Upgrade to Pro — share decks privately, control downloads, hide ads and more …

あなたの情報を守る あてなのセキュリティ談義

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for NAVITIME JAPAN NAVITIME JAPAN PRO
March 10, 2018
Technology
33
0

あなたの情報を守る あてなのセキュリティ談義

2018/3/10開催「JAWS DAYS 2018」における発表資料です。

Avatar for NAVITIME JAPAN

NAVITIME JAPAN PRO

March 10, 2018

More Decks by NAVITIME JAPAN

See All by NAVITIME JAPAN
つよつよリーダーが 抜けたらどうする? 〜ナビタイムのAgile⽀援組織の変遷〜
Avatar for NAVITIME JAPAN navitimejapan
PRO
23
16k
実践ジオフェンス 効率的に開発するために
Avatar for NAVITIME JAPAN navitimejapan
PRO
3
1k
安全で使いやすいCarPlayアプリの 魅せ方:HIGと実例から学ぶ
Avatar for NAVITIME JAPAN navitimejapan
PRO
1
280
見えないユーザの声はログに埋もれている! ~ログから具体的なユーザの体験を数値化した事例紹介~
Avatar for NAVITIME JAPAN navitimejapan
PRO
6
3.3k
ユーザーのためなら 『デザイン』 以外にも手を伸ばせる
Avatar for NAVITIME JAPAN navitimejapan
PRO
2
1.8k
フツーのIT女子が、 Engineering Managerになるまで
Avatar for NAVITIME JAPAN navitimejapan
PRO
3
430
不確実性に打ち勝つOKR戦略/How to manage uncertainty with OKR strategy
Avatar for NAVITIME JAPAN navitimejapan
PRO
4
3.9k
アジャイルを小さいままで 組織に広める 二周目 / Agile Transformation in NAVITIME JAPAN iteration 2
Avatar for NAVITIME JAPAN navitimejapan
PRO
4
1.5k
変更障害率0%よりも「継続的な学習と実験」を価値とする 〜障害を「起こってはならないもの」としていた組織がDirtの実施に至るまで〜 / DevOps Transformation in NAVITIME JAPAN
Avatar for NAVITIME JAPAN navitimejapan
PRO
8
6k

Other Decks in Technology

See All in Technology
オライリーイベント登壇資料「鉄リサイクル・産廃業界におけるAI技術実応用のカタチ」
Avatar for Takumi Karasawa takarasawa_
0
400
「QA=テスト」「シフトレフト=スクラムイベントの参加者の一員」の呪縛を解く。アジャイルな開発を止めないために、10Xで挑んだ「右側のしわ寄せ」解消記 #scrumniigata
Avatar for nihonbuson nihonbuson
PRO
5
1.3k
要件定義の精度を高めるための型と生成AIの活用 / Using Types and Generative AI to Improve the Accuracy of Requirements Definition
Avatar for haru860 haru860
0
320
ボトムアップ限界を越える - 20チームを束る "Drive Map" / Beyond Bottom-Up: A 'Drive Map' for 20 Teams
Avatar for 株式会社カオナビ kaonavi
0
190
試作とデモンストレーション / Prototyping and Demonstrations
Avatar for Kenji Saito ks91
PRO
0
200
AIエージェントの支払い基盤 AgentCore Payments概要
Avatar for たけのこ kmiya84377
2
170
生成AI時代に信頼性をどう保ち続けるか - Policy as Code の実践
Avatar for akitok akitok_
1
230
『生成AI時代のクレデンシャルとパーミッション設計 — Claude Code を起点に』の執筆企画
Avatar for Takuro SASAKI takuros
3
2.3k
AIと乗り切った1,500ページ超のヘルプサイト基盤刷新とさらにその先の話
Avatar for mugi / Hajime Mugishima mugi_uno
2
340
サイボウズ、プラットフォームエンジニアリング始めるってよ ― プラットフォームチームの事業貢献と組織アラインメントの強化
Avatar for Shin'ya Ueoka ueokande
0
110
生成AIはソフトウェア開発の革命か、ソフトウェア工学の宿題再提出なのか -ソフトウェア品質特性の追加提案-
Avatar for kyonmm kyonmm
PRO
2
890
雑談は、センサーだった
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
2
230

