Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS-UG コンテナ支部 × JAWS-UG 千葉支部 #1 コンテナセキュリティ対応でS...

Takashi Yamaguchi
October 16, 2023
Technology
0
1.1k

JAWS-UG コンテナ支部 × JAWS-UG 千葉支部 #1 コンテナセキュリティ対応でSnykを導入中に 発生した・発生中のいろんなこと

JAWS-UG コンテナ支部 × JAWS-UG 千葉支部 #1 での発表資料です
Snykを使ったセキュリティ対策(コンテナ、コード周り)運用の導入中に発生したこと感じたこと、現時点の課題感を生々しく語ります

Takashi Yamaguchi

October 16, 2023
Tweet

More Decks by Takashi Yamaguchi

See All by Takashi Yamaguchi
年10万で社内Webアプリを10個動かす チャレンジをしている話 / The story of the challenge to run 10 in-house web apps for 100kJPY a year.
yamaguchitk333
0
150
CodeCatalyst in Action: Automating PR Creation for Route 53 and IAM Identity Center Management
yamaguchitk333
0
83
DevSecOpsの内回りと外回りで考える持続可能なセキュリティ対策 / Considering Sustainable Security Measures in DevSecOps: Left Loop and Right Loop Perspectives
yamaguchitk333
2
2.1k
DevSecOpsの内回りと外回りで考える持続可能なセキュリティ対策 | Sustainable security measures for DevSecOps inside and outside the DevSecOps system.
yamaguchitk333
4
2.5k
コスト削減のハードスキルとソフトスキル / Hard and Soft skills for cost reduction
yamaguchitk333
0
100
クラウドセキュリティの技術選択と、セキュリティ対応していく中で出て来た課題
yamaguchitk333
0
150
コンテナセキュリティの概要と デプロイフローに組み込んだ後の課題
yamaguchitk333
1
1.1k
クラウドセキュリティの技術選択と、セキュリティ対応していく中で出て来た課題
yamaguchitk333
0
6.1k
JAWS-UG SRE支部 #7 Security Hubは俺の姑
yamaguchitk333
0
630

Other Decks in Technology

See All in Technology
OCI Data Integration技術情報 / ocidi_technical_jp
oracle4engineer
PRO
1
2.6k
音声×Copilot オンコパの世界
kasada
1
120
Going down the RAT hole: Deep dive into the Vuln-derland of APT-class RAT Tools
nttcom
0
320
開発生産性を上げながらビジネスも30倍成長させてきたチームの姿
kamina_zzz
1
950
dev 補講: プロダクトセキュリティ / Product security overview
wa6sn
0
1.8k
エンジニア候補者向け資料2024.11.07.pdf
macloud
0
4.6k
QAEチームが辿った3年 ボクらが改善業務にスクラムを選んだワケ / 20241108_cloudsign_ques23
bengo4com
0
1.3k
株式会社島津製作所_研究開発(集団協業と知的生産)の現場を支える、OSS知識基盤システムの導入
akahane92
1
200
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
630
SREによる隣接領域への越境とその先の信頼性
shonansurvivors
2
450
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k
3次元点群データ「VIRTUAL SHIZUOKA』のオープンデータ化による恩恵と協働の未来/FOSS4G Japan 2024
kazz24s
0
140

Featured

See All Featured
Building an army of robots
kneath
302
42k
Gamification - CAS2011
davidbonilla
80
5k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Designing for Performance
lara
604
68k
Into the Great Unknown - MozCon
thekraken
32
1.5k
Thoughts on Productivity
jonyablonski
67
4.3k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
How STYLIGHT went responsive
nonsquared
95
5.2k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
506
140k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k

Transcript

  1. 株式会社 Gunosy テクノロジー本部 プロダクト開発部 SREチーム マネージャー 山口 隆史 <YAMAGUCHI Takashi>

    2023年10月16日(月) コンテナセキュリティ対応でSnykを導入中に 発生した・発生中のいろんなこと

  2. (C) Gunosy Inc. All Rights Reserved. PAGE | 2 エレベーターピッチ

    [コンテナセキュリティに興味がある人]、 [コンテナセキュリティをこれから始めたい人]向けに発表する [コンテナセキュリティ対応でSnykを導入中に発生した・発生中のいろんな こと]は [現場の泥臭い話]です これは[大きくない開発組織でのセキュリティ対応の現場での実践に基づい て構成しているため、現実感]があり これまでの成功事例やベンダーのセールス資料とは違って [ツールの限界と、ツールを導入してから定常運用に至るまでの活動に焦 点をあてている]

