Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Sansanインフラのセキュリティ管理強化の流れ【セキュリティと利便性の両立】/ Strengthen of security management for Sansan Infra

Sansanインフラのセキュリティ管理強化の流れ【セキュリティと利便性の両立】/ Strengthen of security management for Sansan Infra

■イベント
BtoB Startup Engineers Meetup 〜BtoB SaaSを支えるインフラ〜
https://sansan.connpass.com/event/203729/

■登壇概要

タイトル:Sansanインフラのセキュリティ管理強化の流れ【セキュリティと利便性の両立】
登壇者:Sansan事業部 プロダクト開発部 落合 秀俊

▼Sansan Builders Blog
https://buildersbox.corp-sansan.com/

13d936e697fe0f4fa96f926d0a712f6c?s=128

Sansan
PRO

March 24, 2021
Tweet

Transcript

  1. Sansanインフラのセキュリティ管理強化の流れ 【セキュリティと利便性の両⽴】 Sansan株式会社 Sansan事業部 プロダクト開発部 落合 秀俊 BtoB Startup Engineers

    Meetup 〜BtoB SaaSを⽀えるインフラ〜
  2. - 落合 秀俊 - Sansan事業部 プロダクト開発部 インフラチーム - プロフィール: SI企業で官公庁/電⼒/通信等の硬い顧客向けにインフラの設計/構築を

    していた元オンプレおじさん。2020年1⽉からSansanに参画。 家族でキャンプが趣味でしたが、去年はコロナ禍で⾏けず悲しいです。 ⾃⼰紹介 Sansanオンライン名刺 https://ap.sansan.com/v/virtual- cards/ccd74eea57ab41d7978959959b93f74a/
  3. 2

  4. Sansan株式会社とは 3 名刺管理から、働き⽅を変える 名刺でつながる、 ビジネスのためのSNS 会社 概要 事 業 内容

    Sansan事業 あらゆる請求書を オンラインで受け取る Eight事業 Bill One事業 設⽴年 資本⾦ 上場証券取引所 代表者 事業 拠点 海外拠点 2007年6⽉ 62億36百万円 (2020年5⽉31⽇時点) 東京証券取引所市場第⼀部 寺⽥親弘(代表取締役社⻑) 名刺管理クラウドサービスの 企画・開発・販売 表参道本社 Sansan One Sansan パラシオ 関⻄⽀店 福岡⽀店 名古屋⽀店 シンガポール
  5. Sansanインフラ構成の概要

  6. - AWS - APサーバはWindows、アプリは.NETで作成 - SQSを使った⾮同期処理を多く活⽤ - データベースはPostgreSQL、メモリ2TBのサーバでデータ全量をオンメモリ - こちらで紹介しています

    Sansanにおけるインフラから⾒たRDBMSの運⽤ https://speakerdeck.com/sansanbuildersbox/operation-of-rdbms-as-seen-from-infrastructure-in-sansan Sansanインフラの概要 AWS AP Server (Windows) Message Server (Windows) SQS Database (X1.32large) 超ザックリした構成図
  7. セキュリティ対策の考え⽅

  8. - 名刺は個⼈情報 - Sansanシステムは⼤量な個⼈情報の塊と⾔える - ⾦融機関、⼤企業等のセキュリティを重視するお客様が増加 セキュリティはサービスの最重要ポイント Sansanサービスでのセキュリティの重要性

  9. - システムとしての対策 - FW, WAF, EDR等 - 暗号化 (データ、通信) -

    内部統制 - 名刺データは社員であってもアクセスできない - 監査できるようにする セキュリティ対策の基本的な考え⽅ 今回の話題
  10. - 営業、カスタマーサクセスであっても名刺データは⾒られない - 開発者であっても名刺データはアクセスできない - どうしても必要な場合は上位者の承認が必要 - 後で仕組みを説明します 名刺データは社員であってもアクセスできない

  11. - 共有ID排除 - 開発者ごとにID発⾏ - Active Directoryでサーバ・DBのアカウントを管理 - ログの管理 -

    ElasticSearch + Kibanaでダッシュボード - 毎⽇、ログの監査を実施 > 許可なくアクセスしていないか > ⽬的外利⽤していないか 監査できるようにする
  12. - セキュリティはとても重要だが、業務を著しく阻害してしまうような対策は避け たい - 完璧を求めると、重厚⻑⼤なプロセスが出来上がってしまう - 過去に関わった重厚⻑⼤な例: > 規約フォルダに、数10ページの⽂書が100個以上ある >

    多数の申請書(⼊館⼊室、ID利⽤、作業申請、他) > ステップの⻑いワークフロー(xxx責任者の印が5個以上) > 専⾨部署での⼈間によるチェック > 1時間の作業の申請準備に10時間かかったことも - アレモコレモではなく、要点を押さえたセキュリティの仕組みが求められている セキュリティと利便性の両⽴
  13. 承認制をSlackで実現

