Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ZOZOTOWN HTTPS化におけるSREチームのアプローチ/SRE team approa...

Avatar for takumi takumi
May 23, 2019
Technology
0
1k

ZOZOTOWN HTTPS化におけるSREチームのアプローチ/SRE team approach in ZOZOTOWN full HTTPS support

Avatar for takumi

takumi

May 23, 2019
Tweet

More Decks by takumi

See All by takumi
システムリプレイスプロジェクト発足から7年、改めてコスト最適化に向き合う / replace and cost optimization
Avatar for takumi takumi
1
1.6k

Other Decks in Technology

See All in Technology
PHPからはじめるコンピュータアーキテクチャ / From Scripts to Silicon: A Journey Through the Layers of Computing
Avatar for HASEGAWA Tomoki tomzoh
2
140
Amplify Gen2から知るAWS CDK Toolkit Libraryの使い方/How to use the AWS CDK Toolkit Library as known from Amplify Gen2
Avatar for MURAKAMI Masahiko fossamagna
1
350
SREのためのeBPF活用ステップアップガイド
Avatar for Sohei Iwahori egmc
2
1.3k
How Do I Contact Jetblue Airlines® Reservation Number: Fast Support Guide
Avatar for John thejetblueairhelpsupport
0
150
データ戦略部門 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
3.3k
セキュアな社内Dify運用と外部連携の両立 ~AIによるAPIリスク評価~
Avatar for ZOZO Developers zozotech
PRO
0
130
AWS 怖い話 WAF編 @fillz_noh #AWSStartup #AWSStartup_Kansai
Avatar for Yusuke WADA fillznoh
0
130
公開初日に Gemini CLI を試した話や FFmpeg と組み合わせてみた話など / Gemini CLI 初学者勉強会(#AI道場)
Avatar for you(@youtoy) you
PRO
0
1.3k
Deep Security Conference 2025:生成AI時代のセキュリティ監視 /dsc2025-genai-secmon
Avatar for Masayoshi Mizutani mizutani
4
2.9k
Four Keysから始める信頼性の改善 - SRE NEXT 2025
Avatar for ozaki-kota ozakikota
0
420
AIでテストプロセス自動化に挑戦する
Avatar for K_SAK sakatakazunori
1
530
20250718_ITSurf_“Bet AI”を支える文化とコストマネジメント
Avatar for helosshi helosshi
0
100

Featured

See All Featured
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
45
7.5k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
830
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
25
1.7k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
251
21k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
351
21k
The Language of Interfaces
Avatar for Des Traynor destraynor
158
25k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.3k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
30
2.2k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
2.7k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
29
1.8k

Transcript

  1. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 株式会社ZOZOテクノロジーズ 開発部

    SREチーム 横田 工 ZOZOTOWN HTTPS化におけるSREチームのアプローチ

  2. Copyright © ZOZO Technologies, Inc. All Rights Reserved. プロフィール ・株式会社スタートトゥデイ(現(株)ZOZO)に2013年新卒入社

    ・社内インフラ経験を2年程経てECサイト側インフラ担当へ ・オンプレ環境のサーバー・NWの運用を担当 ZOZOテクノロジーズ 開発部 SREチーム 横田 工

  3. Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 日本最大級のファッションショッピングサイト/アプリ

    ◦ 1,100以上のショップ、6,900以上のブランドの取り扱い (2018年9月末時点) ◦ 常時65万点以上の商品アイテム数と毎日平均3,100点以上の新 着商品を掲載 ◦ 即日配送サービス / ギフトラッピングサービス / ツケ払い な ど http://zozo.jp/

  4. Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 日本最大級のファッションコーディネートアプリ

    ◦ 1,200万ダウンロード突破、コーディネート投稿総数は800万件以 上(ともに2018年9月末時点) ◦ 全世界(App Store / Google playが利用可能な全ての国)でダ ウンロードが可能 ◦ 10万人以上のフォロワーを持つユーザー(WEARISTA)も誕生 https://wear.jp/

  5. Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 当社が独自に開発した採寸用ボディースーツ

    ◦ 全体に施されたドットマーカーをスマートフォンカメラで360度撮 影することで、体型データを計測 ◦ 計測した体型データは、瞬時に3Dモデル化され、ZOZOTOWNア プリに保存。3Dモデルはあらゆる角度に動かすことができ、体型を 360度チェックすることが可能 https://zozo.jp/zozosuit/

  6. Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦「ZOZOSUIT」で計測した体型データをもとに、一人ひとりの体型 に合った「あなたサイズ」のアイテム

