目次

• 目次
• はじめに
  • セキュリティはサービスの中心ではない
  • WHYとWHATとHOW
  • ガードレール型のセキュリティ
  • データフローによる保護範囲の把握
• 最後に

はじめに

「AWSではじめるクラウドセキュリティ」を購入して読みましたので、読後レポートを書こうと思います。 この書籍はAWS社の職員の方々が執筆した書籍ですが、AWSに特化した記述だけでなく、 情報セキュリティとは何か、セキュリティを守るための組織の在り方が示されていました。

これまでの知識の見直しになったのと同時に一方、現状不十分 or できていないこともあり、 セキュリティ担当者の方でもセキュリティの学びと実践には終わりはないことを再認識しました。

以下自分が学びと感じた点と所感を書いていきます。 第３部（第10章と11章）のハンズオンは、執筆時点でまだハンズオン完了していないため、第１部と２部が対象となります（完了次第別記事で気づきや学びを書いていこうと思います）。

明らかな誤認識などがありましたら、ご指摘いただけますと幸いです。

なお、本記事については私個人の見解であり、組織を代表するものではありません。

セキュリティはサービスの中心ではない

第1章からの引用です。 確かにどんなサービスも、セキュリティが主役ではなく、ユーザがサービスに対して感じる価値もセキュリティではありません。 書籍でも書かれているような、知識やスキル不足、負荷とそこに対するリソース配分が課題になっているからだと思いますが、 ここに気付いておきながら、手間を増やしてしまう（or 本来不要なことをやり続けている）ことは結構あるんではないかと思いました。 逆に手間を減らしてしまう（or 必要な対策を適切にとらない）こともあるのではと思いました。

バランスを取るのは難しいことですが、 サービス運営、サービスに関わる人に手間を与えてしまったり、逆に脆弱性を作ってしまうと、その分サービスの価値を落としかねません。 対策の本質を見極め、相手に対する価値やメリットを提示できるよう頭を働かせないと、所属組織の対外的価値も落としてしまいかねないと思いました。 常に考えながら取り組まなければならないと思いました。

WHYとWHATとHOW

第2章からの引用ですが、「はじめに」にも書かれていました。

• 何が期待されているか（WHYやWHAT）
• どのように実現するか（HOW）

また、それに対する、

• 説明責任（WHY/WHAT）
• 実行責任（HOW）

を実行しなければなりません。説明責任はアウトソースできないですが、これは経営者だけでなく現場の担当者にも言えることかなと思います。 また、実行責任をアウトソースできても、そこに対する統制はしなければなりませんし、アウトソース先にやってもらうことの理解がないと、対策は破綻してしまうと思います。 自分が何の対策をして（どこにアウトソースを依頼して）、なぜやるのか、自分以外の人たちに説明できるように。まずはそこからかなと。 対策の効果を上げられるよう、HOWとWHYとWHAT、心に刻んで仕事しようと思いました。 セキュリティに限った話でなく、当たり前のことかもしれませんが…

ガードレール型のセキュリティ

第4章と第8章で触れられていました。 組織にガバナンスとポリシーを定めないと、人による脆弱性が生まれます。 人的ミスを防ぐためのITによる仕組みも、ただ使うのではなく統制が必要です。 しかし、「統制」ばかりすると、手間を増やし事業やサービスの邪魔になってしまうかもしれません。

歩みを止めず道を外さないように進んでもらい、逸脱を発見できるようにするガードレール。 変化のスピードが激しい現代、このアプローチによる対策をいかに考えられるかが大事だと思います。 とはいえ、ガードレールがあればゲートキーパーは不要かと言ったらそうではなく、 ゲートキーパーで防げない物をガードレールで検知できるようにすることが必要。 これも、WHYとWHATを明確にして、どのポイントでどう守るか（HOW）を定義すれば、 手間になりすぎず脆弱性を作りこむことも少なくなるのではないかと思いました。

データフローによる保護範囲の把握

第6章からの抜粋です。個人的にはここが今までにない観点で、これを意識したアセスメントができていなかったため取り上げました。 Webシステムのデータフローが例として挙げられていましたが、システム以外にも業務フローにも当てはまることかと思います。 データの流れ、仕事の流れに着目すれば、暗号化されていない個所、盗聴されかねない場所、老朽化したネットワーク、人的ミスなど、 不足している対策が見えてくるということに改めて気づかされました。何事も流れをつかむことが大事ですね。

