Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Secur...
Search
TomoyaKitaura
August 08, 2024
Technology
0
220
セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Security Initiatives
2024/7/29にKGDCの登壇資料です。
TomoyaKitaura
August 08, 2024
Tweet
Share
More Decks by TomoyaKitaura
See All by TomoyaKitaura
New Relicの推せるところ・推せないところ / newrelic good and bad
tomoyakitaura
0
190
サービスレベルを管理してアジャイルを加速しよう!! / slm-accelerate-agility
tomoyakitaura
1
320
「頑張る」を「楽しむ」に変換する技術
tomoyakitaura
19
11k
これからの設計で変わること pre:invent2024アップデート速報 / pre:invent2024 network update
tomoyakitaura
1
280
社内共通コンテナレジストリを設立して、開発者体験向上を狙ってみた /Establishing container registry to improve DX
tomoyakitaura
2
220
LTワークショップ3日目 / LT Workshop Day 3
tomoyakitaura
0
200
LTワークショップ2日目 / LT Workshop Day 2
tomoyakitaura
0
180
LTワークショップ(1日目) / LT workshop day 1
tomoyakitaura
1
220
これまでの監視とクラウド時代の監視 / Monitoring the Past and the Cloud
tomoyakitaura
1
350
Other Decks in Technology
See All in Technology
GitLab Duo Agent Platform × AGENTS.md で実現するSpec-Driven Development / GitLab Duo Agent Platform × AGENTS.md
n11sh1
0
140
ファインディの横断SREがTakumi byGMOと取り組む、セキュリティと開発スピードの両立
rvirus0817
1
1.4k
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
6
68k
AWS Network Firewall Proxyを触ってみた
nagisa53
1
230
【Oracle Cloud ウェビナー】[Oracle AI Database + AWS] Oracle Database@AWSで広がるクラウドの新たな選択肢とAI時代のデータ戦略
oracle4engineer
PRO
2
150
Embedded SREの終わりを設計する 「なんとなく」から計画的な自立支援へ
sansantech
PRO
3
2.5k
顧客の言葉を、そのまま信じない勇気
yamatai1212
1
350
All About Sansan – for New Global Engineers
sansan33
PRO
1
1.3k
今日から始める Amazon Bedrock AgentCore
har1101
4
410
[CV勉強会@関東 World Model 読み会] Orbis: Overcoming Challenges of Long-Horizon Prediction in Driving World Models (Mousakhan+, NeurIPS 2025)
abemii
0
140
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
5
1.6k
日本の85%が使う公共SaaSは、どう育ったのか
taketakekaho
1
210
Featured
See All Featured
The Mindset for Success: Future Career Progression
greggifford
PRO
0
240
Exploring anti-patterns in Rails
aemeredith
2
250
Faster Mobile Websites
deanohume
310
31k
Design in an AI World
tapps
0
140
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
430
Game over? The fight for quality and originality in the time of robots
wayneb77
1
120
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
86
Writing Fast Ruby
sferik
630
62k
Six Lessons from altMBA
skipperchong
29
4.1k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
190
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
590
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
220
Transcript
セキュリティ活動をちょっとずつやる作戦を 導入するにあたって目指したこと、得られたもの KDDIアジャイル開発センター株式会社 Tomoya Kitaura KDDI Group Developer Community(KGDC) 2024/7/29
自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センター リードSRE ▪技術コミュニティ運営 - - JAWS-UG
コンテナ支部 - JAWS-UG SRE支部 - NRUG SRE支部 2 2 ▪著書 - 俺たちのSREとNew Relic
当時の僕のポジション 3 SRE Unit プロダクトA プロダクトA プロダクトB プロダクトC チーム横断組織とプロダクト開発を大体5:5くらいの 割合で従事
当時の僕のモチベーション 4 上手にセキュリティ活動がやりたい!!!
ところで。 5 上手とは・・・?
料理の場合 6 作りたい料理を考える。 思いつく。 材料や使う調味料の種類や 量、調理工程を計画 作る 食べる 無理やり料理に例えてみる。 全体の流れはこんな感じ。
問題点にいつ気づけるか 7 作りたい料理を考える。 思いつく。 材料や使う調味料の種類や 量、調理工程を計画 作る 食べる 修正コスト 影響
検知する 難易度
セキュリティも同じ 8 企画 設計 実装 リリース 如何にコストや影響が低いタイミングで 問題を解決できるかどうか。 より左での解決を目指すアプローチを シフトレフトという。
ところで。 9 さて、何をやろう?
ツールの導入(ボツ) 10 企画 設計 実装 リリース ツールを導入するところまでをゴールと するような企画も検討した。 ただ、それだと企画・設計での解決アプローチから は遠いと感じた。(導入コスト高いし)
ツール導入の検知タイミング
企画・設計に介入するためには 11 企画 設計 実装 リリース 開発者の予兆能力を上げるために、 少ない投資でセキュリティと向き合うことを 習慣化したらどうかと考えた。
選定したセキュリティツール 12 - AWS Security Hub - AWSの設定上の脅威を検知。 - マネコン上から数クリックで実装が可能
- みんなAWSは触り慣れてる。 - New Relic Vulnerability Management - アプリケーションモジュール脆弱性検知 - APM導入してたので、 自動で計測されていた。
実施した活動 13 - パフォーマンス定点観測会 - 週に1回、1時間枠で実施。 - やろうと思えば無限にできてしまうので、 1時間枠は守る。 -
手ぶら参加OK(事前用意などはしない) - モブプロスタイル - 気づきがあれば、みんなで考察し、 必要あれば、調査タスクや対応タスクを作る
パフォーマンス定点観測会のアジェンダ① 14 - 開催イベントの確認 - システムに影響のありそうな 今週分のイベントをサッと見る。 - プッシュ通知いつ打ったとか。 -
最初にイベントを把握しておくと、 後に因果関係を把握することができる。
パフォーマンス定点観測会のアジェンダ② 15 - New Relicのメトリクスダッシュボードを サッと見る。 - ALBの2xx,4xx,5xxカウントやレイテンシー - RDSのCPU使用量、スロークエリ
- APMのTransactions - SLO/SLI(作ってたら) - プロダクトのビジネスにとって最も大切に していることが観測できると良い。
パフォーマンス定点観測会のアジェンダ③ 16 - セキュリティ周りの遵守状況をサッと見る。 - Security Hubのコントロール - New Relic
Vulnerability Managementの 検知状況 - STG環境で活用した。 - 抑制処理や優先度などは開発チームが 意思決定する。 - 検知項目を解消することを目的としない。
パフォーマンス定点観測会のアジェンダ④ 17 - AWSの請求ダッシュボードをサッと見る。 - 月に一回、最初の週だけ実施。 - 先月と比較して、料金に変化はあるか - 変化は想定の範囲かどうか
所感 18 - シフトレフトできたか。 - 体感できた。 - 緊急性の高い脆弱性が発見された時の初動も 早くなった。 -
週に1回やってることだし慣れた。 - トリアージも開発チーム内でできるし、提案 までいけるようになった。 - 何より、システムを観測することは楽しかった
さいごに 19 ご静聴ありがとうございました!!
tomoyakitaura
n11sh1
rvirus0817
sansan33
nagisa53
oracle4engineer
sansantech
yamatai1212
har1101
abemii
taketakekaho
greggifford
aemeredith
deanohume
tapps
reverentgeek
wayneb77
techseoconnect
sferik
skipperchong
tammyeverts
baasie
inesmontani
