Tweet
Tweet

Slide 1

Slide 1 text

アドテクスタジオの  セキュリティグループ サイバーエージェント アドテク本部セキュリティグループ 岡崎 2017/2/18(土) CyberAgent, Inc. All Rights Reserved

Slide 2

Slide 2 text

自己紹介 ● 氏名:岡崎 創(おかざき はじめ) ● 住まい:埼玉県春日部市 在住(クレヨンしんちゃんの街) ● 職歴: ○ 3年くらい LAMP環境のフロントエンジニア ○ その後、3年くらい 上記のインフラエンジニア(サーバエンジニア) ○ その後、1年くらい  Webアプリケーションの脆弱性診断 ○ その後、サイバーエージェント アドテク本部に入社( 2015/6) ● 現在:アドテク本部セキュリティグループに所属

Slide 3

Slide 3 text

アドテク本部について

Slide 4

Slide 4 text

アドテク本部とは ● 2013年10月に設立 ● アドテク本部=アドテクスタジオ ● サイバーエージェント関連のアドテクノロジー専門プロダクト を集結した組織です ● アドテクノロジー領域におけるサービスの開発力を強化する ことを目的とした、横断したエンジニア組織です 参考: https://www.cyberagent.co.jp/news/press/detail/id=8009

Slide 5

Slide 5 text

アドテクノロジーとは 詳しくはホームページを見てください:  https://www.cyberagent.co.jp/ir/personal/adtech/ ● インターネット広告に関するシステム ○ 広告テクノロジー、アドテク、アドテック ● 主なシステム ○ メディア系:広告を表示する場所を提供 ○ 広告配信系:メディアに(条件に従って)広告を配信 ○ 効果計測系:配信された広告がどのくらい効果・収益が あったのかを確認

Slide 6

Slide 6 text

インターネット広告(例) 嗜好を追跡されてます → もはや、 ストーキングの域

Slide 7

Slide 7 text

テレビCMとインターネット広告 ● インターネット広告の利点 ○ アドテクノロジーを利用し、ピンポイントに広告を出せる コスト 視聴度  ※どのくらい真剣に 見ているか 視聴結果の正確性 ターゲティング テレビCM 高い 低い ※ながら視聴 が多い 推定 ※視聴率に よる推定 難しい インターネット 広告 低い 高い 正確 ※ログから集 計できる 可能

Slide 8

Slide 8 text

プロダクト別の分野(カオスマップ)

Slide 9

Slide 9 text

こんなアドテクスタジオですが、、、

Slide 10

Slide 10 text

最近、アドテクスタジオにカフェができました 参考: https://adtech.cyberagent.io/pr/archives/2717

Slide 11

Slide 11 text

アドテクスタジオのセキュリティグループ

Slide 12

Slide 12 text

一般的なセキュリティ業務

Slide 13

Slide 13 text

アドテクスタジオの場合

Slide 14

Slide 14 text

サイバーエージェントの場合ー決定はどこが?

Slide 15

Slide 15 text

アドテクスタジオでは

Slide 16

Slide 16 text

なぜ、プロダクトに入り込むのか

Slide 17

Slide 17 text

修正コスト 計画 初期に対応すれば コスト小 後から対応すると手戻り が大きくコスト大 設計 開発 テスト 運用 脆弱性診断 (CAアドバンス) 脆弱性診断 (セキュリティグループ) 対応コスト 時間 設計レビュー (セキュリティグループ)

Slide 18

Slide 18 text

アジャイル診断(開発期) 計画 設計 実装 テスト 計画 設計 実装 テスト 計画 設計 実装 テスト セキュリティ グループの診断 リリース セキュリティ グループの診断 セキュリティ グループの診断 [第三者立場] CAアドバンス の診断

Slide 19

Slide 19 text

どのように「決定」しているか

Slide 20

Slide 20 text

セキュリティレベルと開発効率(1)

Slide 21

Slide 21 text

セキュリティレベルと開発効率(2)

Slide 22

Slide 22 text

お問い合わせ例 お問い合わせ:開発チーム「新しいシステムのリリース前の脆弱 性診断をしたいのですが、どうすればいいでしょうか。」 ● 対応1:お好きな外部診断会社で行ってください ● 対応2:対象システムのヒアリングをし、セキュリティグループが選定した外部診断 会社へ依頼します ● 対応3:脆弱性スキャナツールでチェックしますので、対象システムの情報をくださ い ● 対応4:セキュリティグループで脆弱性診断を行うので、対象システムの情報をくだ さい

