Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS re:Inforce recap 2019
Search
Masayoshi Mizutani
July 30, 2019
Technology
4.4k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS re:Inforce recap 2019
AWS re:Inforce 2019 re:Cap イベントで話したスライドです
https://awsreinforce2019recap.splashthat.com/
Masayoshi Mizutani
July 30, 2019
More Decks by Masayoshi Mizutani
See All by Masayoshi Mizutani
生成AIの利用とセキュリティ /gen-ai-and-security
mizutani
1
2.2k
システム・サービス運用におけるセキュリティ監視の近代的アプローチ /advnet2025-modern-secmon
mizutani
0
130
Deep Security Conference 2025:生成AI時代のセキュリティ監視 /dsc2025-genai-secmon
mizutani
9
6.1k
MCPの基礎とUbieにおける活用事例 /ubie-mcp
mizutani
4
3.1k
クラウドセキュリティのベストプラクティスと実装例 /cloudsec-bestpractice-example
mizutani
9
3.3k
汎用ポリシー言語Rego + OPAと認可・検証事例の紹介 / Introduction Rego & OPA for authorization and validation
mizutani
2
1.2k
Ubieにおけるセキュリティ課題管理の自動化 / ubie-sec-issue-automation
mizutani
0
1.1k
Trivy + Regoを用いたパッケージ脆弱性管理 /trivy-rego
mizutani
7
5k
リモートワークを支える 社内セキュリティ基盤の構築と運用 /secueiry-for-wfh
mizutani
0
820
Other Decks in Technology
See All in Technology
AIで政治は変わるのか? — 中高生と考えたAI時代の民主主義(東海高校サタデープログラム)
eitarosuda
0
390
はてなのサービス基盤を支える Kubernetes《足腰》
masayoshimaezawa
0
440
從觀望到全公司落地:AI Agentic Coding 導入實戰 — 流程整合與安全治理
appleboy
1
780
Hatena Engineer Seminar 37 jj1uzh
jj1uzh
0
430
型は壁、Rustでもバグを直すな、表現できなくせよ
nwiizo
10
1.1k
記録をかんたんに、提案をパーソナルに ── AIであすけんが目指すもの
oprstchn
0
140
FinOps X 2026 Recap from Engineer Side #JapanFinOps
chacco38
0
250
AIをフル活用してオンコール機能のプロトタイプを2日で作った話 / Building an AI-Powered On-Call Prototype in Just Two Days
nari_ex
0
180
スタートアップにおけるアジャイルの実践について #shibuyagile
murabayashi
3
2.1k
アラート調査向けAIエージェントの本番導入とその後/AI Agents for Alert Investigation: Production Deployment and After
taddy_919
1
380
【FinOps】データドリブンな意思決定を目指して
z63d
3
610
ループエンジニアリングでE2Eテストを実践
noriyukitakei
0
270
Featured
See All Featured
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
380
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
minecr
1
310
WCS-LA-2024
lcolladotor
0
670
WENDY [Excerpt]
tessaabrams
11
38k
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
akihiro_kokubo
PRO
72
40k
YesSQL, Process and Tooling at Scale
rocio
174
15k
Code Reviewing Like a Champion
maltzj
528
40k
Heart Work Chapter 1 - Part 1
lfama
PRO
8
36k
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.3k
Designing Experiences People Love
moore
143
24k
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.4k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
340
Transcript
AWS re:Inforce recap クックパッド株式会社 技術部セキュリティグループ 水谷 正慶 2019.7.30 (Tue)
自己紹介 •水谷 正慶 (@m_mizutani) •クックパッド株式会社 ‣ 技術部セキュリティグループ グループ長 ‣ セキュリティ監視基盤の設計・構築・運用を主に担当
•AWS歴 ‣ 現職に転職した1年半程前から
None
None
AWS re:Inforce 2019 @Boston
None
Security as Code
None
セキュリティ設定の自動修復 ‣ 設定の変更をCloudWatch Eventsで検出 ‣ ルールに沿っていない設定変更を検出した場合、自動 的に修復する ‣ 例:S3バケットの暗号化
None
IAM ポリシー作成の自動化 •IAMのポリシーは雑にFullAccessなどにしがち ‣ ちゃんと制限されたポリシーを作成するのは大変 •解決策 ‣ 開発環境などでFullAccessで動かす ‣ CloudTrailでどのAPIがどこから呼ばれたのかを集計する
‣ APIから必要な権限を導出して自動でポリシーを作成する
https://www.youtube.com/watch?v=w2FH12ZUgdY
https://www.youtube.com/watch?v=w2FH12ZUgdY 機械学習を使ったWAFルール更新 •様々なデータソースから集めたログをS3に蓄積 •定期的にSageMakerのジョブを実行して訓練 •生成されたモデルを使ってWAFのblock対象を更新する
Security as Codeの実現 by AWSサービス •自分たちの組織・ビジネスに必要な機能をマネージ ド・サービスの組み合わせで実現 ‣ 組み合わせ次第と発想次第で様々な機能を実現 ‣
セキュリティにまつわる仕事を自動化 ‣ 開発やサービス提供の省力化・サポートを実現
クックパッドでの事例
セキュリティログの変換と転送 •Lambdaでログのフォーマットを変換+Graylogへ転送
セキュリティログの変換と転送 •Lambdaでログのフォーマットを変換+Graylogへ転送 •1日あたり約3億件のログを処理 •料金は1日あたり約 $1.6 •SNS 〜 Lambdaで転送するまで •内訳:Lambda $1
+ Kinesis Data Stream $0.6 •Kinesis Data Streamを挟むことで障害時のリトライが容易に •Lambdaの同時起動数限界までスケールアウト可能(通常は10 ぐらい)
AWS Security Hub のインテグレーション •Security Hub の Findings を S3
にエクスポート IUUQTHJUIVCDPNNNJ[VUBOJBXTTFDVSJUZIVCFYQPSUFS
AWS Security Hub のインテグレーション IUUQTHJUIVCDPNNNJ[VUBOJBXTTFDVSJUZIVCFYQPSUFS •Lambdaで取得する際に少し長めの期間を指定して Findingsを取得 •S3を挟むことでバックアップ 兼 冪等に処理可能
•AWSで(今後サポートしてほしい)まだできていない 機能も実現できる
セキュリティアラートの自動分析 •アラート発生時に分析・対応を サポートしてくれるフレーム ワーク ‣ 出現したIPアドレス、ドメイン 名、ユーザの調査 ‣ 調査した結果をもとにリスクを 自動判定
‣ 判定結果を元に通知や対応
セキュリティアラートの自動分析 •アラート発生時に分析・対応を サポートしてくれるフレーム ワーク ‣ 出現したIPアドレス、ドメイン 名、ユーザの調査 ‣ 調査した結果をもとにリスクを 自動判定
‣ 判定結果を元に通知や対応 •実行部分がすべてLambdaでスケールアウト可能 •Pluggableな機能拡張 •1日1000件アラートが発生した場合、コストは約 $0.3/日 •詳しくは後日弊社技術ブログで公開予定 •https://techlife.cookpad.com/
None