Enviar búsqueda
Cargar
脆弱性管理の自動化への取り組み
•
0 recomendaciones
•
892 vistas
Takuya Tezuka
Seguir
Infra Study 2nd #4 LT 脆弱性管理の自動化への取り組み https://forkwell.connpass.com/event/219136/
Leer menos
Leer más
Internet
Denunciar
Compartir
Denunciar
Compartir
1 de 16
Descargar ahora
Descargar para leer sin conexión
Recomendados
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
Mercari JPのモノリスサービスをKubernetesに移行した話 PHP Conference 2022 9/24
Mercari JPのモノリスサービスをKubernetesに移行した話 PHP Conference 2022 9/24
Shin Ohno
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
NTT DATA Technology & Innovation
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
Amazon Web Services Japan
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
Amazon Web Services Japan
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
Recomendados
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
Mercari JPのモノリスサービスをKubernetesに移行した話 PHP Conference 2022 9/24
Mercari JPのモノリスサービスをKubernetesに移行した話 PHP Conference 2022 9/24
Shin Ohno
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
NTT DATA Technology & Innovation
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
Amazon Web Services Japan
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
Amazon Web Services Japan
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
これからはじめるインフラエンジニア
これからはじめるインフラエンジニア
外道 父
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
Masaya Tahara
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
Yusuke Suzuki
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
NTT DATA Technology & Innovation
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
The Twelve-Factor Appで考えるAWSのサービス開発
The Twelve-Factor Appで考えるAWSのサービス開発
Amazon Web Services Japan
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Noritaka Sekiyama
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Kazumi IWANAGA
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Amazon Web Services Japan
30分でわかるマイクロサービスアーキテクチャ 第2版
30分でわかるマイクロサービスアーキテクチャ 第2版
Naoki (Neo) SATO
インフラCICDの勘所
インフラCICDの勘所
Toru Makabe
AWS Outposts/LocalZones/Wavelength勉強会
AWS Outposts/LocalZones/Wavelength勉強会
Mamoru Ohashi
マイクロサービス化設計入門 - AWS Dev Day Tokyo 2017
マイクロサービス化設計入門 - AWS Dev Day Tokyo 2017
Yusuke Suzuki
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway
Amazon Web Services Japan
DevOps with Database on AWS
DevOps with Database on AWS
Amazon Web Services Japan
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
CircleCI vs. CodePipeline
CircleCI vs. CodePipeline
HonMarkHunt
エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩
Takuya Tezuka
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
法林浩之
Más contenido relacionado
La actualidad más candente
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
これからはじめるインフラエンジニア
これからはじめるインフラエンジニア
外道 父
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
Masaya Tahara
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
Yusuke Suzuki
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
NTT DATA Technology & Innovation
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
The Twelve-Factor Appで考えるAWSのサービス開発
The Twelve-Factor Appで考えるAWSのサービス開発
Amazon Web Services Japan
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Noritaka Sekiyama
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Kazumi IWANAGA
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Amazon Web Services Japan
30分でわかるマイクロサービスアーキテクチャ 第2版
30分でわかるマイクロサービスアーキテクチャ 第2版
Naoki (Neo) SATO
インフラCICDの勘所
インフラCICDの勘所
Toru Makabe
AWS Outposts/LocalZones/Wavelength勉強会
AWS Outposts/LocalZones/Wavelength勉強会
Mamoru Ohashi
マイクロサービス化設計入門 - AWS Dev Day Tokyo 2017
マイクロサービス化設計入門 - AWS Dev Day Tokyo 2017
Yusuke Suzuki
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway
Amazon Web Services Japan
DevOps with Database on AWS
DevOps with Database on AWS
Amazon Web Services Japan
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
CircleCI vs. CodePipeline
CircleCI vs. CodePipeline
HonMarkHunt
La actualidad más candente
(20)
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
これからはじめるインフラエンジニア
これからはじめるインフラエンジニア
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
マイクロサービス化デザインパターン - #AWSDevDay Tokyo 2018
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
The Twelve-Factor Appで考えるAWSのサービス開発
The Twelve-Factor Appで考えるAWSのサービス開発
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
30分でわかるマイクロサービスアーキテクチャ 第2版
30分でわかるマイクロサービスアーキテクチャ 第2版
インフラCICDの勘所
インフラCICDの勘所
AWS Outposts/LocalZones/Wavelength勉強会
AWS Outposts/LocalZones/Wavelength勉強会
マイクロサービス化設計入門 - AWS Dev Day Tokyo 2017
マイクロサービス化設計入門 - AWS Dev Day Tokyo 2017
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway
DevOps with Database on AWS
DevOps with Database on AWS
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
CircleCI vs. CodePipeline
CircleCI vs. CodePipeline
Similar a 脆弱性管理の自動化への取り組み
エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩
Takuya Tezuka
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
法林浩之
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
cyberagent
クラウド運用3足の草鞋151102
クラウド運用3足の草鞋151102
Keiichi Hashimoto
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
貴志 上坂
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
schoowebcampus
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
KenjiroHirata
20201029 hirata
20201029 hirata
beyond Co., Ltd.
