Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SREを以てセキュリティエンジニアリングを制す / SRE, Security Enginee...

Takashi Yoneuchi
September 29, 2023

SREを以てセキュリティエンジニアリングを制す / SRE, Security Engineering, and You

SRE NEXT 2023 のスポンサーセッション (20min) で使用したスライドです。

---

概要:
システムやソフトウェアの信頼性(Reliability)とセキュリティは多くの共通項を持つ概念です。本セッションでは、信頼性に主な関心を置いた技術体系であるSREを、セキュリティリスクの健全な管理のための技術体系として活用する方法を考察します。具体的にはSLO/SLI/エラーバジェット的発想に基づくセキュリティリスク管理や、セキュリティに関するソフトウェアエンジニアリング技法について、具体的な事例も交えながら論じます。

セキュリティ領域は技芸(Art)的解決が必要な課題領域も未だ多く、Engineering的体系は進化の途上にあります。SREというプラクティスを土台としてセキュリティ課題の解決を検討することは、SREに慣れ親しんだ(あるいは興味を持った)技術者の集まる本カンファレンスにおいては、セキュリティ領域への最も良い入り口になるのではないでしょうか。本セッションが、`class DevOps` の実装から一歩進んだ `class DevSecOps` を、あなたの組織で実装する際の一助となれば幸いです。

Takashi Yoneuchi

September 29, 2023
Tweet

More Decks by Takashi Yoneuchi

Other Decks in Technology

Transcript

  1. ÆÈÉÉÅÇÄÃÉÉÂÉÁÀ HFBIC5A@S9&610'2490PIG3)À$ÃÇÇ8Á QHÁÀQÅÇ#(7"5 rchdqa`YWpgfVbXUbpeiT ”‡’—–•vy‘pˆh„–•‚ˆxp€wu …p‰ƒ„ThtsT Œw—Š‘v•”’Ždœ‹`…™‚ Œ—Šy‘pu‡r›ƒˆ‚‰on†vo˜‚ Œq—Šy•ƒˆj•ˆx}lškT{ih‚ Œg—ŠX‚f

    ed”’„—“˜yk ¦•¡¥¤•…pžTv ²‰’°¯f¨oª’­v§ öüÙwvìiœ‹`‰on¿åâpæšfy‘wÚØiUbpŽvÕ ÓÑÏÎÓÑËÞvØie”ódÜÅÃÉõplšÁwu Þß×ø¾ø½èÍÞ¼Ìï×ÞûԻ׺ï¹Þ¸ß¼ûñÞplš’‡„T•ví³úãÐ
  2. ÆÈÉÉÅÇÄÃÉÉÂÉÁÀ HFBIC5A@S9&610'2490PIG3)À$ÃÇÇ8Á QHÁÀQÅÇ#(7"5 `ecgfdaYhibfXbWUVT rtvsvqpu ‡ ƒ7~}{xuvIi˜tq5p l’n“rmkh#e™–” ‡ sg—x‰ˆ†7…3…d„j

    y#‚w“zx€•yƒ€#xw–‘ ‡v…„ ‡ 4¹¸»º©¯¢²Iµ™“q5p ¦“°p«¸¥©»kh–” ‡ ‰ˆ†7…3¡™–p…d„j y#‚w“•yƒ€7®3‰ˆ¦–‘ ¾À¿vÁ¼ ‡ uvâä#ÚáԂÓØã×Ñuv Ð#ÏÎ×̘p¦#jy‚È ‡ Åß×ėxÕÞ#Âقw çæå ‡ û#÷#üôxjy‚È ‡ Åß×ìëÕÞ#Âقw Infæ ‡ ¡™z固x環境I目指3上で参考7 xプラ»&6²„ツ©ル#提示 `ec定義の例
  3. ÆÈÉÉÅÇÄÃÉÉÂÉÁÀ HFBIC5A@S9&610'2490PIG3)À$ÃÇÇ8Á QHÁÀQÅÇ#(7"5 cpqeb`XYi`XfbaWVTUhdqWg tvxuxsrw ‰ …7€}zwxIkdvs5r ƒn”p•tomj#ge˜– ‰ ui™z’‘ˆ7‡3ƒ‡f†l

    {#„y•|ƒz‚—…‚#€y˜“ ‰x‡† ‰ 4»º½¼«±¤´I·e•s5r ƒ¨•²r­º§«½mj˜– ‰ ’‘ˆ7‡3ƒ£e˜r‡f†l {#„y•—…‚7°3ƒ‹Š¨˜“ ÀÂÁxþ ‰ wxäæ#ÜãքÕÚåÙÓwx Ò#ÑÐÙÎdr¨#l{„Ê ‰ ÇáÙƙz×à#Äۄy Xèç ‰ ý#ù#þözl{„Ê ‰ ÇáÙîí×à#Äۄy YÁÀè ‰ £e|4z0I&3"% 27 zƒ½&6´†Ç«Æ#Ä wuV„9UsYaxfTdaRc`itCD@WhA‚egQp ePfITXHGaWEBivbHGqURgrV€y7UVTqWg g‰Tˆr…
  4. ÆÈÉÉÅÇÄÃÉÉÂÉÁÀ HFBIC5A@S9&610'2490PIG3)À$ÃÇÇ8Á QHÁÀQÅÇ#(7"5 cpqeb`XYi`XfbaWVTUhdqWg tvxuxsrw ‰ …7€}zwxIkdvs5r ƒn”p•tomj#ge˜– ‰ ui™z’‘ˆ7‡3ƒ‡f†l

