Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

AWS re:Inforce 2019 re:Cap LT

2,692 views

Published on

NTT docomo's slide for AWS re:Inforce re:Cap event on 7/30/2019.

Published in: Technology
  • Be the first to comment

AWS re:Inforce 2019 re:Cap LT

  1. 1. © 2019 NTT DOCOMO, INC. All Rights Reserved. AWS re:Inforce 2019 re:Cap LT 〜”SecurityとDevelopmentの両立”について考えてみた〜 2019/7/30 株式会社NTTドコモ 守屋裕樹 本書に記載の会社名・製品名・ロゴは各社の商標または登録商標です
  2. 2. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. 2 自己紹介 守屋 裕樹 (Hiroki Moriya) 所属 NTTドコモ イノベーション統括部 業務 • Cloud Center of Excellence(CCoE) • ドコモ・クラウドパッケージ • ScanMonster • クラウドや周辺技術なんでも 興味 Serverless, Container, Golang
  3. 3. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. 我々はSecurityをJOB 0(ゼロ)と考えている Securityに関連する機能は210  117のサービスと統合されているKMS  Nitro Innovation / Firecracker etc… https://www.youtube.com/watch?v=FKphJNfpWk8
  4. 4. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. 我々はセキュリティをJOB 0(ゼロ)と考えている セキュリティに関連する機能は210  117のサービスと統合されているKMS  Nitro Innovation / Firecracker etc… もはやSecurityは単なる手段ではない ビジネスと同等に経営レベルで判断しなければいけない https://www.youtube.com/watch?v=FKphJNfpWk8
  5. 5. © 2019 NTT DOCOMO, INC. All Rights Reserved. ユーザ企業における SecurityとDevelopmentの現実
  6. 6. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. 6 Security guys • クラウドだけやってるんじゃないんだから、年間1800+のアップデート とかキャッチアップできん • ましてやアップデートにあわせてポリシーを柔軟に変えろとか正気か • 利用はどんどん増えていくけど,監査の人出が足りん Security guys • クラウドだけやってるんじゃないんだ から、年間1800+のアップデート とかキャッチアップできん • ましてやアップデートにあわせてポリ シーを柔軟に変えろとか正気か • 利用はどんどん増えていくけど,監 査の人出が足りん
  7. 7. © 2019 NTT DOCOMO, INC. All Rights Reserved. うん、わかる
  8. 8. © 2019 NTT DOCOMO, INC. All Rights Reserved. Developer guys • 自社のセキュリティポリシーがレガ シーすぎて新サービスに全然つい ていってない • セキュリティチームのキャッチアップが 遅すぎて話が噛み合わん • こんなスピードじゃ競合に勝てない
  9. 9. © 2019 NTT DOCOMO, INC. All Rights Reserved. うん、これもよくわかる
  10. 10. © 2019 NTT DOCOMO, INC. All Rights Reserved. 最先端のGuysはどうやってるのよ?
  11. 11. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. 大事なのは”人”を介在させないこと Securityもスケールさせること  Auto test (自動テスト)  Auto detection/remediation(自動検知修復)  Templatize(テンプレート化)  Machine learning approach(機械学習) https://www.youtube.com/watch?v=FKphJNfpWk8
  12. 12. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. 監査もスケールさせる  Paper workからの脱却  定期的からリアルタイムに  Evidence作成もControlも自動化 https://www.youtube.com/watch?v=FKphJNfpWk8
  13. 13. © 2019 NTT DOCOMO, INC. All Rights Reserved. ほうほう、AWSはとにかくSecurityも自動化だと
  14. 14. © 2019 NTT DOCOMO, INC. All Rights Reserved. ユーザ企業のGuysはどう考えているの?
  15. 15. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. Comcast Evolving perimeters with guardrails, not gates; Improving developer agility Securityだけでなく、ScalabilityとDeveloper Experienceも強く意識 • 開発者が使いたいときに使いたいものを必要なだけ使えること • Gateはダメ、Guardrailsになる IAM Roleの払い出しの自動化 • IAMの権限作成でGateを作らないため、Role vending machineという自動化ツールを作成 • 払い出し時に権限のユニットテストやIntegrationテストを実装 • Terraformのカスタムプロバイダを作成し,Role vending APIを組み込んで利便性を向上 https://www.slideshare.net/AmazonWebServices/evolving-perimeters-with-guardrails-not-gates-improving-developer-agility-sdd331-aws-reinforce-2019
  16. 16. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. Riot Games HOW RIOT GAMES DOES ACCOUNT CREATION AND AWS API ACCESS アカウントの払い出しの自動化 • Step Functionsの活用 Permanent Credentialsの削除 • Credentials漏洩を機にPermanent Credentialsの排除の取り組み開始 • Key Conjurerの開発(https://github.com/RiotGames/key-conjurer) • 一時キーの払い出しツール • DXを意識し、WebUIの他、CLI、APIも準備 • Permanent Credentialsを72.8%削減(853 -> 232) https://www.slideshare.net/AmazonWebServices/account-automation-and-temporary-aws-credential-service-grc328-aws-reinforce-2019
  17. 17. © 2019 NTT DOCOMO, INC. All Rights Reserved. SecurityをHackしている
  18. 18. © 2019 NTT DOCOMO, INC. All Rights Reserved. SecurityのためのDevelopment というアプローチ
  19. 19. © 2019 NTT DOCOMO, INC. All Rights Reserved. Dev for Sec Security Guys Secを理解する Devのノウハウを積極的に提供する Developer Guys Devを理解する 自動化を前向きに捉えてやってみる
  20. 20. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. 期待できる効果 • DevとSecが双方の課題を認識し協力関係がうまれる • DevからSecへ自然と最新情報がインプットされるので,Secのキャッチア ップが早くなる • Secがスケールし、Devが加速する • 自動化により大きな成果が期待できるようなので、双方のモチベーション があがる • 結果,強固なセキュリティプロセスが確立されるので,会社として大きな競 争力が生まれ、ビジネスが加速する
  21. 21. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. 気をつけないといけないのは Dev/Secの権限分離 • Securityの大前提は、権限の分離 • Sec/Devは協力しつつも権限は分離しておく 皆が自然と利用する”動機”を強く意識する • ツールや仕組みをむやみに強制しない • DevとSecが双方に”得をする”仕組みを作る
  22. 22. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. ドコモの取り組み(ScanMonster) https://dev.smt.docomo.ne.jp/?p=common_page&p_name=scanmonster • AWS環境の自動アセスメントツール開発 • 日々のAWS環境チェックの負担を軽減しスケールさせる
  23. 23. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. ScanMonsterアーキテクチャ https://dev.smt.docomo.ne.jp/?p=common_page&p_name=scanmonster
  24. 24. © 2008 NTT DOCOMO, INC. All rights reserved.© 2019 NTT DOCOMO, INC. All Rights Reserved. まだまだ足りない、もっとやっていく Thank you ! まだまだ足りない、もっとやっていく Thank you !

×