Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Datadog を使ったプロダクトとクラウドの セキュリティモニタリング
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
mrtc0
September 04, 2024
Technology
3.4k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Datadog を使ったプロダクトとクラウドの セキュリティモニタリング
https://findy.connpass.com/event/328782/
mrtc0
September 04, 2024
More Decks by mrtc0
See All by mrtc0
コードで理解する eBPF セキュリティモニタリング
mrtc0
2
310
Product Security Casual Talk #1 - Datadog を使ったセキュリティモニタリングと 自動化の取り組み
mrtc0
2
720
GMO ペパボ株式会社 23卒・24卒向け セキュリティ勉強会 実践 DevSecOps パイプライン
mrtc0
1
750
実践 DevSecOps パイプライン ~システム開発へのセキュリティの取り入れ方~
mrtc0
2
610
脅威モデリングで考える Kubernetes セキュリティ / CloudNative Days Tokyo 2021 #CNDT2021 #CNDT2021_B
mrtc0
8
3.5k
ProSec-IT 2021 Container Security
mrtc0
2
830
GMO Developer Day 2021 - DevSecOps 推進の取り組みの紹介.pdf
mrtc0
4
1.9k
Web セキュリティ研修 / GMO ペパボ 新卒研修 2021
mrtc0
7
47k
実践コンテナ & Kubernetes セキュリティ
mrtc0
12
4.1k
Other Decks in Technology
See All in Technology
Microsoft のサポートとフィードバック総まとめ
murachiakira
PRO
0
130
トークン最適化のためのユーザーストーリー分析 / User Story Analysis for Token Optimization
oomatomo
0
160
cccccc
moznion
0
1.1k
「勝手に広まる」人気 AI エージェントを爆速で作ろう!(AWS Summit Japan 2026講演資料)
minorun365
PRO
10
2.8k
起点・思考・出力で分解する 〜PM業務の自動化設計〜
kazu_kichi_67
2
1.2k
Mastraエージェント、どのクラウドにデプロイする?
minorun365
PRO
2
130
AI駆動開発におけるQAエンジニアの役割事例 〜AI駆動開発の現場から〜
kobayashiyorimitsu
0
240
“全部コピーしない”ファイルデータの活用 : — FSx for ONTAP × S3 Tables × Icebergで作るメタデータカタログ
yoshiki0705
0
230
NDIAS CTF 2026 問題解説会資料
bata_24
0
160
製造現場での生成AIの活用、およびエージェントAIの実装のあり方、AVEVAの取り組み
iotcomjpadmin
0
210
『AIに負けない』より『AIと遊ぶ』」〜ワクワクが最強のテスト・QA学習戦略_公開用
odan611
1
330
GitHub Copilot運用のリアル ~AI Credit時代にどう向き合うか~
takafumisu2uk1
0
600
Featured
See All Featured
Exploring the relationship between traditional SERPs and Gen AI search
raygrieselhuber
PRO
2
4k
Building Adaptive Systems
keathley
44
3.1k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
62
55k
Google's AI Overviews - The New Search
badams
0
1.1k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
360
30k
How to make the Groovebox
asonas
2
2.3k
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.2k
What Being in a Rock Band Can Teach Us About Real World SEO
427marketing
0
1k
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
180
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.4k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
287
14k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
11k
Transcript
Datadog を使ったプロダクトとクラウドの セキュリティモニタリング 実例から学ぶセキュリティ監視 / 2024-09-05 株式会社グラファー 森田 浩平
森田 浩平 / Kohei Morita 自己紹介 2018年にGMOペパボ株式会社に新卒入社。 2022年より株式会社グラファーにてプロダクトセキュリティ等に従事。 OWASP Fukuoka
Chapter Leader,セキュリティ・キャンプ講師, 著書に「基礎から学ぶコンテナセキュリティ」など。
プロダクトの力で 行動を変え 社会を変える ミッション 誰もが等しくテクノロジーの恩恵を受け、自由を享受することができる社会へ。
4 行政サービスのデジタル変革
市民と行政の接点をデジタルに置き換え、行政手続きの負担をなくす 5 ※2023年6月時点の情報です。サービスの提供状況が変更となる場合があります。 Graffer 手続きガイド ~まずは必要な手続きを簡単に検索~ 1 Graffer スマート申請 ~オンラインで申請から決済まで完結~
Graffer 窓口予約 ~混雑を避けるため、あらかじめ予約をセット~ Graffer 窓口書類作成 ~窓口でもデジタルで簡単入力~ 2 3 4 選 択 質問に答える 確 認 Graffer市役所 入 力 署 名 決 済 申 請 手続きガイドと連携できる 「書かない窓口」を実現 来庁せずに、スマートフォンで手続きが行える 申請サービス本人確認から決済まですべて手元での実施が可能 簡単な質問に答えていくだけで、 自分に必要な手続きや持ち物が分かる手続き案内サービス 手続きに来庁された市民向けの申請書作成サービス 窓口への来庁予約を簡便に行えるサービス 対面で必要な手続きや相談したい場合 オンラインで できるもの 窓口に 行った後は 日時選択 予約情報入力・確認 完了
