清野氏の自己紹介
清野隼史氏(以下、清野):Session2は、「セキュリティ強化のためのAWS構築&運用のリアル」ということで、実際にセキュリティ強化に取り組んでいく中での課題や考えるべきポイントみたいなところをいろいろ話せたらなと思っています。よろしくお願いします。
最初に自己紹介から始めます。私はQiita株式会社で「Qiita」のプロダクトマネージャーをしている清野と申します。QiitaもAWSでセキュリティまわりとかを構築しているので、今日はいろいろと学んでいけたらなと思っています。よろしくお願いします。
臼田氏の自己紹介
清野:では続いて臼田さん、よろしくお願いします。
臼田圭祐氏(以下、臼田):クラスメソッド株式会社 AWS事業本部でシニアソリューションアーキテクトをしています、臼田圭祐と言います。いろいろな肩書きがありますが、赤字で書いたのですが、最近はAWS Security Heroという、今は世界に7人かな? (7人)しかいないらしいのですが、そういう肩書きをいただきました。
クラスメソッドでの活動もあるのですが、AWSはJAWS-UGと呼ばれるユーザーグループでの活動が非常に盛んですが、そのうちの支部の1つのSecurity-JAWSの運営を社外ではやっているので、Security-JAWSを通じてバンバンとアウトプットをしていきたいなと思っています。
好きなAWSのサービスは「Amazon GuardDuty」「AWS Security Hub」「Amazon Detective」など、AWSのマネージドなセキュリティ系のサービスです。ふだんは右上の『スパイダーマン』のアイコンでブログを書いています。よろしくお願いします。
清野:臼田さんありがとうございます。
佐竹氏の自己紹介
清野:それでは続いて佐竹さん、お願いします。
佐竹陽一氏(以下、佐竹):株式会社サーバーワークスの佐竹と申します。私は2010年1月から業務でAWSを使っていて、ずっと現場で使う側の人間でやってきました。今はもう2023年なので、13年以上AWSを触っているような感じですね。私のメインの業務としては、大手企業さんの離脱をある種予防するため、末永くお付き合いできるように、カスタマーサクセスをやっています。
長いと10年近いお付き合いのあるお客さんもいるぐらい、長く付いているという感じです。現場の声はこういうところにはなかなか出てこないかもしれないので、そういう話を今日はできたらいいなと思っています。
いろいろ資格を持っていたり、表彰などもあるのですが、今日はちょっとした宣伝を持ってきたので、次のページを見てもらいたいです。
(スライドを示して)私は社内でウェビナーをやっているんですね。コロナになってから現場に足を運んでのセミナーが減ってきた中で、ちょっとウェビナーをやってみるというところで、何年か前からウェビナーをいっぱいやっています。その中で、弊社ではオンデマンドのウェビナーをいつでも見れるようにしていて、セキュリティ関係やコストの関係でいろいろ出しています。なので、もし興味があればいつでも無料で見れるので、見てみてもらえればと思います。以上です。
清野:はい。佐竹さん、ありがとうございます。
勝原氏の自己紹介
清野:それでは続いて勝原さん、よろしくお願いします。
勝原達也氏(以下、勝原):AWSジャパンの勝原と申します。ふだんはセキュリティ専門のソリューションアーキテクトをしています。先ほどの前のセッションで「AWSに相談してセキュリティ改善に取り組んだ」という話がありましたが、そういう時に裏にいたり、一緒にやったり。そんな役割の人間です。
もともとはSIerでけっこう長くやっていました。デジタル・アイデンティティについても、先ほど「OpenID Connect」というキーワードがありましたが、まさにそういうあたりをやっていました。この頃はかなりクラシックなEC2インスタンスを愛用していました。
そのあとセキュリティの専業の企業に入って、いわゆるWebのアセスメントでセキュリティ診断の診断員をやって。いろいろと紆余曲折があって、工場の中のIoTみたいな話とコネクテッドビークル、自動車のセキュリティ診断とかをやっていました。
WebのSQLインジェクションを打ち込んで、数年後にははんだ付けをしていた感じです(笑)。もともと最初のキャリアでやっていたデジタル・アイデンティティというところで、最近はID関係がデジタル庁でざわざわしていたりもするので、ここで世の中に寄与できたらなと(Trust TF「本人確認ガイドライン」改訂 有識者会議の)委員をしています。よろしくお願いします。
清野:よろしくお願いします。
黒田氏の自己紹介
清野:それでは最後に黒田さんよろしくお願いします。
黒田浩明氏(以下、黒田):よろしくお願いします。(スライドを示して)サイバーセキュリティクラウドの黒田と申します。前のセッションでも非常に温かいメッセージというか、「WafCharm」の紹介をしてもらったと思っていますが、そのWafCharmのプロダクトマネージャーを担当しています。
