Submit Search
Upload
脆弱性管理の自動化への取り組み
•
0 likes
•
891 views
Takuya Tezuka
Follow
Infra Study 2nd #4 LT 脆弱性管理の自動化への取り組み https://forkwell.connpass.com/event/219136/
Read less
Read more
Internet
Report
Share
Report
Share
1 of 16
Download now
Download to read offline
Recommended
今だから!Amazon CloudFront 徹底活用
今だから!Amazon CloudFront 徹底活用
Yasuhiro Araki, Ph.D
エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩
Takuya Tezuka
はじめての datadog
はじめての datadog
Naoya Nakazawa
マイクロサービスバックエンドAPIのためのRESTとgRPC
マイクロサービスバックエンドAPIのためのRESTとgRPC
disc99_
Kubernetes ControllerをScale-Outさせる方法 / Kubernetes Meetup Tokyo #55
Kubernetes ControllerをScale-Outさせる方法 / Kubernetes Meetup Tokyo #55
Preferred Networks
AWS Black Belt Online Seminar 2018 AWS上の位置情報
AWS Black Belt Online Seminar 2018 AWS上の位置情報
Amazon Web Services Japan
AWSではじめるDNSSEC
AWSではじめるDNSSEC
Tomohiro Nakashima
Azure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep Dive
Yoshimasa Katakura
Recommended
今だから!Amazon CloudFront 徹底活用
今だから!Amazon CloudFront 徹底活用
Yasuhiro Araki, Ph.D
エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩
Takuya Tezuka
はじめての datadog
はじめての datadog
Naoya Nakazawa
マイクロサービスバックエンドAPIのためのRESTとgRPC
マイクロサービスバックエンドAPIのためのRESTとgRPC
disc99_
Kubernetes ControllerをScale-Outさせる方法 / Kubernetes Meetup Tokyo #55
Kubernetes ControllerをScale-Outさせる方法 / Kubernetes Meetup Tokyo #55
Preferred Networks
AWS Black Belt Online Seminar 2018 AWS上の位置情報
AWS Black Belt Online Seminar 2018 AWS上の位置情報
Amazon Web Services Japan
AWSではじめるDNSSEC
AWSではじめるDNSSEC
Tomohiro Nakashima
Azure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep Dive
Yoshimasa Katakura
比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)
gree_tech
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...
Preferred Networks
半日でわかる コンテナー技術 (入門編)
半日でわかる コンテナー技術 (入門編)
Toru Makabe
20191125 Container Security
20191125 Container Security
Amazon Web Services Japan
20200804 AWS Black Belt Online Seminar Amazon CodeGuru
20200804 AWS Black Belt Online Seminar Amazon CodeGuru
Amazon Web Services Japan
さいきんのMySQLに関する取り組み(仮)
さいきんのMySQLに関する取り組み(仮)
Takanori Sejima
REST API のコツ
REST API のコツ
pospome
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session
Amazon Web Services Japan
とある脆弱性の永い議論
とある脆弱性の永い議論
Mtikutea
Proxy War
Proxy War
zaki4649
AWSのセキュリティについて
AWSのセキュリティについて
Yasuhiro Horiuchi
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
リクルートのWebサービスを支える共通インフラ「RAFTEL」
リクルートのWebサービスを支える共通インフラ「RAFTEL」
Recruit Technologies
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみよう
Shinsuke Sugaya
Fargate起動歴1日の男が語る運用の勘どころ
Fargate起動歴1日の男が語る運用の勘どころ
Yuto Komai
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信
Amazon Web Services Japan
Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築
伊藤 祐策
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile Analytics
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile Analytics
Amazon Web Services Japan
Re: ゼロから始める監視設計
Re: ゼロから始める監視設計
Masahito Zembutsu
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
法林浩之
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
cyberagent
More Related Content
What's hot
比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)
gree_tech
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...
