AWSを使う上で最低限知っておきたいセキュリティ研修を社内で実施した話 ~みんなでやるセキュリティ~

Transcript

1. ©Fusic Co., Ltd. 0 AWSを使う上で最低限知っておきたい セキュリティ研修を社内で実施した話 ~みんなでやるセキュリティ~ 2025.12.13 Mai Miyazaki

   @maimyyym ひよこまめ教習所 #7 - 博多

2. ©Fusic Co., Ltd. 1 Introduction 宮 崎 真 衣 M

   A I M I YA Z A K I HN: mai (@maimyyym ) 株式会社Fusic 事業本部 クラウドエンジニアリング部門 チームリーダー / エンジニア ◉ I am - IDDM(1型糖尿病) 3歳発症 - 元百貨店スタッフ（Beauty Counselor） - 2023年10月 Fusic入社 - AWS Community Builder ( #Security ) ◉ Skill - AWS / Python / TypeScript / PHP(Laravel) - Interested in: Security, Identity & Compliance ◉ Comment - 新しいPCがほしい（No space on deviceに悩まされるので…） Click!!

3. ©Fusic Co., Ltd. 2 CONTENTS 目次 1. はじめに 2. セキュリティ研修で話したこと

   3. 新人研修をやってみて

4. ©Fusic Co., Ltd. 3 はじめに 1

5. ©Fusic Co., Ltd. 4 私とセキュリティ領域の話 はじめに AWS Community Builder (#Security)

   です いろんな技術領域がある中で、 セキュリティを強くしていきたい！ と決めた 2024年7月頃 発信を重ねてCBs認定

6. ©Fusic Co., Ltd. 5 私とセキュリティ領域の話 はじめに 知識経験が足りないと、 発言しづらい空気感 難しい領域 技術的に難しいからこそ、文化的にも難しい。

   「この人がいるじゃん」 「この人ぐらいやらなきゃ」 強くなきゃ名乗れない空気感

7. ©Fusic Co., Ltd. 6 私とセキュリティ領域の話 はじめに 知識経験が足りないと、 発言しづらい空気感 難しい領域 技術的に難しいからこそ、文化的にも難しい。

   「この人がいるじゃん」 「この人ぐらいやらなきゃ」 強くなきゃ名乗れない空気感 だからやらない…？それは、違うはず！

8. ©Fusic Co., Ltd. 7 私とセキュリティ領域の話 はじめに 強い人だけがセキュリティに取り組んでも企業やプロダクトの安全性は保障されない 「底上げ」「浸透」のために”私がやることに意味がある！”という強い気持ちで、 セキュリティ領域を重点的に学び続けることを選びました。 「みんなでやる」をやる

   セキュリティ文化の浸透は私のやりたいことであり、 その一歩が今回の研修です。

9. ©Fusic Co., Ltd. 8 私とセキュリティ領域の話 はじめに 強い人だけがセキュリティに取り組んでも企業やプロダクトの安全性は保障されない 「底上げ」「浸透」のために”私がやることに意味がある！”という強い気持ちで、 セキュリティ領域を重点的に学び続けることを選びました。 「みんなでやる」をやる

   セキュリティ文化の浸透は私のやりたいことであり、 その一歩が今回の研修です。 実はここまで、 社内で実施した新人研修のオープニング部分の資料です

10. ©Fusic Co., Ltd. 9 社内でセキュリティ研修を行いました はじめに • 新人フォローアップ研修： • 入社後研修を終え、案件にjoinして2〜3ヶ月のタイミングで実施

    • タイトル： • 「みんなでやるセキュリティ〜はじめの一歩と明日からの心構え〜」 • 対象： • 新卒・中途入社メンバー

11. ©Fusic Co., Ltd. 10 社内でセキュリティ研修を行いました はじめに 【コンセプト】 「セキュリティ」に対するハードルを下げること

12. ©Fusic Co., Ltd. 11 セキュリティ研修で話したこと 2

13. ©Fusic Co., Ltd. 12 内容 セキュリティ研修で話したこと • なぜ”みんなで”やるのか？ • 前提と基礎知識

    • クラウドセキュリティ • Security by design, DevSecOps • 覚えてほしい5つの心がけ

14. ©Fusic Co., Ltd. 13 内容 セキュリティ研修で話したこと • なぜ”みんなで”やるのか？ • 前提と基礎知識

    • クラウドセキュリティ • Security by design, DevSecOps • 覚えてほしい5つの心がけ オープニング

15. ©Fusic Co., Ltd. 14 内容 セキュリティ研修で話したこと • なぜ”みんなで”やるのか？ • 前提と基礎知識

    • クラウドセキュリティ • Security by design, DevSecOps • 覚えてほしい5つの心がけ オープニング

16. ©Fusic Co., Ltd. 15 前提と基礎知識 セキュリティ研修で話したこと 前提と基礎知識 • 情報セキュリティとは •

    情報セキュリティの3要素 • 機密性/可用性/完全性 • 脅威と脆弱性 • 情報セキュリティ10大脅威2025

17. ©Fusic Co., Ltd. 16 前提と基礎知識 セキュリティ研修で話したこと • 情報セキュリティとは • 情報セキュリティの3要素

    • 機密性/可用性/完全性 前提と基礎知識

18. ©Fusic Co., Ltd. 17 前提と基礎知識 セキュリティ研修で話したこと • 情報セキュリティとは • 情報セキュリティの3要素

    • 機密性/可用性/完全性 前提と基礎知識

19. ©Fusic Co., Ltd. 18 AWSを使う上での前提と基礎知識 セキュリティ研修で話したこと AWSを使う上での 前提と基礎知識 • 情報セキュリティとは