    ◦「究極のフィット感」を実現したベーシックアイテムを提供 ◦ グローバルサイト「ZOZO.com」で海外展開 ◦ アイテム : Tシャツ、デニムパンツ、シャツ、ビジネススーツ、 ネクタイ、ボーダーTシャツ、長袖クルーネックTシャツ など https://zozo.jp/pb/

  7. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化におけるSREチームの取り組みについて ・SSL/TLSの向上

    ・HTTPS化に耐えうるインフラ構成への変更 2019年3月にZOZOTOWN(PC版・スマートフォン版サイト)のHTTPS化を実施 インフラ担当者としての取り組みについて紹介

  8. Copyright © ZOZO Technologies, Inc. All Rights Reserved. そもそもなぜサイトをHTTPS化するのか? ・各ブラウザ表示でのイメージダウン

    ・HTTP/2対応などが実現できる環境づくり ・SEOに与える影響

  9. Copyright © ZOZO Technologies, Inc. All Rights Reserved. →様々な理由・メリットが存在するが 自分たちの1番の目的は

    「ユーザーに安心してサイトをご利用いただくこと」

  10. Copyright © ZOZO Technologies, Inc. All Rights Reserved. Connection/Key Exchange

    RSA Forward Secrecy (ECDHE) SSL通信のおさらい

  11. Copyright © ZOZO Technologies, Inc. All Rights Reserved. SSL通信のおさらい 公開鍵・・・復号には秘密鍵が必要

    秘密鍵・・・公開鍵の復号に必要 共通鍵・・・暗号と復号にこの鍵を使う

  12. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 将来・・・ 秘密鍵

    GET! 秘密鍵から 共通鍵GET! SSL通信のおさらい

  13. Copyright © ZOZO Technologies, Inc. All Rights Reserved. SSL通信のおさらい クライアントとサーバー側で使い捨ての公開鍵と秘密鍵を持つ

    Forward Secrecy (ECDHE)

  14. Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN HTTPS化されたページはログインページなど一部のみ

  15. Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN 一部しかなかった保護されたページに関しても気になる点が・・・

    Google Chrome Developer Tool Securityパネル

  16. Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN 一部しかなかった保護されたページに関しても気になる点が・・・

    SSL Labs(https://www.ssllabs.com/)での判定

  17. Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN 一部しかなかった保護されたページに関しても気になる点が・・・

    SSL Labs(https://www.ssllabs.com/)での判定 →サイトHTTPS化と並行してSSL/TLSアルゴリズムを見直そう! そしてSSL評価をA判定まで持っていこう! SSL Labs(https://www.ssllabs.com/)での判定

  18. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 見直しとしては以下を実施することに決定 ①鍵交換の優先順位をRSA→ECDHE方式に変更する

    ②不要なCiphers等を精査する さらに、インフラ構成の見直しを行う SSL/TLSの向上

  19. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更

  20. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更 ・構成変更前の懸念点

    FW兼LBの役割が多く、サイトHTTPS化前からも アクセスの多い時期にはある程度の負荷状況が計測されていた

  21. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更 ・構成変更前の懸念点

    FW兼LBの役割が多く、サイトHTTPS化前からも アクセスの多い時期にはある程度の負荷状況が計測されていた →SSLの復号ポイントを変更し、スケールアウトが取れる構成への変更を決意 またSSL復号機器はECDHE-RSAの処理に特化した製品へ入替を決意

  22. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更

  23. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更 なるべく、本番に近い通信を・・・

    スループットやRequest量、Cookie長やWAF検知量など、このあたりはパートナーとも協力 構成の変更後、ピーク時のアクセスを捌ききれるか(且つECDHE系の鍵交換) →アクセス量ピーク時を想定した負荷試験を実施(1/N) 負荷試験にあたり専用の機器をレンタルした

  24. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 構成変更の結果・・・ 当日のSSL復号機器の負荷はほぼ想定通り

    負荷試験を行ったことで、HTTPS化当日は精神的にもかなり余裕がある状態で迎えられた さらに今後どの程度の成長まで既存の環境で耐えられるかの目途にもなる

  25. Copyright © ZOZO Technologies, Inc. All Rights Reserved. Ciphers見直しの結果・・・ Google

    Chrome Developer ToolのSecurityパネルもAllGreen SSL Labsの評価はB判定→A判定に(そもそもHTTP時代はF・・・)

  26. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 今後・・・ より安全なサイトにするためにできることはまだまだある

    また、HTTPS化を行った事で取り組んでいけるようになったことなども 自分たちからの提案や、開発チームからの依頼を受けた際に迅速に対応できる準備を ご清聴ありがとうございました!