SlideShare ist ein Scribd-Unternehmen logo

脆弱性管理の自動化への取り組み

Takuya Tezuka
Takuya Tezuka

Infra Study 2nd #4 LT 脆弱性管理の自動化への取り組み https://forkwell.connpass.com/event/219136/

Internet
1 von 16
Downloaden Sie, um offline zu lesen
株式会社スリーシェイク 脆弱性管理の自動化 への取り組み
Copyrights©3-shake Inc. All Rights Reserved. 2 自己紹介 自治体やデータベースマーケティング会社でのインフラ設計 /構築 /運用を主に経験し、2018 年 10 月に 3-Shake に Join。 3-Shake Join 後は Google Cloud / AWS / kubernetes / ServiceMesh など様々な技術的アプローチを駆使し、 大手からベンチャー等規模を問わず様々な組織に対して SREの コンサルティングや実践を行っている。 趣味はボクシング観戦 ※ 日曜日の昼間は一人で WOWOW 見ながら一人で熱狂してます ... 手塚 卓也
Copyrights©3-shake Inc. All Rights Reserved. 3 いきなり宣伝ですが.... 9/9 出ます 近々、第三回やります
Copyrights©3-shake Inc. All Rights Reserved. 4 About 3-Shake SRE 支援 / 技術支援 サービス Sreake セキュリティ脆弱性診断 サービス Sreake Security クラウド型 ETL / データ パ イプライン サービス Reckoner ハイスキル フリーランス紹 介サービス Relance Reckoner はクラウド型ETL / データパイプラインサービスで す。 データベース・ストレージ・アプリ ケーションなど、あらゆるデータを 統合・連携することで、データを活 用したビジネス変革に貢献しま す。 Sreake Security は経験豊富な セキュリティ専門家が貴社の課題 に合わせたセキュリティ対策を支 援するサービスです。 Sreake は金融・医療・動画配信 ・AI・ゲームなど技術力が求めら れる領域で豊富な経験を持つ SRE が集まったチームによる 技 術支援サービスです。戦略策定 から設計・構築・運用、 SaaS 提供 まで、幅広い領域をサポートしま す。 Relance は、プロの現役エンジニ ア集団が最適なエンジニアを紹介 するフリーランスエンジニア紹介 サービスです。 技術支援や、 1on1 での定期フォ ローなど、参画後も高いパフォー マンスを維持し続けられる体制 を 提供しています。
Copyrights©3-shake Inc. All Rights Reserved. 5 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性に合わ せた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサイン等 をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題
Copyrights©3-shake Inc. All Rights Reserved. 6 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性に合わ せた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサイン等 をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 システム数が増えたり規模が大きくなるにつれて 管理がキツくなってくるので、「自動化」しよう
Copyrights©3-shake Inc. All Rights Reserved. 7 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR レジストリ上のImageを定期的 にScan
Copyrights©3-shake Inc. All Rights Reserved. 8 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール 1. Trivyにて、リポジトリ上の Containerの脆弱性スキャンを定 期的に実施。 2. スキャン結果をGCSへ転送 AWS ECR レジストリ上のImageを定期的 にScan
Copyrights©3-shake Inc. All Rights Reserved. 9 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR 脆弱性レポートにメタデータ(テナント情報等)を 付与して、BigQueryに連携 レジストリ上のImageを定期的 にScan
Copyrights©3-shake Inc. All Rights Reserved. 10 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR BQに蓄積されたデータを Lookerで可視化。 対応状況を把握しやすくする。 レジストリ上のImageを定期的 にScan
Copyrights©3-shake Inc. All Rights Reserved. 11 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR BQのデータを元にチケット管理を行う。 対応の実施有無をJIRA上で管理するため抜け もれなく対応が可能。 レジストリ上のImageを定期的 にScan
Copyrights©3-shake Inc. All Rights Reserved. 12 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性 に合わせた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサ イン等をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 「CVSSの再計算」と「Severity」の評価をCloud Functions で自動実行 → プログラム上で完結させる事で Toil 削減 BQのデータをもとにチケット管理ツールに対して 自動でチケット作成 → 各サービス担当者へ自動アサインが可能に。 BI ツールで脆弱性の状況を視覚化 → 過去に同様の脆弱性を分析していないかを素早く 検索可能に。
Copyrights©3-shake Inc. All Rights Reserved. 13 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性 に合わせた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサ イン等をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 「CVSSの再計算」と「Severity」の評価をCloud Functions で自動実行 → プログラム上で完結させる事で Toil 削減 BQのデータをもとにチケット管理ツールに対して 自動でチケット作成 → 各サービス担当者へ自動アサインが可能に。 BI ツールで脆弱性の状況を視覚化 → 過去に同様の脆弱性を分析していないかを素早く 検索可能に。 システム数が増えたり規模が大きくなるにつれて難しくなる脆弱性の管理を 「自動化」や「可視化」を通じて容易に管理可能に ※ ただし、開発は愛を込めた
Copyrights©3-shake Inc. All Rights Reserved. 14 一緒に働きませんか?
時に、西暦2021年9月1日
 シン・セキュリティ
 サービス発表


