Weitere ähnliche Inhalte
Ähnlich wie AWS re:Inforce 2019 re:Cap LT (20)
Kürzlich hochgeladen (10)
AWS re:Inforce 2019 re:Cap LT
- 1. © 2019 NTT DOCOMO, INC. All Rights Reserved.
AWS re:Inforce 2019
re:Cap LT
〜”SecurityとDevelopmentの両立”について考えてみた〜
2019/7/30
株式会社NTTドコモ
守屋裕樹
本書に記載の会社名・製品名・ロゴは各社の商標または登録商標です
- 2. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. 2
自己紹介
守屋 裕樹 (Hiroki Moriya)
所属
NTTドコモ イノベーション統括部
業務
• Cloud Center of Excellence(CCoE)
• ドコモ・クラウドパッケージ
• ScanMonster
• クラウドや周辺技術なんでも
興味
Serverless, Container, Golang
- 3. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved.
我々はSecurityをJOB 0(ゼロ)と考えている
Securityに関連する機能は210
117のサービスと統合されているKMS
Nitro Innovation / Firecracker etc…
https://www.youtube.com/watch?v=FKphJNfpWk8
- 4. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved.
我々はセキュリティをJOB 0(ゼロ)と考えている
セキュリティに関連する機能は210
117のサービスと統合されているKMS
Nitro Innovation / Firecracker etc…
もはやSecurityは単なる手段ではない
ビジネスと同等に経営レベルで判断しなければいけない
https://www.youtube.com/watch?v=FKphJNfpWk8
- 5. © 2019 NTT DOCOMO, INC. All Rights Reserved.
ユーザ企業における
SecurityとDevelopmentの現実
- 6. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. 6
Security guys
• クラウドだけやってるんじゃないんだから、年間1800+のアップデート
とかキャッチアップできん
• ましてやアップデートにあわせてポリシーを柔軟に変えろとか正気か
• 利用はどんどん増えていくけど,監査の人出が足りん
Security guys
• クラウドだけやってるんじゃないんだ
から、年間1800+のアップデート
とかキャッチアップできん
• ましてやアップデートにあわせてポリ
シーを柔軟に変えろとか正気か
• 利用はどんどん増えていくけど,監
査の人出が足りん
- 7. © 2019 NTT DOCOMO, INC. All Rights Reserved.
うん、わかる
- 8. © 2019 NTT DOCOMO, INC. All Rights Reserved.
Developer guys
• 自社のセキュリティポリシーがレガ
シーすぎて新サービスに全然つい
ていってない
• セキュリティチームのキャッチアップが
遅すぎて話が噛み合わん
• こんなスピードじゃ競合に勝てない
- 9. © 2019 NTT DOCOMO, INC. All Rights Reserved.
うん、これもよくわかる
- 10. © 2019 NTT DOCOMO, INC. All Rights Reserved.
最先端のGuysはどうやってるのよ?
- 11. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved.
大事なのは”人”を介在させないこと
Securityもスケールさせること
Auto test (自動テスト)
Auto detection/remediation(自動検知修復)
Templatize(テンプレート化)
Machine learning approach(機械学習)
https://www.youtube.com/watch?v=FKphJNfpWk8
- 12. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved.
監査もスケールさせる
Paper workからの脱却
定期的からリアルタイムに
Evidence作成もControlも自動化
https://www.youtube.com/watch?v=FKphJNfpWk8
- 13. © 2019 NTT DOCOMO, INC. All Rights Reserved.
ほうほう、AWSはとにかくSecurityも自動化だと
- 14. © 2019 NTT DOCOMO, INC. All Rights Reserved.
ユーザ企業のGuysはどう考えているの?
- 15. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved.
Comcast
Evolving perimeters with guardrails, not gates; Improving developer agility
Securityだけでなく、ScalabilityとDeveloper Experienceも強く意識
• 開発者が使いたいときに使いたいものを必要なだけ使えること
• Gateはダメ、Guardrailsになる
IAM Roleの払い出しの自動化
• IAMの権限作成でGateを作らないため、Role vending machineという自動化ツールを作成
• 払い出し時に権限のユニットテストやIntegrationテストを実装
• Terraformのカスタムプロバイダを作成し,Role vending APIを組み込んで利便性を向上
https://www.slideshare.net/AmazonWebServices/evolving-perimeters-with-guardrails-not-gates-improving-developer-agility-sdd331-aws-reinforce-2019
- 16. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved.
Riot Games
HOW RIOT GAMES DOES ACCOUNT CREATION AND AWS API ACCESS
アカウントの払い出しの自動化
• Step Functionsの活用
Permanent Credentialsの削除
• Credentials漏洩を機にPermanent Credentialsの排除の取り組み開始
• Key Conjurerの開発(https://github.com/RiotGames/key-conjurer)
• 一時キーの払い出しツール
• DXを意識し、WebUIの他、CLI、APIも準備
• Permanent Credentialsを72.8%削減(853 -> 232)
https://www.slideshare.net/AmazonWebServices/account-automation-and-temporary-aws-credential-service-grc328-aws-reinforce-2019
- 17. © 2019 NTT DOCOMO, INC. All Rights Reserved.
SecurityをHackしている
- 18. © 2019 NTT DOCOMO, INC. All Rights Reserved.
SecurityのためのDevelopment
というアプローチ
- 19. © 2019 NTT DOCOMO, INC. All Rights Reserved.
Dev for Sec
Security Guys
Secを理解する
Devのノウハウを積極的に提供する
Developer Guys
Devを理解する
自動化を前向きに捉えてやってみる
- 20. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved.
期待できる効果
• DevとSecが双方の課題を認識し協力関係がうまれる
• DevからSecへ自然と最新情報がインプットされるので,Secのキャッチア
ップが早くなる
• Secがスケールし、Devが加速する
• 自動化により大きな成果が期待できるようなので、双方のモチベーション
があがる
• 結果,強固なセキュリティプロセスが確立されるので,会社として大きな競
争力が生まれ、ビジネスが加速する
- 21. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved.
気をつけないといけないのは
Dev/Secの権限分離
• Securityの大前提は、権限の分離
• Sec/Devは協力しつつも権限は分離しておく
皆が自然と利用する”動機”を強く意識する
• ツールや仕組みをむやみに強制しない
• DevとSecが双方に”得をする”仕組みを作る
- 22. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved.
ドコモの取り組み(ScanMonster)
https://dev.smt.docomo.ne.jp/?p=common_page&p_name=scanmonster
• AWS環境の自動アセスメントツール開発
• 日々のAWS環境チェックの負担を軽減しスケールさせる
- 23. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved.
ScanMonsterアーキテクチャ
https://dev.smt.docomo.ne.jp/?p=common_page&p_name=scanmonster
- 24. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved.
まだまだ足りない、もっとやっていく
Thank you !
まだまだ足りない、もっとやっていく
Thank you !