Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS-UG コンテナ支部 × JAWS-UG 千葉支部 #1 コンテナセキュリティ対応でSnykを導入中に 発生した・発生中のいろんなこと

JAWS-UG コンテナ支部 × JAWS-UG 千葉支部 #1 コンテナセキュリティ対応でSnykを導入中に 発生した・発生中のいろんなこと

JAWS-UG コンテナ支部 × JAWS-UG 千葉支部 #1 での発表資料です
Snykを使ったセキュリティ対策(コンテナ、コード周り)運用の導入中に発生したこと感じたこと、現時点の課題感を生々しく語ります

Takashi Yamaguchi

October 16, 2023
Tweet

More Decks by Takashi Yamaguchi

Other Decks in Technology

Transcript

  1. 株式会社 Gunosy
    テクノロジー本部 プロダクト開発部 SREチーム マネージャー
    山口 隆史
    2023年10月16日(月)
    コンテナセキュリティ対応でSnykを導入中に
    発生した・発生中のいろんなこと

    View full-size slide

  2. (C) Gunosy Inc. All Rights Reserved. PAGE | 2
    エレベーターピッチ
    [コンテナセキュリティに興味がある人]、
    [コンテナセキュリティをこれから始めたい人]向けに発表する
    [コンテナセキュリティ対応でSnykを導入中に発生した・発生中のいろんな
    こと]は
    [現場の泥臭い話]です
    これは[大きくない開発組織でのセキュリティ対応の現場での実践に基づい
    て構成しているため、現実感]があり
    これまでの成功事例やベンダーのセールス資料とは違って
    [ツールの限界と、ツールを導入してから定常運用に至るまでの活動に焦
    点をあてている]

    View full-size slide

  3. (C) Gunosy Inc. All Rights Reserved. PAGE | 3
    LT終了後に狙う状態
    論理面
    - セキュリティ対策を現場に適用して、理想的な運用状態になるまでに発生
    する・した課題が理解できる
    - セキュリティツールを導入したら解決できる問題、解決できない問題が理解
    できる
    感情面
    - セキュリティ対策に興味を持ってやってみようと思える

    View full-size slide

  4. (C) Gunosy Inc. All Rights Reserved. PAGE | 4
    注意事項
    ■ ステルスマーケティング規制対応(2023年10月1日〜)
    – Snykさんの宣伝と受け取られそうなところにPRマークをつけています
    ※注意
    – Snykさんからは金銭もしくはその他の経済利益の提供はいただいていませ

    – Tシャツはいただきました
    ● 発表するんですよ〜って伝えたら、「これ着て発表して!」ってことでいた
    だきました
    PR

    View full-size slide

  5. (C) Gunosy Inc. All Rights Reserved.
    本題に入る前に自己紹介

    View full-size slide

  6. (C) Gunosy Inc. All Rights Reserved. PAGE | 6
    自己紹介
    氏名:山口隆史(やまぐちたかし)
    所属:株式会社Gunosy
    テクノロジー本部 プロダクト開発部 SREチーム マネージャー
    業務:Pure SREとしての活動
    略歴:フリーランス、SIer等を渡り歩く→現職(2022/01〜)
    自称:Security Hub芸人
    好きなAWSサービス:Security Hub、CloudShell、サポート
    他:AWS Community Builder(Security & Identity)、JAWS-UG千葉支部運営
    第022587号

    View full-size slide

  7. (C) Gunosy Inc. All Rights Reserved. PAGE | 7
    株式会社Gunosy
    ギリシャ語で「知識」を意味する「Gnosis(グノーシス)」+「u(“you”)」
    「”Gnosis” for “you”」あなたのための知識
     =情報を届けるサービスを提供し続ける、という意味
    ■ 2012年11月創業
    ■ 2015年4月東証マザーズ上場
    ■ 2017年12月東証第一部に市場変更
    ■ 2022年4月東京証券取引所の市場一部からプライム市場に移行
    ■ 従業員数 252名
    (2023年5月末現在 連結ベース)
    ■ 事業内容
    – 情報キュレーションサービスその他メディアの開発及び運営
    ■ 提供サービス
     グノシー、ニュースパス、 auサービスToday、YOU IN
    企業理念「情報を世界中の人に最適に届ける」

