Upgrade to Pro — share decks privately, control downloads, hide ads and more …

re:Inforce2023 JapanツアーとAWSに学ぶセキュリティ組織の作り方

re:Inforce2023 JapanツアーとAWSに学ぶセキュリティ組織の作り方

2023/7/28 AWS re:Inforce参加者から見るクラウドセキュリティの最新動向と応用
の登壇資料となります
https://dev.classmethod.jp/news/230728-aws-security-seminar/

Hiroyuki Kaji

July 28, 2023
Tweet

More Decks by Hiroyuki Kaji

Other Decks in Technology

Transcript

  1. re:Inforce2023 Japanツアーと
    AWSに学ぶセキュリティ組織の作り⽅
    2023/7/28
    クラスメソッド株式会社 梶 浩幸
    1

    View full-size slide

  2. 2
    アジェンダ
    • ⾃⼰紹介
    • re:Inforce 2023 Japan ツアー体験記
    • AWSに学ぶセキュリティ組織の作り⽅

    View full-size slide

  3. ⾃⼰紹介
    梶 浩幸(Hiroyuki Kaji)
    AWS環境の構築、コンサルティング
    テクニカルアカウントアドバイザー
    セキュリティチームメンバー
    経歴
    ・ネットワーク機器メーカSE
    ・セキュリティ関連企業の商⽤システム運⽤者

    View full-size slide

  4. 4
    re:Inforce 2023 Japanツアー体験記

    View full-size slide

  5. 5
    re:Inforce 2023 概要
    ● AWS セキュリティに特化したカンファレンス
    ● アナハイム(カリフォルニア)で 6/13 - 14 の 2 ⽇間開催
    ● オンライン(※⼀部セッション)とオフラインの同時開催
    ● オフラインセッションは Youtube にて随時公開中
    ○ https://www.youtube.com/@AWSEventsChannel/playlists?vie
    w=50&sort=dd&shelf_id=2

    View full-size slide

  6. re:Invent との違い 7
    項⽬ re:Invent 2022 re:Inforce 2023
    セッションの内容 AWS に関わること全般
    AWS セキュリティに特化した
    セッション
    開催期間 2022 / 11/28 - 12/2 の 5 ⽇間 2023 / 6/13 - 6/14 の 2 ⽇間
    セッション数 2750 セッション 409 セッション
    会場規模
    6 つの会場で開催
    (1 会場あたり 1 ⽇ 92 セッション)
    1 つの会場で開催
    (1 会場あたり 1 ⽇ 205 セッション)
    Expo あり
    あり
    (re:Invent より⼩さめ)

    View full-size slide

  7. 8
    Japanツアー(⽇本語通訳付きのExpoツアー)

    View full-size slide

  8. 9
    Japanツアーのホテル

    View full-size slide

  9. 10
    キーノート / セッション
    予約制ではない(現地先着順)
    • 早めに⾏けば、セッションを受けることができた
    キーノートの様⼦ セッション(ハンズオン)

    View full-size slide

  10. 11
    Workshop(ハンズオン)
    • 構成の簡単な説明
    • 短縮URLでWorkshopサイト
    へアクセス
    • メールアドレスまたは配布さ
    れるコードにてログイン
    • ログイン後に⼿順書サイトと、
    ハンズオン⽤AWSアカウント
    へのリンクも表⽰
    • 時間制限あり(数時間から数
    ⽇)
    資料

    View full-size slide

  11. 12
    良かった点
    • 良かった点
    • 満⾜度が⾼い
    • re:Invent はスケールが⼤きすぎて楽しみきれたか不安になる
    • WorkShop や Builders セッションが充実してた
    • セキュリティサービスのハンズオン
    • Security Hub, GuardDuty, Inspector etc
    • 中には AWS Shield Advanceのハンズオンも
    • ⾒れなかったセッションもとても早く Youtube に公開された
    • 治安がいい(来年もアナハイムかは不明)
    • ディズニー効果
    • 13⽇には招待制で夜に⼊園できた模様

    View full-size slide

  12. 13
    悪かった点
    • 悪かった点
    • 開催期間が 2 ⽇しかない
    • もう 1 ⽇あれば、もっと満⾜できた︖
    • キーノートは初⽇のみ
    • 初⽇のみアップデート/新サービス発表だったため残念
    • Expo もセキュリティ中⼼の SaaS サービス
    • セキュリティ 以外の SaaS サービスは縮⼩ or 出展して
    いない

    View full-size slide

  13. 14
    Expo
    • CSPM製品が多め
    • CWPPやシフトレフト
    関連も
    https://dev.classmethod.jp/articles/aws-reinforce-2023-expo/

    View full-size slide

  14. 15
    ツアー特別公演
    https://dev.classmethod.jp/articles/reinforce-cj-moses-ask-me-any-thing/
    https://dev.classmethod.jp/articles/aws-reinforce-2023-hart-rossman/

