Slide 1
Slide 1 text
本番さながらのインシデント対応訓練を支える
freeeのクラウドネイティブ環境と
セキュリティチーム
2022.06.23
freee株式会社 PSIRT ただただし
Slide 2
Slide 2 text
2
富士通グループのセキュリティ専門の研究所で8年間、サ
イバー攻撃研究チームを率いたのち、2020年からfreee
へジョイン。立ち上がって間もないPSIRTのマネージャーと
して、freeeのプロダクトセキュリティを守る。
プライベートでもオープンソースプログラマとして30年以上
の開発経験を持つ。tDiary Project Founder。
ただただし
freee PSIRT マネージャー
Tada, Tadashi
プロフィール画像の
トリミング方法
Slide 3
Slide 3 text
freeeについて
Slide 4
Slide 4 text
4
SaaS で会計サービスを提供
Slide 5
Slide 5 text
5
freee会計
freee開業
freee福利厚生
freeeアプリストア
freee人事労務
freee会社設立
freee受発注
freeeプロジェクト管理
freee資金調達 freee申告 freeeカード
プロダクトラインアップ
Slide 6
Slide 6 text
スモールビジネスを、世界の主役に。
Slide 7
Slide 7 text
7
誰もが自然に経営できる環境
Slide 8
Slide 8 text
8
リアルタイムデータ収集 + 可視化 + 自動化
Slide 9
Slide 9 text
インシデント対応訓練の話
Slide 10
Slide 10 text
10
2021年の全社障害訓練が大きな話題に
● 【マジで】サイバー演習シナリオの作り方【怖い】 - freee Developers Hub
● freee Tech Night 「本当に怖い障害訓練、犯人はfreeeの中にいる!?」
● 自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓
練の舞台裏 「従業員はトラウマに」 - ITmedia NEWS
● “自社DB破壊&身代金要求”に直面してfreee経営層が気付いた3つの課
題 佐々木CEOに聞く - ITmedia NEWS
● Software Design 2022年5月号|技術評論社
● ITmedia Cloud Native Week 2022 夏 ←New!
Slide 11
Slide 11 text
11
なぜ全社障害訓練をするようになったのか
● 2018年10月の大規模障害がきっかけ
○ 長時間のサービス停止の反省
○ 「大規模」であるがゆえの難しさ
● 10月をセキュリティ月間と定め、翌年からCIOを中心として訓練を企画
○ 2019年:部門ごとのミニ訓練
○ 2020年:複数サービスが同時にダウンする大規模訓練
○ 2021年:経営層も巻き込む全社訓練
Slide 12
Slide 12 text
12
⑥4BTC払え
④2FAリセットして
CEO
(被害者)
CIT
(被害者)
AWS本番
サーバ
Engineer
(被害者)
攻撃者
⑤
- login
- データ奪取
- DB破壊
① malware
②install
③
- reverse shell
- password
- cookies
2021年の訓練シナリオ
Slide 13
Slide 13 text
13
複合的なインシデントを想定した訓練
● サプライチェーンリスクへの対処
● 侵入検知と対処
● ハイブリッドワーク
● 大規模サービス障害対応
● ランサムウェア対応
Slide 14
Slide 14 text
14
うちではとても
無理だ すごい工数が
かかりそう
(技術的に)
難しそう
Slide 15
Slide 15 text
15
(1) 環境
日常業務から開発、運営までほぼすべて
がクラウド上にある
(2) 技術
ふたつのセキュリティチームによる多 層 防
御と運用・監視
(3) 文化
スペシャリストを尊重し、適切な権限委譲
がある社内文化
なぜこんな訓練ができるのか
Slide 16
Slide 16 text
(1) クラウドネイティブな環境
Slide 17
Slide 17 text
17
クラウドネイティブな業務環境
● ほぼすべての業務がクラウドサービス上
● Webブラウザという「サンドボックス」
● 壊しても良い「端末」
Slide 18
Slide 18 text
18
クラウドネイティブな開発・運用環境
● コード化されたインフラ
● 本番環境の「コピー」
● 必要十分なセンサーとログ、監視
Slide 19
Slide 19 text
19
全社障害訓練の準備
● メンバー: 4名
● 準備期間: 2ヶ月 (実質10日程度)
● 疑似本番環境の構築 : 既存テスト環境を流用 (+ 監視ツールのインストール程度)
● 疑似サイバー攻撃の構築:公開情報のみの利用 (ゼロディ脆弱性などは不使用)
Slide 20
Slide 20 text
(2) 技術とセキュリティチーム
Slide 21
Slide 21 text
21
ふたつのセキュリティチーム
CSIRT (Computer Security Incident Response Team)
社内の情報システムに関する
セキュリティを管轄するチーム
PSIRT (Product Security Incident Response Team)
freee のプロダクト・サービスに関する
セキュリティを管轄するチーム
Slide 22
Slide 22 text
22
Security Sensors for Products
EKS cluster
IPS, VirusScanner
ALB
Amazon
GuardDuty
Risk based
authentication
AWS WAF
検知率0.2%
WAFを補完
realtimeで
再認証要求
脅威検出
Slide 23
Slide 23 text
23
SIEMにSecurity Sensorのlogを集約、監視、分析
EKS cluster
IPS, VirusScanner
ALB
Amazon
GuardDuty
AWS
CloudTrail
Risk based
authentication
OpenSearch
es-loader
AWS WAF
NGFW / EDR
Slide 24
Slide 24 text
24
Defence In Depth
多層防御
外部からの攻撃
WAF、IPS、AntiMalware で検知
内部からの攻撃
EDR、NGFW で検知
侵入後の水平展開、奪取
Risk Based Authenication
CloudTrail、GuardDuty で検知
Log 集約 + Alert 発砲 + 解析
前後関係の把握、被害範囲の特定
DevSecOps
脆弱性Scanner で検知
Slide 25
Slide 25 text
(3) freeeの文化(カルチャー)
Slide 26
Slide 26 text
26
経営層の理解
● 適切な権限移譲とスペシャリストの尊重
● セキュリティを最重要視
● スピードを落とさず安全を担保する
Slide 27
Slide 27 text
27
継続的に強化されるセキュリティリテラシー
● 共有されるインシデント情報とふりかえり
● 個人を責めず、仕組みでフォローする文化
● 年4回の「セキュリティチャレンジ」
●
Slide 28
Slide 28 text
まとめ
Slide 29
Slide 29 text
29
まとめ
● 環境
○ ローカルは「悪」。ブラウザという窓をとおして業務をおこなうプロセス改善を
● 技術
○ なにはなくとも「ログ」。集約して継続監視できる体制を
● 文化
○ 信じて任せる。スピードを落とさないためには自律したフットワークの軽い組
織が必要
Slide 30
Slide 30 text
30
障害訓練がしたかったから
クラウドネイティブになったのではなく
クラウドネイティブだから
障害訓練ができるのだ
Slide 31
Slide 31 text
スモールビジネスを、世界の主役に。