SlideShare a Scribd company logo

脆弱性管理の自動化への取り組み

Takuya Tezuka
Takuya Tezuka

Infra Study 2nd #4 LT 脆弱性管理の自動化への取り組み https://forkwell.connpass.com/event/219136/

Internet
1 of 16
Download to read offline
株式会社スリーシェイク 脆弱性管理の自動化 への取り組み
Copyrights©3-shake Inc. All Rights Reserved. 2 自己紹介 自治体やデータベースマーケティング会社でのインフラ設計 /構築 /運用を主に経験し、2018 年 10 月に 3-Shake に Join。 3-Shake Join 後は Google Cloud / AWS / kubernetes / ServiceMesh など様々な技術的アプローチを駆使し、 大手からベンチャー等規模を問わず様々な組織に対して SREの コンサルティングや実践を行っている。 趣味はボクシング観戦 ※ 日曜日の昼間は一人で WOWOW 見ながら一人で熱狂してます ... 手塚 卓也
Copyrights©3-shake Inc. All Rights Reserved. 3 いきなり宣伝ですが.... 9/9 出ます 近々、第三回やります
Copyrights©3-shake Inc. All Rights Reserved. 4 About 3-Shake SRE 支援 / 技術支援 サービス Sreake セキュリティ脆弱性診断 サービス Sreake Security クラウド型 ETL / データ パ イプライン サービス Reckoner ハイスキル フリーランス紹 介サービス Relance Reckoner はクラウド型ETL / データパイプラインサービスで す。 データベース・ストレージ・アプリ ケーションなど、あらゆるデータを 統合・連携することで、データを活 用したビジネス変革に貢献しま す。 Sreake Security は経験豊富な セキュリティ専門家が貴社の課題 に合わせたセキュリティ対策を支 援するサービスです。 Sreake は金融・医療・動画配信 ・AI・ゲームなど技術力が求めら れる領域で豊富な経験を持つ SRE が集まったチームによる 技 術支援サービスです。戦略策定 から設計・構築・運用、 SaaS 提供 まで、幅広い領域をサポートしま す。 Relance は、プロの現役エンジニ ア集団が最適なエンジニアを紹介 するフリーランスエンジニア紹介 サービスです。 技術支援や、 1on1 での定期フォ ローなど、参画後も高いパフォー マンスを維持し続けられる体制 を 提供しています。
Copyrights©3-shake Inc. All Rights Reserved. 5 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性に合わ せた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサイン等 をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題
Copyrights©3-shake Inc. All Rights Reserved. 6 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性に合わ せた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサイン等 をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 システム数が増えたり規模が大きくなるにつれて 管理がキツくなってくるので、「自動化」しよう
Copyrights©3-shake Inc. All Rights Reserved. 7 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR レジストリ上のImageを定期的 にScan
Copyrights©3-shake Inc. All Rights Reserved. 8 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール 1. Trivyにて、リポジトリ上の Containerの脆弱性スキャンを定 期的に実施。 2. スキャン結果をGCSへ転送 AWS ECR レジストリ上のImageを定期的 にScan
Copyrights©3-shake Inc. All Rights Reserved. 9 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR 脆弱性レポートにメタデータ(テナント情報等)を 付与して、BigQueryに連携 レジストリ上のImageを定期的 にScan
Copyrights©3-shake Inc. All Rights Reserved. 10 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR BQに蓄積されたデータを Lookerで可視化。 対応状況を把握しやすくする。 レジストリ上のImageを定期的 にScan
Copyrights©3-shake Inc. All Rights Reserved. 11 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR BQのデータを元にチケット管理を行う。 対応の実施有無をJIRA上で管理するため抜け もれなく対応が可能。 レジストリ上のImageを定期的 にScan
Copyrights©3-shake Inc. All Rights Reserved. 12 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性 に合わせた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサ イン等をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 「CVSSの再計算」と「Severity」の評価をCloud Functions で自動実行 → プログラム上で完結させる事で Toil 削減 BQのデータをもとにチケット管理ツールに対して 自動でチケット作成 → 各サービス担当者へ自動アサインが可能に。 BI ツールで脆弱性の状況を視覚化 → 過去に同様の脆弱性を分析していないかを素早く 検索可能に。
Copyrights©3-shake Inc. All Rights Reserved. 13 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性 に合わせた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサ イン等をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 「CVSSの再計算」と「Severity」の評価をCloud Functions で自動実行 → プログラム上で完結させる事で Toil 削減 BQのデータをもとにチケット管理ツールに対して 自動でチケット作成 → 各サービス担当者へ自動アサインが可能に。 BI ツールで脆弱性の状況を視覚化 → 過去に同様の脆弱性を分析していないかを素早く 検索可能に。 システム数が増えたり規模が大きくなるにつれて難しくなる脆弱性の管理を 「自動化」や「可視化」を通じて容易に管理可能に ※ ただし、開発は愛を込めた
Copyrights©3-shake Inc. All Rights Reserved. 14 一緒に働きませんか?
時に、西暦2021年9月1日
 シン・セキュリティ
 サービス発表


