[レポート]Infra Study Meetup #6「インフラとセキュリティのこれから」

2020年9月25日のInfra Study Meetup #6「インフラとセキュリティのこれから」にオンライン参加しました。全10回ですので、いよいよ後半戦に突入しましたね！

テーマ

第6回「インフラとセキュリティとこれから」

動画

https://youtu.be/X8HvH3dF6ZM

Slido

https://sli.do/InfraStudy_06

基調講演

森田浩平（もりたこ）氏(@mrtc0)による基調講演です。

コンテナやKubernetesを中心とした内容で、攻撃の実演も交えての発表だったので面白かったです。

プラットフォームごとにユーザーはどこを守ればいいのか確認すること。またガイドラインや脅威モデルを作成し、セキュリティの文化に根付かせることが重要だと理解することができました。

上記資料中にあった「コンテナの作り方、壊し方」も掲載しておきます。

攻撃の実演に関するコマンドはGithubにあリます。

質疑応答

基調講演終了後の気になった質疑応答をまとめました。

コンテナ環境（CI/CD）におけるクレデンシャルの扱いはどうしていますか

GithubのCIであれば環境変数を渡す機能を使う。KubernetesであればSecretリソースのマニュフェストを暗号化する。外部であればKMS等を利用する。

自社サービスのセキュリティポリシーはどういう感じに決めているのでしょうか？

自社用のリスク分析のフレームワークを使っている。リスクマトリクスの合計値ごとに対応を決めている。WAFは常に有効が望ましい。セキュリティの誤検知の影響を小さくするために、ステージング環境で確認したり、関連する値をモニタリングする。

セキュリティの勉強について普段どのようなことを行っていますか

重要なのは手を動かすこと。セキュリティは分野が広いので、アンテナを広く持つのが大切。

セキュリティの文化の醸成にあたって困ったこと、それに対してどうされたか

醸成するための活動として、社内でセキュリティの仕組みやツールを共有するのが大事。

DevSecOpsを制度やルールなどの観点からどのように運用しているか

ガイドラインを作成する。DevSecOpsでいうと開発者のセキュリティ知識の底上げするために、年に１回セキュアコーディング研修を実施して意識を高めていく。インシデントが起こったときに、誰にどのくらいの情報量をブロードキャストするのかを意識したツールを作成している。

セキュリティの文化を作るために、「技術的なアプローチ以外」でGMOペパボさんで実践していることとかありますか？

セキュアコーディング研修でのセキュリティ分野の底上げや、各サービスの継続的なセキュリティへの取り組み。

LT1「AWS SSO vs IAM Roleベース ID Federation」

@ken5scal氏(@ken5scal)によるLTです。

AWS SSOとIAM Roleの比較と設計についてのお話です。
実践編に続くかもしれないとのことで次回作に期待ですね。

AWS SSOによるマルチアカウント管理について、以下のイベントでも取り上げられていたので、こういった比較のお話はありがたいです。

LT2「Bastion〜AWS Fargateで実現するサーバーレスな踏み台設計」

iselegant氏(@msy78)によるLTです。

踏み台をFargateとSSMでサーバレスに実現したお話です。

こういった運用負荷を減らしたセキュアな踏み台は、セキュリティが厳しい案件で重宝されそうですね。

またDeepな続編が出ていたので、こちらもどうぞ。

先日LT登壇したBastionに関する続編をブログに書いてみました。もしご興味ある方は是非読んでいただけると嬉しいです。 #はてなブログ #InfraStudy
How elegant the tech world is...!https://t.co/jXpgNtcpJD
— Masaya Arai (iselegant) (@msy78) September 27, 2020

ちなみにEKSだとSSM DaemonSetという選択肢もあるそうです。

EKSの場合は @mumoshu さんが作ってるSSM DaemonSetも良い選択肢だと思います。 https://t.co/1kB1GXVEEI #InfraStudy
— inductor (@_inductor_) September 25, 2020

LT3「正拳突き教えてほしい」

ゆっきー氏(@fujiihda)によるLTです。

セキュリティに関する情報収集や筋トレのお話です。

具体的に言語化されていて、とても参考になりました。
一朝一夕には行かないので日々の積み重ねが大事ですね。

LT4「はじめてのゼロトラスト実践への第一歩」

@hiromaaa03氏(@hiromaaa03)によるLTです。

上司からゼロトラストよろしくと言われて、一から取り組まれたお話です。

ゼロトラストへの取り組み方や、製品の具体的な選定理由を知ることができて勉強になりました。

LT5「クラウド時代のセキュリティをふりかえる」

@tomoyamachi氏(@tomoyamachi)によるLTです。

情報セキュリティの3要素を、クラウドでどうアプローチするかのお話です。

クラウドだと少ない手間で実現できるので、良い時代になったと思います。

またDockleという、コンテナのベストプラクティスチェックOSSを初めて知りました。

@tomoyamachi さんのコンテナベストプラクティスチェックOSSのDockleは日頃お世話になっています。https://t.co/P7KMS7eKVv #Infrastudy
— Masaya Arai (iselegant) (@msy78) September 25, 2020

ゆるく振り返り会

今回は一つの質問を深掘りしていました。

メインの自分の仕事があるなかで、セキュリティに対する比重はどのくらいが適切か？

・あんまり比重では考えない、脆弱性パッチを当てるのであれば、外部の脆弱性通知を頼って対応する。
・全ての技術にセキュリティが必要。SOCの自動化をクックパッドみたくやるのは兼任だと無理だが、浅く広くやれるようにするのも良い。
・セキュリティの人員が多いメルカリは深い技術までやったり、プロダクト専門で回してやってったりする。
・Sierだとセキュリティへの投資は後回しになっている。専任もいない。それでもうまく回っているのは、クラウドベンダーが推奨する作り方であれば最低限のリスクを回避できる。

番外編

最近はオンラインイベントが多いので色々参加できているのですが、まつもとりーさんの登壇者を引き立てる司会進行は好感が持てるなーと思いました。
ご自身のブログでも触れられていたので貼っておきますね。

まとめ

セキュリティ導入は難解なガイドラインやチェックシートを一方的に渡されて辟易しがちだったので、開発側と歩み寄れる仕組み作りや文化の重要性を知ることができて良かったです。

また、クラウドベンダーのベストプラクティスにしたがって設計すれば、セキュリティのスモールスタートになるという話は目から鱗でした。

次回の勉強会は10月23日となります。