re:Inforce2023 JapanツアーとAWSに学ぶセキュリティ組織の作り方

Transcript

1. re:Inforce2023 Japanツアーと AWSに学ぶセキュリティ組織の作り⽅ 2023/7/28 クラスメソッド株式会社 梶 浩幸 1

2. 2 アジェンダ • ⾃⼰紹介 • re:Inforce 2023 Japan ツアー体験記 •

   AWSに学ぶセキュリティ組織の作り⽅

3. ⾃⼰紹介 梶 浩幸（Hiroyuki Kaji） AWS環境の構築、コンサルティング テクニカルアカウントアドバイザー セキュリティチームメンバー 経歴 ・ネットワーク機器メーカSE ・セキュリティ関連企業の商⽤システム運⽤者

4. 4 re:Inforce 2023 Japanツアー体験記

5. 5 re:Inforce 2023 概要 • AWS セキュリティに特化したカンファレンス • アナハイム（カリフォルニア）で 6/13

   - 14 の 2 ⽇間開催 • オンライン（※⼀部セッション）とオフラインの同時開催 • オフラインセッションは Youtube にて随時公開中 ◦ https://www.youtube.com/@AWSEventsChannel/playlists?vie w=50&sort=dd&shelf_id=2

6. マップ 6

7. re:Invent との違い 7 項⽬ re:Invent 2022 re:Inforce 2023 セッションの内容 AWS

   に関わること全般 AWS セキュリティに特化した セッション 開催期間 2022 / 11/28 - 12/2 の 5 ⽇間 2023 / 6/13 - 6/14 の 2 ⽇間 セッション数 2750 セッション 409 セッション 会場規模 6 つの会場で開催 （1 会場あたり 1 ⽇ 92 セッション） 1 つの会場で開催 （1 会場あたり 1 ⽇ 205 セッション） Expo あり あり （re:Invent より⼩さめ）

8. 8 Japanツアー（⽇本語通訳付きのExpoツアー）

9. 9 Japanツアーのホテル

10. 10 キーノート / セッション 予約制ではない（現地先着順） • 早めに⾏けば、セッションを受けることができた キーノートの様⼦ セッション（ハンズオン）

11. 11 Workshop（ハンズオン） • 構成の簡単な説明 • 短縮URLでWorkshopサイト へアクセス • メールアドレスまたは配布さ れるコードにてログイン

    • ログイン後に⼿順書サイトと、 ハンズオン⽤AWSアカウント へのリンクも表⽰ • 時間制限あり（数時間から数 ⽇） 資料

12. 12 良かった点 • 良かった点 • 満⾜度が⾼い • re:Invent はスケールが⼤きすぎて楽しみきれたか不安になる •

    WorkShop や Builders セッションが充実してた • セキュリティサービスのハンズオン • Security Hub, GuardDuty, Inspector etc • 中には AWS Shield Advanceのハンズオンも • ⾒れなかったセッションもとても早く Youtube に公開された • 治安がいい（来年もアナハイムかは不明） • ディズニー効果 • 13⽇には招待制で夜に⼊園できた模様

13. 13 悪かった点 • 悪かった点 • 開催期間が 2 ⽇しかない • もう

    1 ⽇あれば、もっと満⾜できた︖ • キーノートは初⽇のみ • 初⽇のみアップデート/新サービス発表だったため残念 • Expo もセキュリティ中⼼の SaaS サービス • セキュリティ 以外の SaaS サービスは縮⼩ or 出展して いない

14. 14 Expo • CSPM製品が多め • CWPPやシフトレフト 関連も https://dev.classmethod.jp/articles/aws-reinforce-2023-expo/

15. 15 ツアー特別公演 https://dev.classmethod.jp/articles/reinforce-cj-moses-ask-me-any-thing/ https://dev.classmethod.jp/articles/aws-reinforce-2023-hart-rossman/

16. 16 Closing reception

17. Amazon style 17 Amazon アプリで選定し試着可能 レコメンドの服も試着室に運んでくれる https://dev.classmethod.jp/articles/reinforce2023-amazon-style/