Slide 23

Slide 23 text

お問い合わせ例 お問い合わせ:開発チーム「新しいシステムのリリース前の脆弱 性診断をしたいのですが、どうすればいいでしょうか。」 ● 対応1:お好きな外部診断会社で行ってください ● 対応2:対象システムのヒアリングをし、セキュリティグループが選定した外部診断 会社へ依頼します ● 対応3:脆弱性スキャナツールでチェックしますので、対象システムの情報をくださ い ● 対応4:セキュリティグループで脆弱性診断を行うので、対象システムの情報をくだ さい

Slide 24

Slide 24 text

お問い合わせ(対応1) 対応1: お好きな外部診断会社で行って ください

Slide 25

Slide 25 text

お問い合わせ(対応1)

Slide 26

Slide 26 text

お問い合わせ(対応2) 対応2: 対象システムのヒアリングをし、セキュリ ティグループが選定した外部診断会社へ依 頼させていただきます

Slide 27

Slide 27 text

お問い合わせ(対応2)

Slide 28

Slide 28 text

お問い合わせ(対応3) 対応3: 脆弱性スキャナツールでチェッ クするので、対象システムの情 報をください

Slide 29

Slide 29 text

お問い合わせ(対応3)

Slide 30

Slide 30 text

お問い合わせ(対応4) 対応4: セキュリティグループで脆弱性 診断を行うので、対象システム の情報をください

Slide 31

Slide 31 text

お問い合わせ(対応4)

Slide 32

Slide 32 text

お問い合わせ例(まとめ) ● 対応1:お好きな外部診断会社で 行ってください ● 対応2:対象システムのヒアリングを し、セキュリティグループが選定した 外部診断会社へ依頼します ● 対応3:脆弱性スキャナツールで チェックしますので、対象システムの 情報をください ● 対応4:セキュリティグループで脆弱 性診断を行うので、対象システムの 情報をください

Slide 33

Slide 33 text

AWSサーバに対してのポートチェック

Slide 34

Slide 34 text

AWS 脆弱性/侵入テストリクエスト 通常、脆弱性診断を行う場合は、AWSに対し、「脆 弱性/侵入テストリクエスト」をしなければならない。 ● 必要な情報 ○ rootアカウントであること ○ 対象のインスタンスID(smallやmicroはNG) ○ 診断ソースIP ○ 期間 などなど

Slide 35

Slide 35 text

流れ(通常) AWSに 侵入テスト 申請 対象インスタ ンスIDの確 認 AWSからの 返信 (1〜2日) ポートスキャ ン開始 結果精査

Slide 36

Slide 36 text

流れ(アドテク) ポートチェッ ク 開始 ポートチェック用 IAM作成依頼 結果精査

Slide 37

Slide 37 text

流れ(通常とアドテク) AWSに侵入 テスト申請 対象インスタン スIDの確認 AWSからの返 信(1〜2日) ポートスキャ ン開始 結果精査 通常 アドテク ポートチェック 開始 ポートチェック用 IAM作成依頼 結果精査

Slide 38

Slide 38 text

AWSサーバに対して、ポートチェック(準備) 各AWSにポートチェック用IAMを作成してもらう ーーーーーーーー 〜(省略)〜 "Action": [ "ec2:DescribeInstances", "ec2:DescribeSecurityGroups", "elasticloadbalancing:DescribeLoadBalancers" ], "Condition": { "IpAddress": { "aws:SourceIp": "スキャンサーバのIP" }   }, 〜(省略)〜 ーーーーーーーー

Slide 39

Slide 39 text

AWSサーバに対して、ポートチェック(実行) nmap -P0 -sV -p 許可ポート instanceAのpublicIP

Slide 40

Slide 40 text

AWSサーバに対して、ポートチェック(結果) xx.xx.xx.xx 4000/tcp open ssl/remoteanything? xx.xxx.xx.x 80/tcp open http Apache httpd 2.2.29 ((Amazon)) xx.xx.xx.x 443/tcp closed https xx.xx.xxx.xxx 80/tcp filtered http xx.xx.xxx.xxx 110/tcp filtered pop3 xx.xx.xxx.x 25/tcp filtered smtp xx.xx.xxx.xx 143/tcp filtered imap xx.xx.xxx.xxx 80/tcp filtered http

Slide 41

Slide 41 text

おわりに ● 小さなことからコツコツと改善してます。 ● セキュリティエンジニアとしては、まだ日が浅い ですが、開発経験があってよかったと感じること があります。 ● アドテクスタジオのセキュリティはまだまだやるこ とが多いですが、頑張っていきます。

Slide 42

Slide 42 text

ご静聴ありがとうございました。