目次

• 目次
• はじめに
• セッション
  • 「AWSではじめるクラウドセキュリティ」をはじめてみよう 松本 照吾さん
    • 概要
    • 所感
  • Security Lakeの話の続編 山口 隆史さん
    • 概要
    • 所感
  • 「AWSではじめるクラウドセキュリティ」感想LT1 北原 雅人さん
    • 概要
    • 所感
  • 「AWSではじめるクラウドセキュリティ」感想LT2 山口 正徳さん
    • 資料
    • 概要
    • 所感
  • 「AWSではじめるクラウドセキュリティ」感想LT3 和田 健一郎さん
    • 概要
    • 所感
  • 「AWSではじめるクラウドセキュリティ」感想LT4 榎本 ジョン 航介さん
    • 概要
    • 所感
• 最後に

はじめに

2023/3/23 JAWS-UG千葉支部オンライン#20 に参加しましたので、参加レポートを書きます。

今回は、「AWSではじめるクラウドセキュリティ」をテーマのイベント、書籍を読んで予習をしてから参加です。

※手前味噌で恐縮ですが、昨日自分が書いた書籍の感想ブログを載せます。こちらも見ていただけますと幸いです。

amarelo24.hatenablog.com

セッション

「AWSではじめるクラウドセキュリティ」をはじめてみよう 松本 照吾さん

概要

• セキュリティに興味がある職員が集まって書いた書籍。これからITをクラウドを学ぶ人への架け橋にという想いで書いた。
• セキュリティが課題になった時の議論をするための土台になれば。
• 技術はたんにその知識を得るだけでは使いこなせるようにはならない。実際に触って体験し、ときには失敗することで身に付いていく。
• 「何のためにセキュリティが必要なのか」を考えると、ビジネス上の期待や要求などとのバランスを取ることが必要。
• セキュリティはビジネスを安全に回すための手段
• 「サービスは何のためのものなのか」、「何のためそのセキュリティ対策が必要なのか」を考える。
• 先に過度に細かいルールを増やしてしまうと、新たな変化に対してブロッカーになってしまうリスクがある。
• セキュリティの原則に立ち戻り「そもそも何を実現したいのか」という視点を持つことが重要

所感

mentiを使って参加型のセッションで楽しみながら拝聴できました。 その一方で首がもげそうなくらい同感できる言葉が多く、WHATとWHYを大事にして人にやさしいセキュリティ対策をしたいと思いました。

Security Lakeの話の続編 山口 隆史さん

概要

• セキュリティ対応の背景は、情報収集の自動化と定期的なスキャンと対策

  • Security Hubの指摘を確認してトリアージしていたが使いづらい…

• 理想の運用

  • セキュリティベースライン評価を少ない工数で実施できる
  • すべてのアカウントのリスクの状況が一覧で確認できる

• Security Lakeを使った解決策

  • 数ステップでセキュリティデータを自動的に一元化
  • Security Hubに保存したデータを正規化した形でS3にエクスポートできる
    • Athenaでクエリ出来る
    • QuickSightで集計できる

• 課題

  • リソースを例外にするのにマネコンでの作業が必要
  • Remediationの確認がSecurity Lakeの情報だけだと不十分
  • 新規の指摘かどうか確認できない

• 用法と料金に注意してSecurity Lakeを活用しよう

  • 検知だけして満足しない、修復するまでが運用
  • 運用を楽にするには継続した改善活動が必要

所感

最後の「修復するまでが運用」、これが一番大事だと思います。 脆弱性を残したままではなく、修復するか問題ないことの確証を得る。ここまでやらないと不十分だと思います。 そのためには、運用に負荷をかけすぎずに、省力化できるところは改善して力を入れるべきところに集中する。少しずつでもこれを実現したいと思います。