Empfohlen

YugabyteDBを使ってみよう(NewSQL/分散SQLデータベースよろず勉強会 #1 発表資料)
YugabyteDBを使ってみよう(NewSQL/分散SQLデータベースよろず勉強会 #1 発表資料)YugabyteDBを使ってみよう(NewSQL/分散SQLデータベースよろず勉強会 #1 発表資料)
YugabyteDBを使ってみよう(NewSQL/分散SQLデータベースよろず勉強会 #1 発表資料)
NTT DATA Technology & Innovation
 
[오픈소스컨설팅] 프로메테우스 모니터링 살펴보고 구성하기
[오픈소스컨설팅] 프로메테우스 모니터링 살펴보고 구성하기[오픈소스컨설팅] 프로메테우스 모니터링 살펴보고 구성하기
[오픈소스컨설팅] 프로메테우스 모니터링 살펴보고 구성하기
Ji-Woong Choi
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
 
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdfわたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
ssuser868e2d
 
Amazon Redshift 概要 (20分版)
Amazon Redshift 概要 (20分版)Amazon Redshift 概要 (20分版)
Amazon Redshift 概要 (20分版)
Amazon Web Services Japan
 
OpenLineage による Airflow のデータ来歴の収集と可視化(Airflow Meetup Tokyo #3 発表資料)
OpenLineage による Airflow のデータ来歴の収集と可視化(Airflow Meetup Tokyo #3 発表資料)OpenLineage による Airflow のデータ来歴の収集と可視化(Airflow Meetup Tokyo #3 発表資料)
OpenLineage による Airflow のデータ来歴の収集と可視化(Airflow Meetup Tokyo #3 発表資料)
NTT DATA Technology & Innovation
 
OpenvSwitchの落とし穴
OpenvSwitchの落とし穴OpenvSwitchの落とし穴
OpenvSwitchの落とし穴
Takashi Naito
 
日本OpenStackユーザ会 第37回勉強会
日本OpenStackユーザ会 第37回勉強会日本OpenStackユーザ会 第37回勉強会
日本OpenStackユーザ会 第37回勉強会
Yushiro Furukawa
 

Empfohlen

YugabyteDBを使ってみよう(NewSQL/分散SQLデータベースよろず勉強会 #1 発表資料)
YugabyteDBを使ってみよう(NewSQL/分散SQLデータベースよろず勉強会 #1 発表資料)YugabyteDBを使ってみよう(NewSQL/分散SQLデータベースよろず勉強会 #1 発表資料)
YugabyteDBを使ってみよう(NewSQL/分散SQLデータベースよろず勉強会 #1 発表資料)
NTT DATA Technology & Innovation
 
[오픈소스컨설팅] 프로메테우스 모니터링 살펴보고 구성하기
[오픈소스컨설팅] 프로메테우스 모니터링 살펴보고 구성하기[오픈소스컨설팅] 프로메테우스 모니터링 살펴보고 구성하기
[오픈소스컨설팅] 프로메테우스 모니터링 살펴보고 구성하기
Ji-Woong Choi
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
 
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdfわたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
ssuser868e2d
 
Amazon Redshift 概要 (20分版)
Amazon Redshift 概要 (20分版)Amazon Redshift 概要 (20分版)
Amazon Redshift 概要 (20分版)
Amazon Web Services Japan
 
OpenLineage による Airflow のデータ来歴の収集と可視化(Airflow Meetup Tokyo #3 発表資料)
OpenLineage による Airflow のデータ来歴の収集と可視化(Airflow Meetup Tokyo #3 発表資料)OpenLineage による Airflow のデータ来歴の収集と可視化(Airflow Meetup Tokyo #3 発表資料)
OpenLineage による Airflow のデータ来歴の収集と可視化(Airflow Meetup Tokyo #3 発表資料)
NTT DATA Technology & Innovation
 