  3. (C) Gunosy Inc. All Rights Reserved. PAGE | 3 LT終了後に狙う状態

    論理面 - セキュリティ対策を現場に適用して、理想的な運用状態になるまでに発生 する・した課題が理解できる - セキュリティツールを導入したら解決できる問題、解決できない問題が理解 できる 感情面 - セキュリティ対策に興味を持ってやってみようと思える

  4. (C) Gunosy Inc. All Rights Reserved. PAGE | 4 注意事項

    ▪ ステルスマーケティング規制対応(2023年10月1日〜) – Snykさんの宣伝と受け取られそうなところにPRマークをつけています ※注意 – Snykさんからは金銭もしくはその他の経済利益の提供はいただいていませ ん – Tシャツはいただきました • 発表するんですよ〜って伝えたら、「これ着て発表して!」ってことでいた だきました PR

  5. (C) Gunosy Inc. All Rights Reserved. 本題に入る前に自己紹介

  6. (C) Gunosy Inc. All Rights Reserved. PAGE | 6 自己紹介

    氏名:山口隆史(やまぐちたかし) 所属:株式会社Gunosy テクノロジー本部 プロダクト開発部 SREチーム マネージャー 業務:Pure SREとしての活動 略歴:フリーランス、SIer等を渡り歩く→現職(2022/01〜) 自称:Security Hub芸人 好きなAWSサービス:Security Hub、CloudShell、サポート 他:AWS Community Builder(Security & Identity)、JAWS-UG千葉支部運営 第022587号

  7. (C) Gunosy Inc. All Rights Reserved. PAGE | 7 株式会社Gunosy

    ギリシャ語で「知識」を意味する「Gnosis(グノーシス)」+「u(“you”)」 「”Gnosis” for “you”」あなたのための知識  =情報を届けるサービスを提供し続ける、という意味 ▪ 2012年11月創業 ▪ 2015年4月東証マザーズ上場 ▪ 2017年12月東証第一部に市場変更 ▪ 2022年4月東京証券取引所の市場一部からプライム市場に移行 ▪ 従業員数 252名 (2023年5月末現在 連結ベース) ▪ 事業内容 – 情報キュレーションサービスその他メディアの開発及び運営 ▪ 提供サービス  グノシー、ニュースパス、 auサービスToday、YOU IN 企業理念「情報を世界中の人に最適に届ける」

  8. (C) Gunosy Inc. All Rights Reserved. ここから本題

  9. (C) Gunosy Inc. All Rights Reserved. PAGE | 9 アジェンダ

    話すこと • コンテナセキュリティ対策で求められる内容とは • ツール(Snyk)を導入することでできること • 導入後に運用を開始するために必要なこと (導入するだけではできないこと) • まとめ

  10. (C) Gunosy Inc. All Rights Reserved. コンテナセキュリティ対策で求められる内容とは

  11. (C) Gunosy Inc. All Rights Reserved. PAGE | ホスト・基盤 11

    Gunosyのデプロイパイプラインの一例 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ CircleCI GitHub Actions ECR (Private Registry) Argo CD Docker Hub EKS ECS EC2 Fargate

  12. (C) Gunosy Inc. All Rights Reserved. パイプラインのどこでセキュリティ対策を 実施する必要があるか?

  13. (C) Gunosy Inc. All Rights Reserved. パイプラインの全ての段階で 対策が必要です!