    View full-size slide

  15. 16
    Closing reception

    View full-size slide

  16. Amazon style 17
    Amazon アプリで選定し試着可能
    レコメンドの服も試着室に運んでくれる
    https://dev.classmethod.jp/articles/reinforce2023-amazon-style/

    View full-size slide

  17. 18
    Amazon fresh

    View full-size slide

  18. 19
    AWSのセキュリティ組織の作り⽅
    *あくまでも個⼈での調査(推測あり)

    View full-size slide

  19. 20
    気になって調べたら
    AWSが最近資料を公開してた

    View full-size slide

  20. 21
    セキュリティの⽂化を構築するには︖
    2023/6/24に公開
    How Do I Build Culture
    of Security ?
    https://www.youtube.com/watch?v=YifGuXMn-bs

    View full-size slide

  21. 22
    AWSセキュリティ⽂化の育成
    AWS Exective Insights
    AWSセキュリティ⽂化の育成
    https://aws.amazon.com/jp/executive
    -insights/content/creating-a-culture-
    of-security/

    View full-size slide

  22. 23
    セキュリティ⽂化はトップから

    View full-size slide

  23. 24
    セキュリティの⽂化はトップから
    • AWSではAWS最⾼情報セキュリティ責任者(CISO)
    が AWS最⾼経営責任者(CEO)と毎週1時間会議を実

    • CEOは AWSのセキュリティを詳細に把握
    • セキュリティが最優先事項であると組織全体に定着

    View full-size slide

  24. 25
    疑わしいセキュリティ異常を
    簡単に報告できるように

    View full-size slide

  25. 26
    疑わしいセキュリティ異常を報告できるように
    • 実際にあるのか、認識されているかにかかわらず、
    疑わしいセキュリティ異常を簡単に観察して報告で
    きるようにしている
    • 従業員が何かを疑うたびに、チケットを発⾏するこ
    とを推奨されている
    .oO(ミスは起こるものなので⾮難しない⽂化も重要)

    View full-size slide

  26. 27
    中央集権(ゲートウェイ型)ではなく
    全員がセキュリティチームメンバー

    View full-size slide

  27. 28
    セキュリティチーム
    • 専⾨知識を共有し、ビジネスのリスクを軽減するた
    めに存在する
    • ただし、サイロ化させず、中央集権にしない
    • 第1にレクチャーが最優先、第2に警備
    • あとのガーディアンへどのようなレクチャー、トレーニ
    ングをしているのかは不明
    サイロ化=組織の中でシステムや部⾨が分断され、独⽴している状態

    View full-size slide

  28. 29
    セキュリティ・ガーディアン・プログラム
    ガーディアン
    • ⼀般の開発者が担当
    • オペレーションの中でセキュリティを根付かせる
    • セキュリティチームのトレーニングを受講してから
    ガーディアンになる
    • AWSには数千⼈のガーディアンがいる
    • コミュニティーがあり、セキュリティチームや他の
    ガーディアンとQAできるようになっている

    View full-size slide

  29. 30
    セキュリティ・ガーディアン(想像図)
    サービスの開発や運⽤担当者にガーディアンが存在
    セキュリティチームの⽀援を受けてサービス継続
    A事業部
    開発
    A事業部
    運⽤
    B事業部
    開発
    B事業部
    運⽤
    IT
    部⾨
    セキュリティチーム / ガーディアン コミュニティ

    View full-size slide

  30. 31
    セキュリティ・ガーディアン・プログラム
    DevSecOps
    • 同じような⽂化
    • インターネットの情報ではツールに依存した話が多い
    • 個⼈的に誤解していた可能性あり

    View full-size slide

  31. 32
    CCoEと同じでは︖(個⼈的な感想)
    CCoE(Cloud Center of Excellence)
    クラウドを推進するために設置される全社横断型の組織
    A事業部
    開発
    A事業部
    運⽤
    B事業部
    開発
    B事業部
    運⽤
    IT
    部⾨
    セキュリティチーム / ガーディアン コミュニティ

    View full-size slide

  32. 33
    個⼈でガーディアンしてました

    View full-size slide

  33. 34
    個⼈でガーディアンしてました
    • 弊社システム開発部⾨のセキュリティ関連の壁打ち
    • 部の垣根を超えた支援
    • 2018年から現在まで
    • 2週に1回MTG
    • 改善した項⽬
    • ドキュメント整備
    • AWS Well-Architected Frameworkの壁打ち
    • システム改善のアドバイスや調査⽀援

    View full-size slide

  34. 35
    個⼈でガーディアンしてました
    • メリット
    • ドックフーディングできる
    • お客様案件でノウハウとして提供・利⽤できる
    • デメリット
    • 少し仕事量が増えます

    View full-size slide

  35. 36
    まとめ
    • 来年もre:inforceに⾏きたい
    • セキュリティの⽂化が⼤切
    • ガーディアンプログラムを⾒習いたい
    • CCoEのセキュリティ版かも
    • 弊社も取り⼊れたい

    View full-size slide