JAWS-UG コンテナ支部 × JAWS-UG 千葉支部 #1 コンテナセキュリティ対応でSnykを導入中に 発生した・発生中のいろんなこと

Transcript

1. 株式会社 Gunosy テクノロジー本部 プロダクト開発部 SREチーム マネージャー 山口 隆史 <YAMAGUCHI Takashi>

   2023年10月16日(月) コンテナセキュリティ対応でSnykを導入中に 発生した・発生中のいろんなこと

2. （C） Gunosy Inc. All Rights Reserved. PAGE | 2 エレベーターピッチ

   ［コンテナセキュリティに興味がある人］、 ［コンテナセキュリティをこれから始めたい人］向けに発表する ［コンテナセキュリティ対応でSnykを導入中に発生した・発生中のいろんな こと］は ［現場の泥臭い話］です これは［大きくない開発組織でのセキュリティ対応の現場での実践に基づい て構成しているため、現実感］があり これまでの成功事例やベンダーのセールス資料とは違って ［ツールの限界と、ツールを導入してから定常運用に至るまでの活動に焦 点をあてている］

3. （C） Gunosy Inc. All Rights Reserved. PAGE | 3 LT終了後に狙う状態

   論理面 - セキュリティ対策を現場に適用して、理想的な運用状態になるまでに発生 する・した課題が理解できる - セキュリティツールを導入したら解決できる問題、解決できない問題が理解 できる 感情面 - セキュリティ対策に興味を持ってやってみようと思える

4. （C） Gunosy Inc. All Rights Reserved. PAGE | 4 注意事項

   ▪ ステルスマーケティング規制対応（2023年10月1日〜） – Snykさんの宣伝と受け取られそうなところにPRマークをつけています ※注意 – Snykさんからは金銭もしくはその他の経済利益の提供はいただいていませ ん – Tシャツはいただきました • 発表するんですよ〜って伝えたら、「これ着て発表して！」ってことでいた だきました PR

5. （C） Gunosy Inc. All Rights Reserved. 本題に入る前に自己紹介

6. （C） Gunosy Inc. All Rights Reserved. PAGE | 6 自己紹介

   氏名：山口隆史(やまぐちたかし) 所属：株式会社Gunosy テクノロジー本部 プロダクト開発部 SREチーム マネージャー 業務：Pure SREとしての活動 略歴：フリーランス、SIer等を渡り歩く→現職（2022/01〜） 自称：Security Hub芸人 好きなAWSサービス：Security Hub、CloudShell、サポート 他：AWS Community Builder(Security & Identity)、JAWS-UG千葉支部運営 第022587号

7. （C） Gunosy Inc. All Rights Reserved. PAGE | 7 株式会社Gunosy

   ギリシャ語で「知識」を意味する「Gnosis（グノーシス）」＋「u(“you”)」 「”Gnosis” for “you”」あなたのための知識 　＝情報を届けるサービスを提供し続ける、という意味 ▪ 2012年11月創業 ▪ 2015年4月東証マザーズ上場 ▪ 2017年12月東証第一部に市場変更 ▪ 2022年4月東京証券取引所の市場一部からプライム市場に移行 ▪ 従業員数 252名 （2023年5月末現在 連結ベース） ▪ 事業内容 – 情報キュレーションサービスその他メディアの開発及び運営 ▪ 提供サービス 　グノシー、ニュースパス、 auサービスToday、YOU IN 企業理念「情報を世界中の人に最適に届ける」

8. （C） Gunosy Inc. All Rights Reserved. ここから本題

9. （C） Gunosy Inc. All Rights Reserved. PAGE | 9 アジェンダ

   話すこと • コンテナセキュリティ対策で求められる内容とは • ツール（Snyk）を導入することでできること • 導入後に運用を開始するために必要なこと （導入するだけではできないこと） • まとめ

10. （C） Gunosy Inc. All Rights Reserved. コンテナセキュリティ対策で求められる内容とは

11. （C） Gunosy Inc. All Rights Reserved. PAGE | ホスト・基盤 11

    Gunosyのデプロイパイプラインの一例 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ CircleCI GitHub Actions ECR （Private Registry） Argo CD Docker Hub EKS ECS EC2 Fargate

