AWSのセキュリティカンファレンスで見たこと、聞いたこと、感じたこと
re:Inforceに参加した9人が語るセキュリティの目指すべき方向
2019年10月21日 07時00分更新
これからのITプロの仕事は「SecをDevの仕組みの中に埋め込んでいく役割」
Japan Digital Design(JDD)では現在、環境構築のテンプレート化を進めている。Cloud Formationsのサービスカタログを活用し、IPアドレスなどの情報を指定するだけで、必要なファイアウォールやNATなどの設定が施された形で環境やアカウントが払い出されるようにし、デフォルトの状態で今までよりも安全な環境を作ろうとしている。
その同社にとって、「DevSecOps」というキーワードで、セキュリティもオートメーションの中に組み込んでいこうというre:Inforceのセッションは響くものだったという。
同社の小野雄太郎氏は「ウォーターフォールで書いて最後にテストするのではなく、コードを書いてどんどんデプロイしていくシステム開発サイクルの中にどうセキュリティを埋め込んでいくかというセッションがたくさんあった」と述べた。マーケットプレイスの中にもサードパーティ製の製品がたくさんあり、CloudTrailなどを活用し、いろいろな環境をセキュアにデベロッパーに渡していく、そんなサービスがどんどん拡大していることを感じたという。
同時に「ガバナンスのために、マルチアカウントは必須という明確なメッセージも出ていた」とも指摘。萩原氏らと同様、マルチアカウントベースでの管理が進んでいることも実感したそうだ。
「DevOps時代になるとITプロの仕事がなくなるのではないか、自動化されて仕事が奪われると言われたりするが、re:Inforceの話を聞いて思ったのは、インフラはネットワークを見るだけではなく、SecをDevの仕組みの中に埋め込んでいく役割をしていかなければいけないと強く感じた。自然とセキュアな環境になるように、デベロッパーとともに協力し、エンハンスしていく必要があると思った」(小野氏)
「インフラがコード化するのだから、監査もコード化を」
同じくJDDから参加した唐沢勇輔氏。「AWS、クラウドは初心者」という立場で参加してみた同氏にとって印象深かったのは、石川氏と同じくCompliance as a Codeというキーワードだったそうだ。
実際にワークショップに参加して手を動かし、「インフラがコード化するのだから、監査もコード化し、変わっていくことになる。紙やExcelベースで、手と目を使って年に1回のペースで監査していたやり方を自動化し、リアルタイムに監査して移行、そして確実な証跡を持とうという方向性を感じ、その通りと思った」という。
ただ、「一方で、監査をする人たちが理解あるとは限らない。どのように合意を形成すべきかは私にもまだ分からない」(唐沢氏)というのも正直なところ。打開策として、来年のre:Inforceにセキュリティ統制や監査の責任者も一緒に参加して、「世界はこうやっているぞ」と見てもらうと話が早いかもしれないとした。
現地に行けば「未来の話が見えてくる」
「どのセッションに行っても、ビジネスのアジリティとガバナンスを両立させるために機能を提供しているというAWSの重要な概念を感じた」と述べたのは、SUPINFの中丸良氏だ。
自身、さまざまな受託開発に携わっているが、「セキュリティを担保しようとしてガチガチに固めてしまうと、開発スピードを下げてしまう。それを生じさせないために、ガードレールとLanding Zoneという概念や機能を出していくというコンセプトが印象的だった。その上でCloud TrailやSecurity Hubといった機能を提供することで、セキュリティ担当チームとプロジェクトチームの間でコンフリクトを起こさないようにしている」と述べた。
この概念自体は日本にいても学べるが、じゃあ具体的にどうするかとなるとなかなかイメージが付かない。そこをre:Inforceのワークショップが補ってくれたと中丸氏は述べ、「どう組み合わせていけばガードレールが成り立つかを体験できた」とした。
もう1つは、展示会場のパートナーブースだ。日本に未上陸で、中にはAWSよりも先行しているソリューションが含まれており、「現地に行くと、未来の話が見えてくる」(中丸氏)という。中でも、ゼロトラストセキュリティをSaaS形式で提供するAporetoと、マルチクラウドでガードレールを設ける手助けをするTurbot(この会社には石川氏も注目していた)を要注目企業として挙げていた。
「海外カンファレンスあるある」話もあった。「ボッチ飯」のリスクだ。「昼食か以上のテーブルは数名がけになっており、1人でご飯を食べていると間違いなく英語で話しかけられる」と中丸氏。ただ「これはチャンスでもあって、今回はある大手企業のセキュリティ担当者とSCPの構造について、実践的なディスカッションができた」そうだ。そんな機会があることも面白い。