クラウドセキュリティを再吟味するために〜実例から学ぶ、考慮すべき観点とその対策事例〜に参加してきた
https://findy.connpass.com/event/337675/
こちらのイベントに参加してきたので、会の様子と感想を書いていきます。
会の概要
以下、イベントページから引用です。
セキュリティインシデントが相次ぐ昨今、その対策の重要性が非常に高まっています。中でもクラウドについては、データやシステムに対するセキュリティ確保はもちろんのこと、安全な環境の構築や情報保持に対する法令遵守と多様な要件が求められています。
本イベントでは、ご登壇者の皆様からクラウドセキュリティ対策の実例に加え、ガバメントクラウドやコンテナ利用における留意点までをお話いただきます。参加者の方々が安全なシステムを運用・開発していくための広い知見や、改めてクラウドセキュリティについて考え直す機会を得ることができるイベントを目指します。
会の様子
Snykで始めるセキュリティ担当者とSREと開発者が楽になる脆弱性対応
最初にセキュリティの観点では開発者視点・運用者視点・セキュリティ担当者視点の3つがあるという話がありました。以下、発表中にあったそれぞれの視点を記載します。
- 開発者→デプロイパイプラインを使って自動的にスキャンができるようにすることが重要
- 運用者→ダッシュボードで定期的にリスクを管理し脆弱性が発生したタイミングで通知を受けてリスクを確認
- セキュリティ担当者→システム全体(横串)の運用環境のセキュリティリスクを確認し、横断的にダッシュボードを実装
これらの3視点をすべて網羅するのがSnykだという話があり、3つの視点が1つのツールで見られることが非常に優秀だという話がありました。
マルチプロダクト開発の現場でAWS Security Hubを1年以上運用して得た教訓
最初に発表の前提条件として、
- 複数の種類が異なるプロダクトを抱えておりそれぞれのプロダクトの運営は開発チームに任されている
- 開発チームにインフラの構築・管理は一部移譲されている
の説明がありました。ただし、定期的なセキュリティ診断だけではリスク検知が遅れる問題があり、AWS Security Hubの導入を考えたということです。
実際にAWS Security Hubの導入をしてみた結果、
の3点を意識しておくことが重要だと感じたということです。
ガバメントクラウドから考えるクラウドセキュリティ
ガバメントクラウドでは、運用管理補助者間の責任共有モデルを定義しているそうで、運用管理補助者の責任範囲やガバメントクラウドの責任範囲を定めているということでした。
実際にセキュリティ対策を検討するにあたっては、
- 対象システムの把握
- 責任共有モデルの把握
- GCASガイドの読み込み
- 対策項目検討
- セキュリティ対策検討
のステップで進めたそうで、対策の観点としては防御(職務分掌、最小権限、多層防御、攻撃対象範囲の最小化、影響範囲制限)と検知(予防的統制、発見的統制)を重視していたということです。
10分で学ぶKubernetesコンテナセキュリティ
最初に、コンテナをばりばり活用していくような企業だと、セキュリティが課題になりやすいという話が導入としてありました。
コンテナセキュリティに向き合うには、セキュリティのベストプラクティスに従うのではなくWhyを考えることが重要だということです。
コンテナセキュリティではレイヤ構造でコンテナを捉えたうえで多層防御していくことが重要だというお話で、開発者の立場であればContainer ImageやContainerを考える必要があるということです。
本発表では具体的な一例として、OWASP TOP10を活用したコンテナの設定不備リスクに関する話があり、Container Breakoutを防ぐためにコンテナの隔離性を維持・向上させる(不要な設定を行わない、隔離性を高める設定をする、コンテナ設定のスキャン...)とよいということでした。
会全体を通した感想
個人的には、開発者視点・運用者視点・セキュリティ担当者視点でのセキュリティ観点を統合して管理したいという最初の発表の話が、セキュリティツール乱立問題をこれまで自分が考えてこなかった側面で言語化してくれて、学びが深かったです。
基本的にはセキュリティベストプラクティス準拠が大切という話が多いなという印象は会の前からずっと抱いていたこともあり、トリアージの考え方とかをどう考えているのかの実例が聞けるとありがたかったなとは思いました。