12. （C） Gunosy Inc. All Rights Reserved. パイプラインのどこでセキュリティ対策を 実施する必要があるか？

13. （C） Gunosy Inc. All Rights Reserved. パイプラインの全ての段階で 対策が必要です！

14. （C） Gunosy Inc. All Rights Reserved. PAGE | ホスト・基盤 14

    コンテナセキュリティ対策で求められる内容 オーケスト レーター レジストリ CI/CD 開発 開発者 開発者の手元でスキャ ン （コード、OSS、ライセ ンス、Dockerfile、マ ニュフェスト）

15. （C） Gunosy Inc. All Rights Reserved. PAGE | ホスト・基盤 15

    コンテナセキュリティ対策で求められる内容 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ PR作成時に差分スキャ ン （コード、OSS、ライセン ス、Dockerfile） 定期的自動的にスキャ ン （コード、OSS、ライセン ス、Dockerfile）

16. （C） Gunosy Inc. All Rights Reserved. PAGE | ホスト・基盤 16

    コンテナセキュリティ対策で求められる内容 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ CircleCI GitHub Actions Argo CD ビルドした成果物をス キャン （コード、OSS、ライセン ス、Dockerfile、マニュ フェスト）

17. （C） Gunosy Inc. All Rights Reserved. PAGE | ホスト・基盤 17

    コンテナセキュリティ対策で求められる内容 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ CircleCI GitHub Actions ECR （Private Registry） Argo CD Docker Hub 定期的自動的にスキャ ン （コード、OSS、ライセン ス、Dockerfile）

18. （C） Gunosy Inc. All Rights Reserved. PAGE | ホスト・基盤 18

    コンテナセキュリティ対策で求められる内容 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ CircleCI GitHub Actions ECR （Private Registry） Argo CD Docker Hub EKS ECS マニュフェストを スキャン 使用Imageをス キャン

19. （C） Gunosy Inc. All Rights Reserved. PAGE | ホスト・基盤 19

    コンテナセキュリティ対策で求められる内容 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ CircleCI GitHub Actions ECR （Private Registry） Argo CD Docker Hub EKS ECS EC2 Fargate ワークロード保護 ランタイム保護

20. （C） Gunosy Inc. All Rights Reserved. ツールを導入して自動化しないと 定常的な運用は無理！

21. （C） Gunosy Inc. All Rights Reserved. ツール（Snyk）を導入することでできること

22. （C） Gunosy Inc. All Rights Reserved. PAGE | 22 Snykとは

    PR

23. （C） Gunosy Inc. All Rights Reserved. PAGE | 23 Snykとは

    PR

24. （C） Gunosy Inc. All Rights Reserved. PAGE | 24 ツール（Snyk）を導入することでカバーできる範囲

    開発 GitHub CI/CD コンテナレジ ストリ オーケスト レーター ホスト・基盤 パイプライン で求められる 内容 開発者の手 元でスキャ ン PR作成時に 差分スキャ ン 定期的自動 的にスキャ ン ビルドした成 果物をス キャン 定期的自動 的にスキャ ン マニュフェス トをスキャン 使用Image をスキャン ワークロード 保護 ランタイム保 護 AWSサービ スで対応でき ること Snykで対応 できること GuardDuty Inspector Amazon CodeWhisperer 一部対応 Imageス キャン PR

25. （C） Gunosy Inc. All Rights Reserved. PAGE | 25 ツール（Snyk）を導入することでカバーできる範囲

    開発 GitHub CI/CD コンテナレジ ストリ オーケスト レーター ホスト・基盤 パイプライン で求められる 内容 開発者の手 元でスキャ ン PR作成時に 差分スキャ ン 定期的自動 的にスキャ ン ビルドした成 果物をス キャン 定期的自動 的にスキャ ン マニュフェス トをスキャン 使用Image をスキャン ワークロード 保護 ランタイム保 護 AWSサービ スで対応でき ること Snykで対応 できること GuardDuty Inspector Amazon CodeWhisperer 一部対応 Imageス キャン PR Snykを導入することでほぼほぼカバーできる

26. （C） Gunosy Inc. All Rights Reserved. ここまで5分が目安

27. （C） Gunosy Inc. All Rights Reserved. でも導入するだけでは運用はまわりません

28. （C） Gunosy Inc. All Rights Reserved. PAGE | 28 運用フローでSnykでカバーできる範囲

    [定期･自動] スキャン DBとの照合 ダッシュボードで 確認 or 通知で確認 トリアージ 脆弱性対応 無影響確認 ・テスト デプロイ 網羅的なス キャン 強力な修正 Suggest 一覧で確認しや すいダッシュ ボード PR