Featured

See All Featured
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9.9k
ラッコキーワード サービス紹介資料
Avatar for ラッコ株式会社 rakko
1
3.3M
Prompt Engineering for Job Search
Avatar for Mfonobong Umondia mfonobong
0
300
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
120
Writing Fast Ruby
Avatar for Erik Berlin sferik
630
63k
End of SEO as We Know It (SMX Advanced Version)
Avatar for Michael King ipullrank
3
4.2k
Agile Leadership in an Agile Organization
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
150
How to make the Groovebox
Avatar for あそなす asonas
2
2.2k
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
2
190
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
7k
Building a A Zero-Code AI SEO Workflow
Avatar for Ian Lurie portentint
PRO
0
500
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
Avatar for soudai sone soudai
PRO
65
54k

Transcript

  1. ©NAVITIME JAPAN あなたの情報を守る あてなのセキュリティ談義 JAWS DAYS 2018

  2. ©NAVITIME JAPAN 自己紹介 田中 一樹(たなか かずき) ・株式会社ナビタイムジャパン サーバグループ所属 ・お仕事: クラウド周りの構築/運用/アーキテクト

    ・好きなAWSサービス Athena、S3、CloudFormation

  3. ©NAVITIME JAPAN 会社紹介(BtoC) NAVITIME ドライブ サポーター 乗換 NAVITIME 自転車 NAVITIME

    こみれぽ バス NAVITIME カーナビ タイム NAVITIME Transit NAVITIME for Japan Travel ウォーキング NAVITIME ツーリング サポーター Plat by NAVITIME トラック カーナビ 公共交通 ドライブ ツーリング トラベル&フィットネス 外国人&海外 PC/SPブラウザ NAVITIME トラベル

  4. ©NAVITIME JAPAN 会社紹介(BtoC) 月間ユーザ数 約 4100万UU 有料会員数 約 480万人 (2017年12月末時点)

  5. ©NAVITIME JAPAN 会社紹介(BtoB)

  6. ©NAVITIME JAPAN 本日お伝えしたいこと Athenaを使っている理由 Athenaをいい感じに使う方法 Athenaのセキュリティを高める方法 NAVITIMEでのログ活用例

  7. ©NAVITIME JAPAN 位置情報 プローブデータ (移動軌跡) 経路検索条件 データ NAVITIMEが取り扱っている主なログ スポット検索 データ

  8. ©NAVITIME JAPAN 位置情報 プローブデータ (移動軌跡) 経路検索条件 データ NAVITIMEが取り扱っている主なログ スポット検索 データ

    膨大な利用ログから “個人情報に配慮して”分析することが重要

  9. ©NAVITIME JAPAN 分析環境の変遷

  10. ©NAVITIME JAPAN 分析環境の変遷 ① オンプレ利用期 ② EMR利用期 ③ 他クラウド基盤利用期 ④

    Athena利用期

  11. ©NAVITIME JAPAN データセンター ・・・ ①オンプレ利用期 今までのログ分析基盤

  12. ©NAVITIME JAPAN 今までのログ分析基盤 アクセスログの集計に数時間~数日 ストレージに限界が・・・ ①オンプレ利用期 メリット デメリット ログデータを外部へ転送不要

  13. ©NAVITIME JAPAN データセンター ・・・ ②EMR利用期 今までのログ分析基盤

  14. ©NAVITIME JAPAN 今までのログ分析基盤 ②EMR利用期 メリット S3上での長期保管はマスク処理を施し、KMSで暗号化 EMRを用いることで集計は数時間に デメリット オンプレと異なり毎月コストがかかる 失敗したらEMR再実行(数時間待ちに・・・)

  15. ©NAVITIME JAPAN 今までのログ分析基盤 ③他クラウド基盤利用期

  16. ©NAVITIME JAPAN 今までのログ分析基盤 ③他クラウド基盤利用期 メリット 集計は数秒〜数分に 集計コストは数十分の一に デメリット データ転送が発生 詳細な権限/アクセス管理ができない

  17. ©NAVITIME JAPAN 現在のログ分析基盤 ④Athena利用期

  18. ©NAVITIME JAPAN 現在のログ分析基盤 Amazon Athena(あてな) S3内のデータに対して標準的なSQLを利用して集計が可能 JSON, CSV, ORC, などのフォーマットに対応