  14. (C) Gunosy Inc. All Rights Reserved. PAGE | ホスト・基盤 14

    コンテナセキュリティ対策で求められる内容 オーケスト レーター レジストリ CI/CD 開発 開発者 開発者の手元でスキャ ン (コード、OSS、ライセ ンス、Dockerfile、マ ニュフェスト)

  15. (C) Gunosy Inc. All Rights Reserved. PAGE | ホスト・基盤 15

    コンテナセキュリティ対策で求められる内容 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ PR作成時に差分スキャ ン (コード、OSS、ライセン ス、Dockerfile) 定期的自動的にスキャ ン (コード、OSS、ライセン ス、Dockerfile)

  16. (C) Gunosy Inc. All Rights Reserved. PAGE | ホスト・基盤 16

    コンテナセキュリティ対策で求められる内容 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ CircleCI GitHub Actions Argo CD ビルドした成果物をス キャン (コード、OSS、ライセン ス、Dockerfile、マニュ フェスト)

  17. (C) Gunosy Inc. All Rights Reserved. PAGE | ホスト・基盤 17

    コンテナセキュリティ対策で求められる内容 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ CircleCI GitHub Actions ECR (Private Registry) Argo CD Docker Hub 定期的自動的にスキャ ン (コード、OSS、ライセン ス、Dockerfile)

  18. (C) Gunosy Inc. All Rights Reserved. PAGE | ホスト・基盤 18

    コンテナセキュリティ対策で求められる内容 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ CircleCI GitHub Actions ECR (Private Registry) Argo CD Docker Hub EKS ECS マニュフェストを スキャン 使用Imageをス キャン

  19. (C) Gunosy Inc. All Rights Reserved. PAGE | ホスト・基盤 19

    コンテナセキュリティ対策で求められる内容 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ CircleCI GitHub Actions ECR (Private Registry) Argo CD Docker Hub EKS ECS EC2 Fargate ワークロード保護 ランタイム保護

  20. (C) Gunosy Inc. All Rights Reserved. ツールを導入して自動化しないと 定常的な運用は無理!

  21. (C) Gunosy Inc. All Rights Reserved. ツール(Snyk)を導入することでできること

  22. (C) Gunosy Inc. All Rights Reserved. PAGE | 22 Snykとは

    PR

  23. (C) Gunosy Inc. All Rights Reserved. PAGE | 23 Snykとは

    PR

  24. (C) Gunosy Inc. All Rights Reserved. PAGE | 24 ツール(Snyk)を導入することでカバーできる範囲

    開発 GitHub CI/CD コンテナレジ ストリ オーケスト レーター ホスト・基盤 パイプライン で求められる 内容 開発者の手 元でスキャ ン PR作成時に 差分スキャ ン 定期的自動 的にスキャ ン ビルドした成 果物をス キャン 定期的自動 的にスキャ ン マニュフェス トをスキャン 使用Image をスキャン ワークロード 保護 ランタイム保 護 AWSサービ スで対応でき ること Snykで対応 できること GuardDuty Inspector Amazon CodeWhisperer 一部対応 Imageス キャン PR

  25. (C) Gunosy Inc. All Rights Reserved. PAGE | 25 ツール(Snyk)を導入することでカバーできる範囲

    開発 GitHub CI/CD コンテナレジ ストリ オーケスト レーター ホスト・基盤 パイプライン で求められる 内容 開発者の手 元でスキャ ン PR作成時に 差分スキャ ン 定期的自動 的にスキャ ン ビルドした成 果物をス キャン 定期的自動 的にスキャ ン マニュフェス トをスキャン 使用Image をスキャン ワークロード 保護 ランタイム保 護 AWSサービ スで対応でき ること Snykで対応 できること GuardDuty Inspector Amazon CodeWhisperer 一部対応 Imageス キャン PR Snykを導入することでほぼほぼカバーできる

  26. (C) Gunosy Inc. All Rights Reserved. ここまで5分が目安

  27. (C) Gunosy Inc. All Rights Reserved. でも導入するだけでは運用はまわりません

  28. (C) Gunosy Inc. All Rights Reserved. PAGE | 28 運用フローでSnykでカバーできる範囲

    [定期・自動] スキャン DBとの照合 ダッシュボードで 確認 or 通知で確認 トリアージ 脆弱性対応 無影響確認 ・テスト デプロイ 網羅的なス キャン 強力な修正 Suggest 一覧で確認しや すいダッシュ ボード PR

  29. (C) Gunosy Inc. All Rights Reserved. 導入後に運用を開始するために必要なこと (導入するだけではできないこと)

