Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Secur...
Search
TomoyaKitaura
August 08, 2024
Technology
0
120
セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Security Initiatives
2024/7/29にKGDCの登壇資料です。
TomoyaKitaura
August 08, 2024
Tweet
Share
More Decks by TomoyaKitaura
See All by TomoyaKitaura
これからの設計で変わること pre:invent2024アップデート速報 / pre:invent2024 network update
tomoyakitaura
1
150
社内共通コンテナレジストリを設立して、開発者体験向上を狙ってみた /Establishing container registry to improve DX
tomoyakitaura
2
180
LTワークショップ3日目 / LT Workshop Day 3
tomoyakitaura
0
150
LTワークショップ2日目 / LT Workshop Day 2
tomoyakitaura
0
140
LTワークショップ(1日目) / LT workshop day 1
tomoyakitaura
1
150
これまでの監視とクラウド時代の監視 / Monitoring the Past and the Cloud
tomoyakitaura
1
250
エンタープライズにおけるSRE立ち上げとNew Relic選定に至った背景とは / SRE Startup and New Relic in the Enterprise
tomoyakitaura
2
760
AWSとNew Relicのデータ連携を超高速で実装した話 / The story of a super-fast implementation of data integration between AWS and New Relic
tomoyakitaura
0
1.5k
Resilience Hubの登場が騒がれないなんておかしい!? / Resilience Hub is the best.
tomoyakitaura
0
230
Other Decks in Technology
See All in Technology
N=1から解き明かすAWS ソリューションアーキテクトの魅力
kiiwami
0
140
30分でわかる『アジャイルデータモデリング』
hanon52_
10
2.9k
Raycast AI APIを使ってちょっと便利な拡張機能を作ってみた / created-a-handy-extension-using-the-raycast-ai-api
kawamataryo
0
150
ホワイトボードチャレンジ 説明&実行資料
ichimichi
0
130
ビジネスモデリング道場 目的と背景
masuda220
PRO
9
670
Windows の新しい管理者保護モード
murachiakira
0
170
エンジニアが加速させるプロダクトディスカバリー 〜最速で価値ある機能を見つける方法〜 / product discovery accelerated by engineers
rince
4
490
転生CISOサバイバル・ガイド / CISO Career Transition Survival Guide
kanny
3
1.1k
速くて安いWebサイトを作る
nishiharatsubasa
14
15k
抽象化をするということ - 具体と抽象の往復を身につける / Abstraction and concretization
soudai
27
14k
クラウドサービス事業者におけるOSS
tagomoris
3
950
(機械学習システムでも) SLO から始める信頼性構築 - ゆる SRE#9 2025/02/21
daigo0927
0
200
Featured
See All Featured
Facilitating Awesome Meetings
lara
52
6.2k
Building a Scalable Design System with Sketch
lauravandoore
461
33k
Writing Fast Ruby
sferik
628
61k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Making the Leap to Tech Lead
cromwellryan
133
9.1k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2.1k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
It's Worth the Effort
3n
184
28k
Code Review Best Practice
trishagee
67
18k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Transcript
セキュリティ活動をちょっとずつやる作戦を 導入するにあたって目指したこと、得られたもの KDDIアジャイル開発センター株式会社 Tomoya Kitaura KDDI Group Developer Community(KGDC) 2024/7/29
自己紹介 Tomoya Kitaura @kitta0108 KDDIアジャイル開発センター リードSRE ▪技術コミュニティ運営 - - JAWS-UG
コンテナ支部 - JAWS-UG SRE支部 - NRUG SRE支部 2 2 ▪著書 - 俺たちのSREとNew Relic
当時の僕のポジション 3 SRE Unit プロダクトA プロダクトA プロダクトB プロダクトC チーム横断組織とプロダクト開発を大体5:5くらいの 割合で従事
当時の僕のモチベーション 4 上手にセキュリティ活動がやりたい!!!
ところで。 5 上手とは・・・?
料理の場合 6 作りたい料理を考える。 思いつく。 材料や使う調味料の種類や 量、調理工程を計画 作る 食べる 無理やり料理に例えてみる。 全体の流れはこんな感じ。
問題点にいつ気づけるか 7 作りたい料理を考える。 思いつく。 材料や使う調味料の種類や 量、調理工程を計画 作る 食べる 修正コスト 影響
検知する 難易度
セキュリティも同じ 8 企画 設計 実装 リリース 如何にコストや影響が低いタイミングで 問題を解決できるかどうか。 より左での解決を目指すアプローチを シフトレフトという。
ところで。 9 さて、何をやろう?
ツールの導入(ボツ) 10 企画 設計 実装 リリース ツールを導入するところまでをゴールと するような企画も検討した。 ただ、それだと企画・設計での解決アプローチから は遠いと感じた。(導入コスト高いし)
ツール導入の検知タイミング
企画・設計に介入するためには 11 企画 設計 実装 リリース 開発者の予兆能力を上げるために、 少ない投資でセキュリティと向き合うことを 習慣化したらどうかと考えた。
選定したセキュリティツール 12 - AWS Security Hub - AWSの設定上の脅威を検知。 - マネコン上から数クリックで実装が可能
- みんなAWSは触り慣れてる。 - New Relic Vulnerability Management - アプリケーションモジュール脆弱性検知 - APM導入してたので、 自動で計測されていた。
実施した活動 13 - パフォーマンス定点観測会 - 週に1回、1時間枠で実施。 - やろうと思えば無限にできてしまうので、 1時間枠は守る。 -
手ぶら参加OK(事前用意などはしない) - モブプロスタイル - 気づきがあれば、みんなで考察し、 必要あれば、調査タスクや対応タスクを作る
パフォーマンス定点観測会のアジェンダ① 14 - 開催イベントの確認 - システムに影響のありそうな 今週分のイベントをサッと見る。 - プッシュ通知いつ打ったとか。 -
最初にイベントを把握しておくと、 後に因果関係を把握することができる。
パフォーマンス定点観測会のアジェンダ② 15 - New Relicのメトリクスダッシュボードを サッと見る。 - ALBの2xx,4xx,5xxカウントやレイテンシー - RDSのCPU使用量、スロークエリ
- APMのTransactions - SLO/SLI(作ってたら) - プロダクトのビジネスにとって最も大切に していることが観測できると良い。
パフォーマンス定点観測会のアジェンダ③ 16 - セキュリティ周りの遵守状況をサッと見る。 - Security Hubのコントロール - New Relic
Vulnerability Managementの 検知状況 - STG環境で活用した。 - 抑制処理や優先度などは開発チームが 意思決定する。 - 検知項目を解消することを目的としない。
パフォーマンス定点観測会のアジェンダ④ 17 - AWSの請求ダッシュボードをサッと見る。 - 月に一回、最初の週だけ実施。 - 先月と比較して、料金に変化はあるか - 変化は想定の範囲かどうか
所感 18 - シフトレフトできたか。 - 体感できた。 - 緊急性の高い脆弱性が発見された時の初動も 早くなった。 -
週に1回やってることだし慣れた。 - トリアージも開発チーム内でできるし、提案 までいけるようになった。 - 何より、システムを観測することは楽しかった
さいごに 19 ご静聴ありがとうございました!!