Preferred Networks
半日でわかる コンテナー技術 (入門編)
半日でわかる コンテナー技術 (入門編)
Toru Makabe
20191125 Container Security
20191125 Container Security
Amazon Web Services Japan
20200804 AWS Black Belt Online Seminar Amazon CodeGuru
20200804 AWS Black Belt Online Seminar Amazon CodeGuru
Amazon Web Services Japan
さいきんのMySQLに関する取り組み(仮)
さいきんのMySQLに関する取り組み(仮)
Takanori Sejima
REST API のコツ
REST API のコツ
pospome
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session
Amazon Web Services Japan
とある脆弱性の永い議論
とある脆弱性の永い議論
Mtikutea
Proxy War
Proxy War
zaki4649
AWSのセキュリティについて
AWSのセキュリティについて
Yasuhiro Horiuchi
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
リクルートのWebサービスを支える共通インフラ「RAFTEL」
リクルートのWebサービスを支える共通インフラ「RAFTEL」
Recruit Technologies
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみよう
Shinsuke Sugaya
Fargate起動歴1日の男が語る運用の勘どころ
Fargate起動歴1日の男が語る運用の勘どころ
Yuto Komai
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信
Amazon Web Services Japan
Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築
伊藤 祐策
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile Analytics
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile Analytics
Amazon Web Services Japan
Re: ゼロから始める監視設計
Re: ゼロから始める監視設計
Masahito Zembutsu
What's hot
(20)
比較サイトの検索改善(SPA から SSR に変換)
比較サイトの検索改善(SPA から SSR に変換)
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Co...
半日でわかる コンテナー技術 (入門編)
半日でわかる コンテナー技術 (入門編)
20191125 Container Security
20191125 Container Security
20200804 AWS Black Belt Online Seminar Amazon CodeGuru
20200804 AWS Black Belt Online Seminar Amazon CodeGuru
さいきんのMySQLに関する取り組み(仮)
さいきんのMySQLに関する取り組み(仮)
REST API のコツ
REST API のコツ
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session
20190213 AWS Black Belt Online Seminar Amazon SageMaker Advanced Session
とある脆弱性の永い議論
とある脆弱性の永い議論
Proxy War
Proxy War
AWSのセキュリティについて
AWSのセキュリティについて
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
リクルートのWebサービスを支える共通インフラ「RAFTEL」
リクルートのWebサービスを支える共通インフラ「RAFTEL」
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみよう
Fargate起動歴1日の男が語る運用の勘どころ
Fargate起動歴1日の男が語る運用の勘どころ
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信
20191112 AWS Black Belt Online Seminar AWS Media Services で始めるライブ動画配信
Lv1から始めるWebサービスのインフラ構築
Lv1から始めるWebサービスのインフラ構築
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile Analytics
AWS Black Belt Techシリーズ Amazon Cognito / Amazon Mobile Analytics
Re: ゼロから始める監視設計
Re: ゼロから始める監視設計
Similar to 脆弱性管理の自動化への取り組み
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
法林浩之
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
cyberagent
クラウド運用3足の草鞋151102
クラウド運用3足の草鞋151102
Keiichi Hashimoto
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
貴志 上坂
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
schoowebcampus
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
KenjiroHirata
20201029 hirata
20201029 hirata
beyond Co., Ltd.
私が考える泥くさいMsp
私が考える泥くさいMsp
Kazumi Hirose
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
Koji Asaga
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
Azure Machine Learningを触ってみた!
Azure Machine Learningを触ってみた!
Takuya Tachibana
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
雄哉 吉田
eVar7 = s.t(art) ; Kick-Off
eVar7 = s.t(art) ; Kick-Off
Makoto Shimizu
Cloud native strategy ver1.1
Cloud native strategy ver1.1
TomohiroDoi
ユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話し
Hideaki Tarumi
SSH応用編_20231129.pdf
SSH応用編_20231129.pdf
icebreaker4
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
ta2bana
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
Insight Technology, Inc.
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
法林浩之
RDBとNoSQLの上手な付き合い方(勉強会@LIG 2013/11/11)
RDBとNoSQLの上手な付き合い方(勉強会@LIG 2013/11/11)
Yuji Otani
Similar to 脆弱性管理の自動化への取り組み
(20)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
クラウド運用3足の草鞋151102
クラウド運用3足の草鞋151102
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
20201029 hirata
20201029 hirata
私が考える泥くさいMsp
私が考える泥くさいMsp
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
Azure Machine Learningを触ってみた!
Azure Machine Learningを触ってみた!
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
eVar7 = s.t(art) ; Kick-Off
eVar7 = s.t(art) ; Kick-Off
Cloud native strategy ver1.1
Cloud native strategy ver1.1
ユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話し
SSH応用編_20231129.pdf
SSH応用編_20231129.pdf
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
RDBとNoSQLの上手な付き合い方(勉強会@LIG 2013/11/11)
RDBとNoSQLの上手な付き合い方(勉強会@LIG 2013/11/11)
脆弱性管理の自動化への取り組み
1.
株式会社スリーシェイク 脆弱性管理の自動化 への取り組み
2.