最後に

冒頭に書いた通り、「AWSではじめる」と銘打ってあるものの、AWSに特化しているわけでなく、 他のクラウドサービスに置き換えても共通する内容だと思いました。 AWSをはじめクラウドに関わりの浅い情報システム担当者や企業の情報セキュリティ部門の方々が読んでも 学びになること、見直しになることが多いのではないかと思いました。

セキュリティ管理、監視と検知の一般的な考え方とAWSでの実現方法が絶妙なバランスで書かれていたため、 「このAWSサービスはどんなシーンで使われるのか」についても、とても分かりやすかったです。 AWSを活用してセキュリティ対策をしたい方にもうってつけと思いました。

明日3/23に以下のイベントがありますので、今回のブログを書いて予習になり、少し頭を整理できて良かったと思っています。 まだまだ理解が浅いと思っているので、明日のイベントに参加して、事あるごとに読み返して理解を深めていきたいです。

jawsug-chiba.connpass.com

目次

• 目次
• はじめに
• 2022年のふりかえり
  • 良かった点
  • 足りなかったこと
• 2023年の目標
• 最後に

はじめに

2023年になりました。あけましておめでとうございます！ 去年は目標を書いていませんでしたので、今年は目標を書きます。

2022年のふりかえり

AWS認定への挑戦はし続けて前年以上の結果を出せました。

しかし、アウトプット量は減り、仕事への向き合い方にも疑問を感じるようになりました。 結果的にアウトプット前提のインプットにならず、本質的な理解が不十分だったと感じています。 良かったこともありましたが、やり切った感触は少なかった１年でした。

良かった点

• AWS認定３つ合格（SCS・SOA・SAP）
• Coffee Advent Calendar 最高寄稿者更新

足りなかったこと

• 情報処理技術者試験不合格（春秋ともに）だった。
• 挑戦的な仕事をなかなかできなかった。
• 今の仕事を続けることに疑問を感じるようになったが、どうありたいか言語化できなかった。
• 登壇、ブログなどアウトプット量が前年（2021年）と比べて減った。
• コーヒーを広めるための活動がほとんどできなかった。

2023年の目標

• 職種・職場・働き方を変える（※）。
• コーヒーを職場に広める。
• コーヒーのイベントを開催する。
• コーヒー好きな人を最低1人増やす。
• ネットワークスペシャリスト・データベーススペシャリストに再挑戦する。
• AWS認定に３つ（ANS・DBS・DAS）挑戦する。
• オフライン勉強会で最低3回登壇する（技術ネタ云々は問わず）。
• 関東圏外のオフライン勉強会に最低1回は参加する。
• 技術ブログを最低月1回のペースで書く。

「自己を見直す」が今年のテーマだと考えています。 新しい仕事への挑戦とスキルアップ、コーヒーを広めるための挑戦とその環境作りを図りたい。 また、より多くの人たちと知り合って知見を広め、出会った人たちに何かを良い影響を与えられるようなアウトプットをしたい。 そのためにも、これまでの自分の行動、考え方、仕事、環境等を見直して、変えられるところを変えていきたいと考えています。

最後に

長々と書いても仕方ないので、簡単に書きました。 1月に誕生日を迎えてまた一つ年を取ります。 自分ももう若くないけど、様々な立場、年齢の方が挑戦しているのを見ていると、諦めたり気後れするのはまだ早い。 向き不向きは置いといて、今までやってこなかったことに「挑戦」して自分の殻を破りたいと考えています。

