© 2020 LOGILESS inc. 株式会社ロジレス AWSをフル活用して実現する、 シンプルでセキュアなサービス提供環境 2020/02/26

自己紹介  大学時代 4年間Webデザイナー  2009年 楽天 入社 : エンジニアに転身  2012年 前身企業を現メンバーで起業  3つのEC事業を経て、LOGILESSを開発 田中 稔之 Toshiyuki Tanaka Twitter : emegane

LOGILESSについて 物流危機からECの未来を守り、進化させる。 EC市場が成長する一方で、それを支える労働力は減り続けています。 物流危機によって、当たり前だったECの利便性が失われるかもしれません。 ロジレスは、LOGISTICS INNOVATION STARTUPとして、 物流危機からECの未来を守り、業界をテクノロジーで進化させます。 3

配送 配送 仕入先 LOGILESSについて : 日本でも数少ないフルサービスのフルフィルメントプラットフォーム 4 出荷指示連携 倉庫別在庫管理 複数拠点出荷 OMS 受注管理システム WMS 倉庫管理システム WMS 倉庫管理システム 配送 配送 店舗 店舗 基幹 ｼｽﾃﾑ 仕入先 SCM 需要予測 受注取込 在庫連携 API連携 自動発注 納品/消込 各店舗の受注／在庫連携と、 各倉庫での出荷／在庫管理を ひとつのシステムで統合管理。

0 100,000 200,000 300,000 400,000 500,000 600,000 出荷件数の推移 出荷件数の推移 2.8倍 56万件 LOGILESSを経由して出荷される注文 月間 昨年比

個人情報を大量に取り扱うBtoB SaaSにとって データ保護を中心としたセキュリティ対策は 最重要課題

2019年4月 セキュリティ強化プロジェクトをスタート！ 2019年 4月 セキュリティ・エンジニア 参画 業務委託 AWS環境の棚卸 リスクの洗い出し 理想的な構成案の作成 7月 インフラ・エンジニア 参画 業務委託 セキュリティグループの見直し VPCの分離 VPNの全社展開 12月～ サービス提供環境の抜本的な見直し 使い捨て可能なWebサーバー リリース手順の自動化 内部統制 侵入テスト

基本的な考え方 AWS Cloud Amazon RDS ALB Web Server Web Server ユーザ RDSのデータを 守り抜く戦い RDSと、管理用機能への侵入を いかに塞ぐことができるかに フォーカス

リスクのパターン AWS Cloud Amazon RDS ALB Web Server Web Server ユーザ アプリ以外の サーバー 管理用の サーバー アプリケーションの 脆弱性を悪用 サーバーの 脆弱性を悪用 1 2 不正アクセスによる 管理画面への侵入 3 認証情報の漏洩による サーバーへのアクセス 4 従業員のPC 内部統制 5 インターネットから 直接接続はできない

アプリケーションの脆弱性を悪用 AWS WAF Amazon CloudWatch 対策 WAFの適用 メトリックスの収集 解析 / アラート SQL インジェクションやXSSから アプリケーションを自動で保護。 システムの健全性を把握するための 情報を集約し、閾値を超えた場合は Slackに通知。 定期的な侵入テストも実施 外部のテスターが疑似的にシステムへの侵入を試み、検知、防御が可能かを検証。 検知、防御ができなかった場合も、そのログを調査（フォレンジック調査）可能かどうかを検証。 1

サーバーの脆弱性を悪用 Amazon EC2 ディスポーザブルな サーバー構築 一度作ったインスタンスを使い続け ず、定期的に新たに作り直したイン スタンスに差し替え。 可能な限りマネージド サービスを活用 EC2以外の各機能をマネージドサー ビスに移行。リソースのアクセスコ ントロールと権限管理以外のセキュ リティをAWSが担ってくれる。 対策 Amazon VPC サービス環境とそれ以外を VPCで分離 VPNサーバーや管理用サーバーなど をサービス環境と分離 2

不正アクセスによる管理画面への侵入 Pritunl Authy 対策 課題 リモート勤務時のセキュリティ確保 オフィスの固定IPのみアクセスを許可 する基本的なセキュリティ対策が、 リモート勤務を許可する環境では容易 に実現できない。 Amazon EC2 Amazon EC2上にオープンソースの 「Pritunl」を使用してVPNサーバーを 構築し、「Authy」を使用して2要素認 証を必須化。 エンジニアや、サポート担当者にアカ ウントを配布して、リモート環境 でも固定IPによるアクセスが可能な よう整備。 ＋ ＋ 3

認証情報の漏洩によるサーバーへのアクセス Security group Amazon Lambda HTTP(s)以外の ポートを閉塞 Session manager経由の アクセスはSlackに通知 作業担当者はSlackで申告。異常な アクセスはすぐに遮断。 対策 Security group SSHでの作業は Session managerに インスタンスへのアクセスをIAM ポリシーで一元管理。ログ記録も 可能。 4

内部統制 対策 Endpoint Protectionで クライアント端末の保護を クラウドで実現 Amazon EC2にデプロイした 管理用サーバーで 情報の流れを統制 各端末のセキュリティを自動で監視。マル ウェアおよびゼロデイ攻撃を、侵入前の段 階で阻止。初期費用ゼロ、1ライセンス単位 で購入可能。 情報漏洩防止ソリューション。外部ストレージ の接続を検知して制御。 保存、転送中のデータをスキャンし、ログ取得、 暗号化、ブロックが可能。 5

セキュリティ強化のための重要なポイント 1 複雑にしない。 シンプルさを維持し、マネージドサービスを活用する。 少人数でサービスを開発、運用するスタートアップにとって、複雑性は悪。 特に、設定まわりが複雑化すると、どこかでメンテナンスが疎かになり、新たな脆弱性を生み出す もとになる。 使用するサービス、設定ともに可能な限りマネージドなものを選択し、メンテナンスフリーとなる ように気を付ける。

セキュリティ強化のための重要なポイント 2 セキュリティの監督、実施担当者は、 サービスの開発者とは別にする。 急ぎのタスクを大量に抱えるスタートアップでは、”重要だけど緊急ではない”セキュリティ対策は どれだけ重要性を認識していても後回しになる。 しかし、セキュリティインシデントは今日起きるかもしれないので、後回しにするほどリスクが高 くなっていく。 セキュリティの監督・レビューと、その改善策の実行は、サービスの開発者から切り離したほうが ベター。