tag
Security
eye-catch
2026/07/09
SREの判断観点をAIに“効かせる”:WAF運用改善の承認サイクル
はじめに こんにちは。 株式会社ビズリーチで、プロダクトセキュリティグループ / SREグループに所属している佐々木康徳です。 SREは日々、サービスの信頼性を守るために、さまざまなアラートや運用上の判断に向き合っています。 その中でも、WAFアラートのようなセキュリティシグナルの検知は、攻撃や不審な挙動を把握するための重要な情報源です。 個々の検知を丁寧に見ることは重要です。確認を重ねることで、担当者の判断観点は少しずつ磨かれていきます。一方で、その観点が形式知として運用の仕組みに反映されなければ、知見は個人の経験に留まりやすくなります。 その結果、次の運用改善に活かしづらくなります。 本記事では、WAFアラートなどのセキュリティシグナルを起点に、SREの判断観点をAIに“効かせる”取り組みを紹介します。 ここでいう「AIに効かせる」とは、SREが普段見ている観点を、AIが改善案を出すときに参照できる形にすることです。 目指しているのは、AIに判断を丸投げすることではありません。 AIはWAFアラート検知をもとに改善案や判断基準の見直しを提案し、人間はその提案を確認・承認します。承認した内容は、次の運用に反映します。 この流れを作ることで、アラート対応の中で更新される判断基準を、継続的なWAF運用改善につなげていきます。
eye-catch
2021/07/27
失敗の中で生まれた、「寄り添う」内製の脆弱性診断
サービス価値向上に、脆弱性診断を活用できていますか? Visionalグループでは、事業とセキュリティの真の「共存」を実現するため、全社横断組織としてセキュリティ室があります。セキュリティ室では、様々な事業部を巻き込み、脆弱性診断を通して事業部に寄り添ったリスクコントロールを実践しています。そして、「事業部の仲間たちが実現したいことに全力で挑戦できる、安心・安全な環境づくり」 を目指しています。 皆さんの職場ではどのように脆弱性診断と関わっていますか? 「監査対応の要件として実施している」「リスクを抑止するための根拠を提供してもらっている」だけでしょうか。 私たちセキュリティ室も、はじめは在り方が定まっておりませんでした。しかし、様々な課題を乗り越え、現在では事業部との適度な抑止関係でスピード感のあるリスクコントロールができるようになりました。 2021年4月22日に上場を果たすまでの約1年間、数名からなるチームでVisionalグループの全サービスの脆弱性診断を行いながら、どのような課題にぶつかり、アジャイル開発に寄り添うリスクコントロールを実現できるようになっていったのかを紹介します。 内製での脆弱性診断との関わり方や事業のリスクへの向き合い方の参考になれば幸いです。
eye-catch
2021/03/30
Serverless Image Handlerによるセキュアな画像配信の実現
Webサービスを開発する場合、画像配信はtoB/toC問わず必要になることが多いです。人財活用プラットフォームHRMOSの評価管理は2019年にリリースされた機能ですが、データ連携・インフラ整備・セキュリティ強化など、リリースに向けて様々な準備が必要でした。今回はその中から、AWSのサーバーレスを活用して、セキュアに画像を配信する仕組みを構築した時の取り組みをご紹介します。 画像配信を新たに構築した経緯 評価管理をリリースするにあたり、従業員データベースに設定されている顔写真を評価管理に取り込んで、プロフィール画像として利用可能にすることになりました。PoCの段階では、プロフィール画像はユーザーが任意に設定できる画像しかなかったため、画像配信はSNSのプロフィール画像のような公開画像が前提で作られており、以下のような構成でした。 顔写真は個人情報に該当するためセキュアに配信する必要がありますが、画像の閲覧をログイン必須にしてしまうと、Slackやメールなどの通知でプロフィール画像を利用できなくなってしまい、UXが低下してしまいます。そこで、ログインユーザーしかURLを知ることができず、画像の閲覧はログイン不要にできる署名付きURLで配信する仕組みを構築することにしました。