    View full-size slide

  8. (C) Gunosy Inc. All Rights Reserved.
    ここから本題

    View full-size slide

  9. (C) Gunosy Inc. All Rights Reserved. PAGE | 9
    アジェンダ
    話すこと
    ● コンテナセキュリティ対策で求められる内容とは
    ● ツール(Snyk)を導入することでできること
    ● 導入後に運用を開始するために必要なこと
    (導入するだけではできないこと)
    ● まとめ

    View full-size slide

  10. (C) Gunosy Inc. All Rights Reserved.
    コンテナセキュリティ対策で求められる内容とは

    View full-size slide

  11. (C) Gunosy Inc. All Rights Reserved. PAGE |
    ホスト・基盤
    11
    Gunosyのデプロイパイプラインの一例
    オーケスト
    レーター
    レジストリ
    CI/CD
    開発
    開発者
    Gitリポジトリ
    CircleCI
    GitHub Actions
    ECR
    (Private Registry)
    Argo CD
    Docker Hub
    EKS
    ECS
    EC2
    Fargate

    View full-size slide

  12. (C) Gunosy Inc. All Rights Reserved.
    パイプラインのどこでセキュリティ対策を
    実施する必要があるか?

    View full-size slide

  13. (C) Gunosy Inc. All Rights Reserved.
    パイプラインの全ての段階で
    対策が必要です!

    View full-size slide

  14. (C) Gunosy Inc. All Rights Reserved. PAGE |
    ホスト・基盤
    14
    コンテナセキュリティ対策で求められる内容
    オーケスト
    レーター
    レジストリ
    CI/CD
    開発
    開発者
    開発者の手元でスキャ

    (コード、OSS、ライセ
    ンス、Dockerfile、マ
    ニュフェスト)

    View full-size slide

  15. (C) Gunosy Inc. All Rights Reserved. PAGE |
    ホスト・基盤
    15
    コンテナセキュリティ対策で求められる内容
    オーケスト
    レーター
    レジストリ
    CI/CD
    開発
    開発者
    Gitリポジトリ
    PR作成時に差分スキャ

    (コード、OSS、ライセン
    ス、Dockerfile)
    定期的自動的にスキャ

    (コード、OSS、ライセン
    ス、Dockerfile)

    View full-size slide

  16. (C) Gunosy Inc. All Rights Reserved. PAGE |
    ホスト・基盤
    16
    コンテナセキュリティ対策で求められる内容
    オーケスト
    レーター
    レジストリ
    CI/CD
    開発
    開発者
    Gitリポジトリ
    CircleCI
    GitHub Actions
    Argo CD
    ビルドした成果物をス
    キャン
    (コード、OSS、ライセン
    ス、Dockerfile、マニュ
    フェスト)

    View full-size slide

  17. (C) Gunosy Inc. All Rights Reserved. PAGE |
    ホスト・基盤
    17
    コンテナセキュリティ対策で求められる内容
    オーケスト
    レーター
    レジストリ
    CI/CD
    開発
    開発者
    Gitリポジトリ
    CircleCI
    GitHub Actions
    ECR
    (Private Registry)
    Argo CD
    Docker Hub
    定期的自動的にスキャ

    (コード、OSS、ライセン
    ス、Dockerfile)

    View full-size slide

  18. (C) Gunosy Inc. All Rights Reserved. PAGE |
    ホスト・基盤
    18
    コンテナセキュリティ対策で求められる内容
    オーケスト
    レーター
    レジストリ
    CI/CD
    開発
    開発者
    Gitリポジトリ
    CircleCI
    GitHub Actions
    ECR
    (Private Registry)
    Argo CD
    Docker Hub
    EKS
    ECS
    マニュフェストを
    スキャン
    使用Imageをス
    キャン

    View full-size slide

  19. (C) Gunosy Inc. All Rights Reserved. PAGE |
    ホスト・基盤
    19
    コンテナセキュリティ対策で求められる内容
    オーケスト
    レーター
    レジストリ
    CI/CD
    開発
    開発者
    Gitリポジトリ
    CircleCI
    GitHub Actions
    ECR
    (Private Registry)
    Argo CD
    Docker Hub
    EKS
    ECS
    EC2
    Fargate
    ワークロード保護
    ランタイム保護

    View full-size slide

  20. (C) Gunosy Inc. All Rights Reserved.
    ツールを導入して自動化しないと
    定常的な運用は無理!