私自身はもともとはプロダクトマネージャーというよりはエンジニア畑の人間で、もともと受託開発の会社が長くて、いろいろ長いプロジェクト、短いプロジェクトにたくさん関わらせてもらったり、あとはスタートアップなどの会社でテックリードもしていました。
そういったところで、少し変わったような、リアルタイム分散処理の研究開発やIoTサービスの立ち上げや、あとは変わったところで(いうと)ドローンで撮影した画像を使ったインフラの点検ソリューションみたいなものを作っていました。
サイバーセキュリティクラウドでは、今お話ししたとおりWafCharmのプロダクトマネージャーとして、開発のロードマップやサポートも含めた、プロダクト全般のマネジメントを担当しています。
本日は錚々たるメンバーに囲まれて、私もセキュリティプロダクトを担う人間としてしっかりしないといけないのですが、たくさん勉強させてもらうつもりで参加したいと思います。よろしくお願いします。
清野:よろしくお願いします。ということで、本日はこの5名で進めていただければなと思っています。
セキュリティに関しては「漠然とした不安がある」ケースが多い
清野:ではさっそくトピックに入っていきたいと思います。今回のテーマは、「セキュリティ強化を進めていく上でのリアル」というところで、やはり語らざるをえないところでいうと、そこを進めていく中での課題や困難は外せないかなと思っています。(スライドを示して)なので、最初にここをいろいろと聞きたいなと思っています。こちらは臼田さん、いかがでしょう?
臼田:ありがとうございます。このテーマはめちゃくちゃ難しくないですか(笑)? みなさんそう思いますよね。
勝原:めちゃくちゃ難しいですよね。難しいと思います。
臼田:先ほどSession1でも「セキュリティの課題をどう認識して着手し始めたのか」みたいな話がありましたが、本当にセキュリティは取り組んでもなかなか終わらない。やり続けていくものなので、「強化したいけどどうすればいいか」みたいなところは、ターゲットを付けたりするのはすごく難しいですよね。
僕もよくソリューションアーキテクトとして、いろいろなお客さんのAWSを使っていく上での課題で、特にセキュリティまわりの相談を受けることが多いのですが、「何からやったらいいですか?」という話は非常に多いですね。
具体的なセキュリティの課題を感じているというよりは、「漠然とした不安がある」などのケースがめちゃくちゃ多いですよね。なので、何からやったらいいかわかりません。
セキュリティに詳しい人間もいなかったり、あるいは少なかったり、自分たちの状況も見えない。実際にどれくらいできていて、どれくらいできていないのかがきちんと把握できていないケースが多かったりするので、そういうところから入っていくと、「どこからやったらいいかわからない」みたいな感じになるのかなというイメージですね。
このあたり、他の人はどうですか? どういう感じですか?
スタート地点は本当に千差万別
勝原:そうですね。私もいろいろなお客さまと会うことが多いのですが、いろいろな立場の方がこの質問を投げかけてきます。
例えば、いわゆるビジネスを持っていない、つまり事業部門ではないけれどもセキュリティをやらなきゃいけない、掌握しないといけない立場の方であれば、目的意識先行というよりは、「全体的に良くするにはどうすればいいんですか?」という、「全体感に対してどこを取り組めば最大の効果が得られるのか」というところを期待した質問を投げかけてきます。
逆に事業側であれば、今このご時世にWebサイトを運営していて何事もなく過ごせるというのは、なかなか難しい部分もあるかもしれないと思います。みなさん運用していると何かしらいろいろなイベントに出会っていて、日々対処しています。
なので、事業部門の方は比較的目的意識から入ってくるかなと思います。目的意識がすでにある場合は、そこからセキュリティの頂という山を徐々に登っていけばいいのかなと思います。
逆に、全体をどうすればいいのかという方になかなか難しいのは、ジャストフィットを見つけるのはなかなか難しくて。なので、ヒアリングを通じながら本当に優先したいところは何なのか、「実は役員から言われている」とか「実はこういうことが会社の中であって、この発言につながっている」とか、そういう隠れた背景みたいなのを聞いて、「じゃあ、こういうところからいきましょうか」という納得感をお互いに作りながら課題を明らかにしていくかたちが多いです。
スタート地点は本当に千差万別なので、そこからどんどん切り崩していって、本当にやりたいことは何なのかにいくまでがけっこう大変だなとふだんから感じています。
清野:ありがとうございます。やはりセキュリティまわりは銀の弾丸がないというか、本当に事例ごとにいろいろと対処していかないといけないところなので、今お話があったようなところは僕自身も「本当にそうだな」と思いながら聞いていました。ありがとうございます。
成功体験があるからこそシフトが難しい場合もある
清野:佐竹さんはいかがでしょうか? いろいろなお付き合いのある企業さんがいるとの話があったと思いますが。
佐竹:ちょっと変わった視点で話します。ここにいる方に少し教えてほしいのですが、AWSをすでに使っているお客さんで、ここ数年で使い始めたという方はこの中にどのぐらいいますか?