Graffer AI Solution 6 事業者向け ①生成AIプロダクト 実際に業務で生成AIを活用していきたい場合に、企業がセキュアな環境で利用できる 「Graffer AI Studio」を提供
②生成AI活用伴走支援 生成AIをどう活用して何を解決していきたいか、生成AIによって何ができるようになる のか、課題分析やゴール設定を実施し、活用できるように伴走支援を実施 ③ 生成AI研修・人材育成 一時的にではなく中長期的に、社員一人一人が生成AIを正しく使え、業務で活用できる ようになるための、研修や人材育成のコンテンツを多数ご用意 • 伴走支援や生成AI活用プロダクト、研修まで生成AIを業務で活用するために必要なソリューションを提供
企業向け生成AI活用プラットフォーム:Graffer AI Studio 7 事業者向け • 汎用的に活用できるチャットサービスを起点としながら、より簡易的に生成AIを活用できるアプリケーションや、高 度な活用や定常業務の効率化につながるような機能を幅広く提供 チャットサービス ChatGPTで利用できるようなマルチターン
の機能はもちろん、大企業において活用し やすいテンプレート共有機能・アカウント 管理・ログ出力・SSOやIPアドレス制限な ど多数搭載。 データ分析・処理 /ファイル検索 ExcelやCSVなどのファイルを読み込んで集計 処理やデータ分析を行うことが可能。 また、PDFファイルをアップロードして情報 を検索、そこから要約したり文章を生成した りすることも。 カスタムモデル ユーザーが、特定の用途ごとに、入出力の基 盤となる指示などを予め設定したカスタムモ デルを作成可能。 利用時には最低限の入力指示で済むため、テ ンプレート以上に利用難易度の低減や可視性 の向上が見込まれる。 ※2024年6月時点での画面イメージであり、今後変更となる可能性あり
セキュリティモニタリングの構築 8
セキュリティモニタリングの構築 ポリシー 組織として守るべきこと 外部から要求されていること MFA を設定する バックアップは N 世代保持 ポートの解放をしないこと
セキュリティ モニタリング リスクアセスメント どのような脅威が考えられるのか 誤ってバケットを公開する サーバーでのコマンド実行 DoS 監視の種類 アクター 監視の対象 コンポーネント 外部からの攻撃 内部犯 sshd RDS 攻撃の兆候・異常検知 設定不備の検知 イベント・ログ リソースの設定内容 メトリクス サプライチェーン ツールの選定 インシデント対応 監視頻度 監視運用 オーケストレーション アラート化 9
Datadog とセキュリティモニタリング https://devops.com/datadog-cloud-security-platform-advances-devsecops/
グラファーでのセキュリティモニタリング 11
グラファーでのセキュリティモニタリング 各種クラウド・SaaS SaaS も含めてあらゆるセキュリティイベントは Datadog へ集約している。柔軟な検索や可視化が容易であること、部内 全員が一定水準使えるツールであるため。CloudWatch Logs や Athena
は基本的に使わない。 Log Management CSM Monitor Metrics Integrations アプリケーション・サーバー 🚨アラート 📝定期的な確認 Dashboard ログの収集 構成情報や 脆弱性等の収集 メトリクスの収集 12
ログインイベントログには Datadog が推奨する 下記の属性を含ませている。 • usr.id • evt.name • evt.outcome
• network.client.ip メトリクス化し、サービスに対する不正ログイ ンが発生していないかを監視。 例1: プロダクトのセキュリティモニタリング プロダクトに対する攻撃の兆候を検知するために、重要なイベントは記録・監視を行っている。 13
例2: インフラのセキュリティモニタリング 当社は AWS を利用しており、プロダクトは EKS 上で動作している。 Datadog CSM /
Workload Security によってインフラのセキュリティモニタリングを行っている。 AWS EKS Pod Pod Pod App App App • アプリケーションログ・監査ログ • 悪性なドメインへの接続・システムコール呼び出し • コンテナイメージスキャン • EKS 監査ログ • 構成情報 • アクティビティ・API ログ (CloudTrail) • 脅威検出 (GuardDuty / Access Analyzer) • などなど... GuardDuty や CloudTrail のログは監査用アカウントに集約 → Datadog Forwarder で転送している 各アカウント 監査用アカウント Datadog Forwader 集約 転送 14
例3: アラートの定義 Datadog では脅威ベースのマネージドなルール OOTB Rules [1] が提供されている。 当社では、これに加えて独自のアラートを定義 /
Terraform で管理している。 [1] https://docs.datadoghq.com/ja/security/default_rules 15
例4: カスタムポリシー クラウドの利用方針・ポリシーを決めても、うっかり設定を忘れてしまったりする可能性が考えられる。 IaC の段階での検知も実施しているが、俯瞰して監査を行うためにも Datadog CSM を利用している。 方針・ポリシーを決める 実装・運用する
新しいサービスを作るぞ! … … 「🚨新規サービスがポリシーに則っていないぞ!」 ポリシーは Rego で記述し、 CSM のルールは Terraform で管理 防止したい事象例 CSM を使った検知 16
その他の取り組み Kubernetes の Audit Log や ArgoCD のイベ ントなどを集約。Pod へのアタッチなど通常
行わない API 呼び出しを確認。 アラートに至らなかった不審なイベントを見落とさないようにチームで定期的にダッシュボード等を確認している Kubernetes Audit Logs AWS CloudTrail や GuardDuty の検出を集 約。珍しい API Call がないか、国外から異常 なアクセスがないかなどを確認。 CloudTrail GitHub の Audit Log を Datadog に集約。リ ポジトリへのアクセス、インストールされた GitHub App に不審な点がないかを確認。 GitHub Audit Logs 17
We are hiring Product Developer, PdM, SRE を募集しています! https://career.graffer.inc/ 18