あまり気負いしすぎない程度で楽しくやっていきたいですが、１つでも多くの結果を出したいと思います。

目次

• 目次
• 初めに
  • 2022/9/9 群馬県みなかみ町 藤原ダム
  • 2022/10/14 埼玉県秩父市 浦山ダム
• 最後に

初めに

この記事は、Coffee Advent Carendar 2022 第１日目の記事です。

adventar.org

毎年恒例のCoffee Advent Carendarがはじまりました。 初日は私amarelo（アマレロ）が書きます。

「1人でどこか気の向くままに出かけてのんびりしたい。」

ある日の仕事中、ストレスが溜まっていたのか、急にそんな思いが湧いてきました。

たまには自分だけのために休暇を取って気晴らしした方が良いと思い、以前からやってみたかったダム巡りに行こうと思いました。

そこでコーヒー淹れて飲んだらのんびりできて気持ちいいだろうなぁと思い、9月と10月にダム際コーヒーをやってきました。

2022/9/9 群馬県みなかみ町 藤原ダム

※藤原ダムについて。 www.ktr.mlit.go.jp

9月前半の日中帯はまだ暑いと思い、自宅でアイスコーヒーを淹れて持っていきました。 ダム湖を眺めながらアイスコーヒー、はじめてのダム際コーヒー。広大なダム湖と自然を眺めて癒されました♪

ダムからの帰りに立ち寄った川のほとりでもう一杯。

ダム際ではないですが、水上駅から上越線で土合駅に行き、駅舎内にある駅茶モグラにてもう一杯アイスコーヒーをいただきました。 土合駅は別名モグラ駅ともいわれており、地下ホームから地上までの階段は486段強！ 疲れましたが、その疲れた体に染み渡るアイスコーヒーでした。アンバタートーストも美味しかった♪

2022/10/14 埼玉県秩父市 浦山ダム

※浦山ダムについて

ja.wikipedia.org

情報処理技術者試験が終わって間もないころだったので、気分転換しようと思い行ってきました。 この日は朝からあいにくの雨。浦山ダム到着時も雨で霧がかかっていましたが、幻想的な風景に見えて心躍りました♪

先に昼食を済ませて雨脚が弱まってきたところを見計らって、ダム際でコーヒーを飲みました。 雨の予報だったので、この日はホットコーヒーを自宅で淹れてきました。 山に軽く霧がかかった景色を見ながら飲むコーヒー。なかなかできない景色と経験でした。

午後に差し掛かって雨は完全に止んだので、天端のベンチで読書をしてから帰りました。 浦山ダムは天端が広く、のんびりコーヒー飲んだり読書するにはうってつけの場所だと思いました。 2週間くらい前に行っていたら、紅葉がキレイだっただろうなぁと思います。行けばよかったなぁ。。。

最後に

自然の中でのんびりとコーヒーを飲みながら読書をし、ダムのある町を観光して過ごす休日。

家にばかり居続けるのにも疲れが出てきたので、景色を変えることで良い気分転換になり気持ちよく過ごすことができました。 また、今回のようにコーヒーの楽しみ方を実践と追及して発信していくのは、コーヒーを広めるための活動の一つだなと思いました。 車は使えなかったので公共交通機関を使っていきましたが、小旅行のような感覚も味わえたのも良かったです。 スケジュールを調整して定期的にダム巡りとダム際コーヒーをやり続けたいと思います！

短いですが、今日はここまでにします。最後まで読んでいただきありがとうございました！！

久々のブログになってしまいました。 8/4 JAWS-UG朝会 #36 に参加しましたのでレポートを書きます。

目次

• 目次
• イベントページ
• セッション内容
  • セッション① AWSのコンテナイメージスキャン手法をまとめてみた クラスメソッド株式会社 たかくにさん
    • コンテナセキュリティ
    • 資料
  • セッション② インフラのテストにVPC Reachability Analyzer は外せないという話 株式会社ヌーラボ 中野雅之さん
    • ネットワーク疎通テスト
    • Serverspecとawspec
    • VPC Reachabbility Analyzer
    • 資料
  • LT① シェルスクリプトでAWSをいい感じに使いたい shimoさん
    • 資料
  • LT② サーバレス開発が地味にキツイ、特にDynamoDB NTT東日本　長久保聡さん
    • 資料
  • LT③ 年700万円損するサーバレスの認可システムをご紹介します！！ 生活協同組合コープさっぽろ 樋口修也さん
    • 資料
• 最後に