    課金はクエリ単位(処理したサイズに応じて) 利用の際はAthenaだけでなく、S3の権限も必要

  19. ©NAVITIME JAPAN 現在のログ分析基盤 ④Athena利用期 メリット データ転送が不要(セキュア&転送コストゼロ) 分析基盤(Athena)へのアクセス制限/監査が可能に デメリット やや他クラウドの方が検索速度は早い

  20. ©NAVITIME JAPAN Athenaをセキュアに使う

  21. ©NAVITIME JAPAN Athenaをセキュアに使う コンプライアンス/セキュリティチームから出る要望例 ① 各利用者の見られるログは適切に管理してほしい ② 社外からログへのアクセスをさせたくない ③ 誰がどんなクエリを発行したか監視したい

  22. ©NAVITIME JAPAN Athenaをセキュアに使う ① 各利用者の見られるログは適切に管理してほしい

  23. ©NAVITIME JAPAN Athenaをセキュアに使う ① 各利用者の見られるログは適切に管理してほしい IAMポリシーで参照できるバケットを絞る 現時点で、DB/テーブル単位での権限絞込はできない 代わりにS3バケット単位でGetObjectの権限を絞る

  24. ©NAVITIME JAPAN Athenaをセキュアに使う ② 社外からログへのアクセスをさせたくない

  25. ©NAVITIME JAPAN Athenaをセキュアに使う ② 社外からログへのアクセスをさせたくない IAMポリシーでSourceIPをオフィス限定にする CLI/SDKなどから操作がある場合 CLI/SDK実行元のSourceIPも指定する

  26. ©NAVITIME JAPAN Athenaをセキュアに使う ② 社外からログへのアクセスをさせたくない IAMポリシーでSourceIPをオフィス限定にする CLI/SDKなどから操作がある場合 CLI/SDK実行元のSourceIPも指定する

  27. ©NAVITIME JAPAN Athenaをセキュアに使う ② 社外からログへのアクセスをさせたくない Athenaの実行時にSourceIPがamazonaws.comになる SourceIPを限定していると実行できなくなる スイッチロールを使いこの問題を解決

  28. ©NAVITIME JAPAN Athenaをセキュアに使う ② 社外からログへのアクセスをさせたくない IAMユーザー IPアドレス制限 MFAの有効化 スイッチロールのみ許可 IAMロール

    スイッチロール

  29. ©NAVITIME JAPAN Athenaをセキュアに使う ② 社外からログへのアクセスをさせたくない IAMユーザー IPアドレス制限 MFAの有効化 スイッチロールのみ許可 IAMロール

    スイッチロール IPアドレス制限なし スイッチロール元のユーザーを固定(IAMグループ) IAMグループごとにロールを作成 Athena/S3/KMSの権限のみ Athenaを操作

  30. ©NAVITIME JAPAN Athenaをセキュアに使う ③ 誰がどんなクエリを発行したか監視したい

  31. ©NAVITIME JAPAN Athenaをセキュアに使う ③ 誰がどんなクエリを発行したか監視したい Athenaのクエリ履歴+CloudTrailから追う Athenaのクエリ履歴とCloudTrailのアクション CloudTrail:どのユーザーがAthenaを実行したか Athena:そのユーザーがどのクエリを実行したか

  32. ©NAVITIME JAPAN ログ活用事例

  33. ©NAVITIME JAPAN NAVITIMEでのAthena利用事例 アクセスログから利用動向の集計/分析 各AWSリソースの調査 分析システムの構築 分析システム:道路プロファイラー

  34. ©NAVITIME JAPAN NAVITIMEでのAthena利用事例 リンク旅行速度 旅行速度、旅行時間、サンプル数 を表示 断面交通流 任意の曜日、週、日付、時間から交通量や平均速度を集計 渋滞箇所を俯瞰して 課題箇所を発見するのに役立ちます

    任意の道路を通過した車の流入流出経路を集計 車種、居住地、性別、年齢の 属性情報も集計 該当道路がユーザ

  35. ©NAVITIME JAPAN ご清聴ありがとうございました