Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Secur...
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
TomoyaKitaura
August 08, 2024
Technology
0
230
セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Security Initiatives
2024/7/29にKGDCの登壇資料です。
TomoyaKitaura
August 08, 2024
Tweet
Share
More Decks by TomoyaKitaura
See All by TomoyaKitaura
New Relicの推せるところ・推せないところ / newrelic good and bad
tomoyakitaura
0
220
サービスレベルを管理してアジャイルを加速しよう!! / slm-accelerate-agility
tomoyakitaura
1
330
「頑張る」を「楽しむ」に変換する技術
tomoyakitaura
19
11k
これからの設計で変わること pre:invent2024アップデート速報 / pre:invent2024 network update
tomoyakitaura
1
290
社内共通コンテナレジストリを設立して、開発者体験向上を狙ってみた /Establishing container registry to improve DX
tomoyakitaura
2
220
LTワークショップ3日目 / LT Workshop Day 3
tomoyakitaura
0
210
LTワークショップ2日目 / LT Workshop Day 2
tomoyakitaura
0
200
LTワークショップ(1日目) / LT workshop day 1
tomoyakitaura
1
230
これまでの監視とクラウド時代の監視 / Monitoring the Past and the Cloud
tomoyakitaura
1
360
Other Decks in Technology
See All in Technology
The Rise of Browser Automation: AI-Powered Web Interaction in 2026
marcthompson_seo
0
290
20年以上続く PHP 大規模プロダクトを Kubernetes へ ── クラウド基盤刷新プロジェクトの4年間
oogfranz
PRO
0
160
Goのerror型がシンプルであることの恩恵について理解する
yamatai1212
1
290
Zero Data Loss Autonomous Recovery Service サービス概要
oracle4engineer
PRO
3
13k
Escape from Excel方眼紙 ~マークダウンで繋ぐ、人とAIの架け橋~ /nikkei-tech-talk44
nikkei_engineer_recruiting
0
170
Phase07_実務適用
overflowinc
0
1.2k
スピンアウト講座02_ファイル管理
overflowinc
0
810
生成AI活用でQAエンジニアにどのような仕事が生まれるか/Support Required of QA Engineers for Generative AI
goyoki
1
360
Phase09_自動化_仕組み化
overflowinc
0
1.1k
SaaSに宿る21g
kanyamaguc
2
110
【Λ(らむだ)】最近のアプデ情報 / RPALT20260318
lambda
0
150
Kiroで見直す開発プロセスとAI-DLC
k_adachi_01
0
110
Featured
See All Featured
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
160
Navigating Weather and Climate Data
rabernat
0
140
Reality Check: Gamification 10 Years Later
codingconduct
0
2.1k
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
76
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
21k
Building the Perfect Custom Keyboard
takai
2
720
What’s in a name? Adding method to the madness
productmarketing
PRO
24
4k
How to make the Groovebox
asonas
2
2k
Code Review Best Practice
trishagee
74
20k
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
230
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
3.4k
Rails Girls Zürich Keynote
gr2m
96
14k
Transcript
セキュリティ活動をちょっとずつやる作戦を 導入するにあたって目指したこと、得られたもの KDDIアジャイル開発センター株式会社 Tomoya Kitaura KDDI Group Developer Community(KGDC) 2024/7/29
自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センター リードSRE ▪技術コミュニティ運営 - - JAWS-UG
コンテナ支部 - JAWS-UG SRE支部 - NRUG SRE支部 2 2 ▪著書 - 俺たちのSREとNew Relic
当時の僕のポジション 3 SRE Unit プロダクトA プロダクトA プロダクトB プロダクトC チーム横断組織とプロダクト開発を大体5:5くらいの 割合で従事
当時の僕のモチベーション 4 上手にセキュリティ活動がやりたい!!!
ところで。 5 上手とは・・・?
料理の場合 6 作りたい料理を考える。 思いつく。 材料や使う調味料の種類や 量、調理工程を計画 作る 食べる 無理やり料理に例えてみる。 全体の流れはこんな感じ。
問題点にいつ気づけるか 7 作りたい料理を考える。 思いつく。 材料や使う調味料の種類や 量、調理工程を計画 作る 食べる 修正コスト 影響
検知する 難易度
セキュリティも同じ 8 企画 設計 実装 リリース 如何にコストや影響が低いタイミングで 問題を解決できるかどうか。 より左での解決を目指すアプローチを シフトレフトという。
ところで。 9 さて、何をやろう?
ツールの導入(ボツ) 10 企画 設計 実装 リリース ツールを導入するところまでをゴールと するような企画も検討した。 ただ、それだと企画・設計での解決アプローチから は遠いと感じた。(導入コスト高いし)
ツール導入の検知タイミング
企画・設計に介入するためには 11 企画 設計 実装 リリース 開発者の予兆能力を上げるために、 少ない投資でセキュリティと向き合うことを 習慣化したらどうかと考えた。
選定したセキュリティツール 12 - AWS Security Hub - AWSの設定上の脅威を検知。 - マネコン上から数クリックで実装が可能
- みんなAWSは触り慣れてる。 - New Relic Vulnerability Management - アプリケーションモジュール脆弱性検知 - APM導入してたので、 自動で計測されていた。
実施した活動 13 - パフォーマンス定点観測会 - 週に1回、1時間枠で実施。 - やろうと思えば無限にできてしまうので、 1時間枠は守る。 -
手ぶら参加OK(事前用意などはしない) - モブプロスタイル - 気づきがあれば、みんなで考察し、 必要あれば、調査タスクや対応タスクを作る
パフォーマンス定点観測会のアジェンダ① 14 - 開催イベントの確認 - システムに影響のありそうな 今週分のイベントをサッと見る。 - プッシュ通知いつ打ったとか。 -
最初にイベントを把握しておくと、 後に因果関係を把握することができる。
パフォーマンス定点観測会のアジェンダ② 15 - New Relicのメトリクスダッシュボードを サッと見る。 - ALBの2xx,4xx,5xxカウントやレイテンシー - RDSのCPU使用量、スロークエリ
- APMのTransactions - SLO/SLI(作ってたら) - プロダクトのビジネスにとって最も大切に していることが観測できると良い。
パフォーマンス定点観測会のアジェンダ③ 16 - セキュリティ周りの遵守状況をサッと見る。 - Security Hubのコントロール - New Relic
Vulnerability Managementの 検知状況 - STG環境で活用した。 - 抑制処理や優先度などは開発チームが 意思決定する。 - 検知項目を解消することを目的としない。
パフォーマンス定点観測会のアジェンダ④ 17 - AWSの請求ダッシュボードをサッと見る。 - 月に一回、最初の週だけ実施。 - 先月と比較して、料金に変化はあるか - 変化は想定の範囲かどうか
所感 18 - シフトレフトできたか。 - 体感できた。 - 緊急性の高い脆弱性が発見された時の初動も 早くなった。 -
週に1回やってることだし慣れた。 - トリアージも開発チーム内でできるし、提案 までいけるようになった。 - 何より、システムを観測することは楽しかった
さいごに 19 ご静聴ありがとうございました!!
SiteGround - Reliable hosting with speed, security, and support you can count on.
tomoyakitaura
marcthompson_seo
oogfranz
yamatai1212
oracle4engineer
nikkei_engineer_recruiting
overflowinc
goyoki
kanyamaguc
lambda
k_adachi_01
ryanjones
rabernat
codingconduct
akademiya2063
panda_program
takai
productmarketing
asonas
trishagee
axbom
eileencodes
gr2m
