背景
別プロジェクトにもあるがISMSも含めてサーバのセキュリティ構成がより厳密にセキュアになっているか調査・改善すること
実際にやったこと
AWS編
- EC2/RDS各ユーザの操作ログが取得できるようにユーザの作成及びログ保存ルールを変更及び行動ログや変更履歴などを監視(保存期間を1ヶ月から2年へ, Cloudwatch, CloudTrail, GuardDuty, DeepSecurityなど)
- 前提となるWAFのセキュアレベルを強化を強化&検証しDDoSやクロスサイトスクリプティングなどからの攻撃を確実に防げるように強化(Cloudflare)
- セキュリティグループやネットワーク構成そのものの見直し(ルーティング設定など含む)
GCP
- GCPはテスト環境なのでログについては1ヶ月程度にとどめているが、アクセス時のセキュリティ設定(IPアドレス制限や証明書の更新など)を見直した
総評
まだまだセキュリティ的にベストプラクティスとまでは行かないが、問題になっている部分の改善を現在進行系ですすめている。また、年に1度セキュリティ診断を外部に委託することでセキュリティの強度を維持している方針となった。