(会場挙手)
ちらほらなんですね。なぜこんな質問をしたかというと、私は2010年から使っていたのですが、当時はOrganizationsという機能もマルチアカウント関連の機能も、Security HubもGuardDutyも何もなかったんですよ。
我々は古い付き合いのお客さんもけっこう多いのですが、最近始める、ここ数年で始めたお客さんは、最初からそういうガードレール的なものを敷いてスタートしやすいと思うんですよ。そういうお客さんは初めからセキュリティの概念がちゃんとあって、ちゃんとやろうというスタートになるんです。
だけど、けっこう古いお客さんは、そういうセキュリティの意識がないまま、ここまで1つのアカウントで来てしまったのをどうやってスライドさせていくか……。私みたいな付き合いの長いお客さんを持っていると、大きな視点になってくるんですよね。なので、そこの引っ越しみたいなものがハードだというのは課題として1つありますね。
清野:なるほど。ありがとうございます。そこまで来ている成功体験というか、それでうまくいっているからこそ、シフトしていくのが難しいというところがあるということですね。
佐竹:「動いている『EC2』をこっちのアカウントに移してください」と言うだけでも、IPが変わるぞとかもあるので「現場に何て言えばいいんだ?」みたいな(笑)。
清野:はいはい(笑)。ありがとうございます。
成果がわかりにくいからこそ、全社的なオーソライズや取り組みは重要
黒田さんにも聞いてみたいのですが、やはりWafCharmに相談がくるクライアントさんもいろいろな課題を持っていらっしゃるんじゃないかなと思います。
黒田:そうですね。今の佐竹さんの言っていることが本当に「クラウドセキュリティあるある」みたいな感じで(笑)。
(一同笑)
本当にそのとおりだなと思いましたね。すでに動いている、長年動いているものに対して、その当時なかったセキュリティの配慮や機能……。基準自体が当時なかったものを動かしていて。もうすでにそれでお客さまが多数使っている状況で、どうやってそこに合わせ込んでいけばいいのか、採算取れるのかは本当によくあるケースだなと思います。
あとは非常にチープな例にはなりますが、やはり何をすればいいのかわからないもの……。仮にAWSさんを含めたいろいろなクラウドベンダーが出してきているフレームワークみたいなものである程度評価ができるようになってきたとしても、それを実際に実行していくのは、さらにそこでまたハードルがあると思っています。
人のアサイン、リソースが足りていないとよくみなさん言うと思いますが、単純にリソースがあるだけではやりきれないというか、取りかかってもシュリンクしていっちゃうみたいな。
全社的にオーソライズして、「これをやらなきゃいけないんだ」というものが醸成されていないと、最後までやりきるのはインフラ担当のチームだけだと難しいというところで。全社的なオーソライズや取り組みは重要になってくるんじゃないかなと思います。
佐竹:セキュリティは何が成果なのか、わかりにくいですよね。
(一同笑)
黒田:そうですね。
佐竹:なのでシュリンクしちゃうというのはわかるんですよね。
清野:「何も起こらないのが一番良い状態」みたいな。そういうイメージですよね。
黒田:本当にそのとおりですね。
清野:ありがとうございます。今のお話の中で、まずは意識を変えていくというところと、それで変わったとしてもそこから実際にどう取り組んでいくかというところは、やはりいろいろな課題があるんだなと感じました。
(次回に続く)