Recommended

今だから!Amazon CloudFront 徹底活用
今だから!Amazon CloudFront 徹底活用今だから!Amazon CloudFront 徹底活用
今だから!Amazon CloudFront 徹底活用Yasuhiro Araki, Ph.D
 
エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩Takuya Tezuka
 
はじめての datadog
はじめての datadogはじめての datadog
はじめての datadogNaoya Nakazawa
 
マイクロサービスバックエンドAPIのためのRESTとgRPC
マイクロサービスバックエンドAPIのためのRESTとgRPCマイクロサービスバックエンドAPIのためのRESTとgRPC
マイクロサービスバックエンドAPIのためのRESTとgRPCdisc99_
 
Kubernetes ControllerをScale-Outさせる方法 / Kubernetes Meetup Tokyo #55
Kubernetes ControllerをScale-Outさせる方法 / Kubernetes Meetup Tokyo #55Kubernetes ControllerをScale-Outさせる方法 / Kubernetes Meetup Tokyo #55
Kubernetes ControllerをScale-Outさせる方法 / Kubernetes Meetup Tokyo #55Preferred Networks
 
AWS Black Belt Online Seminar 2018 AWS上の位置情報
AWS Black Belt Online Seminar 2018 AWS上の位置情報AWS Black Belt Online Seminar 2018 AWS上の位置情報
AWS Black Belt Online Seminar 2018 AWS上の位置情報Amazon Web Services Japan
 
AWSではじめるDNSSEC
AWSではじめるDNSSECAWSではじめるDNSSEC
AWSではじめるDNSSECTomohiro Nakashima
 
Azure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep DiveAzure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep DiveYoshimasa Katakura
 

Recommended

今だから!Amazon CloudFront 徹底活用
今だから!Amazon CloudFront 徹底活用今だから!Amazon CloudFront 徹底活用
今だから!Amazon CloudFront 徹底活用Yasuhiro Araki, Ph.D
 
エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩Takuya Tezuka
 
はじめての datadog
はじめての datadogはじめての datadog
はじめての datadogNaoya Nakazawa
 
マイクロサービスバックエンドAPIのためのRESTとgRPC
マイクロサービスバックエンドAPIのためのRESTとgRPCマイクロサービスバックエンドAPIのためのRESTとgRPC
マイクロサービスバックエンドAPIのためのRESTとgRPCdisc99_
 
Kubernetes ControllerをScale-Outさせる方法 / Kubernetes Meetup Tokyo #55
Kubernetes ControllerをScale-Outさせる方法 / Kubernetes Meetup Tokyo #55Kubernetes ControllerをScale-Outさせる方法 / Kubernetes Meetup Tokyo #55
Kubernetes ControllerをScale-Outさせる方法 / Kubernetes Meetup Tokyo #55Preferred Networks
 
AWS Black Belt Online Seminar 2018 AWS上の位置情報
AWS Black Belt Online Seminar 2018 AWS上の位置情報AWS Black Belt Online Seminar 2018 AWS上の位置情報
AWS Black Belt Online Seminar 2018 AWS上の位置情報Amazon Web Services Japan
 