    {#„y•|ƒz‚—…‚#€y˜“ ‰x‡† ‰ 4»º½¼«±¤´I·e•s5r ƒ¨•²r­º§«½mj˜– ‰ ’‘ˆ7‡3ƒ£e˜r‡f†l {#„y•—…‚7°3ƒ‹Š¨˜“ ÀÂÁxþ ‰ wxäæ#ÜãքÕÚåÙÓwx Ò#ÑÐÙÎdr¨#l{„Ê ‰ ÇáÙƙz×à#Äۄy Xèç ‰ ý#ù#þözl{„Ê ‰ ÇáÙîí×à#Äۄy YÁÀè ‰ £e|4z0I&3"% 27 zƒ½&6´†Ç«Æ#Ä €ThRxYprvfWd`xwWVyUUbtqTWgQ PiIWHsUXVFDECAq98aBpux765G ‡v…T„P
  5. ÆÈÉÉÅÇÄÃÉÉÂÉÁÀ HFBIC5A@S9&610'2490PIG3)À$ÃÇÇ8Á QHÁÀQÅÇ#(7"5 cpqeb`XYi`XfbaWVTUhdqWg tvxuxsrw ‰ …7€}zwxIkdvs5r ƒn”p•tomj#ge˜– ‰ ui™z’‘ˆ7‡3ƒ‡f†l

    {#„y•|ƒz‚—…‚#€y˜“ ‰x‡† ‰ 4»º½¼«±¤´I·e•s5r ƒ¨•²r­º§«½mj˜– ‰ ’‘ˆ7‡3ƒ£e˜r‡f†l {#„y•—…‚7°3ƒ‹Š¨˜“ ÀÂÁxþ ‰ wxäæ#ÜãքÕÚåÙÓwx Ò#ÑÐÙÎdr¨#l{„Ê ‰ ÇáÙƙz×à#Äۄy Xèç ‰ ý#ù#þözl{„Ê ‰ ÇáÙîí×à#Äۄy YÁÀè ‰ £e|4z0I&3"% 27 zƒ½&6´†Ç«Æ#Ä A@9T865 ˆdƒ@€weWgƒq†v‚Ug€`faƒu`cep rbb…btxWV6„SURqI6HXFEDhgUPGCe
  6. ÆÈÉÉÅÇÄÃÉÉÂÉÁÀ HFBIC5A@S9&610'2490PIG3)À$ÃÇÇ8Á QHÁÀQÅÇ#(7"5 fitaubpgwevcXdqVUs`YWrTha €‚„„yxƒ • ‹7†…ƒ€}~Iqj‡|y5x ‰tdvezusp#mkhf • {oi€˜—–”7“3‰“l’r

    #e‚‰€ˆg‡‘ˆ#†…h™ „Œ • 4ÁÀñ·ªºI½k›y5x ‰®e¸x³À­•±Ãsphf • ˜—–”7“3‰©kžx“l’r #eg‡‘ˆ7¶3‰‘®h™ ÆÈDŽÉÄ • }~êì#âéܐÛàëßÙ}~ Ø#×ÖßÔjx®#rÐ • ÍçßÌi€Ýæ#Êᐠïîí • そ# 他# 様々€rÐ • Íçß 便利Ýæ#ÊᐠInfî • ©k‚ 固€ 環境I 目指3 上で参考7 €‰ プラÃ&6º’ ツ± ル# 提示 重大さ e 義の例 「検査Us` のYWV 、自組織のXdq 判e の ロジックを合わせc いr 、合わない…… 」 結果Vv てXdq 別の目標を持V うVv ても、計測r 困難になa こVr
  7. ÆÈÉÉÅÇÄÃÉÉÂÉÁÀ HFBIC5A@S9&610'2490PIG3)À$ÃÇÇ8Á QHÁÀQÅÇ#(7"5 WUTV ‰ ‡…€yviƒˆpt†shu„gedqcx‚b ‰ `Y€garwdXf fe–™—d“’˜”•‘d“ kjihg

    ‰ f‡¤‚f‡‹™z” ª‰ “™‘…ˆ†ž ‘¢¡§x‚b ‰ e€œ„–œ|{™—™f€~wv|{™’}x•srqp€‚n ©›¥d“mŸ•užu£lŽ ›³Ÿ¶ •”°µ®´n© ¸ ¹