  30. (C) Gunosy Inc. All Rights Reserved. PAGE | 30 初期導入時の大量の脆弱性への対応

    ▪ 初期導入時に大量に検出されるはずの既存の脆弱性への対応が 大変 – 優先順位を付けて順次対応していく必要がある (これは初期導入後の運用時も必要) • internet-facing / internal(攻撃面) • 攻撃コードの公開有無 • 脆弱性の重大度 • 攻撃された際の業務影響 引用 米カーネギーメロン大学ソフトウェア工学研究所公開のオリジナル論文より https://resources.sei.cmu.edu/asset_files/WhitePaper/2021_019_001_653461.pdf


  31. (C) Gunosy Inc. All Rights Reserved. PAGE | 31 初期導入時の大量の脆弱性への対応

    ▪ 初期導入時に大量に検出されるはずの既存の脆弱性への対応が 大変 – 優先順位を付けて順次対応していく必要がある (これは初期導入後の運用時も必要) • internet-facing / internal • 攻撃コードの公開有無 • 脆弱性の重大度 • 攻撃された際の業務影響 ▪ なぜ必要なのか? – 全部対応してくださいだと拒絶が先に来てしまう • 優先順位をつけて対応していくことで、開発チーム側の理 解を得やすい

  32. (C) Gunosy Inc. All Rights Reserved. PAGE | 32 脆弱性への対応の追跡(チケット管理)

    ▪ 導入後の脆弱性消し込み段階ではリポジトリ・Image単位でJIRAチケットを起票 する – Snykの機能でサポートされているのは脆弱性単位のJIRAチケット起票

  33. (C) Gunosy Inc. All Rights Reserved. PAGE | 33 脆弱性への対応の追跡(チケット管理)

    ▪ 導入後の脆弱性消し込み段階ではリポジトリ・Image単位でJIRAチケットを起票 する – Snykの機能でサポートされているのは脆弱性単位のJIRAチケット起票 ▪ Why – 初期導入時の脆弱性消し込み段階だと、脆弱性単位だと大量にJIRAチケッ トが発生する • 開発チームの拒絶反応に直結してしまう

  34. (C) Gunosy Inc. All Rights Reserved. PAGE | 34 脆弱性への対応の追跡(チケット管理)

    ▪ 導入後の脆弱性消し込み段階ではリポジトリ・Image単位でJIRAチ ケットを起票する – Snykの機能でサポートされているのは脆弱性単位のJIRAチ ケット起票 ▪ Why – 初期導入時の脆弱性消し込み段階だと、脆弱性単位だと大量 にJIRAチケットが発生する – 開発チームの拒絶反応に直結してしまう ▪ 脆弱性が消し込み終わった段階で、脆弱性単位のJIRAチケット起 票に切り替える (まだできてません)

  35. (C) Gunosy Inc. All Rights Reserved. まとめ

  36. (C) Gunosy Inc. All Rights Reserved. PAGE | 36 まとめ

    ▪ セキュリティ対応ツールに期待しすぎない – 脆弱性を減らすのは結局はマンパワーと事前調整が必要です ▪ セキュリティ対応ツールを導入すると結構なところまではツールがやってくれます – うまくツールとサポートを使いましょう ▪ テストの自動化、いい感じのCI/CD等の開発の足回りの強化は脆弱性対応にも 効きます – 普段から整備しておきましょう

  37. (C) Gunosy Inc. All Rights Reserved. Appendix

  38. (C) Gunosy Inc. All Rights Reserved. PAGE | 38 Snykを導入することの効果①

    ▪ ダッシュボードで脆弱性の一覧表示が できる – Severity毎の件数 • リポジトリ単位 • パッケージマネージャ単位 – CVE単位での検索 PR

  39. (C) Gunosy Inc. All Rights Reserved. PAGE | 39 Snykを導入することの効果②

    ▪ 脆弱性の修正方法のSuggest – Base Imageを更新したらどれくら い脆弱性が減るか – 脆弱性の修正方法 PR イチオシ機能

  40. (C) Gunosy Inc. All Rights Reserved. PAGE | 40 Snykを導入することの効果③

    ▪ 脆弱性の修正PRが出せる – 手動でPRが出せる – AutoFixでPRも出せる PR

  41. 情報を世界中の人に最適に届ける