AWSではじめるDNSSEC
AWSではじめるDNSSECAWSではじめるDNSSEC
AWSではじめるDNSSECTomohiro Nakashima
 
Azure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep DiveAzure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep DiveYoshimasa Katakura
 
比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)gree_tech
 
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...Preferred Networks
 
半日でわかる コンテナー技術 (入門編)
半日でわかる コンテナー技術 (入門編)半日でわかる コンテナー技術 (入門編)
半日でわかる コンテナー技術 (入門編)Toru Makabe
 
20191125 Container Security
20191125 Container Security20191125 Container Security
20191125 Container SecurityAmazon Web Services Japan
 
20200804 AWS Black Belt Online Seminar Amazon CodeGuru
20200804 AWS Black Belt Online Seminar Amazon CodeGuru20200804 AWS Black Belt Online Seminar Amazon CodeGuru
20200804 AWS Black Belt Online Seminar Amazon CodeGuruAmazon Web Services Japan
 
さいきんのMySQLに関する取り組み(仮)
さいきんのMySQLに関する取り組み(仮)さいきんのMySQLに関する取り組み(仮)
さいきんのMySQLに関する取り組み(仮)Takanori Sejima
 
REST API のコツ
REST API のコツREST API のコツ
REST API のコツpospome
 
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced SessionAmazon Web Services Japan
 
とある脆弱性の永い議論
とある脆弱性の永い議論とある脆弱性の永い議論
とある脆弱性の永い議論Mtikutea
 
Proxy War
Proxy WarProxy War
Proxy Warzaki4649
 
AWSのセキュリティについて
AWSのセキュリティについてAWSのセキュリティについて
AWSのセキュリティについてYasuhiro Horiuchi
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 zaki4649
 
リクルートのWebサービスを支える共通インフラ「RAFTEL」
リクルートのWebサービスを支える共通インフラ「RAFTEL」リクルートのWebサービスを支える共通インフラ「RAFTEL」
リクルートのWebサービスを支える共通インフラ「RAFTEL」Recruit Technologies
 
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみようSolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみようShinsuke Sugaya
 
Fargate起動歴1日の男が語る運用の勘どころ
Fargate起動歴1日の男が語る運用の勘どころFargate起動歴1日の男が語る運用の勘どころ
Fargate起動歴1日の男が語る運用の勘どころYuto Komai
 
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信Amazon Web Services Japan
 
Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築伊藤 祐策
 
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatchAmazon Web Services Japan
 
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile Analytics
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile AnalyticsAWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile Analytics
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile AnalyticsAmazon Web Services Japan
 
Re: ゼロから始める監視設計
Re: ゼロから始める監視設計Re: ゼロから始める監視設計
Re: ゼロから始める監視設計Masahito Zembutsu
 
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)法林浩之
 
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018cyberagent
 

More Related Content

What's hot

比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)gree_tech
 
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...Preferred Networks
 
半日でわかる コンテナー技術 (入門編)
半日でわかる コンテナー技術 (入門編)半日でわかる コンテナー技術 (入門編)
半日でわかる コンテナー技術 (入門編)Toru Makabe
 
20200804 AWS Black Belt Online Seminar Amazon CodeGuru
20200804 AWS Black Belt Online Seminar Amazon CodeGuru20200804 AWS Black Belt Online Seminar Amazon CodeGuru
20200804 AWS Black Belt Online Seminar Amazon CodeGuruAmazon Web Services Japan
 
さいきんのMySQLに関する取り組み(仮)
さいきんのMySQLに関する取り組み(仮)さいきんのMySQLに関する取り組み(仮)
さいきんのMySQLに関する取り組み(仮)Takanori Sejima
 
REST API のコツ
REST API のコツREST API のコツ
REST API のコツpospome
 
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced SessionAmazon Web Services Japan
 
