Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSセキュリティガードレールにより開発者がセキュリティ監視するようになったDMM_課題と今後.pptx.pdf

Wataru Nishiyama
April 05, 2022
0
97

 AWSセキュリティガードレールにより開発者がセキュリティ監視するようになったDMM_課題と今後.pptx.pdf

Wataru Nishiyama

April 05, 2022
Tweet

More Decks by Wataru Nishiyama

See All by Wataru Nishiyama
DMMでAWSセキュリティガードレールを作ったので、開発者がAWSセキュリティをチェックする文化を広げていきたい
runble1
7
7.3k
DMMにおける300アカウント67チームのAWSセキュリティを「開発者」に監視してもらうまでの道のり
runble1
1
1k
GCP無料枠を使ってデータ分析基盤を作ってみた
runble1
0
1.1k
英語できないエンジニア Google I/O にいく
runble1
0
340

Featured

See All Featured
4 Signs Your Business is Dying
shpigford
175
21k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
A better future with KSS
kneath
231
16k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
125
32k
Atom: Resistance is Futile
akmur
259
25k
Fantastic passwords and where to find them - at NoRuKo
philnash
37
2.5k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
274
13k
Rails Girls Zürich Keynote
gr2m
91
13k
Principles of Awesome APIs and How to Build Them.
keavy
121
16k
Fireside Chat
paigeccino
21
2.6k
Raft: Consensus for Rubyists
vanstee
132
6.3k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k

Transcript

  1. © DMM.com CONFIDENTIAL 合同会社DMM.com
 セキュリティ部
 CloudSecチーム 西山渉 
 AWS セキュリティガードレールにより

    開発者がセキュリティ監視するように なったDMM、課題と今後

  2. © DMM.com 自己紹介 2 - 名前 : 西山渉 - 所属

    : 合同会社DMM.com セキュリティ部 • クラウドセキュリティの推進 • WAF 導入支援 • PCIDSS セキュリティ監視

  3. © DMM.com DMM 3

  4. © DMM.com 今日話すこと 4 1. DMM で AWS セキュリティガードレールを構築 2.

    AWS セキュリティガードレールのシステム保守 3. 開発者がセキュリティを自走する仕組み

  5. © DMM.com 1つ目 5 DMM で AWS セキュリティ ガードレールを構築

  6. © DMM.com DMM で AWS セキュリティガードレール構築 6 - AWS レイヤーのセキュリティ監視開始

  7. © DMM.com DMM で AWS セキュリティガードレール構築(2021/9) 7 - AWS レイヤーのセキュリティ監視開始

    • DB パブリック公開:20 • S3 書き込み権限でパブリック公開:6 • セキュリティ侵害 : 3

  8. © DMM.com DMM で AWS セキュリティガードレール構築(2022/3) 8 - AWS レイヤーのセキュリティ監視開始

    • DB パブリック公開:20 → 23 • S3 書き込み権限でパブリック公開:6 → 8 • セキュリティ侵害 : 3 → 4

  9. © DMM.com 9 - AWS レイヤーのセキュリティ監視開始 • DB パブリック公開:20 →

    23 • S3 書き込み権限でパブリック公開:6 → 8 • セキュリティ侵害 : 3 → 4 - 開発者がセキュリティ監視に参加し続けることで セキュリティ自給率が向上中 DMM で AWS セキュリティガードレール構築(2022/3)

  10. © DMM.com セキュリティガードレールとは 10 - セキュリティ品質の担保のため、脅威を検知し クラウド領域を制限する持続可能なアプローチ

  11. © DMM.com DMM のセキュリティガードレール実装 11 - AWS Landing Zone -

    Amazon GuardDuty / AWS Config Rules を監視

  12. © DMM.com DMM のセキュリティガードレール実装 12 - AWS Landing Zone -

    Amazon GuardDuty / AWS Config Rules を監視 - Slack : チャットコミュニケーションツール - JIRA : チケット管理システム - Slackbot

  13. © DMM.com AWS Landing Zone 13

  14. © DMM.com GuardDuty / Config Rules を監視 14

  15. © DMM.com GuardDuty / Config Rules を監視 15 チームごとの Slack

    チャンネルへ通知

  16. © DMM.com Slack 16

  17. © DMM.com Slack 17 一緒に監視

  18. © DMM.com Slack 18 チームごとのSlack チャンネルが約70個

  19. © DMM.com JIRA 19 アラート1個につきチケット1つ作成

  20. © DMM.com JIRA : アラートをステータス管理 20 ToDo → レビュー中 →

    完了

  21. © DMM.com Slackbot 21

  22. © DMM.com DMM のセキュリティガードレール使い方 22 - セキュリティガードレールを使うことで、開発者と セキュリティ管理者が「一緒」にセキュリティ監視