    • 情報セキュリティの3要素 • 機密性/可用性/完全性

20. ©Fusic Co., Ltd. 19 AWSを使う上での前提と基礎知識 セキュリティ研修で話したこと AWSを使う上での 前提と基礎知識 • 情報セキュリティとは

    • 情報セキュリティの3要素 • 機密性/可用性/完全性

21. ©Fusic Co., Ltd. 20 クラウドセキュリティについて セキュリティ研修で話したこと • なぜ”みんなで”やるのか？ • 前提と基礎知識

    • クラウドセキュリティ • Security by design, DevSecOps • 覚えてほしい5つの心がけ オープニング

22. ©Fusic Co., Ltd. 21 クラウドセキュリティとは セキュリティ研修で話したこと 責任共有モデル https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/

23. ©Fusic Co., Ltd. 22 クラウドセキュリティとは セキュリティ研修で話したこと 「責任」について考えてみる 「責任」は大きく分けると二つ。 説明責任：何をしているか、なぜしているか。 WHY/WHATをステークホルダーに明らかにすること

    実行責任 ：どのように実施しているか。 HOWを実行すること 実行責任はアウトソーシングできるが、説明責任はアウトソーシングできない

24. ©Fusic Co., Ltd. 23 クラウドセキュリティとは セキュリティ研修で話したこと 責任共有モデル https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/ Security “of”

    the Cloud Security “in” the Cloud

25. ©Fusic Co., Ltd. 24 Security “in” the Cloud セキュリティ研修で話したこと AWSが責任を負う範囲

    AWSサービスを実行するインフラの保護 施設、ハードウェア、ソフトウェア、 ネットワーキング

26. ©Fusic Co., Ltd. 25 Security “in” the Cloud セキュリティ研修で話したこと 10/20(月)に起きていたこと、覚えていますか？

    us-east-1(バージニア北部)で起きた、AWSサービスを支えるインフラストラクチャの障害 様々なサービスでAPIエラーが発生するが、私たちは何もできない。 なぜ？そこはAWSの責任だから（実行責任） 私たちにできたこと ≒ 必要だったことはお客さまへの連絡。（説明責任） 後日、AWSは障害のレポートを出した（説明責任）: https://aws.amazon.com/jp/message/101925/

27. ©Fusic Co., Ltd. 26 Security “of” the Cloud セキュリティ研修で話したこと ユーザー(私たち)が責任を負う範囲

    サービスによって責任の範囲・量が変わる ゲストOSの管理、アプリケーションの管理、 ファイアウォール（セキュリティグループ） 要は「設定」の責任は私たちにある

28. ©Fusic Co., Ltd. 27 Security “of” the Cloud セキュリティ研修で話したこと EC2の場合

    Lambdaの場合

29. ©Fusic Co., Ltd. 28 Security “of” the Cloud セキュリティ研修で話したこと EC2の場合

    Lambdaの場合 設定可能な範囲 = ユーザーの責任範囲 その数はEC2よりもLambdaの方が少ない

30. ©Fusic Co., Ltd. 29 Security by design, DevSecOps セキュリティ研修で話したこと •

    なぜ”みんなで”やるのか？ • 前提と基礎知識 • クラウドセキュリティ • Security by design, DevSecOps • 覚えてほしい5つの心がけ オープニング

31. ©Fusic Co., Ltd. 30 Security by design セキュリティ研修で話したこと シフトレフト DevSecOps

32. ©Fusic Co., Ltd. 31 シフトレフトとDevSecOps セキュリティ研修で話したこと シフトレフト DevSecOps

33. ©Fusic Co., Ltd. 32 5つの心がけ セキュリティ研修で話したこと • なぜ”みんなで”やるのか？ • 前提と基礎知識

    • クラウドセキュリティ • Security by design, DevSecOps • 覚えてほしい5つの心がけ オープニング

34. ©Fusic Co., Ltd. 33 “みんなでやる” セキュリティ研修で話したこと

35. ©Fusic Co., Ltd. 34 覚えてほしい5つの心がけ セキュリティ研修で話したこと

36. ©Fusic Co., Ltd. 35 新人研修をやってみて 3

37. ©Fusic Co., Ltd. 36 新人研修のリアクション 新人研修をやってみて • 実際の案件を経験しているので、参加者が「そういえばあの時…」と脳内でつながり を持つことができていた •

    意識したとしても「自分がちゃんとできているか」の判断が難しいという声があった （ → AWSの場合は、Well-Architected Frameworkをおすすめ ） • 抽象度が高いので、基礎用語について理解が難しそうだった。 具体的なサービス、使い方と関連付けて「具体化」させると分かりやすい

38. ©Fusic Co., Ltd. 37 OSEKKAI × TECHNOLOGY ココロと技術で、ぴったりも、びっくりも。 Thank You

    ご清聴いただきありがとうございました