とある脆弱性の永い議論
とある脆弱性の永い議論とある脆弱性の永い議論
とある脆弱性の永い議論Mtikutea
 
AWSのセキュリティについて
AWSのセキュリティについてAWSのセキュリティについて
AWSのセキュリティについてYasuhiro Horiuchi
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 zaki4649
 
リクルートのWebサービスを支える共通インフラ「RAFTEL」
リクルートのWebサービスを支える共通インフラ「RAFTEL」リクルートのWebサービスを支える共通インフラ「RAFTEL」
リクルートのWebサービスを支える共通インフラ「RAFTEL」Recruit Technologies
 
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみようSolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみようShinsuke Sugaya
 
Fargate起動歴1日の男が語る運用の勘どころ
Fargate起動歴1日の男が語る運用の勘どころFargate起動歴1日の男が語る運用の勘どころ
Fargate起動歴1日の男が語る運用の勘どころYuto Komai
 
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信Amazon Web Services Japan
 
Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築伊藤 祐策
 
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatchAmazon Web Services Japan
 
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile Analytics
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile AnalyticsAWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile Analytics
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile AnalyticsAmazon Web Services Japan
 
Re: ゼロから始める監視設計
Re: ゼロから始める監視設計Re: ゼロから始める監視設計
Re: ゼロから始める監視設計Masahito Zembutsu
 

What's hot (20)

比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)
 
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...
 
半日でわかる コンテナー技術 (入門編)
半日でわかる コンテナー技術 (入門編)半日でわかる コンテナー技術 (入門編)
半日でわかる コンテナー技術 (入門編)
 
20191125 Container Security
20191125 Container Security20191125 Container Security
20191125 Container Security
 
20200804 AWS Black Belt Online Seminar Amazon CodeGuru
20200804 AWS Black Belt Online Seminar Amazon CodeGuru20200804 AWS Black Belt Online Seminar Amazon CodeGuru
20200804 AWS Black Belt Online Seminar Amazon CodeGuru
 
さいきんのMySQLに関する取り組み(仮)
さいきんのMySQLに関する取り組み(仮)さいきんのMySQLに関する取り組み(仮)
さいきんのMySQLに関する取り組み(仮)
 
REST API のコツ
REST API のコツREST API のコツ
REST API のコツ
 
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session
 
とある脆弱性の永い議論
とある脆弱性の永い議論とある脆弱性の永い議論
とある脆弱性の永い議論
 
Proxy War
Proxy WarProxy War
Proxy War
 
AWSのセキュリティについて
AWSのセキュリティについてAWSのセキュリティについて
AWSのセキュリティについて
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
 
リクルートのWebサービスを支える共通インフラ「RAFTEL」
リクルートのWebサービスを支える共通インフラ「RAFTEL」リクルートのWebサービスを支える共通インフラ「RAFTEL」
リクルートのWebサービスを支える共通インフラ「RAFTEL」
 
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみようSolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみよう
 
Fargate起動歴1日の男が語る運用の勘どころ
Fargate起動歴1日の男が語る運用の勘どころFargate起動歴1日の男が語る運用の勘どころ
Fargate起動歴1日の男が語る運用の勘どころ
 
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信
 
Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築
 
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
 
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile Analytics
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile AnalyticsAWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile Analytics
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile Analytics
 
Re: ゼロから始める監視設計
Re: ゼロから始める監視設計Re: ゼロから始める監視設計
Re: ゼロから始める監視設計
 

Similar to 脆弱性管理の自動化への取り組み

さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)法林浩之
 
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018cyberagent
 
クラウド運用3足の草鞋151102
クラウド運用3足の草鞋151102クラウド運用3足の草鞋151102
クラウド運用3足の草鞋151102Keiichi Hashimoto
 
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-貴志 上坂
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:schoowebcampus
 
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知するAzure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知するKenjiroHirata
 
私が考える泥くさいMsp
私が考える泥くさいMsp私が考える泥くさいMsp
私が考える泥くさいMspKazumi Hirose
 
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
エンタープライズ向けクラウドサービスにおける ID 連携の有用性エンタープライズ向けクラウドサービスにおける ID 連携の有用性
エンタープライズ向けクラウドサービスにおける ID 連携の有用性Koji Asaga
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxmkoda
 
