1 © 2024 Japan Digital Design, Inc. Takuya Yonezawa 2024.07.12 JAWS-UG福岡 #18 : JAWS-UGクラウド女子会共催スペシャル re:Inforce feedback

2 © 2024 Japan Digital Design, Inc. 米澤 拓也 Software Engineer Technology & Development Div. 前職ではCCoE、現職ではSoftware Engineer フロントの実装からインフラ構築など何でもやっています ジョブチェンジを経て、Security HubのASFFを見つめる生活から CDKドキュメントを見つめる生活に変化 re:Inforceは初参加 JAWS DAYS2024 / PANKRATION2024 の運営（WEB担当） 好きなAWSサービスは CloudFront、Lambda プロフィール @CDK Conference 2024

3 © 2024 Japan Digital Design, Inc. re:Inforce参加のモチベーション 統制する側から 統制される側へ CCoE経験のあるSWEだからこそ探ることができる みんなが幸せになれる新しいクラウドセキュリティのヒントを得たい

4 © 2024 Japan Digital Design, Inc. 個人的に最近びっくりしたニュース https://www.itmedia.co.jp/news/articles/2407/09/news188.html https://blog.phylum.io/persistent-npm-campaign-shipping-trojanized-jquery/

5 © 2024 Japan Digital Design, Inc. IPAの10大脅威にもランクイン https://www.ipa.go.jp/security/10threats/10threats2024.html OSSへの悪意あるコードの注入 バックドア化 OSSの既知の脆弱性の悪用 偽バージョンの追加 脆弱なコンテナイメージの利用

6 © 2024 Japan Digital Design, Inc. CI/CDにおける ソフトウェアサプライチェーン セッション紹介 実行される全コードのうち、 オープンソースを由来とするコードの割合 システム開発におけるOSS活用は加速 (2023年の統計) 33% 3.9M OSSの総プロジェクト数 （Maven, npm, PyPI, NuGet） 最大 90% ライブラリのダウンロード成長率（前年比） https://www.sonatype.com/state-of-the-software-supply-chain/open-source-supply-and-demand

7 © 2024 Japan Digital Design, Inc. CI/CDにおける ソフトウェアサプライチェーン セッション紹介 ECS×FargateをターゲットとしたCodePipelineの中に下記要素を組み込み、 コンテナアプリケーションのセキュリティを向上させる ① ソフトウェアの依存関係を管理するためにSBOM※を生成 ② 署名を用いてコンテナイメージの真正性を担保 ③ 脆弱性を最小化するためにコンテナイメージのスリム化 概要 （※）Software Bill of Materials （ソフトウェア部品表）

8 © 2024 Japan Digital Design, Inc. CI/CDにおける ソフトウェアサプライチェーン セッション紹介 InspectorのSBOM出力機能を用いてCodeBuildの中でスキャンを実施。 Amazon Inspector SBOM Generator※というCLIツールがあるので利用 SBOMとして出力されるJSONは「CycloneDX」という OWASP由来のフォーマットらしい（初めて知った） ① ソフトウェアの依存関係を管理するためにSBOMを生成 ※ https://docs.aws.amazon.com/ja_jp/inspector/latest/user/sbom-generator.html Amazon Inspector

9 © 2024 Japan Digital Design, Inc. CI/CDにおける ソフトウェアサプライチェーン セッション紹介 AWS Signerを用いてビルドしたコンテナイメージに署名（=信頼されたイメージ CNCFのNotationというプロジェクトと統合されており、 Notation製CLIを用いてCode Build内でコンテナイメージに署名 署名されていないコンテナイメージはデプロイ時にブロック ② 署名を用いてコンテナイメージの真正性を担保 AWS Signer

10 © 2024 Japan Digital Design, Inc. CI/CDにおける ソフトウェアサプライチェーン セッション紹介 フットプリントの小さなイメージを利用するのはベストプラクティス 軽量イメージがもたらすもの： ・潜在的な脆弱性のリスク低減 ・コンテナの起動速度向上 ・コンピュートリソース使用の最適化 ③ 脆弱性を最小化するためにコンテナイメージのスリム化 nginx（標準）のSBOM nginx alpine（軽量）のSBOM 4357行 342行

11 © 2024 Japan Digital Design, Inc. CI/CDにおける ソフトウェアサプライチェーン セッション紹介 フットプリントの小さなイメージを利用するのはベストプラクティス ③ 脆弱性を最小化するためにコンテナイメージのスリム化 OSS脆弱性を踏みたくないなら ライブラリを使わなければおｋ（by 米澤）

12 © 2024 Japan Digital Design, Inc. セッション紹介 CDKを利用しつつ、抽象度の高いAWSサービスを積極活用して セキュリティ担保は極力AWSにお任せする（責任共有モデル） 上記に加え、cdk-nagを開発初期段階から適用して セキュアにリソース構築 どのようにcdk-nagを利用した開発を進めるのか というデモも https://d1.awsstatic.com/serverless-jp/Security%20Overview%20of%20AWS%20Lambda_JP.pdf AWS Lambdaの責任共有モデル AWSプロトタイピング部隊 のセキュリティ実践例

13 © 2024 Japan Digital Design, Inc. AWSプロトタイピング部隊 のセキュリティ実践例 セッション紹介 アカウントはAWS Control Tower経由で払い出し （セットアップ自動化による提供速度Up、ガードレールの自動展開） 1アカウント×1プロトタイプ コードファースト プロトタイプはAWS CDKを用いて開発 コード化することによりインフラやアプリケーションコードの静的解析 ex.) CodeGuru, Automated Security Helper, cdk-nag, SonarQube etc… インフラのモニタリング Configによるデプロイ済みリソースのウォッチ 違反リソースの自動修復＋Eメールアラート Config Conformance Packs（適合パック） みんな大好きLambdaなどのサーバレスサービスを活用。 セキュリティの色々をAWSに面倒見てもらう（責任共有モデル） 抽象度の高いマネージドサービス

14 © 2024 Japan Digital Design, Inc. GameDayにも参加

15 © 2024 Japan Digital Design, Inc. 撃沈しました（泣） 普段システム運用する中でログ は取得していたが、 取得して満足していただけ、 という事に気付かされた WEBサイトがアタックされています！ アクセスログをきちんと出力できていますか？ アクセスログを分析し、対策を打ち出せる体制が整っていますか？

16 © 2024 Japan Digital Design, Inc. 所感 プロアクティブなセキュリティ大事 セキュリティを実現するのはセキュリティチームだけじゃない 開発現場こそ積極的にツールを活用してボトムアップなセキュリティ対策を

17 © 2024 Japan Digital Design, Inc. Appendix NYSE Charging Bull Brooklyn Bridge Open Mind Toilet Summit One Vanderbilt

Thank you. 18 © 2024 Japan Digital Design, Inc.