  23. © DMM.com DMM のセキュリティガードレール使い方 23 - セキュリティガードレールを使うことで、開発者と セキュリティ管理者が「一緒」にセキュリティ監視 開発者がセキュリティ運用に参加

  24. © DMM.com DMM Tech Vision 24

  25. © DMM.com DMM が目指す開発像 25

  26. © DMM.com セキュリティも開発者が面倒をみる 26

  27. © DMM.com 監視モデル 27 管理者 開発者 AWS 主役

  28. © DMM.com 監視モデル 28 管理者 開発者 AWS 開発者の後

  29. © DMM.com 全チーム(85)へ説明 29

  30. © DMM.com 全チーム(85)へ説明 30 リソースとお金

  31. © DMM.com 結果 31

  32. © DMM.com 結果(2021/9) 32 棚卸しにより削除されたアカウント : 約50 セキュリティ設定完了アカウント : 300

    セキュリティ了承チーム : 80

  33. © DMM.com 結果(2022/3) 33 棚卸しにより削除されたアカウント : 約50 セキュリティ設定完了アカウント : 300

    → 350 セキュリティ了承チーム : 80 → 85

  34. © DMM.com アラート数の推移(2020/10~2022/3) 34

  35. © DMM.com 35 AWSが約5700のアラートを発報 アラートチェック状況(2020/10~2022/3)

  36. © DMM.com アラートチェック状況(2020/10~2022/3) 36 開発者が約4400チェック完了

  37. © DMM.com チームA チームA チームB チームC チームD チームG チームE チームF

    チームH チームごとのアラートチェック状況 37

  38. © DMM.com 構築の過程の話はこちら 38

  39. © DMM.com 2つ目 39 AWS セキュリティガードレールの システム保守

  40. © DMM.com ガードレールに利用されるシステム 40 - AWS Organizations OU - サービスマネージド型

    CloudFormation StackSets - CICD - Slack - JIRA - AWS のセキュリティサービス・通知サービスetc…

  41. © DMM.com ガードレールに利用されるシステム 41 - AWS Organizations OU - サービスマネージド型

    CloudFormation StackSets - CICD - Slack - JIRA - AWS のセキュリティサービス・通知サービスetc… 一気通貫で設計しないと大変

  42. © DMM.com 大変なことになっていること 42 - OU の階層を深くしすぎた - CloudFormation テンプレートを分けすぎた

    - 例外設定をコード化した

  43. © DMM.com OU の階層を 深くしすぎた 43

  44. © DMM.com 現状 44 - OU と DMM の組織構造を同じにしていた -

    ex) Root • DMM • 事業部A • チームaaa • チームbbb • 事業部B • チームccc • チームddd…

  45. © DMM.com 問題 45 - DMM の組織変更の頻度が多すぎて合わせるのが困難 • 大胆不敵な合併・再編・サービス譲渡... -

    目当ての OU を見つけられない • Organizations コンソールで OU 名で検索できない

  46. © DMM.com 解決法(未対応) 46 - 事業部 OU を消し、会社 OU 直下に揃える

    - チーム OU に事業部名を入れる - ex) Root • DMM • チームA-aaa • チームA-bbb • チームB-ccc • チームB-ddd…

  47. © DMM.com CloudFormation テンプレートを 分けすぎた 47

  48. © DMM.com 現状 48 6個 - 1つの OU に適用する CloudFormation

    テンプレート • chatbot.yaml • config.yaml • config_rules.yaml • config_sns.yaml • guardduty_sns.yaml • lambda_billing_statement.yaml

  49. © DMM.com 問題 49 - OU × CloudFormation テンプレートの StackSets

    が 存在する

  50. © DMM.com 問題 50 - OU × CloudFormation テンプレートの StackSets

    が 存在する 88×6= 528

  51. © DMM.com 解決策(未対応) 51 - 1 OU 1 CloudFormation テンプレートにまとめる

    ※DMM はセキュリティレベルに応じたプランを用意 • strong.yaml • standard.yaml • minimal.yaml

  52. © DMM.com 例外設定を コード化した 52

  53. © DMM.com 現状 53 - 開発者からリクエストされた例外を、コードで管理 ex ) このアカウントではこのアラート無効化して〜

  54. © DMM.com 問題 54 - CloudFormation StackSets のデプロイ単位が OU →例外追加のたびに

    OU が増加

  55. © DMM.com 解決策(未対応) 55 - ドキュメントにメモし手動対応するのがコスト低い

  56. © DMM.com その他問題の数々 56 - どの OU にどの AWS アカウントを入れるかわからない

    - CloudFormation StackSets の自動デプロイ使うべき? 使わないべき? - CloudFormation StackSets のアップデートを手動でやるの つらい、CICD 入れるべき?etc…