Azure Machine Learningを触ってみた!
Azure Machine Learningを触ってみた!Azure Machine Learningを触ってみた!
Azure Machine Learningを触ってみた!Takuya Tachibana
 
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門雄哉 吉田
 
eVar7 = s.t(art) ; Kick-Off
eVar7 = s.t(art) ; Kick-OffeVar7 = s.t(art) ; Kick-Off
eVar7 = s.t(art) ; Kick-OffMakoto Shimizu
 
Cloud native strategy ver1.1
Cloud native strategy ver1.1Cloud native strategy ver1.1
Cloud native strategy ver1.1TomohiroDoi
 
ユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話しユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話しHideaki Tarumi
 
SSH応用編_20231129.pdf
SSH応用編_20231129.pdfSSH応用編_20231129.pdf
SSH応用編_20231129.pdficebreaker4
 
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~ta2bana
 
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...Insight Technology, Inc.
 
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方法林浩之
 
RDBとNoSQLの上手な付き合い方(勉強会@LIG 2013/11/11)
RDBとNoSQLの上手な付き合い方(勉強会@LIG 2013/11/11)RDBとNoSQLの上手な付き合い方(勉強会@LIG 2013/11/11)
RDBとNoSQLの上手な付き合い方(勉強会@LIG 2013/11/11)Yuji Otani
 

Similar to 脆弱性管理の自動化への取り組み (20)

さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
 
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
 
クラウド運用3足の草鞋151102
クラウド運用3足の草鞋151102クラウド運用3足の草鞋151102
クラウド運用3足の草鞋151102
 
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
 
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知するAzure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
 
20201029 hirata
20201029 hirata20201029 hirata
20201029 hirata
 
私が考える泥くさいMsp
私が考える泥くさいMsp私が考える泥くさいMsp
私が考える泥くさいMsp
 
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
エンタープライズ向けクラウドサービスにおける ID 連携の有用性エンタープライズ向けクラウドサービスにおける ID 連携の有用性
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
 
Azure Machine Learningを触ってみた!
Azure Machine Learningを触ってみた!Azure Machine Learningを触ってみた!
Azure Machine Learningを触ってみた!
 
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
 
eVar7 = s.t(art) ; Kick-Off
eVar7 = s.t(art) ; Kick-OffeVar7 = s.t(art) ; Kick-Off
eVar7 = s.t(art) ; Kick-Off
 
Cloud native strategy ver1.1
Cloud native strategy ver1.1Cloud native strategy ver1.1
Cloud native strategy ver1.1
 
ユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話しユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話し
 
SSH応用編_20231129.pdf
SSH応用編_20231129.pdfSSH応用編_20231129.pdf
SSH応用編_20231129.pdf
 
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
 
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
 
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
 
RDBとNoSQLの上手な付き合い方(勉強会@LIG 2013/11/11)
RDBとNoSQLの上手な付き合い方(勉強会@LIG 2013/11/11)RDBとNoSQLの上手な付き合い方(勉強会@LIG 2013/11/11)
RDBとNoSQLの上手な付き合い方(勉強会@LIG 2013/11/11)
 