Security Lakeも使ってみたいです。

「AWSではじめるクラウドセキュリティ」感想LT1 北原 雅人さん

概要

• セキュリティの基本を学ぶ上で基礎が図解付きでまとめられており、非常に読みやすい
• 索引からも振り返りがしやすい
• AWSの詳細は深く掘りさげず、ポイントとしてどのサービスを利用したらよいか理解できる。
• セキュリティはサービスの中心ではない
• 脆弱性は人から生まれやすい
• ガードレール型の検知を推奨
  • 効果的に利用できるためにも積極的な利用を
• クラウド運用におけるセキュリティの意識ポイント
  • 風通しの良いセキュリティ文化
  • インシデントレスポンスの訓練
    • 定期的な訓練とフィードバック
  • インシデントレスポンスの自動化
    • 自動化、IT化できるところは積極的に進めるべき

所感

書籍に対する感想は、自分も同感です。セキュリティ対策の効果を上げるためにも、ガードレール型セキュリティ、インシデントレスポンスの自動化、文化の醸成、どれももっと取り入れたくなりました！

「AWSではじめるクラウドセキュリティ」感想LT2 山口 正徳さん

資料

https://speakerdeck.com/kinunori/chiba-cloud-security-special

概要

• 情報セキュリティの３要素のうち最も重要な要素は何かを考える。
  • Availability（可用性）を考えて、それぞれの最適解を導く必要がある。
• 守るべき対象がサービスを提供する理由は？
  • セキュリティが優先された結果、そのサービスが存在する理由を失ってはいけない。
• 「AWSではじめるクラウドセキュリティ」は基本を知ってから実践に入れて構成が良い。

所感

情報セキュリティを考えるとどうしても機密性や完全性に偏りがちなところがありますが、 サービスの足を引っ張らないためには可用性を損ねてはいけないと思います。 もちろん可用性優先でもダメですが、それに陥らないよう、知識を身に付けて実践し、自らアウトプットする。 それを繰り返して自分もサービスも成長させねばなぁと思いました。心に刻みます！

「AWSではじめるクラウドセキュリティ」感想LT3 和田 健一郎さん

概要

• 非常に読みやすかった。
• 某ロボットアニメで起こったインシデントに想いを馳せながら読んだ。
• 「セキュリティとは？」から始まって、AWSのセキュリティ、ハンズオンと勉強になった。

所感

セキュリティを知ってしまうと、マンガやアニメの一シーンに「あれ、これマズいんじゃね？」と思うことが目についてしまいますねｗ いいか悪いかは置いといて…

普段の業務外からもセキュリティの重要さに想いを馳せられるようになれば、気づきも多く得られそうだと思いました。 色々なことに積極的に目を向けたいし、もっとセキュリティも勉強しないとなぁ。

「AWSではじめるクラウドセキュリティ」感想LT4 榎本 ジョン 航介さん

概要

• 最近流行りのアイツにセキュリティについて聞いてみた。

  • アクセス制御の強化
  • 暗号化
  • 監視
  • セキュリティポリシを作る
  • クラウドプロバイダーの評価

• 「AWSではじめるクラウドセキュリティ」で答え合わせしてみた。

  • 書籍に、AWSのサービス、責任共有モデル、クラウドベンダに任せるといった観点が触れられていた。
  • セキュリティの基本から入る書籍なので初心者にも読みやすい。

所感

最近流行りのアイツ、賢いですねwww（自分も使いたいのですが、まだ手が出ない…）

セキュリティの基本から入っている書籍なので、セキュリティやっている人もそうでない人も読みやすく、勉強のし直し、気づきの発見もある本だなぁと読んでて思いました。事あるごとに読み返したくなりそうだなぁと思います。

最後に

前回もそうでしたが、課題図書があると予習をして参加できるので、参加の熱量が上がります。 勉強会当日の登壇を拝聴して学びになる事はもちろんたくさんありますが、読書会形式だと予習したことの認識合わせ、自分にない観点を得ることができるので、学びも刺激も多く理解が深まると思いました。自分にはとても合っていて、予習から勉強会終了まで楽しく集中して取り組むことができました。

書籍は一通り読みましたが、あと残課題としてハンズオンをやるのみ！ここで得た知見もアウトプットできれば（できたら…）と思います。時間がかかりそうなので、まとまった時間を確保してやります。早くやりたい！！