Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20170218inOkinawa
Search
okazaki hajime
February 18, 2017
Technology
0
180
20170218inOkinawa
https://stgeeks.doorkeeper.jp/events/56527
okazaki hajime
February 18, 2017
Tweet
Share
More Decks by okazaki hajime
See All by okazaki hajime
20220810_seccam
okazakihajime
0
110
20171222_owasp_okinawa
okazakihajime
0
800
20171114inCyberAgent
okazakihajime
3
2.1k
Other Decks in Technology
See All in Technology
リーダブルテストコード 〜メンテナンスしやすい テストコードを作成する方法を考える〜 #DevSumi #DevSumiB / Readable test code
nihonbuson
11
5.8k
Kubernetes x k6 で負荷試験基盤を開発して 負荷試験を民主化した話 / Kubernetes x k6
sansan_randd
2
730
Platform Engineeringは自由のめまい
nwiizo
4
1.9k
Fintech SREの挑戦 PCI DSS対応をスマートにこなすインフラ戦略/Fintech SRE’s Challenge: Smart Infrastructure Strategies for PCI DSS Compliance
maaaato
0
450
Datadogとともにオブザーバビリティを布教しよう
mego2221
0
130
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
6
57k
リアルタイム分析データベースで実現する SQLベースのオブザーバビリティ
mikimatsumoto
0
940
エンジニアの育成を支える爆速フィードバック文化
sansantech
PRO
3
650
事業継続を支える自動テストの考え方
tsuemura
0
300
これからSREになる人と、これからもSREをやっていく人へ
masayoshi
6
4.1k
現場の種を事業の芽にする - エンジニア主導のイノベーションを事業戦略に装着する方法 -
kzkmaeda
2
1.5k
オブザーバビリティの観点でみるAWS / AWS from observability perspective
ymotongpoo
6
1k
Featured
See All Featured
A Philosophy of Restraint
colly
203
16k
How to train your dragon (web standard)
notwaldorf
90
5.8k
GitHub's CSS Performance
jonrohan
1030
460k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
6
540
Build your cross-platform service in a week with App Engine
jlugia
229
18k
A Modern Web Designer's Workflow
chriscoyier
693
190k
How GitHub (no longer) Works
holman
313
140k
[RailsConf 2023] Rails as a piece of cake
palkan
53
5.2k
Optimising Largest Contentful Paint
csswizardry
34
3.1k
Building a Scalable Design System with Sketch
lauravandoore
460
33k
KATA
mclloyd
29
14k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
114
50k
Transcript
アドテクスタジオの セキュリティグループ サイバーエージェント アドテク本部セキュリティグループ 岡崎 2017/2/18(土) CyberAgent, Inc. All Rights
Reserved
自己紹介 • 氏名:岡崎 創(おかざき はじめ) • 住まい:埼玉県春日部市 在住(クレヨンしんちゃんの街) • 職歴: ◦ 3年くらい LAMP環境のフロントエンジニア
◦ その後、3年くらい 上記のインフラエンジニア(サーバエンジニア) ◦ その後、1年くらい Webアプリケーションの脆弱性診断 ◦ その後、サイバーエージェント アドテク本部に入社( 2015/6) • 現在:アドテク本部セキュリティグループに所属
アドテク本部について
アドテク本部とは • 2013年10月に設立 • アドテク本部=アドテクスタジオ • サイバーエージェント関連のアドテクノロジー専門プロダクト を集結した組織です • アドテクノロジー領域におけるサービスの開発力を強化する
ことを目的とした、横断したエンジニア組織です 参考: https://www.cyberagent.co.jp/news/press/detail/id=8009
アドテクノロジーとは 詳しくはホームページを見てください: https://www.cyberagent.co.jp/ir/personal/adtech/ • インターネット広告に関するシステム ◦ 広告テクノロジー、アドテク、アドテック • 主なシステム ◦
メディア系:広告を表示する場所を提供 ◦ 広告配信系:メディアに(条件に従って)広告を配信 ◦ 効果計測系:配信された広告がどのくらい効果・収益が あったのかを確認
インターネット広告(例) 嗜好を追跡されてます → もはや、 ストーキングの域
テレビCMとインターネット広告 • インターネット広告の利点 ◦ アドテクノロジーを利用し、ピンポイントに広告を出せる コスト 視聴度 ※どのくらい真剣に 見ているか 視聴結果の正確性
ターゲティング テレビCM 高い 低い ※ながら視聴 が多い 推定 ※視聴率に よる推定 難しい インターネット 広告 低い 高い 正確 ※ログから集 計できる 可能
プロダクト別の分野(カオスマップ)
こんなアドテクスタジオですが、、、
最近、アドテクスタジオにカフェができました 参考: https://adtech.cyberagent.io/pr/archives/2717
アドテクスタジオのセキュリティグループ
一般的なセキュリティ業務
アドテクスタジオの場合
サイバーエージェントの場合ー決定はどこが?