脆弱性管理の自動化への取り組み

  • 2. Copyrights©3-shake Inc. All Rights Reserved. 2 自己紹介 自治体やデータベースマーケティング会社でのインフラ設計 /構築 /運用を主に経験し、2018 年 10 月に 3-Shake に Join。 3-Shake Join 後は Google Cloud / AWS / kubernetes / ServiceMesh など様々な技術的アプローチを駆使し、 大手からベンチャー等規模を問わず様々な組織に対して SREの コンサルティングや実践を行っている。 趣味はボクシング観戦 ※ 日曜日の昼間は一人で WOWOW 見ながら一人で熱狂してます ... 手塚 卓也
  • 3. Copyrights©3-shake Inc. All Rights Reserved. 3 いきなり宣伝ですが.... 9/9 出ます 近々、第三回やります
  • 4. Copyrights©3-shake Inc. All Rights Reserved. 4 About 3-Shake SRE 支援 / 技術支援 サービス Sreake セキュリティ脆弱性診断 サービス Sreake Security クラウド型 ETL / データ パ イプライン サービス Reckoner ハイスキル フリーランス紹 介サービス Relance Reckoner はクラウド型ETL / データパイプラインサービスで す。 データベース・ストレージ・アプリ ケーションなど、あらゆるデータを 統合・連携することで、データを活 用したビジネス変革に貢献しま す。 Sreake Security は経験豊富な セキュリティ専門家が貴社の課題 に合わせたセキュリティ対策を支 援するサービスです。 Sreake は金融・医療・動画配信 ・AI・ゲームなど技術力が求めら れる領域で豊富な経験を持つ SRE が集まったチームによる 技 術支援サービスです。戦略策定 から設計・構築・運用、 SaaS 提供 まで、幅広い領域をサポートしま す。 Relance は、プロの現役エンジニ ア集団が最適なエンジニアを紹介 するフリーランスエンジニア紹介 サービスです。 技術支援や、 1on1 での定期フォ ローなど、参画後も高いパフォー マンスを維持し続けられる体制 を 提供しています。
  • 5. Copyrights©3-shake Inc. All Rights Reserved. 5 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性に合わ せた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサイン等 をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題
  • 6. Copyrights©3-shake Inc. All Rights Reserved. 6 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性に合わ せた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサイン等 をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 システム数が増えたり規模が大きくなるにつれて 管理がキツくなってくるので、「自動化」しよう
  • 7. Copyrights©3-shake Inc. All Rights Reserved. 7 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR レジストリ上のImageを定期的 にScan
  • 8. Copyrights©3-shake Inc. All Rights Reserved. 8 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール 1. Trivyにて、リポジトリ上の Containerの脆弱性スキャンを定 期的に実施。 2. スキャン結果をGCSへ転送 AWS ECR レジストリ上のImageを定期的 にScan
  • 9. Copyrights©3-shake Inc. All Rights Reserved. 9 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR 脆弱性レポートにメタデータ(テナント情報等)を 付与して、BigQueryに連携 レジストリ上のImageを定期的 にScan
  • 10. Copyrights©3-shake Inc. All Rights Reserved. 10 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR BQに蓄積されたデータを Lookerで可視化。 対応状況を把握しやすくする。 レジストリ上のImageを定期的 にScan
  • 11. Copyrights©3-shake Inc. All Rights Reserved. 11 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR BQのデータを元にチケット管理を行う。 対応の実施有無をJIRA上で管理するため抜け もれなく対応が可能。 レジストリ上のImageを定期的 にScan
  • 12. Copyrights©3-shake Inc. All Rights Reserved. 12 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性 に合わせた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサ イン等をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 「CVSSの再計算」と「Severity」の評価をCloud Functions で自動実行 → プログラム上で完結させる事で Toil 削減 BQのデータをもとにチケット管理ツールに対して 自動でチケット作成 → 各サービス担当者へ自動アサインが可能に。 BI ツールで脆弱性の状況を視覚化 → 過去に同様の脆弱性を分析していないかを素早く 検索可能に。
  • 13. Copyrights©3-shake Inc. All Rights Reserved. 13 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性 に合わせた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサ イン等をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 「CVSSの再計算」と「Severity」の評価をCloud Functions で自動実行 → プログラム上で完結させる事で Toil 削減 BQのデータをもとにチケット管理ツールに対して 自動でチケット作成 → 各サービス担当者へ自動アサインが可能に。 BI ツールで脆弱性の状況を視覚化 → 過去に同様の脆弱性を分析していないかを素早く 検索可能に。 システム数が増えたり規模が大きくなるにつれて難しくなる脆弱性の管理を 「自動化」や「可視化」を通じて容易に管理可能に ※ ただし、開発は愛を込めた
  • 14. Copyrights©3-shake Inc. All Rights Reserved. 14 一緒に働きませんか?
  • 15.