OpenvSwitchの落とし穴
OpenvSwitchの落とし穴OpenvSwitchの落とし穴
OpenvSwitchの落とし穴
Takashi Naito
 
日本OpenStackユーザ会 第37回勉強会
日本OpenStackユーザ会 第37回勉強会日本OpenStackユーザ会 第37回勉強会
日本OpenStackユーザ会 第37回勉強会
Yushiro Furukawa
 
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
 
20分でわかるgVisor入門
20分でわかるgVisor入門20分でわかるgVisor入門
20分でわかるgVisor入門
Shuji Yamada
 
アーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションアーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーション
Masahiko Sawada
 
超実践 Cloud Spanner 設計講座
超実践 Cloud Spanner 設計講座超実践 Cloud Spanner 設計講座
超実践 Cloud Spanner 設計講座
Samir Hammoudi
 
20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)
Amazon Web Services Japan
 
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
NTT DATA Technology & Innovation
 
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
NTT DATA Technology & Innovation
 
リアルタイムアクセスログ分析基盤をAWSに構築した話 (JAWS UG BigData Branch)
リアルタイムアクセスログ分析基盤をAWSに構築した話 (JAWS UG BigData Branch)リアルタイムアクセスログ分析基盤をAWSに構築した話 (JAWS UG BigData Branch)
リアルタイムアクセスログ分析基盤をAWSに構築した話 (JAWS UG BigData Branch)
Hajime Sano
 
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
NTT DATA Technology & Innovation
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
 
PacemakerのMaster/Slave構成の基本と事例紹介(DRBD、PostgreSQLレプリケーション) @Open Source Confer...
PacemakerのMaster/Slave構成の基本と事例紹介(DRBD、PostgreSQLレプリケーション) @Open Source Confer...PacemakerのMaster/Slave構成の基本と事例紹介(DRBD、PostgreSQLレプリケーション) @Open Source Confer...
PacemakerのMaster/Slave構成の基本と事例紹介(DRBD、PostgreSQLレプリケーション) @Open Source Confer...
Tatsuya Watanabe
 
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
ShuheiUda
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
NTT DATA Technology & Innovation
 
コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線
Motonori Shindo
 
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめAWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめ
Trainocate Japan, Ltd.
 
細かすぎて伝わらないかもしれない Azure Container Networking Deep Dive
細かすぎて伝わらないかもしれない Azure Container Networking Deep Dive細かすぎて伝わらないかもしれない Azure Container Networking Deep Dive
細かすぎて伝わらないかもしれない Azure Container Networking Deep Dive
Toru Makabe
 
AWS Black Belt Online Seminar 2016 Amazon ElastiCache
AWS Black Belt Online Seminar 2016 Amazon ElastiCacheAWS Black Belt Online Seminar 2016 Amazon ElastiCache
AWS Black Belt Online Seminar 2016 Amazon ElastiCache
Amazon Web Services Japan
 
Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解
Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解
Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解
Shuji Kikuchi
 
オンプレミス回帰の動きに備えよ ~クラウドの手法をオンプレミスでも実現するには~(CloudNative Days Fukuoka 2023 発表資料)
オンプレミス回帰の動きに備えよ ~クラウドの手法をオンプレミスでも実現するには~(CloudNative Days Fukuoka 2023 発表資料)オンプレミス回帰の動きに備えよ ~クラウドの手法をオンプレミスでも実現するには~(CloudNative Days Fukuoka 2023 発表資料)
オンプレミス回帰の動きに備えよ ~クラウドの手法をオンプレミスでも実現するには~(CloudNative Days Fukuoka 2023 発表資料)
NTT DATA Technology & Innovation
 
老朽化したオンプレ環境をクラウドへ移設
老朽化したオンプレ環境をクラウドへ移設老朽化したオンプレ環境をクラウドへ移設
老朽化したオンプレ環境をクラウドへ移設
修平 富田
 
エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩
Takuya Tezuka
 
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
法林浩之
 

Weitere ähnliche Inhalte

Was ist angesagt?

Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解
Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解
Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解
Shuji Kikuchi
 

Was ist angesagt? (20)

サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
 
20分でわかるgVisor入門
20分でわかるgVisor入門20分でわかるgVisor入門
20分でわかるgVisor入門
 
アーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションアーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーション
 
超実践 Cloud Spanner 設計講座
超実践 Cloud Spanner 設計講座超実践 Cloud Spanner 設計講座
超実践 Cloud Spanner 設計講座
 
20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)
 
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
 
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
 
リアルタイムアクセスログ分析基盤をAWSに構築した話 (JAWS UG BigData Branch)
リアルタイムアクセスログ分析基盤をAWSに構築した話 (JAWS UG BigData Branch)リアルタイムアクセスログ分析基盤をAWSに構築した話 (JAWS UG BigData Branch)
リアルタイムアクセスログ分析基盤をAWSに構築した話 (JAWS UG BigData Branch)
 
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
 
PacemakerのMaster/Slave構成の基本と事例紹介(DRBD、PostgreSQLレプリケーション) @Open Source Confer...
PacemakerのMaster/Slave構成の基本と事例紹介(DRBD、PostgreSQLレプリケーション) @Open Source Confer...PacemakerのMaster/Slave構成の基本と事例紹介(DRBD、PostgreSQLレプリケーション) @Open Source Confer...
PacemakerのMaster/Slave構成の基本と事例紹介(DRBD、PostgreSQLレプリケーション) @Open Source Confer...
 
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
 
コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線
 
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめAWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめ
 
細かすぎて伝わらないかもしれない Azure Container Networking Deep Dive
細かすぎて伝わらないかもしれない Azure Container Networking Deep Dive細かすぎて伝わらないかもしれない Azure Container Networking Deep Dive
細かすぎて伝わらないかもしれない Azure Container Networking Deep Dive
 
AWS Black Belt Online Seminar 2016 Amazon ElastiCache
AWS Black Belt Online Seminar 2016 Amazon ElastiCacheAWS Black Belt Online Seminar 2016 Amazon ElastiCache
AWS Black Belt Online Seminar 2016 Amazon ElastiCache
 
Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解
Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解
Developers.IO 2019 ハイブリッド/マルチVPC環境を構成するためのAWSネットワーク完全理解
 
オンプレミス回帰の動きに備えよ ~クラウドの手法をオンプレミスでも実現するには~(CloudNative Days Fukuoka 2023 発表資料)
オンプレミス回帰の動きに備えよ ~クラウドの手法をオンプレミスでも実現するには~(CloudNative Days Fukuoka 2023 発表資料)オンプレミス回帰の動きに備えよ ~クラウドの手法をオンプレミスでも実現するには~(CloudNative Days Fukuoka 2023 発表資料)
オンプレミス回帰の動きに備えよ ~クラウドの手法をオンプレミスでも実現するには~(CloudNative Days Fukuoka 2023 発表資料)
 
老朽化したオンプレ環境をクラウドへ移設
老朽化したオンプレ環境をクラウドへ移設老朽化したオンプレ環境をクラウドへ移設
老朽化したオンプレ環境をクラウドへ移設
 

Ähnlich wie 脆弱性管理の自動化への取り組み

お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
 
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
Insight Technology, Inc.
 

Ähnlich wie 脆弱性管理の自動化への取り組み (20)

エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩
 
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
 
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
 
クラウド運用3足の草鞋151102
クラウド運用3足の草鞋151102クラウド運用3足の草鞋151102
クラウド運用3足の草鞋151102
 
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
 
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知するAzure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
 
20201029 hirata
20201029 hirata20201029 hirata
20201029 hirata
 
私が考える泥くさいMsp
私が考える泥くさいMsp私が考える泥くさいMsp
私が考える泥くさいMsp
 
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
エンタープライズ向けクラウドサービスにおける ID 連携の有用性エンタープライズ向けクラウドサービスにおける ID 連携の有用性
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
 
Azure Machine Learningを触ってみた!
Azure Machine Learningを触ってみた!Azure Machine Learningを触ってみた!
Azure Machine Learningを触ってみた!
 
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
 
eVar7 = s.t(art) ; Kick-Off
eVar7 = s.t(art) ; Kick-OffeVar7 = s.t(art) ; Kick-Off
eVar7 = s.t(art) ; Kick-Off
 
Cloud native strategy ver1.1
Cloud native strategy ver1.1Cloud native strategy ver1.1
Cloud native strategy ver1.1
 
Azure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep DiveAzure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep Dive
 
ユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話しユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話し
 