    View full-size slide

  21. (C) Gunosy Inc. All Rights Reserved.
    ツール(Snyk)を導入することでできること

    View full-size slide

  22. (C) Gunosy Inc. All Rights Reserved. PAGE | 22
    Snykとは
    PR

    View full-size slide

  23. (C) Gunosy Inc. All Rights Reserved. PAGE | 23
    Snykとは
    PR

    View full-size slide

  24. (C) Gunosy Inc. All Rights Reserved. PAGE | 24
    ツール(Snyk)を導入することでカバーできる範囲
    開発 GitHub CI/CD
    コンテナレジ
    ストリ
    オーケスト
    レーター
    ホスト・基盤
    パイプライン
    で求められる
    内容
    開発者の手
    元でスキャ

    PR作成時に
    差分スキャ

    定期的自動
    的にスキャ

    ビルドした成
    果物をス
    キャン
    定期的自動
    的にスキャ

    マニュフェス
    トをスキャン
    使用Image
    をスキャン
    ワークロード
    保護
    ランタイム保

    AWSサービ
    スで対応でき
    ること
    Snykで対応
    できること
    GuardDuty
    Inspector
    Amazon CodeWhisperer
    一部対応
    Imageス
    キャン
    PR

    View full-size slide

  25. (C) Gunosy Inc. All Rights Reserved. PAGE | 25
    ツール(Snyk)を導入することでカバーできる範囲
    開発 GitHub CI/CD
    コンテナレジ
    ストリ
    オーケスト
    レーター
    ホスト・基盤
    パイプライン
    で求められる
    内容
    開発者の手
    元でスキャ

    PR作成時に
    差分スキャ

    定期的自動
    的にスキャ

    ビルドした成
    果物をス
    キャン
    定期的自動
    的にスキャ

    マニュフェス
    トをスキャン
    使用Image
    をスキャン
    ワークロード
    保護
    ランタイム保

    AWSサービ
    スで対応でき
    ること
    Snykで対応
    できること
    GuardDuty
    Inspector
    Amazon CodeWhisperer
    一部対応
    Imageス
    キャン
    PR
    Snykを導入することでほぼほぼカバーできる

    View full-size slide

  26. (C) Gunosy Inc. All Rights Reserved.
    ここまで5分が目安

    View full-size slide

  27. (C) Gunosy Inc. All Rights Reserved.
    でも導入するだけでは運用はまわりません

    View full-size slide

  28. (C) Gunosy Inc. All Rights Reserved. PAGE | 28
    運用フローでSnykでカバーできる範囲
    [定期・自動]
    スキャン
    DBとの照合
    ダッシュボードで
    確認
    or
    通知で確認
    トリアージ 脆弱性対応
    無影響確認
    ・テスト
    デプロイ
    網羅的なス
    キャン
    強力な修正
    Suggest
    一覧で確認しや
    すいダッシュ
    ボード
    PR

    View full-size slide

  29. (C) Gunosy Inc. All Rights Reserved.
    導入後に運用を開始するために必要なこと
    (導入するだけではできないこと)

    View full-size slide

  30. (C) Gunosy Inc. All Rights Reserved. PAGE | 30
    初期導入時の大量の脆弱性への対応
    ■ 初期導入時に大量に検出されるはずの既存の脆弱性への対応が
    大変
    – 優先順位を付けて順次対応していく必要がある
    (これは初期導入後の運用時も必要)
    ● internet-facing / internal(攻撃面)
    ● 攻撃コードの公開有無
    ● 脆弱性の重大度
    ● 攻撃された際の業務影響
    引用 米カーネギーメロン大学ソフトウェア工学研究所公開のオリジナル論文より
    https://resources.sei.cmu.edu/asset_files/WhitePaper/2021_019_001_653461.pdf