Copyrights©3-shake Inc. All
Rights Reserved. 2 自己紹介 自治体やデータベースマーケティング会社でのインフラ設計 /構築 /運用を主に経験し、2018 年 10 月に 3-Shake に Join。 3-Shake Join 後は Google Cloud / AWS / kubernetes / ServiceMesh など様々な技術的アプローチを駆使し、 大手からベンチャー等規模を問わず様々な組織に対して SREの コンサルティングや実践を行っている。 趣味はボクシング観戦 ※ 日曜日の昼間は一人で WOWOW 見ながら一人で熱狂してます ... 手塚 卓也
3.
Copyrights©3-shake Inc. All
Rights Reserved. 3 いきなり宣伝ですが.... 9/9 出ます 近々、第三回やります
4.
Copyrights©3-shake Inc. All
Rights Reserved. 4 About 3-Shake SRE 支援 / 技術支援 サービス Sreake セキュリティ脆弱性診断 サービス Sreake Security クラウド型 ETL / データ パ イプライン サービス Reckoner ハイスキル フリーランス紹 介サービス Relance Reckoner はクラウド型ETL / データパイプラインサービスで す。 データベース・ストレージ・アプリ ケーションなど、あらゆるデータを 統合・連携することで、データを活 用したビジネス変革に貢献しま す。 Sreake Security は経験豊富な セキュリティ専門家が貴社の課題 に合わせたセキュリティ対策を支 援するサービスです。 Sreake は金融・医療・動画配信 ・AI・ゲームなど技術力が求めら れる領域で豊富な経験を持つ SRE が集まったチームによる 技 術支援サービスです。戦略策定 から設計・構築・運用、 SaaS 提供 まで、幅広い領域をサポートしま す。 Relance は、プロの現役エンジニ ア集団が最適なエンジニアを紹介 するフリーランスエンジニア紹介 サービスです。 技術支援や、 1on1 での定期フォ ローなど、参画後も高いパフォー マンスを維持し続けられる体制 を 提供しています。
5.
Copyrights©3-shake Inc. All
Rights Reserved. 5 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性に合わ せた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサイン等 をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題
6.
Copyrights©3-shake Inc. All
Rights Reserved. 6 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性に合わ せた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサイン等 をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 システム数が増えたり規模が大きくなるにつれて 管理がキツくなってくるので、「自動化」しよう
7.
Copyrights©3-shake Inc. All
Rights Reserved. 7 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR レジストリ上のImageを定期的 にScan
8.
Copyrights©3-shake Inc. All
Rights Reserved. 8 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール 1. Trivyにて、リポジトリ上の Containerの脆弱性スキャンを定 期的に実施。 2. スキャン結果をGCSへ転送 AWS ECR レジストリ上のImageを定期的 にScan
9.
Copyrights©3-shake Inc. All
Rights Reserved. 9 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR 脆弱性レポートにメタデータ(テナント情報等)を 付与して、BigQueryに連携 レジストリ上のImageを定期的 にScan
10.
Copyrights©3-shake Inc. All
Rights Reserved. 10 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR BQに蓄積されたデータを Lookerで可視化。 対応状況を把握しやすくする。 レジストリ上のImageを定期的 にScan
11.
Copyrights©3-shake Inc. All
Rights Reserved. 11 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR BQのデータを元にチケット管理を行う。 対応の実施有無をJIRA上で管理するため抜け もれなく対応が可能。 レジストリ上のImageを定期的 にScan
12.
Copyrights©3-shake Inc. All
Rights Reserved. 12 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性 に合わせた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサ イン等をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 「CVSSの再計算」と「Severity」の評価をCloud Functions で自動実行 → プログラム上で完結させる事で Toil 削減 BQのデータをもとにチケット管理ツールに対して 自動でチケット作成 → 各サービス担当者へ自動アサインが可能に。 BI ツールで脆弱性の状況を視覚化 → 過去に同様の脆弱性を分析していないかを素早く 検索可能に。
13.
Copyrights©3-shake Inc. All
Rights Reserved. 13 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性 に合わせた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサ イン等をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 「CVSSの再計算」と「Severity」の評価をCloud Functions で自動実行 → プログラム上で完結させる事で Toil 削減 BQのデータをもとにチケット管理ツールに対して 自動でチケット作成 → 各サービス担当者へ自動アサインが可能に。 BI ツールで脆弱性の状況を視覚化 → 過去に同様の脆弱性を分析していないかを素早く 検索可能に。 システム数が増えたり規模が大きくなるにつれて難しくなる脆弱性の管理を 「自動化」や「可視化」を通じて容易に管理可能に ※ ただし、開発は愛を込めた
14.
Copyrights©3-shake Inc. All
Rights Reserved. 14 一緒に働きませんか?
15.
16.
時に、西暦2021年9月1日 シン・セキュリティ サービス発表
Download now