re:Inforce2023 JapanツアーとAWSに学ぶセキュリティ組織の作り方

by Hiroyuki Kaji

Slide 1

Slide 1 text

re:Inforce2023 Japanツアーと AWSに学ぶセキュリティ組織の作り⽅ 2023/7/28 クラスメソッド株式会社梶浩幸 1

Slide 2

Slide 2 text

2 アジェンダ • ⾃⼰紹介 • re:Inforce 2023 Japan ツアー体験記 • AWSに学ぶセキュリティ組織の作り⽅

Slide 3

Slide 3 text

⾃⼰紹介梶浩幸（Hiroyuki Kaji） AWS環境の構築、コンサルティングテクニカルアカウントアドバイザーセキュリティチームメンバー経歴・ネットワーク機器メーカSE ・セキュリティ関連企業の商⽤システム運⽤者

Slide 4

Slide 4 text

4 re:Inforce 2023 Japanツアー体験記

Slide 5

Slide 5 text

5 re:Inforce 2023 概要 ● AWS セキュリティに特化したカンファレンス ● アナハイム（カリフォルニア）で 6/13 - 14 の 2 ⽇間開催 ● オンライン（※⼀部セッション）とオフラインの同時開催 ● オフラインセッションは Youtube にて随時公開中 ○ https://www.youtube.com/@AWSEventsChannel/playlists?vie w=50&sort=dd&shelf_id=2

Slide 6

Slide 6 text

マップ 6

Slide 7

Slide 7 text

re:Invent との違い 7 項⽬ re:Invent 2022 re:Inforce 2023 セッションの内容 AWS に関わること全般 AWS セキュリティに特化したセッション開催期間 2022 / 11/28 - 12/2 の 5 ⽇間 2023 / 6/13 - 6/14 の 2 ⽇間セッション数 2750 セッション 409 セッション会場規模 6 つの会場で開催（1 会場あたり 1 ⽇ 92 セッション） 1 つの会場で開催（1 会場あたり 1 ⽇ 205 セッション） Expo ありあり（re:Invent より⼩さめ）

Slide 8

Slide 8 text

8 Japanツアー（⽇本語通訳付きのExpoツアー）

Slide 9

Slide 9 text

9 Japanツアーのホテル

Slide 10

Slide 10 text

10 キーノート / セッション予約制ではない（現地先着順） • 早めに⾏けば、セッションを受けることができたキーノートの様⼦セッション（ハンズオン）

Slide 11

Slide 11 text

11 Workshop（ハンズオン） • 構成の簡単な説明 • 短縮URLでWorkshopサイトへアクセス • メールアドレスまたは配布されるコードにてログイン • ログイン後に⼿順書サイトと、ハンズオン⽤AWSアカウントへのリンクも表⽰ • 時間制限あり（数時間から数⽇）資料

Slide 12

Slide 12 text

12 良かった点 • 良かった点 • 満⾜度が⾼い • re:Invent はスケールが⼤きすぎて楽しみきれたか不安になる • WorkShop や Builders セッションが充実してた • セキュリティサービスのハンズオン • Security Hub, GuardDuty, Inspector etc • 中には AWS Shield Advanceのハンズオンも • ⾒れなかったセッションもとても早く Youtube に公開された • 治安がいい（来年もアナハイムかは不明） • ディズニー効果 • 13⽇には招待制で夜に⼊園できた模様

Slide 13

Slide 13 text

13 悪かった点 • 悪かった点 • 開催期間が 2 ⽇しかない • もう 1 ⽇あれば、もっと満⾜できた︖ • キーノートは初⽇のみ • 初⽇のみアップデート/新サービス発表だったため残念 • Expo もセキュリティ中⼼の SaaS サービス • セキュリティ以外の SaaS サービスは縮⼩ or 出展していない

Slide 14

Slide 14 text

14 Expo • CSPM製品が多め • CWPPやシフトレフト関連も https://dev.classmethod.jp/articles/aws-reinforce-2023-expo/

Slide 15

Slide 15 text

15 ツアー特別公演 https://dev.classmethod.jp/articles/reinforce-cj-moses-ask-me-any-thing/ https://dev.classmethod.jp/articles/aws-reinforce-2023-hart-rossman/

Slide 16

Slide 16 text

16 Closing reception

Slide 17

Slide 17 text

Amazon style 17 Amazon アプリで選定し試着可能レコメンドの服も試着室に運んでくれる https://dev.classmethod.jp/articles/reinforce2023-amazon-style/