私が考える泥くさいMsp
私が考える泥くさいMsp
Kazumi Hirose
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
Koji Asaga
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
Azure Machine Learningを触ってみた!
Azure Machine Learningを触ってみた!
Takuya Tachibana
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
雄哉 吉田
eVar7 = s.t(art) ; Kick-Off
eVar7 = s.t(art) ; Kick-Off
Makoto Shimizu
Cloud native strategy ver1.1
Cloud native strategy ver1.1
TomohiroDoi
Azure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep Dive
Yoshimasa Katakura
ユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話し
Hideaki Tarumi
SSH応用編_20231129.pdf
SSH応用編_20231129.pdf
icebreaker4
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
ta2bana
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
Insight Technology, Inc.
Similar a 脆弱性管理の自動化への取り組み
(20)
エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
さくらのクラウドのスタートアップスクリプトにbaserCMSが追加されたので、使ってみよう(長い)
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
クラウド運用3足の草鞋151102
クラウド運用3足の草鞋151102
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
アルゴリズムから学ぶAzure mlモジュールの使いこなし方 hd-insight編-
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
20201029 hirata
20201029 hirata
私が考える泥くさいMsp
私が考える泥くさいMsp
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
エンタープライズ向けクラウドサービスにおける ID 連携の有用性
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
Azure Machine Learningを触ってみた!
Azure Machine Learningを触ってみた!
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
デブサミ2015 クラウドを活かす組織運営 ガバナンス入門
eVar7 = s.t(art) ; Kick-Off
eVar7 = s.t(art) ; Kick-Off
Cloud native strategy ver1.1
Cloud native strategy ver1.1
Azure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep Dive
ユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話し
SSH応用編_20231129.pdf
SSH応用編_20231129.pdf
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
SaaS新規事業に最も必要なエコシステムの作り方 by クラウドサイン ~リリース2年で導入社数2万社を突破したエコシステムの秘訣 ~
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
[db tech showcase Tokyo 2016] B15: サイバーエージェント アドテクスタジオの次世代データ分析基盤紹介 by 株式会社サイ...
脆弱性管理の自動化への取り組み
1.
株式会社スリーシェイク 脆弱性管理の自動化 への取り組み
2.
Copyrights©3-shake Inc. All
Rights Reserved. 2 自己紹介 自治体やデータベースマーケティング会社でのインフラ設計 /構築 /運用を主に経験し、2018 年 10 月に 3-Shake に Join。 3-Shake Join 後は Google Cloud / AWS / kubernetes / ServiceMesh など様々な技術的アプローチを駆使し、 大手からベンチャー等規模を問わず様々な組織に対して SREの コンサルティングや実践を行っている。 趣味はボクシング観戦 ※ 日曜日の昼間は一人で WOWOW 見ながら一人で熱狂してます ... 手塚 卓也
3.
Copyrights©3-shake Inc. All
Rights Reserved. 3 いきなり宣伝ですが.... 9/9 出ます 近々、第三回やります
4.
