本日も乙

ただの自己満足な備忘録。

今年やってきたセキュリティ施策を振り返る

定期的に自分がやってきたこと・学んできたことを棚卸しすることは色々なメリットがあると思っています。
よく「定期的に職務経歴書をアップデートしよう」という話を聞きますが、職務経歴書をアップデートしていくことで自分が今まで出した成果や身につけたことを振り返ることができるので、新たな気づきを得たり課題が見つかったりするので自分の成長につながるということですね。ちなみにこんな話をしたところで転職の意思は今のところないので変な思案は不要ですw

話はそれましたが、今年も早いもので残り十数日と迫ってきているので、今年やってきたことを振り返ってみたいと思います。
今年は個人的に成果として見えづらいところをやってきたセキュリティ系を取り上げたいと思います。

この記事は Sansan Advent Calendar 2018 - Adventar の17日目の記事です。

目次

注意

  • 会社の(非公式)アドベントカレンダーですが、実際の内容は事実から少し変えています。また、部署が複数に分かれておりやっていることはそれぞれ異なるので当社全体でやっているわけではありません。あくまで私が所属しているチーム・部署で行ってきたことを書いています
  • 私がすべて一人でやってきたわけではなくてチームでやってきたものとか、同僚がやってきた施策もあります
  • 運用とかフロー構築とかは内部のセンシティブな情報にふれる可能性があるのであえて触れません

AWSリソースの暗号化

AWSで使っているもので、暗号化されていないリソースを暗号化することをやっていました。
暗号化したからといって、アプリケーション側は透過的にデータにアクセスできるため、実質影響がない *1 のですが、諸事情により暗号化をする必要性があったのですすめてきました。

主な対象はEBSボリューム、S3、RDS、Redshiftです。
S3以外は新規インスタンスの再作成なので、その移行にかなり時間をつかいました。EBSボリュームはEC2インスタンスの入れ替えなので、数百台レベルのインスタンスを入れ替えていくのは、作業自体は簡単でしたが、地味に大変でした。

得られた知見は過去に記事として残しています。

blog.jicoman.info

blog.jicoman.info

blog.jicoman.info

blog.jicoman.info

Redshiftクラスタは昔は新規クラスタへのデータ移行でしか対応していなかったので大変でしたが、今はワンクリックでできるようになったのですごく楽ですね。

非暗号化された Amazon Redshift クラスターが 1 クリックで暗号化可能に

Amazon GuardDutyの活用

Amazon GuardDuty を有効化することで、脅威に気づけるようにしています。
以下の記事を参考にSlack通知もしています。

blog.manabusakai.com

今のところ、誤検知が多い印象ですが、いざというときに役立ってくれると信じています。

FutureVulsの導入

前々から Vuls というOSSの脆弱性スキャナーツールを使っていたのですが運用コストを軽減させるため、FutureVulsを導入しました。

vuls.biz

プレスリリースも出させていただきました。
クラウド名刺管理サービス のSansanがセキュリティサービス「FutureVuls」を導入|フューチャー株式会社のプレスリリース

今年は FutureVuls のアドベントカレンダーがあり、使い方やTipsなどがまとまっているのでぜひご参照ください。

qiita.com

某セキュリティソフトの導入

プロダクション・開発・Windows、Linux 問わず、ほぼすべてのサーバに導入しています。
エージェントがちゃんと動かなかったり、メモリリーク起こしたり、プロンプトの反応が返ってこなかったりと辛いことが多いですが、気持ちを前向きに、向き合って対応しています。

まとめ

地味な内容でしたが一応仕事はやっていましたよということで。

*1:暗号化・復号にかかるコストはあるため、デメリットの方が大きい