Slide 18

Slide 18 text

18 Amazon fresh

Slide 19

Slide 19 text

19 AWSのセキュリティ組織の作り⽅＊あくまでも個⼈での調査（推測あり）

Slide 20

Slide 20 text

20 気になって調べたら AWSが最近資料を公開してた

Slide 21

Slide 21 text

21 セキュリティの⽂化を構築するには︖ 2023/6/24に公開 How Do I Build Culture of Security ? https://www.youtube.com/watch?v=YifGuXMn-bs

Slide 22

Slide 22 text

22 AWSセキュリティ⽂化の育成 AWS Exective Insights AWSセキュリティ⽂化の育成 https://aws.amazon.com/jp/executive -insights/content/creating-a-culture- of-security/

Slide 23

Slide 23 text

23 セキュリティ⽂化はトップから

Slide 24

Slide 24 text

24 セキュリティの⽂化はトップから • AWSではAWS最⾼情報セキュリティ責任者(CISO) が AWS最⾼経営責任者(CEO)と毎週1時間会議を実施 • CEOは AWSのセキュリティを詳細に把握 • セキュリティが最優先事項であると組織全体に定着

Slide 25

Slide 25 text

25 疑わしいセキュリティ異常を簡単に報告できるように

Slide 26

Slide 26 text

26 疑わしいセキュリティ異常を報告できるように • 実際にあるのか、認識されているかにかかわらず、疑わしいセキュリティ異常を簡単に観察して報告できるようにしている • 従業員が何かを疑うたびに、チケットを発⾏することを推奨されている .oO（ミスは起こるものなので⾮難しない⽂化も重要）

Slide 27

Slide 27 text

27 中央集権（ゲートウェイ型）ではなく全員がセキュリティチームメンバー

Slide 28

Slide 28 text

28 セキュリティチーム • 専⾨知識を共有し、ビジネスのリスクを軽減するために存在する • ただし、サイロ化させず、中央集権にしない • 第1にレクチャーが最優先、第2に警備 • あとのガーディアンへどのようなレクチャー、トレーニングをしているのかは不明サイロ化=組織の中でシステムや部⾨が分断され、独⽴している状態

Slide 29

Slide 29 text

29 セキュリティ・ガーディアン・プログラムガーディアン • ⼀般の開発者が担当 • オペレーションの中でセキュリティを根付かせる • セキュリティチームのトレーニングを受講してからガーディアンになる • AWSには数千⼈のガーディアンがいる • コミュニティーがあり、セキュリティチームや他のガーディアンとQAできるようになっている

Slide 30

Slide 30 text

30 セキュリティ・ガーディアン（想像図）サービスの開発や運⽤担当者にガーディアンが存在セキュリティチームの⽀援を受けてサービス継続 A事業部開発 A事業部運⽤ B事業部開発 B事業部運⽤ IT 部⾨セキュリティチーム / ガーディアンコミュニティ

Slide 31

Slide 31 text

31 セキュリティ・ガーディアン・プログラム DevSecOps • 同じような⽂化 • インターネットの情報ではツールに依存した話が多い • 個⼈的に誤解していた可能性あり

Slide 32

Slide 32 text

32 CCoEと同じでは︖（個⼈的な感想） CCoE（Cloud Center of Excellence）クラウドを推進するために設置される全社横断型の組織 A事業部開発 A事業部運⽤ B事業部開発 B事業部運⽤ IT 部⾨セキュリティチーム / ガーディアンコミュニティ

Slide 33

Slide 33 text

33 個⼈でガーディアンしてました

Slide 34

Slide 34 text

34 個⼈でガーディアンしてました • 弊社システム開発部⾨のセキュリティ関連の壁打ち • 部の垣根を超えた支援 • 2018年から現在まで • 2週に1回MTG • 改善した項⽬ • ドキュメント整備 • AWS Well-Architected Frameworkの壁打ち • システム改善のアドバイスや調査⽀援

Slide 35

Slide 35 text

35 個⼈でガーディアンしてました • メリット • ドックフーディングできる • お客様案件でノウハウとして提供・利⽤できる • デメリット • 少し仕事量が増えます

Slide 36

Slide 36 text

36 まとめ • 来年もre:inforceに⾏きたい • セキュリティの⽂化が⼤切 • ガーディアンプログラムを⾒習いたい • CCoEのセキュリティ版かも • 弊社も取り⼊れたい