18. 18 Amazon fresh

19. 19 AWSのセキュリティ組織の作り⽅ ＊あくまでも個⼈での調査（推測あり）

20. 20 気になって調べたら AWSが最近資料を公開してた

21. 21 セキュリティの⽂化を構築するには︖ 2023/6/24に公開 How Do I Build Culture of Security

    ? https://www.youtube.com/watch?v=YifGuXMn-bs

22. 22 AWSセキュリティ⽂化の育成 AWS Exective Insights AWSセキュリティ⽂化の育成 https://aws.amazon.com/jp/executive -insights/content/creating-a-culture- of-security/

23. 23 セキュリティ⽂化はトップから

24. 24 セキュリティの⽂化はトップから • AWSではAWS最⾼情報セキュリティ責任者(CISO) が AWS最⾼経営責任者(CEO)と毎週1時間会議を実 施 • CEOは AWSのセキュリティを詳細に把握

    • セキュリティが最優先事項であると組織全体に定着

25. 25 疑わしいセキュリティ異常を 簡単に報告できるように

26. 26 疑わしいセキュリティ異常を報告できるように • 実際にあるのか、認識されているかにかかわらず、 疑わしいセキュリティ異常を簡単に観察して報告で きるようにしている • 従業員が何かを疑うたびに、チケットを発⾏するこ とを推奨されている .oO（ミスは起こるものなので⾮難しない⽂化も重要）

27. 27 中央集権（ゲートウェイ型）ではなく 全員がセキュリティチームメンバー

28. 28 セキュリティチーム • 専⾨知識を共有し、ビジネスのリスクを軽減するた めに存在する • ただし、サイロ化させず、中央集権にしない • 第1にレクチャーが最優先、第2に警備 •

    あとのガーディアンへどのようなレクチャー、トレーニ ングをしているのかは不明 サイロ化=組織の中でシステムや部⾨が分断され、独⽴している状態

29. 29 セキュリティ・ガーディアン・プログラム ガーディアン • ⼀般の開発者が担当 • オペレーションの中でセキュリティを根付かせる • セキュリティチームのトレーニングを受講してから ガーディアンになる

    • AWSには数千⼈のガーディアンがいる • コミュニティーがあり、セキュリティチームや他の ガーディアンとQAできるようになっている

30. 30 セキュリティ・ガーディアン（想像図） サービスの開発や運⽤担当者にガーディアンが存在 セキュリティチームの⽀援を受けてサービス継続 A事業部 開発 A事業部 運⽤ B事業部 開発

    B事業部 運⽤ IT 部⾨ セキュリティチーム / ガーディアン コミュニティ

31. 31 セキュリティ・ガーディアン・プログラム DevSecOps • 同じような⽂化 • インターネットの情報ではツールに依存した話が多い • 個⼈的に誤解していた可能性あり

32. 32 CCoEと同じでは︖（個⼈的な感想） CCoE（Cloud Center of Excellence） クラウドを推進するために設置される全社横断型の組織 A事業部 開発 A事業部

    運⽤ B事業部 開発 B事業部 運⽤ IT 部⾨ セキュリティチーム / ガーディアン コミュニティ

33. 33 個⼈でガーディアンしてました

34. 34 個⼈でガーディアンしてました • 弊社システム開発部⾨のセキュリティ関連の壁打ち • 部の垣根を超えた支援 • 2018年から現在まで • 2週に1回MTG

    • 改善した項⽬ • ドキュメント整備 • AWS Well-Architected Frameworkの壁打ち • システム改善のアドバイスや調査⽀援

35. 35 個⼈でガーディアンしてました • メリット • ドックフーディングできる • お客様案件でノウハウとして提供・利⽤できる • デメリット

    • 少し仕事量が増えます

36. 36 まとめ • 来年もre:inforceに⾏きたい • セキュリティの⽂化が⼤切 • ガーディアンプログラムを⾒習いたい • CCoEのセキュリティ版かも

    • 弊社も取り⼊れたい