セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Security Initiatives

セキュリティ活動をちょっとずつやる作戦を導入するにあたって目指したこと、得られたもの KDDIアジャイル開発センター株式会社 Tomoya Kitaura KDDI Group Developer Community(KGDC) 2024/7/29

自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センターリードSRE ▪技術コミュニティ運営 - - JAWS-UG
コンテナ支部 - JAWS-UG SRE支部 - NRUG SRE支部 2 2 ▪著書 - 俺たちのSREとNew Relic

当時の僕のポジション 3 SRE Unit プロダクトA プロダクトA プロダクトB プロダクトC チーム横断組織とプロダクト開発を大体5:5くらいの割合で従事

当時の僕のモチベーション 4 上手にセキュリティ活動がやりたい！！！

ところで。 5 上手とは・・・？

料理の場合 6 作りたい料理を考える。思いつく。材料や使う調味料の種類や量、調理工程を計画作る食べる無理やり料理に例えてみる。全体の流れはこんな感じ。

問題点にいつ気づけるか 7 作りたい料理を考える。思いつく。材料や使う調味料の種類や量、調理工程を計画作る食べる修正コスト影響
検知する難易度

セキュリティも同じ 8 企画設計実装リリース如何にコストや影響が低いタイミングで問題を解決できるかどうか。より左での解決を目指すアプローチをシフトレフトという。

ところで。 9 さて、何をやろう？

ツールの導入（ボツ） 10 企画設計実装リリースツールを導入するところまでをゴールとするような企画も検討した。ただ、それだと企画・設計での解決アプローチからは遠いと感じた。（導入コスト高いし）
ツール導入の検知タイミング

企画・設計に介入するためには 11 企画設計実装リリース開発者の予兆能力を上げるために、少ない投資でセキュリティと向き合うことを習慣化したらどうかと考えた。

選定したセキュリティツール 12 - AWS Security Hub - AWSの設定上の脅威を検知。 - マネコン上から数クリックで実装が可能
- みんなAWSは触り慣れてる。 - New Relic Vulnerability Management - アプリケーションモジュール脆弱性検知 - APM導入してたので、自動で計測されていた。

実施した活動 13 - パフォーマンス定点観測会 - 週に1回、1時間枠で実施。 - やろうと思えば無限にできてしまうので、 1時間枠は守る。 -
手ぶら参加OK（事前用意などはしない） - モブプロスタイル - 気づきがあれば、みんなで考察し、必要あれば、調査タスクや対応タスクを作る

パフォーマンス定点観測会のアジェンダ① 14 - 開催イベントの確認 - システムに影響のありそうな今週分のイベントをサッと見る。 - プッシュ通知いつ打ったとか。 -
最初にイベントを把握しておくと、後に因果関係を把握することができる。

パフォーマンス定点観測会のアジェンダ② 15 - New Relicのメトリクスダッシュボードをサッと見る。 - ALBの2xx,4xx,5xxカウントやレイテンシー - RDSのCPU使用量、スロークエリ
- APMのTransactions - SLO/SLI（作ってたら） - プロダクトのビジネスにとって最も大切にしていることが観測できると良い。

パフォーマンス定点観測会のアジェンダ③ 16 - セキュリティ周りの遵守状況をサッと見る。 - Security Hubのコントロール - New Relic
Vulnerability Managementの検知状況 - STG環境で活用した。 - 抑制処理や優先度などは開発チームが意思決定する。 - 検知項目を解消することを目的としない。

パフォーマンス定点観測会のアジェンダ④ 17 - AWSの請求ダッシュボードをサッと見る。 - 月に一回、最初の週だけ実施。 - 先月と比較して、料金に変化はあるか - 変化は想定の範囲かどうか

所感 18 - シフトレフトできたか。 - 体感できた。 - 緊急性の高い脆弱性が発見された時の初動も早くなった。 -
週に1回やってることだし慣れた。 - トリアージも開発チーム内でできるし、提案までいけるようになった。 - 何より、システムを観測することは楽しかった

さいごに 19 ご静聴ありがとうございました！！

セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Secur...

セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Security Initiatives

TomoyaKitaura

More Decks by TomoyaKitaura

Other Decks in Technology

Featured

Transcript

セキュリティ活動をちょっとずつやる作戦を導入するにあたって目指したこと、得られたもの KDDIアジャイル開発センター株式会社 Tomoya Kitaura KDDI Group Developer Community(KGDC) 2024/7/29

自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センターリードSRE ▪技術コミュニティ運営 - - JAWS-UG

当時の僕のポジション 3 SRE Unit プロダクトA プロダクトA プロダクトB プロダクトC チーム横断組織とプロダクト開発を大体5:5くらいの割合で従事

当時の僕のモチベーション 4 上手にセキュリティ活動がやりたい！！！

ところで。 5 上手とは・・・？

料理の場合 6 作りたい料理を考える。思いつく。材料や使う調味料の種類や量、調理工程を計画作る食べる無理やり料理に例えてみる。全体の流れはこんな感じ。

問題点にいつ気づけるか 7 作りたい料理を考える。思いつく。材料や使う調味料の種類や量、調理工程を計画作る食べる修正コスト影響

セキュリティも同じ 8 企画設計実装リリース如何にコストや影響が低いタイミングで問題を解決できるかどうか。より左での解決を目指すアプローチをシフトレフトという。

ところで。 9 さて、何をやろう？

ツールの導入（ボツ） 10 企画設計実装リリースツールを導入するところまでをゴールとするような企画も検討した。ただ、それだと企画・設計での解決アプローチからは遠いと感じた。（導入コスト高いし）

企画・設計に介入するためには 11 企画設計実装リリース開発者の予兆能力を上げるために、少ない投資でセキュリティと向き合うことを習慣化したらどうかと考えた。

選定したセキュリティツール 12 - AWS Security Hub - AWSの設定上の脅威を検知。 - マネコン上から数クリックで実装が可能

実施した活動 13 - パフォーマンス定点観測会 - 週に1回、1時間枠で実施。 - やろうと思えば無限にできてしまうので、 1時間枠は守る。 -

パフォーマンス定点観測会のアジェンダ① 14 - 開催イベントの確認 - システムに影響のありそうな今週分のイベントをサッと見る。 - プッシュ通知いつ打ったとか。 -

パフォーマンス定点観測会のアジェンダ② 15 - New Relicのメトリクスダッシュボードをサッと見る。 - ALBの2xx,4xx,5xxカウントやレイテンシー - RDSのCPU使用量、スロークエリ

パフォーマンス定点観測会のアジェンダ③ 16 - セキュリティ周りの遵守状況をサッと見る。 - Security Hubのコントロール - New Relic

パフォーマンス定点観測会のアジェンダ④ 17 - AWSの請求ダッシュボードをサッと見る。 - 月に一回、最初の週だけ実施。 - 先月と比較して、料金に変化はあるか - 変化は想定の範囲かどうか

所感 18 - シフトレフトできたか。 - 体感できた。 - 緊急性の高い脆弱性が発見された時の初動も早くなった。 -

さいごに 19 ご静聴ありがとうございました！！