こんにちは、ひろかずです
re:Inforceから帰ってきて1ヶ月が経ちました。
先日行われたre:Infoece re:capに参加して、re:Inforce参加者の話を聞くうちに、自分も総括しておくのも良いかなと思ったので、一筆書きます。
ひろかずの独断と偏見が多分に含まれます。あしからずー
tl;dr的な何か
- セキュリティのことをセキュリティチームが閉じ籠もってやる時代は終わった
- セキュリティはコードに織り込み、CI/CDを経て実装され、監査もコードで実装する時代
- Expoを見るに、トレンドは、ガバナンスとCI/CD色がが強めで、コンテナセキュリティなどが追従している感じ
- 英語力は関係ない。武器はホワイトボード
re:Infoeceとは何だったか
AWS主催のセキュリティに特化した学習型カンファレンス
と言われていたが、ピンと来なかった- その実としては、以下のようなものでした
- セキュリティを実装し、運用する方法論について比重が置かれたセッション群
- Security JamやWork Shopなどで手を動かすコンテンツ
- セキュリティにフォーカスした製品が立ち並び、そのトレンド推し知ることができるExpo
- 発表されたばかりのサービスについても議論できる、Ask an Expert
- これらのコンテンツを手頃な移動距離で回ることができる、非常に効率のいいカンファレンスであった
re:Infoece参加のモチベーションとその結果
モチベーション
- re:Infoece参加を決定づけたのは、re:Inforce2019で受けた衝撃でした
- マイクロアカウント戦略を行う実際の現場の話を聞いた時に、考え方と現場感、スピード感を見るに、日本では絶対に観測できない話だと感じたのです
- そういった、日本では観測できない、現場感のある先進的な考え方をキャッチしたいというパッションだけで行ってきました
得られたもの
Security as Code - セキュリティチームが閉じこもって業務を行う時代は終わった
- スケールする環境にSecが対応するためには、人手を介さないようにする必要がある
- SecurityをCodeのデプロイプロセスに織り込むことで実現する
- アプリケーションデプロイのCI/CDパイプラインを通じて、静的解析、動的解析、ペネトレーションテストを行う
- Secは、ノウハウをDevOpsに織り込むために歩み寄る
- Securityをコード化するのは、DevOpsの力を借りる必要がある
- DevOpsは、フィードバックをSecにしつつ、Securityを開発パイプライン織り込んでいく
- テストや監査もコード化することで、半期や年一回の監査から、常時監査が行われる世界
- 監査担当は、インフラチームやDevOpsチームの力を借りて、監査項目のコード化を進める必要がある流れ
Control TowerとService Catalog
- Control Towerは、ポリシー違反しているアカウントとリソースを集中管理し、アカウントに対してガードレール設定を施す
- Service Catalogは、登録したポートフォリオ(CloudFormationテンプレート)を用いてインフラ部分の構築することで、構成を標準化し、構成に必要な権限を最小化することができる
- この2つを組み合わせることで、アプリケーションを除く大部分は人手の介在を大幅に減らすことができる
- 動画はこちら FND311 - Mitigate Misconfigurations with AWS Service Catalog and Control Tower
SageMakerのセキュリティ
- 日本ではあまり語られているところを観測できませんでしたが、SageMakerのセキュリティ周りについて現場感のある実装の方法論が語られていたのは大きな収穫でした
- 機械学習の現場では、学習データがサンプルデータやマスクデータでは役に立たず、可能な限り本番に近い生データ
が求められます - そのような環境で求められるセキュリティのデザインについて、聞くことができたのは貴重な体験でした
- 動画はこちら SDD315 – SECURING YOUR AMAZON SAGEMAKER MODEL DEVELOPMENT IN A HIGHLY REGULATED ENVIRONMENT
属性ベースのアクセスコントロール
- 属性ベースのアクセスコントロール(ABAC)の考え方とAWSで実装する方法論について聞くことができました
- 少し前に実装されたIAM User/Roleのタグと、KMS(CMK)のキーポリシーで設定したタグが一致することでの鍵へのアクセス制御を行うことで、データへのアクセスコントロールをするという方法論です
- ビジネスがスケールしていくに伴って、ロールが増えるという宿命を持つRBACが標準となる現状に対して、一石を投じる内容でした
- 実際の現場では、タグの管理方式と運用方式、職務分掌を整備しないと回るように思えませんが、データに対するアクセスコントロールの方法論としては十分に考慮に値するものだと思います
- 動画はこちら SDD350-R1 – [REPEAT 1] SCALE PERMISSIONS MANAGEMENT IN AWS WITH ATTRIBUTE-BASED ACCESS CONTROL
Expoでのトレンドのキャッチアップ
- 全体として、AWS環境の設定状況を可視化に加えて、運用を支援するツールが多く見受けられました
- CloudPassage は、よくあるAWS環境の可視化だけではなく、InspectorのFindingをService Nowのようなワークフローに連携することでトラッキングできるようにする機能を実現していました
- Dockerホストのネットワーク設定可視化も目の前でデモしてもらえました
- NeuVector は、コンテナの脆弱性をスキャンし、Runtimeプロテクションや、コンテナ間内通信を監視してDLPをかけることができる機能を紹介していました
- 国内では見かけない製品をみることで、将来日本に来るかもしれないトレンドを垣間見ることができました
Ask an Expertで最新リリースについて議論
- VPCミラーリングの実装と使い所についてホワイトボードを交えてディスカッションしました
- ひろかずは、英語の会話能力が皆無なのですが、ホワイトボードに書きながら単語を並べるだけで、知りたいことを知るレベルでの会話をすることができました
Security Jamへの挑戦
- 休憩がてらにSecurity Jamに調整しました
- Cloud Strikeを使った脅威検出の問題で、慣れないUIに四苦八苦しましたが、なんとか解くことができました
- その他の問題もやってみたかった!
所感的な何か
- 今回は、新しいトレンドのキャッチアップ半分、これまで自分が行っていた活動の答え合わせ半分でした
- 特に監査やテストのコード化やSageMakerのセキュリティ設定など、必要性を感じて取り組んでいるものが、方向性として間違っていないことがわかったのが収穫でした
次回はヒューストン
多分行きます
お金を貯めておかなくちゃ
開催直前の会場です。
8000人の参加者を受け入れても、ゴミゴミしない広々とした空間でした!
今日はここまでです。
お疲れ様でした。