イベントページ

https://jawsug-asa.connpass.com/event/245634/

セッション内容

セッション① AWSのコンテナイメージスキャン手法をまとめてみた クラスメソッド株式会社 たかくにさん

コンテナセキュリティ

• ECRイメージスキャン（ベーシックスキャン）
  • 手動スキャン（24時間に1回）と自動スキャン
  • Clair プロジェクトのデータベースを使ってスキャン
  • 無料
  • 導入しやすい
• ECRイメージスキャン（拡張スキャン）
  • Inspectorがサービスロールを使ってスキャン
  • 複数のデータベース（Snykなど）を使用
    • Snykのデータベースの一部を使っている
    • 有料
  • OSに加えてプログラミング言語パッケージもスキャン対象
  • Security Hub、Organizationsとの統合
• docker scan
  • docker-scan-pluginを使ってローカルのDockerイメージに対して行うスキャン
  • Snykを使用
    • Snykとは
      • 開発者が利用するために作られたセキュリティプラットフォーム
  • 無料
• Docker Hub上で脆弱性スキャン
  • 有料
• Snyk Container
  • Snykデータベースを使用
  • OSに加えてプログラミング言語パッケージもスキャン対象
  • 日次や週次の定期スキャン
  • 新しいCVEが公開されたら自動でスキャン
  • 無料プラン（100回/月）と有料プランがある

資料

speakerdeck.com

セッション② インフラのテストにVPC Reachability Analyzer は外せないという話 株式会社ヌーラボ 中野雅之さん

ネットワーク疎通テスト

• 手動でやるとサーバ増えた時に無理
• ツールに頼る必要がある

Serverspecとawspec

• Serverspecとは？
  • Ruby製のOSS
  • サーバのプロビジョニング状態やネットワークレベルの疎通確認ができる。
• awspecとは？
  • AWSリソースに対する設定のテストができる
• 気になる点
  • コンテナやALBを起点とした場合の確認は？
  • VPC Reachabbility Analyzerの使用

VPC Reachabbility Analyzer

• AWSリソースに対するネットワークレベルの疎通テストを行うことができる
• ただ、一度作成したパスは編集ができないので再作成する必要がある
  • ENIやインスタンスを誤って作成した場合は再作成
• ECS FargateのようなENIがコロコロ変わるリソースとは相性が悪い
  • ENIのタグ名がコンソール上では表示されないのでわかりづらい
  • AWS CLIを使う
• Serverspecやawspecを併用して手厚いテストを実施可能

資料

speakerdeck.com

LT① シェルスクリプトでAWSをいい感じに使いたい shimoさん

• シェルスクリプトを使ってAWS操作を自動化
  • 覚えることが減る
  • 時短できる
  • オレオレ魔改造になりがちになる
• EC2インスタンスにSSH接続
  • VPC接続を確認
  • 複数EC2から選択
  • EC2を起動してIPを受け取る
    • start-instancesで起動
    • 出力は 2 > $1 > /dev/null で捨てる
  • SSHログインする
• これらを順番に.shファイルに書いていけば出来上がり

資料

docs.google.com

LT② サーバレス開発が地味にキツイ、特にDynamoDB NTT東日本　長久保聡さん

• 仕様変更や機能追加の時にきつくなる
• GSIを安易に付与するとテーブル設計が崩壊する。引継ぎが辛くなる。
  • RDBみたいな構造になっていく
• scanはscan全体で課金される。
• マイクロサービスが上手く構築されていないのが原因

資料

※公開され次第追記

LT③ 年700万円損するサーバレスの認可システムをご紹介します！！ 生活協同組合コープさっぽろ 樋口修也さん

• 認証認可とは？
  • 認証：端末の使用者が誰かを明確にする
  • 認可：誰に何をして良いかを確認する
• 複数APIあるとレガシーidの管理が大変
• 認可用のAPIを作るとアクセスが集中してコストと保守工数が発生してしまう
• Auth0上のmetadataにレガシーidを持たせる
  • 複数APIもOK
  • id変更も一括で可能
• トークンの認可を各APIで処理するとお得になる

資料

speakerdeck.com

最後に

DynamoDBのscanはDB全体へのスキャンにお金がかかること、初めて知りました。 自分が作ったTwitter BotでDynamoDB Scan使っているので、レコード増やし過ぎないように気をつけなければと思いました。 AWS CLIとシェルスクリプトの活用、まだまだやれていないことあるので、今日シェルスクリプトの話を聞けて刺激になりました。

最近ブログ更新出来ていませんでした。勉強会には色々参加しているんですが、サボり癖がついて良くないですね。。。アウトプット大事！ 朝会の登壇も希望者が増えてきて内容が濃くなったので、自分が登壇する時ももっと内容と精度を高められるようにしなければ。。。