アドテクスタジオでは
なぜ、プロダクトに入り込むのか
修正コスト 計画 初期に対応すれば コスト小 後から対応すると手戻り が大きくコスト大 設計 開発 テスト 運用
脆弱性診断 (CAアドバンス) 脆弱性診断 (セキュリティグループ) 対応コスト 時間 設計レビュー (セキュリティグループ)
アジャイル診断(開発期) 計画 設計 実装 テスト 計画 設計 実装 テスト 計画
設計 実装 テスト セキュリティ グループの診断 リリース セキュリティ グループの診断 セキュリティ グループの診断 [第三者立場] CAアドバンス の診断
どのように「決定」しているか
セキュリティレベルと開発効率(1)
セキュリティレベルと開発効率(2)
お問い合わせ例 お問い合わせ:開発チーム「新しいシステムのリリース前の脆弱 性診断をしたいのですが、どうすればいいでしょうか。」 • 対応1:お好きな外部診断会社で行ってください • 対応2:対象システムのヒアリングをし、セキュリティグループが選定した外部診断 会社へ依頼します • 対応3:脆弱性スキャナツールでチェックしますので、対象システムの情報をくださ
い • 対応4:セキュリティグループで脆弱性診断を行うので、対象システムの情報をくだ さい
お問い合わせ例 お問い合わせ:開発チーム「新しいシステムのリリース前の脆弱 性診断をしたいのですが、どうすればいいでしょうか。」 • 対応1:お好きな外部診断会社で行ってください • 対応2:対象システムのヒアリングをし、セキュリティグループが選定した外部診断 会社へ依頼します • 対応3:脆弱性スキャナツールでチェックしますので、対象システムの情報をくださ
い • 対応4:セキュリティグループで脆弱性診断を行うので、対象システムの情報をくだ さい
お問い合わせ(対応1) 対応1: お好きな外部診断会社で行って ください
お問い合わせ(対応1)
お問い合わせ(対応2) 対応2: 対象システムのヒアリングをし、セキュリ ティグループが選定した外部診断会社へ依 頼させていただきます
お問い合わせ(対応2)
お問い合わせ(対応3) 対応3: 脆弱性スキャナツールでチェッ クするので、対象システムの情 報をください
お問い合わせ(対応3)
お問い合わせ(対応4) 対応4: セキュリティグループで脆弱性 診断を行うので、対象システム の情報をください
お問い合わせ(対応4)
お問い合わせ例(まとめ) • 対応1:お好きな外部診断会社で 行ってください • 対応2:対象システムのヒアリングを し、セキュリティグループが選定した 外部診断会社へ依頼します • 対応3:脆弱性スキャナツールで
チェックしますので、対象システムの 情報をください • 対応4:セキュリティグループで脆弱 性診断を行うので、対象システムの 情報をください
AWSサーバに対してのポートチェック
AWS 脆弱性/侵入テストリクエスト 通常、脆弱性診断を行う場合は、AWSに対し、「脆 弱性/侵入テストリクエスト」をしなければならない。 • 必要な情報 ◦ rootアカウントであること ◦ 対象のインスタンスID(smallやmicroはNG) ◦
診断ソースIP ◦ 期間 などなど
流れ(通常) AWSに 侵入テスト 申請 対象インスタ ンスIDの確 認 AWSからの 返信 (1〜2日)
ポートスキャ ン開始 結果精査
流れ(アドテク) ポートチェッ ク 開始 ポートチェック用 IAM作成依頼 結果精査
流れ(通常とアドテク) AWSに侵入 テスト申請 対象インスタン スIDの確認 AWSからの返 信(1〜2日) ポートスキャ ン開始 結果精査
通常 アドテク ポートチェック 開始 ポートチェック用 IAM作成依頼 結果精査
AWSサーバに対して、ポートチェック(準備) 各AWSにポートチェック用IAMを作成してもらう ーーーーーーーー 〜(省略)〜 "Action": [ "ec2:DescribeInstances", "ec2:DescribeSecurityGroups", "elasticloadbalancing:DescribeLoadBalancers" ],
"Condition": { "IpAddress": { "aws:SourceIp": "スキャンサーバのIP" } }, 〜(省略)〜 ーーーーーーーー
AWSサーバに対して、ポートチェック(実行) nmap -P0 -sV -p 許可ポート instanceAのpublicIP
AWSサーバに対して、ポートチェック(結果) xx.xx.xx.xx 4000/tcp open ssl/remoteanything? xx.xxx.xx.x 80/tcp open http Apache
httpd 2.2.29 ((Amazon)) xx.xx.xx.x 443/tcp closed https xx.xx.xxx.xxx 80/tcp filtered http xx.xx.xxx.xxx 110/tcp filtered pop3 xx.xx.xxx.x 25/tcp filtered smtp xx.xx.xxx.xx 143/tcp filtered imap xx.xx.xxx.xxx 80/tcp filtered http
おわりに • 小さなことからコツコツと改善してます。 • セキュリティエンジニアとしては、まだ日が浅い ですが、開発経験があってよかったと感じること があります。 • アドテクスタジオのセキュリティはまだまだやるこ とが多いですが、頑張っていきます。
ご静聴ありがとうございました。