SSH応用編_20231129.pdf
SSH応用編_20231129.pdfSSH応用編_20231129.pdf
SSH応用編_20231129.pdf
 
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
 
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
 

脆弱性管理の自動化への取り組み

  • 2. Copyrights©3-shake Inc. All Rights Reserved. 2 自己紹介 自治体やデータベースマーケティング会社でのインフラ設計 /構築 /運用を主に経験し、2018 年 10 月に 3-Shake に Join。 3-Shake Join 後は Google Cloud / AWS / kubernetes / ServiceMesh など様々な技術的アプローチを駆使し、 大手からベンチャー等規模を問わず様々な組織に対して SREの コンサルティングや実践を行っている。 趣味はボクシング観戦 ※ 日曜日の昼間は一人で WOWOW 見ながら一人で熱狂してます ... 手塚 卓也
  • 3. Copyrights©3-shake Inc. All Rights Reserved. 3 いきなり宣伝ですが.... 9/9 出ます 近々、第三回やります
  • 4. Copyrights©3-shake Inc. All Rights Reserved. 4 About 3-Shake SRE 支援 / 技術支援 サービス Sreake セキュリティ脆弱性診断 サービス Sreake Security クラウド型 ETL / データ パ イプライン サービス Reckoner ハイスキル フリーランス紹 介サービス Relance Reckoner はクラウド型ETL / データパイプラインサービスで す。 データベース・ストレージ・アプリ ケーションなど、あらゆるデータを 統合・連携することで、データを活 用したビジネス変革に貢献しま す。 Sreake Security は経験豊富な セキュリティ専門家が貴社の課題 に合わせたセキュリティ対策を支 援するサービスです。 Sreake は金融・医療・動画配信 ・AI・ゲームなど技術力が求めら れる領域で豊富な経験を持つ SRE が集まったチームによる 技 術支援サービスです。戦略策定 から設計・構築・運用、 SaaS 提供 まで、幅広い領域をサポートしま す。 Relance は、プロの現役エンジニ ア集団が最適なエンジニアを紹介 するフリーランスエンジニア紹介 サービスです。 技術支援や、 1on1 での定期フォ ローなど、参画後も高いパフォー マンスを維持し続けられる体制 を 提供しています。
  • 5. Copyrights©3-shake Inc. All Rights Reserved. 5 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性に合わ せた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサイン等 をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題
  • 6. Copyrights©3-shake Inc. All Rights Reserved. 6 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性に合わ せた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサイン等 をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 システム数が増えたり規模が大きくなるにつれて 管理がキツくなってくるので、「自動化」しよう
  • 7. Copyrights©3-shake Inc. All Rights Reserved. 7 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR レジストリ上のImageを定期的 にScan
  • 8. Copyrights©3-shake Inc. All Rights Reserved. 8 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール 1. Trivyにて、リポジトリ上の Containerの脆弱性スキャンを定 期的に実施。 2. スキャン結果をGCSへ転送 AWS ECR レジストリ上のImageを定期的 にScan
  • 9. Copyrights©3-shake Inc. All Rights Reserved. 9 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR 脆弱性レポートにメタデータ(テナント情報等)を 付与して、BigQueryに連携 レジストリ上のImageを定期的 にScan
  • 10. Copyrights©3-shake Inc. All Rights Reserved. 10 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR BQに蓄積されたデータを Lookerで可視化。 対応状況を把握しやすくする。 レジストリ上のImageを定期的 にScan
  • 11. Copyrights©3-shake Inc. All Rights Reserved. 11 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR BQのデータを元にチケット管理を行う。 対応の実施有無をJIRA上で管理するため抜け もれなく対応が可能。 レジストリ上のImageを定期的 にScan
  • 12. Copyrights©3-shake Inc. All Rights Reserved. 12 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性 に合わせた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサ イン等をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 「CVSSの再計算」と「Severity」の評価をCloud Functions で自動実行 → プログラム上で完結させる事で Toil 削減 BQのデータをもとにチケット管理ツールに対して 自動でチケット作成 → 各サービス担当者へ自動アサインが可能に。 BI ツールで脆弱性の状況を視覚化 → 過去に同様の脆弱性を分析していないかを素早く 検索可能に。
  • 13. Copyrights©3-shake Inc. All Rights Reserved. 13 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性 に合わせた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサ イン等をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 「CVSSの再計算」と「Severity」の評価をCloud Functions で自動実行 → プログラム上で完結させる事で Toil 削減 BQのデータをもとにチケット管理ツールに対して 自動でチケット作成 → 各サービス担当者へ自動アサインが可能に。 BI ツールで脆弱性の状況を視覚化 → 過去に同様の脆弱性を分析していないかを素早く 検索可能に。 システム数が増えたり規模が大きくなるにつれて難しくなる脆弱性の管理を 「自動化」や「可視化」を通じて容易に管理可能に ※ ただし、開発は愛を込めた
  • 14. Copyrights©3-shake Inc. All Rights Reserved. 14 一緒に働きませんか?
  • 15.