第15回セキュリティさくらさんに参加レポート

2016年7月31日 02:14:47

第15回セキュリティさくらさんに参加してきました!
 

「セキュリティさくら」さんとは

 公式サイト:https://sites.google.com/site/hackinthecafe/kumamoto
 第15回 概要 : https://atnd.org/events/78426
 
熊本で開催されている情報セキュリティ関連の勉強会。
「セキュリティの技術、仕組み」というよりも「セキュリティの目的とは」「目的のためにどのような運用をしていくべきか」というような根本的な考え方やマネジメントについてを多く考える機会を提供して下さっている勉強会、という印象です(…が大丈夫だったでしょうか?違ったらすみません)
 
また、おいしい馬刺し(任意)とスイーツを頂ける勉強会、としても名高く
某所では「一番おいしい勉強会」というキャッチコピーも見かけました。
実はこそっと前回の0.5回にも参加してきたのですが正式ナンバリングが今回は初めになります。

 

さてさて本題へ

今回のテーマはクラウドのセキュリティについて。
AWSことAmazon Web Services所属の松本照吾氏がご講演下さいました。
 
(※どのくらいまでレポートしていいのか迷ってある程度省略しています。
「書きすぎ」、「分からない」等のご指摘があればご連絡下さい。)

 

まずはクラウドセキュリティの「評価」について
クラウドサービスの利用者と、非利用者で評価が反転しており、
非利用者は使わない理由に「クラウドサービスのセキュリティへの不安」を挙げ、
利用者は使う理由に「クラウドサービスを利用することでセキュアに運用できる」という評価。
使わない理由、使う利用各々の上位に「セキュリティ」が挙げられている、ということから始まります。
 

その次に「そもそもクラウドって?」というお話。
電力の供給が自家発電から広域電力供給のように変遷していったように、
「使う分だけお金を払いましょう」という重量課金制への移行にしているようなイメージ。
クラウドのように環境の調達時間を短縮することができるようになった。
そして今まで「良し」とされていたものが無かったことになり、クラウド前提とした設計・物事の考え方がされるようになってきた。
 

とはいってもクラウドに不安も持つ人もいる。
だからこそ、認証をとってセキュリティについて大丈夫だという証明をとったり、コンプライアンスを整えている。
それに数ヶ月に1度というハイスピードで新しい機能が追加されていったりどんどんイノベーションしてるよ、とのこと。
(クラウドに関するセキュリティの問題発生の原因は8割は利用者。2割が大きく取り上げられている印象がある、というお話もありました)
 

さてさてそんなクラウド。
恩恵を受けるとともに今までの常識が変わるらしいです。
クラウド導入によって
・ ビックデータ、分析インテリジェンスが簡単に手に入る => セキュリティビックデータ。分析インテリジェンスが簡単に手に入る
・全ての社内リソースが可視化される => 全ての社内リソースが可視化される
・リソースのロギング
などなどの「今までできなかったこと」ができるようになりクラウドを利用することによって変化に応じた対応ができるように。
また多すぎる「やらないといけないこと」をクラウド側に任せることができる。
つまり「クラウドのセキュリティが心配?いやクラウドのほうが安全だよ」というレベルではなく
「クラウドだからこその変化に応じたセキュリティができるんだよ!」になってきた、ということ。
 

ではその「クラウドだからこそ」ってなんぞや?というと…
「止まっても大丈夫な仕組み」をつくること。
    今までのように「落ちないサーバ」を求めるのではなく、落ちても良いように「止まっても大丈夫な仕組み」を作りだしていくべきである。
またセキュリティは「費用対効果が求められない」ということがネックになることもあるそうですが
クラウドのセキュリティ利用でることになって「本来やるべきこと」に注力できる、「できなかったことができるようになる」セキュリティが実現できるのだよ!!という夢のあるおはなしも。
 

次はさてはて「できなかったことができるようになる」ってどんなふうにやってくの?というお話です。
そのためには2つのアプローチがあり、1つはSecurity By Design(設計の各段階への要件の組み込み)、
もう1つはDevSecOps(開発運用におけるセキュリティ評価の組み込み)。
 
Security By Designは要は設計について…ということになるのでしょうか?
クラウドにある「テンプレート」という機能を用いてネットワーク構成までも自動化できる。
これらを上手く用いて、権限や利用するサービス、環境を統一し、監査もテンプレートに対して行うことで楽にできるよ、制御もできるよ!とのこと。
あら素敵!!
これでよく分からない人が「何となく動くもの」ではなく、テンプレートを利用した「堅牢な環境」「だれもが前提を把握できる環境」「検証も簡単な環境」ができます。
ちなみにAWSはクイックスタートで複数のテンプレートを用意しているそうです。
 
もう1つのDevSecOpsは巷で話題の「DevOps」にSecurityを加えた形。
アジャイル開発したサービス対して「期待する動作を行うか」等の評価に加えて「セキュリティは問題無いか」という評価を行た上でデプロイをしていく、というイメージでしょうか?
最近増えたAWSのサービス「Amazon Inspector」ではサーバーの検証等もやってくれてセキュリティの評価も実行してくれるそうです、なんて便利!
 

最後に、クラウドはセキュリティに対し「今までできなかったこと」を提供し「変化や要求」に応じ「本当にやるべきこと」に集中できる環境をもたらすよ、
ということで結びでした。

この講演の他にもLTも6件あり、とても興味深い内容だったのですが、ちょっと今回は割愛させて頂きます。

 

感想

講師の松本さんが丁寧に分かりやすく講演して頂いた、ということが大きいのですが
「クラウドを利用することによりよりセキュアになる」という考え方はちょこちょこAWSの勉強会に参加したおかげで理解しやすかったです。
「クラウドだからできること」という響きには夢が広がりますね。
また、「リソースの可視化」という利点は目から鱗だったのですが、それは確かに大きな利点ですよね。
(管理しているサーバのIPアドレスが分からなくなる…ということとか…、その調査を何回もするとか…あり…)
お話もすごく面白く、興味深く拝聴できました。
 
欲を言えば今回はクラウドの「良い面」」ばかり紹介頂いたので「クラウドだから気にしないと行けない点」「利用者が原因により起きたトラブル」等も伺えればよかったかなとも。
質問タイムの時に聞ければよかったのですが、その時は何も思いつかず、今後悔しています。
次回こそはこういうことが内容その場で解決出来るようにしたいですね。
 
 

最後に

馬刺しは当日食べれなかったのですが美味しいスイーツはいただいてきました。
ごちそうさまでした。

calendar

コメント