Copyrights©3-shake Inc. All
Rights Reserved. 4 About 3-Shake SRE 支援 / 技術支援 サービス Sreake セキュリティ脆弱性診断 サービス Sreake Security クラウド型 ETL / データ パ イプライン サービス Reckoner ハイスキル フリーランス紹 介サービス Relance Reckoner はクラウド型ETL / データパイプラインサービスで す。 データベース・ストレージ・アプリ ケーションなど、あらゆるデータを 統合・連携することで、データを活 用したビジネス変革に貢献しま す。 Sreake Security は経験豊富な セキュリティ専門家が貴社の課題 に合わせたセキュリティ対策を支 援するサービスです。 Sreake は金融・医療・動画配信 ・AI・ゲームなど技術力が求めら れる領域で豊富な経験を持つ SRE が集まったチームによる 技 術支援サービスです。戦略策定 から設計・構築・運用、 SaaS 提供 まで、幅広い領域をサポートしま す。 Relance は、プロの現役エンジニ ア集団が最適なエンジニアを紹介 するフリーランスエンジニア紹介 サービスです。 技術支援や、 1on1 での定期フォ ローなど、参画後も高いパフォー マンスを維持し続けられる体制 を 提供しています。
5.
Copyrights©3-shake Inc. All
Rights Reserved. 5 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性に合わ せた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサイン等 をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題
6.
Copyrights©3-shake Inc. All
Rights Reserved. 6 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性に合わ せた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサイン等 をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 システム数が増えたり規模が大きくなるにつれて 管理がキツくなってくるので、「自動化」しよう
7.
Copyrights©3-shake Inc. All
Rights Reserved. 7 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR レジストリ上のImageを定期的 にScan
8.
Copyrights©3-shake Inc. All
Rights Reserved. 8 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール 1. Trivyにて、リポジトリ上の Containerの脆弱性スキャンを定 期的に実施。 2. スキャン結果をGCSへ転送 AWS ECR レジストリ上のImageを定期的 にScan
9.
Copyrights©3-shake Inc. All
Rights Reserved. 9 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR 脆弱性レポートにメタデータ(テナント情報等)を 付与して、BigQueryに連携 レジストリ上のImageを定期的 にScan
10.
Copyrights©3-shake Inc. All
Rights Reserved. 10 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR BQに蓄積されたデータを Lookerで可視化。 対応状況を把握しやすくする。 レジストリ上のImageを定期的 にScan
11.
Copyrights©3-shake Inc. All
Rights Reserved. 11 Container 脆弱性管理の自動化 App Security Scan Artifact Registry Cloud Storage BigQuery BI (Business Intelligence) スキャン結果の転送 ETLにてBQに連携 Cloud Functions チケット管理ツール AWS ECR BQのデータを元にチケット管理を行う。 対応の実施有無をJIRA上で管理するため抜け もれなく対応が可能。 レジストリ上のImageを定期的 にScan
12.
Copyrights©3-shake Inc. All
Rights Reserved. 12 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性 に合わせた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサ イン等をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 「CVSSの再計算」と「Severity」の評価をCloud Functions で自動実行 → プログラム上で完結させる事で Toil 削減 BQのデータをもとにチケット管理ツールに対して 自動でチケット作成 → 各サービス担当者へ自動アサインが可能に。 BI ツールで脆弱性の状況を視覚化 → 過去に同様の脆弱性を分析していないかを素早く 検索可能に。
13.
Copyrights©3-shake Inc. All
Rights Reserved. 13 脆弱性管理の自動化の契機 ❖ 脆弱性の評価を手動で実行 ➢ 「Severity」による評価対象の選別やシステム特性 に合わせた評価値の再計算が必要 ❖ 対応が必要な脆弱性を手動で管理 ➢ 脆弱性概要、対象システム、サービス担当者のアサ イン等をチケット管理しないといけない ❖ 検知した脆弱性の検索・分析が大変 ➢ 対応状況の確認、月次レポート作成のための分析 Container の脆弱性管理における課題 「CVSSの再計算」と「Severity」の評価をCloud Functions で自動実行 → プログラム上で完結させる事で Toil 削減 BQのデータをもとにチケット管理ツールに対して 自動でチケット作成 → 各サービス担当者へ自動アサインが可能に。 BI ツールで脆弱性の状況を視覚化 → 過去に同様の脆弱性を分析していないかを素早く 検索可能に。 システム数が増えたり規模が大きくなるにつれて難しくなる脆弱性の管理を 「自動化」や「可視化」を通じて容易に管理可能に ※ ただし、開発は愛を込めた
14.
Copyrights©3-shake Inc. All
Rights Reserved. 14 一緒に働きませんか?
15.
16.
時に、西暦2021年9月1日 シン・セキュリティ サービス発表
Descargar ahora