Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティ強化のための自動化 / security-automation
Search
Manabu Sakai
December 12, 2017
Technology
3
11k
セキュリティ強化のための自動化 / security-automation
SRE-SET Automation Night
Manabu Sakai
December 12, 2017
Tweet
Share
More Decks by Manabu Sakai
See All by Manabu Sakai
アウトプットが切り拓いた自分のエンジニア人生 / Infra Study 2nd #8
manabusakai
0
28k
GitHub Actions の self-hosted runner と Amazon EKS を使った Docker のビルドパイプライン / secure-docker-build-pipeline
manabusakai
0
2.1k
SaaS における EKS のシングルテナントクラスタ戦略とスポットインスタンス活用術 / EKS single-tenant cluster strategy and Spot Instances
manabusakai
0
7.1k
freee のエンジニアは障害から何を学び、どう改善しているのか? / What do freee engineers learn and improve from failures?
manabusakai
8
19k
我々は Kubernetes の何を監視すればいいのか? / CloudNative Days Kansai 2019
manabusakai
25
8.6k
CI/CD パイプラインを最速で組み立てるための 4 つのポイント / Four points to assemble the CI CD pipeline fastest
manabusakai
9
3.7k
Kubernetes を使ってエンジニア組織の生産性を上げよう / kubernetes-and-engineer-productivity
manabusakai
3
7.3k
freee のマイクロサービスを K8s + Go で組む! 短期プロジェクト成功の記録 / microservices-using-k8s-and-go
manabusakai
4
10k
Kubernetes 入門者が 3 か月で本番導入するためにやったこと / kubernetes-beginner
manabusakai
7
14k
Other Decks in Technology
See All in Technology
バクラクの認証基盤の成長と現在地 / bakuraku-authn-platform
convto
4
760
ここはMCPの夜明けまえ
nwiizo
32
12k
PdM採用とAIの製品活用を同時に頑張ってみた話 / EM oasis 20250418
rakus_dev
0
120
品質文化を支える小さいクロスファンクショナルなチーム / Cross-functional teams fostering quality culture
toma_sm
0
150
コードや知識を組み込む / Incorporating Codes and Knowledge
ks91
PRO
0
130
AWS全冠芸人が見た世界 ~資格取得より大切なこと~
masakiokuda
5
6.5k
【Λ(らむだ)】最近のアプデ情報 / RPALT20250422
lambda
0
120
AWSの新機能検証をやる時こそ、Amazon Qでプロンプトエンジニアリングを駆使しよう
duelist2020jp
1
290
Bazel for Ruby (RubyKaigi 2025)
p0deje
0
130
React ABC Questions
hirotomoyamada
0
560
生成AIのユースケースをとにかく集めてまるっと学ぶ!/ all about generative ai usecases
gakumura
2
280
LiteXとオレオレCPUで作る自作SoC奮闘記
msyksphinz
0
810
Featured
See All Featured
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
357
30k
Rebuilding a faster, lazier Slack
samanthasiow
81
8.9k
Gamification - CAS2011
davidbonilla
81
5.2k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.4k
Measuring & Analyzing Core Web Vitals
bluesmoon
7
400
How STYLIGHT went responsive
nonsquared
100
5.5k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
12k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Agile that works and the tools we love
rasmusluckow
328
21k
The World Runs on Bad Software
bkeepers
PRO
68
11k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Transcript
セキュリティ強化のための自動化 SRE-SET Automation Night
自己紹介 • 坂井 学(さかい まなぶ) • 2016 年に SRE エンジニアとして入社
• 最近は Ruby / Go を書いています • 得意分野は AWS ◦ AWS 認定ソリューションアーキテクト - プロフェッショナル ◦ AWS 認定 DevOps エンジニア - プロフェッショナル
自己紹介 Twitter / GitHub @manabusakai
スモールビジネスに携わる方が より創造的な活動にフォーカスできるよう
freee が提供するサービス • 会計 freee • 人事労務 freee • 会社設立
freee • 開業 freee • マイナンバー管理 freee お金 人 人
“人やお金”に関わる情報漏洩は 絶対に起こしてはならない
そのためには… • セキュリティパッチが出たらすぐに適用したい ◦ 場合によっては 1 分 1 秒を争うがすぐに適用できる? •
外部からの怪しい攻撃は自動的に遮断したい ◦ 攻撃されてから気づくことの方が多い? 他にも様々なポイントがありますが今回は割愛します。
CodeBuild を使った AMI 作成 • Context ◦ freee で運用している EC2
は Golden AMI 方式 ◦ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え ◦ Ansible + Packer でコード管理
CodeBuild を使った AMI 作成 • Before ◦ SRE が手動で Packer
を実行して AMI を作成 ◦ AMI の種類が多いのですべて作り直すには時間がかかる ◦ 脆弱性が発見されると手分けしてやっていた…
CodeBuild を使った AMI 作成 1 コマンドを 流すだけ 数に応じて並 列化 ref:
https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/
CodeBuild を使った AMI 作成 • After ◦ 面倒で時間のかかる作業を完全に自動化 ◦ ビルドを並列化することで時間短縮
◦ 本番環境に迅速にパッチを適用できるようになった
AWS WAF を使った攻撃の自動遮断 • Before ◦ DoS 攻撃やリスト型攻撃の検知が後手に回る ◦ 攻撃側の
IP アドレスが頻繁に変わるので、 Security Group や Network ACL の遮断では限界がある ◦ 深夜や早朝など手薄な時間帯ができてしまう
DoS 攻撃は 自動的に遮断 サーバの負荷 は上がらない AWS WAF を使った攻撃の自動遮断 ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/
AWS WAF を使った攻撃の自動遮断 • After ◦ DoS 攻撃やリスト型攻撃を自動的に遮断できる ◦ 自動的に遮断してくれるので余裕を持って調査できる
◦ ALB で遮断するので Web サーバの負荷が上がらない
まとめ • アイデア次第でセキュリティ強化も自動化できる時代 • freee の SRE はユーザーに本質的な価値を届けるために、 安心して使えるインフラ環境を目指しています!
manabusakai
convto
nwiizo
rakus_dev
toma_sm
ks91
masakiokuda
lambda
duelist2020jp
p0deje
hirotomoyamada
gakumura
msyksphinz
bermonpainter
samanthasiow
davidbonilla
productmarketing
bluesmoon
nonsquared
erikaheidi
samlambert
chriscoyier
rasmusluckow
bkeepers
tanoku
