脆弱性管理の自動化への取り組み
•
0 likes•916 views
Infra Study 2nd #4 LT 脆弱性管理の自動化への取り組み https://forkwell.connpass.com/event/219136/
脆弱性管理の自動化への取り組み
- 2. Copyrights©3-shake Inc. All Rights Reserved. 2 自己紹介 自治体やデータベースマーケティング会社でのインフラ設計 /構築 /運用を主に経験し、2018 年 10 月に 3-Shake に Join。 3-Shake Join 後は Google Cloud / AWS / kubernetes / ServiceMesh など様々な技術的アプローチを駆使し、 大手からベンチャー等規模を問わず様々な組織に対して SREの コンサルティングや実践を行っている。 趣味はボクシング観戦 ※ 日曜日の昼間は一人で WOWOW 見ながら一人で熱狂してます ... 手塚 卓也
- 3. Copyrights©3-shake Inc. All Rights Reserved. 3 いきなり宣伝ですが.... 9/9 出ます 近々、第三回やります
- 4. Copyrights©3-shake Inc. All Rights Reserved. 4 About 3-Shake SRE 支援 / 技術支援 サービス Sreake セキュリティ脆弱性診断 サービス Sreake Security クラウド型 ETL / データ パ イプライン サービス Reckoner ハイスキル フリーランス紹 介サービス Relance Reckoner はクラウド型ETL / データパイプラインサービスで す。 データベース・ストレージ・アプリ ケーションなど、あらゆるデータを 統合・連携することで、データを活 用したビジネス変革に貢献しま す。 Sreake Security は経験豊富な セキュリティ専門家が貴社の課題 に合わせたセキュリティ対策を支 援するサービスです。 Sreake は金融・医療・動画配信 ・AI・ゲームなど技術力が求めら れる領域で豊富な経験を持つ SRE が集まったチームによる 技 術支援サービスです。戦略策定 から設計・構築・運用、 SaaS 提供 まで、幅広い領域をサポートしま す。 Relance は、プロの現役エンジニ ア集団が最適なエンジニアを紹介 するフリーランスエンジニア紹介 サービスです。 技術支援や、 1on1 での定期フォ ローなど、参画後も高いパフォー マンスを維持し続けられる体制 を 提供しています。
- 5. Copyrights©3-shake Inc. All Rights Reserved. 5 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性に合わ せた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサイン等 をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題
- 6. Copyrights©3-shake Inc. All Rights Reserved. 6 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性に合わ せた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサイン等 をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 システム数が増えたり規模が大きくなるにつれて 管理がキツくなってくるので、「自動化」しよう
- 7. Copyrights©3-shake Inc. All Rights Reserved. 7 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR レジストリ上のImageを定期的 にScan
- 8. Copyrights©3-shake Inc. All Rights Reserved. 8 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール 1. Trivyにて、リポジトリ上の Containerの脆弱性スキャンを定 期的に実施。 2. スキャン結果をGCSへ転送 AWS ECR レジストリ上のImageを定期的 にScan
- 9. Copyrights©3-shake Inc. All Rights Reserved. 9 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR 脆弱性レポートにメタデータ(テナント情報等)を 付与して、BigQueryに連携 レジストリ上のImageを定期的 にScan
- 10. Copyrights©3-shake Inc. All Rights Reserved. 10 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR BQに蓄積されたデータを Lookerで可視化。 対応状況を把握しやすくする。 レジストリ上のImageを定期的 にScan
- 11. Copyrights©3-shake Inc. All Rights Reserved. 11 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR BQのデータを元にチケット管理を行う。 対応の実施有無をJIRA上で管理するため抜け もれなく対応が可能。 レジストリ上のImageを定期的 にScan
- 12. Copyrights©3-shake Inc. All Rights Reserved. 12 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性 に合わせた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサ イン等をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 「CVSSの再計算」と「Severity」の評価をCloud Functions で自動実行 → プログラム上で完結させる事で Toil 削減 BQのデータをもとにチケット管理ツールに対して 自動でチケット作成 → 各サービス担当者へ自動アサインが可能に。 BI ツールで脆弱性の状況を視覚化 → 過去に同様の脆弱性を分析していないかを素早く 検索可能に。
- 13. Copyrights©3-shake Inc. All Rights Reserved. 13 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性 に合わせた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサ イン等をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 「CVSSの再計算」と「Severity」の評価をCloud Functions で自動実行 → プログラム上で完結させる事で Toil 削減 BQのデータをもとにチケット管理ツールに対して 自動でチケット作成 → 各サービス担当者へ自動アサインが可能に。 BI ツールで脆弱性の状況を視覚化 → 過去に同様の脆弱性を分析していないかを素早く 検索可能に。 システム数が増えたり規模が大きくなるにつれて難しくなる脆弱性の管理を 「自動化」や「可視化」を通じて容易に管理可能に ※ ただし、開発は愛を込めた
- 14. Copyrights©3-shake Inc. All Rights Reserved. 14 一緒に働きませんか?