    View full-size slide

  31. (C) Gunosy Inc. All Rights Reserved. PAGE | 31
    初期導入時の大量の脆弱性への対応
    ■ 初期導入時に大量に検出されるはずの既存の脆弱性への対応が
    大変
    – 優先順位を付けて順次対応していく必要がある
    (これは初期導入後の運用時も必要)
    ● internet-facing / internal
    ● 攻撃コードの公開有無
    ● 脆弱性の重大度
    ● 攻撃された際の業務影響
    ■ なぜ必要なのか?
    – 全部対応してくださいだと拒絶が先に来てしまう
    ● 優先順位をつけて対応していくことで、開発チーム側の理
    解を得やすい

    View full-size slide

  32. (C) Gunosy Inc. All Rights Reserved. PAGE | 32
    脆弱性への対応の追跡(チケット管理)
    ■ 導入後の脆弱性消し込み段階ではリポジトリ・Image単位でJIRAチケットを起票
    する
    – Snykの機能でサポートされているのは脆弱性単位のJIRAチケット起票

    View full-size slide

  33. (C) Gunosy Inc. All Rights Reserved. PAGE | 33
    脆弱性への対応の追跡(チケット管理)
    ■ 導入後の脆弱性消し込み段階ではリポジトリ・Image単位でJIRAチケットを起票
    する
    – Snykの機能でサポートされているのは脆弱性単位のJIRAチケット起票
    ■ Why
    – 初期導入時の脆弱性消し込み段階だと、脆弱性単位だと大量にJIRAチケッ
    トが発生する
    ● 開発チームの拒絶反応に直結してしまう

    View full-size slide

  34. (C) Gunosy Inc. All Rights Reserved. PAGE | 34
    脆弱性への対応の追跡(チケット管理)
    ■ 導入後の脆弱性消し込み段階ではリポジトリ・Image単位でJIRAチ
    ケットを起票する
    – Snykの機能でサポートされているのは脆弱性単位のJIRAチ
    ケット起票
    ■ Why
    – 初期導入時の脆弱性消し込み段階だと、脆弱性単位だと大量
    にJIRAチケットが発生する
    – 開発チームの拒絶反応に直結してしまう
    ■ 脆弱性が消し込み終わった段階で、脆弱性単位のJIRAチケット起
    票に切り替える
    (まだできてません)

    View full-size slide

  35. (C) Gunosy Inc. All Rights Reserved.
    まとめ

    View full-size slide

  36. (C) Gunosy Inc. All Rights Reserved. PAGE | 36
    まとめ
    ■ セキュリティ対応ツールに期待しすぎない
    – 脆弱性を減らすのは結局はマンパワーと事前調整が必要です
    ■ セキュリティ対応ツールを導入すると結構なところまではツールがやってくれます
    – うまくツールとサポートを使いましょう
    ■ テストの自動化、いい感じのCI/CD等の開発の足回りの強化は脆弱性対応にも
    効きます
    – 普段から整備しておきましょう

    View full-size slide

  37. (C) Gunosy Inc. All Rights Reserved.
    Appendix

    View full-size slide

  38. (C) Gunosy Inc. All Rights Reserved. PAGE | 38
    Snykを導入することの効果①
    ■ ダッシュボードで脆弱性の一覧表示が
    できる
    – Severity毎の件数
    ● リポジトリ単位
    ● パッケージマネージャ単位
    – CVE単位での検索
    PR

    View full-size slide

  39. (C) Gunosy Inc. All Rights Reserved. PAGE | 39
    Snykを導入することの効果②
    ■ 脆弱性の修正方法のSuggest
    – Base Imageを更新したらどれくら
    い脆弱性が減るか
    – 脆弱性の修正方法
    PR
    イチオシ機能

    View full-size slide

  40. (C) Gunosy Inc. All Rights Reserved. PAGE | 40
    Snykを導入することの効果③
    ■ 脆弱性の修正PRが出せる
    – 手動でPRが出せる
    – AutoFixでPRも出せる
    PR

    View full-size slide

  41. 情報を世界中の人に最適に届ける

    View full-size slide