Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

セキュリティ強化のための自動化 / security-automation

Avatar for Manabu Sakai Manabu Sakai
December 12, 2017
Technology
3
12k

セキュリティ強化のための自動化 / security-automation

SRE-SET Automation Night

Avatar for Manabu Sakai

Manabu Sakai

December 12, 2017
Tweet

More Decks by Manabu Sakai

See All by Manabu Sakai
アウトプットが切り拓いた自分のエンジニア人生 / Infra Study 2nd #8
Avatar for Manabu Sakai manabusakai
0
29k
GitHub Actions の self-hosted runner と Amazon EKS を使った Docker のビルドパイプライン / secure-docker-build-pipeline
Avatar for Manabu Sakai manabusakai
0
2.2k
SaaS における EKS のシングルテナントクラスタ戦略とスポットインスタンス活用術 / EKS single-tenant cluster strategy and Spot Instances
Avatar for Manabu Sakai manabusakai
0
7.7k
freee のエンジニアは障害から何を学び、どう改善しているのか? / What do freee engineers learn and improve from failures?
Avatar for Manabu Sakai manabusakai
8
20k
我々は Kubernetes の何を監視すればいいのか? / CloudNative Days Kansai 2019
Avatar for Manabu Sakai manabusakai
25
8.9k
CI/CD パイプラインを最速で組み立てるための 4 つのポイント / Four points to assemble the CI CD pipeline fastest
Avatar for Manabu Sakai manabusakai
9
3.8k
Kubernetes を使ってエンジニア組織の生産性を上げよう / kubernetes-and-engineer-productivity
Avatar for Manabu Sakai manabusakai
3
7.6k
freee のマイクロサービスを K8s + Go で組む! 短期プロジェクト成功の記録 / microservices-using-k8s-and-go
Avatar for Manabu Sakai manabusakai
4
11k
Kubernetes 入門者が 3 か月で本番導入するためにやったこと / kubernetes-beginner
Avatar for Manabu Sakai manabusakai
7
15k

Other Decks in Technology

See All in Technology
100以上の新規コネクタ提供を可能にしたアーキテクチャ
Avatar for yu-kioo ooyukioo
0
210
子育てで想像してなかった「見えないダメージ」 / Unforeseen "hidden burdens" of raising children.
Avatar for Pauli pauli
2
310
Identity Management for Agentic AI 解説
Avatar for Naohiro Fujie fujie
0
330
【ServiceNow SNUG Meetup LT deck】WorkFlow Editorの廃止と Flow Designerへの移行戦略
Avatar for NIWATO niwato
0
120
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
11
390k
MariaDB Connector/C のcaching_sha2_passwordプラグインの仕様について
Avatar for kubo ayumu boro1234
0
990
AI駆動開発の実践とその未来
Avatar for Ikko Eltociear Ashimine eltociear
1
450
AWSインフルエンサーへの道 / load of AWS Influencer
Avatar for WHIsaiyo whisaiyo
0
190
20251222_サンフランシスコサバイバル術
Avatar for ponponmikan ponponmikankan
2
130
AgentCore BrowserとClaude Codeスキルを活用した 『初手AI』を実現する業務自動化AIエージェント基盤
Avatar for Hirokatsu Endo ruzia
7
770
AIプラットフォームにおけるMLflowの利用について
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
180
たまに起きる外部サービスの障害に備えたり備えなかったりする話
Avatar for Sohei Iwahori egmc
0
350

Featured

See All Featured
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
80
6.1k
How to make the Groovebox
Avatar for あそなす asonas
2
1.8k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
14k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
85
9.3k
Making Projects Easy
Avatar for Brett Harned brettharned
120
6.5k
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
0
2.2k
Code Review Best Practice
Avatar for Trisha Gee trishagee
74
19k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
340
57k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
73
11k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
355
21k
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
Avatar for Yuki Nakata chikuwait chikuwait
0
36
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4.1k

Transcript

  1. セキュリティ強化のための自動化 SRE-SET Automation Night

  2. 自己紹介 • 坂井 学(さかい まなぶ) • 2016 年に SRE エンジニアとして入社

    • 最近は Ruby / Go を書いています • 得意分野は AWS ◦ AWS 認定ソリューションアーキテクト - プロフェッショナル ◦ AWS 認定 DevOps エンジニア - プロフェッショナル

  3. 自己紹介 Twitter / GitHub @manabusakai

  4. スモールビジネスに携わる方が より創造的な活動にフォーカスできるよう

  5. freee が提供するサービス • 会計 freee • 人事労務 freee • 会社設立

    freee • 開業 freee • マイナンバー管理 freee お金 人 人

  6. “人やお金”に関わる情報漏洩は 絶対に起こしてはならない

  7. そのためには… • セキュリティパッチが出たらすぐに適用したい ◦ 場合によっては 1 分 1 秒を争うがすぐに適用できる? •

    外部からの怪しい攻撃は自動的に遮断したい ◦ 攻撃されてから気づくことの方が多い? 他にも様々なポイントがありますが今回は割愛します。

  8. CodeBuild を使った AMI 作成 • Context ◦ freee で運用している EC2

    は Golden AMI 方式 ◦ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え ◦ Ansible + Packer でコード管理

  9. CodeBuild を使った AMI 作成 • Before ◦ SRE が手動で Packer

    を実行して AMI を作成 ◦ AMI の種類が多いのですべて作り直すには時間がかかる ◦ 脆弱性が発見されると手分けしてやっていた…

  10. CodeBuild を使った AMI 作成 1 コマンドを 流すだけ 数に応じて並 列化 ref:

    https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/

  11. CodeBuild を使った AMI 作成 • After ◦ 面倒で時間のかかる作業を完全に自動化 ◦ ビルドを並列化することで時間短縮

    ◦ 本番環境に迅速にパッチを適用できるようになった

  12. AWS WAF を使った攻撃の自動遮断 • Before ◦ DoS 攻撃やリスト型攻撃の検知が後手に回る ◦ 攻撃側の

    IP アドレスが頻繁に変わるので、 Security Group や Network ACL の遮断では限界がある ◦ 深夜や早朝など手薄な時間帯ができてしまう

  13. DoS 攻撃は 自動的に遮断 サーバの負荷 は上がらない AWS WAF を使った攻撃の自動遮断 ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/

  14. AWS WAF を使った攻撃の自動遮断 • After ◦ DoS 攻撃やリスト型攻撃を自動的に遮断できる ◦ 自動的に遮断してくれるので余裕を持って調査できる

    ◦ ALB で遮断するので Web サーバの負荷が上がらない

  15. まとめ • アイデア次第でセキュリティ強化も自動化できる時代 • freee の SRE はユーザーに本質的な価値を届けるために、 安心して使えるインフラ環境を目指しています!