  14. - Production環境へアクセスするには上位者の許可が必要 - ルールだけでなく仕組みでアクセスできなくする - ⽇常的にコミュニケーションで利⽤しているSlackのChat Botを作成、 Slackで申請と承認ができるようにした - 承認制の対象:

    - データベースへの開発者のログイン - AWSリソースのデータ読み書き, 設定変更 承認制をSlackで実現 概要
  15. 実⾏例 (データベースのログイン承認) 承認依頼の作成 実施内容の妥当性を判断し、 承認する 承認結果 申請者 承認者

  16. 仕組み (DB) Slack Apps API Gateway Lambda Database (PostgreSQL) Active

    Directory CREATE ROLE DROP ROLE 申請者 承認者 DBログイン 申請 承認 ダイアログ/メッセージ表⽰
  17. 仕組み (AWS) Slack Apps API Gateway Lambda AWSログイン IAM Production環境

    申請者 承認者 申請 承認 AWS Management Console SwitchRole AssumeRole 権限付与/剥奪 • Production環境には直接ログインできない • ⽤途ごとのIAM Roleがある • IAM Roleの利⽤が承認されたらアカウントまたぎ のSwitchRoleができるようになる • API/CLIの場合はSTS AssumeRoleして⼀時クレデ ンシャルを獲得して利⽤する IAM Role ダイアログ/メッセージ表⽰
  18. - 処理に3秒以上かかるとSlackでTimeoutになってしまう - 要求を受け付けたらSlackにはすぐレスポンスを返し、SNSにメッセージを送って⾮同期で 処理するようにしている - ワークフローのステップが増えると実装がどうしても複雑になるのが難点 - AWS ChatBotが後からできたので楽に実装できることを期待したが、Slack投稿者の情報が取得でき

    ず断念 SlackのChat Botの補⾜ Slack Apps API Gateway Lambda (4) 処理結果をSlackに投稿 SNS (3)すぐにOK (2) SNSにメッセージ投⼊ (3) SNS起因で起動 (1) Slack Command実⾏
  19. - ログから実際にログイン・作業記録を抽出 - Kibanaのダッシュボードを準備 - データベース: PostgreSQLのログ - AWS: CloudTrailログ

    - ⽇次でログのチェック - 申請外のログインが発⽣していないか - ⽬的外の利⽤がないか - ログイン失敗が多発していないか - 等 ログ監査 ダッシュボードの例
  20. - 仕組みで守ってくれている安⼼感 - 申請・承認は思ったよりスムーズに⾏えている - 紙の申請書や専⽤ワークフローシステムに⽐べて、明らかに楽に申請できる - ⽇常で使っているSlackなので、承認者が気づきやすい(放置されない) - 申請内容に対する会話(SQL⽂はこうしたら、等)がそのままSlack上で⾏える

    - 申請前に⼿順の準備が必要になるが、オペミス防⽌には元々重要だったので強 制できて良い - 監査 - 申請とログインが対応しているので、⾒るべき対象が絞られて監査が⼤幅に楽 効果
  21. さいごに

  22. - Sansanサービスは個⼈情報を扱うためセキュリティはとても重要 - 普段使っているSlack上でProduction環境へのアクセス承認の仕組みを構 築した - 申請は思ったよりスムーズ、申請内容について会話しやすい - 今後もセキュリティ強化は続くが、「セキュリティと利便性の両⽴」を意 識して焦点を絞った対策を⾏っていく

    まとめ
  23. エンジニアに必要な “世界の最新情報”を毎⽉お届け Builders Boxとは、エンジニアのために作られた情報サブスクリプション(無料)です。 先進企業のエンジニアたちに取材した厳選情報を会員限定でお届けします。 詳細・会員登録はこちら https://buildersbox-online.com/ ※登録の際、紹介コードの欄に「1day0912」と⼊⼒ください。 ※ 登録の際、紹介コードの欄に「20210324」と⼊⼒ください。

  24. We are hiring! 新規事業開発 PdM(プロダクトマネージャー) 新規事業開発インフラエンジニア 新規事業開発エンジニア ウェブエンジニア サービス開発エンジニア 社内システム開発

    コーポレートエンジニア 研究開発 ⾃然⾔語処理研究員 機械学習研究員 インフラエンジニア データエンジニア サービス基盤エンジニア データサイエンティスト OCR開発技術者 ウェブエンジニア Pythonエンジニア 研究開発エンジニア サービス開発 サービス開発エンジニア ウェブアプリケーションエンジニア インフラエンジニア プロジェクトマネジメントオフィス iOSエンジニア Android エンジニア AppExchange開発エンジニア
  25. None