 ペネトレーションテスト コンプライアンスチェック 行動異常 脅威モデリング

  9. © 2023, Amazon Web Services, Inc. or its affiliates. シフトレフト

    ̶ リリースパイプラインとの統合 開発 (IDE) コミット ビルド テスト デプロイ (ステージン グ) デプロイ (Prod) 監視 AWS Cloud9 AWS IDE Toolkits セキュリティ テスト一式 AWS CodeCommit AWS CodeBuild AWS CodeBuild + サードパーティ AWS CodeDeploy AWS CodeDeploy AWS X-Ray Amazon CloudWatch AWS CodePipeline

  10. © 2023, Amazon Web Services, Inc. or its affiliates. 開発

    (IDE) コミット ビルド前 (SCA、 SAST) ビルド ビルド後 (DAST) テスト デプロイ (ステージン グ) デプロイ (Prod) 監視 AWS Cloud9 AWS IDE ツールキット AWS CodeCommit AWS CodeBuild AWS CodeBuild + サードパーティ AWS CodeDeploy AWS CodeDeploy AWS X-Ray Amazon CloudWatch AWS CodePipeline AWS CodeBuild AWS CodeBuild AWS codeGuru OWASP ZAP Talisman Amazon Detective AWS Config インフラ スキャン コンプラ イアンス スキャン WAF 承認 ・Pre-commit フック ・IDE セキュリティ プラグイン シフトレフト ̶ リリースパイプラインとの統合

  11. © 2023, Amazon Web Services, Inc. or its affiliates. 今日作るもの:

    自動化されたセキュリティテスト AWS CodePipeline Staging Environment CI/CD Application Security Infra AWS CodeBuild (SAST) AWS CodeCommit (Source Repository) AWS ECS (Staging Deployment) Amazon ECR (Image Repository) Amazon EC2 (OWASP ZAP) AWS CodeBuild (License Analysis) AWS CodeBuild (SCA) AWS CodeBuild (Docker build) AWS CodeBuild (DAST) 1b 1a 1c 3 Amazon ECS (SonarQube) 2 4 5 6 7 8

  12. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2023, Amazon Web Services, Inc. or its affiliates. 開発者のための セキュリティプロセスとツール紹介 12

  13. © 2023, Amazon Web Services, Inc. or its affiliates. 脅威モデリング

    PLAN ステージ

  14. © 2023, Amazon Web Services, Inc. or its affiliates. 脅威モデリングとは

    • コードを記述する前に、潜在的なセキュリティ問題をある程度特定するための 設計時のアクティビティです • 以下のような情報を定義します[2] : • アセット、アクター、エントリポイント、コンポーネント、 および信頼レベル • 脅威のリスト • 脅威ごとの軽減策 • リスクマトリックスの作成と確認 • これは、データフロー図、マインドマップ、または単に表形式で表現できます • また、よりターゲットを絞ったセキュリティテストを実施するために 専⾨家 (テスターやセキュリティエンジニア) がアプリケーションを 理解するのにも役⽴ちます https://aws.amazon.com/jp/blogs/news/how-to-approach-threat-modeling/

  15. © 2023, Amazon Web Services, Inc. or its affiliates. 脅威モデリングとは

    (続き) https://en.wikipedia.org/wiki/STRIDE_%28security%29 https://catalog.workshops.aws/threatmodel 脅威モデリングには多くの⽅法がありますが、最も成熟した⽅法の1つは STRIDE[3] [4]です。 ⽬的は、開発前にセキュリティ要件を特定するために、脅威と緩和策をリストにまとめることです。 脅威 ID アセット エントリポイント 攻撃サマリー テクニック TR-01 ユーザーアカ ウント ログインペー ジ 誰かのアカウントをハイジャックし、悪意 のある活動を行うことができること。 ブルートフォース攻撃 パスワードダンプ セッションハイジャック フィッシング 脅威 ID 予防的/発見的コントロール TR-01 • 多要素認証 • パスワードのライフサイクルとルール • セッション ID の安全な生成 • セッションライフサイクル • セッションクッキーの安全なストレージ • 顧客への定期的なセキュリティリマインダー

  16. © 2023, Amazon Web Services, Inc. or its affiliates. 機密データ検出

    漏洩防止 セキュアなコーディングプラクティス CODE ステージ

  17. © 2023, Amazon Web Services, Inc. or its affiliates. IDE

    セキュリティプラグイン • IDE プラグインは、開発者へ迅速に実行可能な対応策を提供します • コーディングの段階から潜在的リスクを防止するのに便利です • 通常、正規表現ベースのアプローチが用いられます • 迅速なフィードバックのために設計されており、他のフェーズでのアプローチと組 み合わせて利用する必要があります。

  18. © 2023, Amazon Web Services, Inc. or its affiliates. ソースコントロールでのセキュリティ-

    Git Hook • アクセスキー、アクセストークン、SSH キーなどの機密情報は、 偶発的な git コミットにより誤って漏洩することがよくあります • Pre-Commit フックは、開発者のマシンまたはクラウド IDE に インストールし、機密データをフィルタリングします • 通常、正規表現ベースのアプローチが⽤いられます Talisman GitHound

  19. © 2023, Amazon Web Services, Inc. or its affiliates. 認証情報の安全な格納と使⽤

    • 設定ファイルに認証情報を格納せず安全なツールを使⽤してください • 漏洩は、システム悪⽤、情報漏洩、特権の昇格などの原因となります • 認証情報のローテーションも設定できます AWS Secrets Manager

  20. © 2023, Amazon Web Services, Inc. or its affiliates. 静的コード解析

    使用するライブラリのコンプ ライアンス BUILD ステージ

  21. © 2023, Amazon Web Services, Inc. or its affiliates. 静的アプリケーションセキュリティテスト

    (SAST) • 開発したコードにおけるセキュリティの脆弱性を分析します • 典型的な例 ̶ SQLインジェクション、XSS、不安全なライブラリなど • 誤検知の管理には⼈⼿での監視が必要になります Amazon CodeGuru

  22. © 2023, Amazon Web Services, Inc. or its affiliates. ソフトウェア構成解析

    (SCA) • ソフトウェアの⼤部分はサードパーティのライブラリであり、多くのセ キュリティ脆弱性の由来となっています [5] • OSS ライブラリの⼊⼿は⾮常に簡単なものの、継続的な更新が必要です • pip、npm、bundler、go get、composer など • Software Composition Analysis (SCA) では、脆弱なサードパーティラ イブラリを識別するためのチェックを⾏います https://www.veracode.com/state-of-software-security-report

  23. © 2023, Amazon Web Services, Inc. or its affiliates. ライセンスチェック

    • 組織によっては、会社の知的財産を保護するために特定のライブラリを 使⽤しないよう求められる場合があります • GNU (General Public License) のようなコピーレフトライセンスを⽤ いる場合、アプリケーションも同ライセンスで配布する必要があります

  24. © 2023, Amazon Web Services, Inc. or its affiliates. 動的アプリケーションセキュリティテスト

    (DAST) • ⾃動化ツールを使⽤したブラック/グレーボックスの セキュリティテスト • SAST だけでは結合的な結果を得られない場合があります • DAST は、デプロイメント固有の問題の特定に役⽴ちます • SAST と DAST の結果を⽐較して、誤検出を除外します OWASP ZAP

  25. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2023, Amazon Web Services, Inc. or its affiliates. ワークショップコンテンツはこちら https://catalog.workshops.aws/sec4devs/ja-JP 25