29. （C） Gunosy Inc. All Rights Reserved. 導入後に運用を開始するために必要なこと （導入するだけではできないこと）

30. （C） Gunosy Inc. All Rights Reserved. PAGE | 30 初期導入時の大量の脆弱性への対応

    ▪ 初期導入時に大量に検出されるはずの既存の脆弱性への対応が 大変 – 優先順位を付けて順次対応していく必要がある （これは初期導入後の運用時も必要） • internet-facing / internal（攻撃面） • 攻撃コードの公開有無 • 脆弱性の重大度 • 攻撃された際の業務影響 引用　米カーネギーメロン大学ソフトウェア工学研究所公開のオリジナル論文より https://resources.sei.cmu.edu/asset_files/WhitePaper/2021_019_001_653461.pdf


31. （C） Gunosy Inc. All Rights Reserved. PAGE | 31 初期導入時の大量の脆弱性への対応

    ▪ 初期導入時に大量に検出されるはずの既存の脆弱性への対応が 大変 – 優先順位を付けて順次対応していく必要がある （これは初期導入後の運用時も必要） • internet-facing / internal • 攻撃コードの公開有無 • 脆弱性の重大度 • 攻撃された際の業務影響 ▪ なぜ必要なのか？ – 全部対応してくださいだと拒絶が先に来てしまう • 優先順位をつけて対応していくことで、開発チーム側の理 解を得やすい

32. （C） Gunosy Inc. All Rights Reserved. PAGE | 32 脆弱性への対応の追跡（チケット管理）

    ▪ 導入後の脆弱性消し込み段階ではリポジトリ・Image単位でJIRAチケットを起票 する – Snykの機能でサポートされているのは脆弱性単位のJIRAチケット起票

33. （C） Gunosy Inc. All Rights Reserved. PAGE | 33 脆弱性への対応の追跡（チケット管理）

    ▪ 導入後の脆弱性消し込み段階ではリポジトリ・Image単位でJIRAチケットを起票 する – Snykの機能でサポートされているのは脆弱性単位のJIRAチケット起票 ▪ Why – 初期導入時の脆弱性消し込み段階だと、脆弱性単位だと大量にJIRAチケッ トが発生する • 開発チームの拒絶反応に直結してしまう

34. （C） Gunosy Inc. All Rights Reserved. PAGE | 34 脆弱性への対応の追跡（チケット管理）

    ▪ 導入後の脆弱性消し込み段階ではリポジトリ・Image単位でJIRAチ ケットを起票する – Snykの機能でサポートされているのは脆弱性単位のJIRAチ ケット起票 ▪ Why – 初期導入時の脆弱性消し込み段階だと、脆弱性単位だと大量 にJIRAチケットが発生する – 開発チームの拒絶反応に直結してしまう ▪ 脆弱性が消し込み終わった段階で、脆弱性単位のJIRAチケット起 票に切り替える （まだできてません）

35. （C） Gunosy Inc. All Rights Reserved. まとめ

36. （C） Gunosy Inc. All Rights Reserved. PAGE | 36 まとめ

    ▪ セキュリティ対応ツールに期待しすぎない – 脆弱性を減らすのは結局はマンパワーと事前調整が必要です ▪ セキュリティ対応ツールを導入すると結構なところまではツールがやってくれます – うまくツールとサポートを使いましょう ▪ テストの自動化、いい感じのCI/CD等の開発の足回りの強化は脆弱性対応にも 効きます – 普段から整備しておきましょう

37. （C） Gunosy Inc. All Rights Reserved. Appendix

38. （C） Gunosy Inc. All Rights Reserved. PAGE | 38 Snykを導入することの効果①

    ▪ ダッシュボードで脆弱性の一覧表示が できる – Severity毎の件数 • リポジトリ単位 • パッケージマネージャ単位 – CVE単位での検索 PR

39. （C） Gunosy Inc. All Rights Reserved. PAGE | 39 Snykを導入することの効果②

    ▪ 脆弱性の修正方法のSuggest – Base Imageを更新したらどれくら い脆弱性が減るか – 脆弱性の修正方法 PR イチオシ機能

40. （C） Gunosy Inc. All Rights Reserved. PAGE | 40 Snykを導入することの効果③

    ▪ 脆弱性の修正PRが出せる – 手動でPRが出せる – AutoFixでPRも出せる PR

41. 情報を世界中の人に最適に届ける