  57. © DMM.com 運用課題の話はこちらでも 57

  58. © DMM.com 3つ目 58 開発者がセキュリティ チェックする文化

  59. © DMM.com 開発者がセキュリティアラートをチェック! 59

  60. © DMM.com 実際どうなのか? 数字で表してみた 60

  61. © DMM.com チームの網羅率 61

  62. © DMM.com チームの網羅率 62 85/87= 97.7%

  63. © DMM.com アラートのチェック率 63

  64. © DMM.com アラートのチェック率 64 4300/5700= 75%

  65. © DMM.com アラートチェックにかかる平均日数 65

  66. © DMM.com アラートチェックにかかる平均日数 66 177 日

  67. © DMM.com 管理者に対してのセキュリティ可視化 67 - 開発者がセキュリティを自走する文化は浸透した?

  68. © DMM.com 管理者に対してのセキュリティ可視化 68 - 開発者がセキュリティを自走する文化は浸透した? すごくやってくれてる!

  69. © DMM.com もちろんチーム格差がある 69 チェックしてない数 チームA チームB チームC チームD チームG

    チームE チームF チームH 未 済

  70. © DMM.com もちろんチーム格差がある 70 チームA チームA チームB チームC チームD チームG

    チームE チームF チームH 何も言わなくてもやっ てくれるチーム 未 済

  71. © DMM.com もちろんチーム格差がある 71 チームA チームB チームC チームD チームG チームE

    チームF チームH 言えばやってくれる チーム 未 済

  72. © DMM.com セキュリティ部と一緒に残アラート確認 72 チームA チームA チームB チームC チームD チームG

    チームE チームF チームH 未 済 言ってもやってくれな いチーム

  73. © DMM.com アプローチ 73

  74. © DMM.com アプローチ方法 74 - 月イチで残アラートを通知 - 月イチでセキュリティサービス費用を通知 - セキュリティ部と一緒に残アラート確認

    MTG

  75. © DMM.com 月イチで残アラートを通知 75 - セキュリティ部はチームごとの残アラートを把握

  76. © DMM.com 月イチでセキュリティサービス費用を通知 76 - お金方面からセキュリティを自覚 - 生きたチャンネルだと認識させる

  77. © DMM.com 補足:セキュリティサービス費用の傾向 77 - PRD より DEV/STG アカウントが高くなる →1日1回

    AWS リソースの削除・作成の運用

  78. © DMM.com セキュリティ部と一緒に残アラート確認 78

  79. © DMM.com セキュリティ部と一緒に残アラート確認 79 チームA チームA チームB チームC チームD チームG

    チームE チームF チームH 未 済

  80. © DMM.com まとめと今後 80

  81. © DMM.com まとめと今後 81 - AWS セキュリティガードレールのシステム保守

  82. © DMM.com まとめと今後 82 - AWS セキュリティガードレールのシステム保守 →保守しやすいように再設計中

  83. © DMM.com まとめと今後 83 - AWS セキュリティガードレールのシステム保守 →保守しやすいように再設計中 →セキュリティレベルの高度化 (現在は、ドア閉めてる?をチェックするレベル)

  84. © DMM.com まとめと今後 84 - AWS セキュリティガードレールのシステム保守 →保守しやすいように再設計中 →セキュリティレベルの高度化 (現在は、ドア閉めてる?をチェックするレベル)

    - 開発者がセキュリティチェックする文化 →順調、今後も文化を広げていく

  85. © DMM.com まとめと今後 85 - AWS セキュリティガードレールのシステム保守 →保守しやすいように再設計中 →セキュリティレベルの高度化 (現在は、ドア閉めてる?をチェックするレベル)

    - 開発者がセキュリティチェックする文化 →順調、今後も文化を広げていく セキュリティをエンジニアリングで解決

  86. © DMM.com 今後の DMM 86 https://dmm-corp.com/recruit/engineer/800/

  87. © DMM.com おしまい 87