Fin-JAWS 第4回~re:Inforce re:Cap 金融スペシャル~レポート #finjaws4 #finjaws #jawsug

こんにちは、臼田です。

Fin-JAWS 第4回~re:Inforce re:Cap 金融スペシャル~ が開催されましたのでレポート致します。

Fin-JAWS 第4回~re:Inforce re:Cap 金融スペシャル~ - Fin-JAWS (金融とFinTechに関するJAWS支部) | Doorkeeper

レポート

#1: アマゾンウェブサービスジャパン株式会社 パブリックセクター コンサルティング本部 シニアセキュリティコンサルタント 松本 照吾氏 『re:Inforce reCap』

• re:Inforceではワークショップを担当していた
• re:Inforceがどんなイベントだったかなどを中心に紹介
• Reinforceは強める、補強するという意味
• re:InforceはAWSが主催するセキュリティにフォーカスした学習型カンファレンス
  • ビルダーのためのイベントと言っている
  • re:Inventよりも触ったり試す機会を多めにしている
  • Cレベルの意思決定者向けのイベントも用意している
• 規模感
  • ボストンで開催
  • 176のブレイクアウトセッション
  • 約8000名が参加
• キーノート
  • AWSのCISO Steve Schmidtが登壇
  • 新しいものがボンボン出るわけではなく、AWSがセキュリティをどう考えているのか、未来をどう考えているのかが中心
  • Building vs Campus
  • Nitro, Firecracker
    • ホストやコンテナをAWSが独自設計をするようになってきている
    • AWSが中で低レイヤーの整備をしている
  • Automation and talent management
    • セキュリティの自動化
    • 人がやらなくていいことは任せていく
  • Encrypt Everywhere
  • Traditional to future
• 新機能やサービス発表
  • Control Tower
  • Security Hub
  • encryption options
  • integration with Coupa
    • 社内の調達にマーケットプレイスを直結できる
    • サービスの調達の仕方が変わってきている証明なのでは？
• 注目セッション
  • AWS Security blogにてカテゴリごとに人気の高かったセッション及びリストを公開しています
  • カテゴリ
    • leadership sessions
    • Security Deep Dive
    • The Foundation
    • Governance, Risk & Compliance
    • Security pineers
• Learning Hub
  • パートナー企業やAWSのブースで専門家と交流
  • コンテナなどの新しい技術のセキュリティがにぎやかだった印象
  • Demo Theater
  • Jam Lounge
  • AWS Ask the Expert
• International Lounge
  • 参加者とAWSメンバーが交流できる
  • デバイスの充電や軽食も
  • アイスも配っていた
• Security Jam / Capture The Flag
• AWS Executive Security Simulation
  • CxOに参加してもらう
  • 8名程度でチームになりセキュリティ投資を行うゲーム
  • ゲームを通じてクラウドにおけるセキュリティ/ガバナンスを学ぶ機会
• 来年もre:Inforceやります！
  • June 16-17, 2020
• AWS Security Roadshow Tokyo 2019を開催
  • 大手町で無料のイベント！
  • Security JAMもあるよ！
  • 申し込みするときはRoadshowとSecurity JAM別々なので注意

感想

re:Inforceの内容は動画でも出ているのでキャッチアップしておきたいですね！

そして東京でのRordshow開催！早速エントリーしましょう！

#2: 株式会社野村総合研究所（NRI） 早川 愛氏 『re:Inforce reCap 注目のサービス』

• クラウドに対するガバナンスの課題
  • 昔ながらのガバナンスはGatekeeper式
    • チェックリスト方式で開発者の自己チェックに依存
      • セキュリティ担当者は実環境を調査できない
      • 事故が発生するリスクがある
    • クラウドのスピード感の低下
  • 理想的なガバナンス
    • GatekeeperではなくGuardrail
      • コンプライアンスとアジリティのバランスを取る
        • 外枠だけ決めてあげて自由にやってもらう
      • 申請書ベースではなく組み込みポリシーで監視・自動レスポンス
      • 自動化によりデータから人を分離してリスクを極小化
• 基調講演でのユーザ事例: Radar
  • ボストンの保険会社の事例
  • アーキテクチャも紹介されていた
  • 監査用のアカウントにCloudWatch Busを使ってイベント集約
  • rulesで精査してSNS通知
  • Radarというものでコンプライアンスチェック
  • 結果をDynamoDBに格納
• re:Inforceでの新サービス・新機能
  • Control Tower
    • ガードレールのサービス
    • マルチアカウントで活用する
  • Security Hub
    • セキュリティチェックやCISベンチマークの結果をダッシュボードで表示
    • パートナーソリューションとも連携・可視化
  • VPC Traffic Mirroring
    • ネットワークのトラフィックを複製
    • 監査用のサーバにパケットを飛ばしたりできる
  • EBSデフォルト暗号化
  • 等々
• AWS Control Tower
  • マルチアカウント環境において各種セキュリティ設定を適応、またその設定を維持管理
  • ベストプラクティスに基づいたAWSアカウントを自動で作成
  • Landing Zoneのセットアップ
    • ベストプラクティスに基づいたAWSマルチアカウントの青写真
    • 共有アカウント
      • マスターアカウント
      • ログアーカイブアカウント
        • 全アカウントのTrailとConfigが集約
      • 監査アカウント
        • Configの設定情報とかRulesの準拠状況が集約
    • 組織ユニット(OU)
      • Core
      • Custom
    • 必須のガードレールを有効化
    • Service Catalog
    • AWS SSO
      • ディレクトリはマスターアカウント配下に作成
  • Guardrailsの適用
    • AWS 環境全体に継続的なガバナンスを提供する高レベルのルール
    • ガードレールの動作は予防または検出の2種類
      • 予防はOrganizationsのSCPでルールを強制
      • 検出はConfig Rulesによるルール準拠違反の検出
    • Reference
      • AWSのドキュメント
      • 各種ルールが定義されている
      • Control Towerの変更などは必須のルール
      • 現状はサポートされているリージョンしか検知できないので注意
    • Account Factory
      • Service Catalogを通じてアカウントをプロビジョニング
      • ガードレールが有効な状態で展開
    • コンプライアンス準拠状況のモニタリング
      • 準拠していないリソースが表示されたり
      • OU単位/アカウント単位での一覧もある
  • すでにOrganizationsを使っていると利用できないので注意
• Security Hub
  • セキュリティとコンプライアンスの状況を一元的に管理
  • 集約されたイベントを様々なアクションへ連携
    • GuardDuty
    • Inspector
    • Macie
    • パートナーソリューション
    • CloudWatchイベントと連携する
      • Lambda / Run Commandと連携
      • サードパーティにログを飛ばしたり
      • SIEMと連携したり
  • 活用事例
    • Northwestern Mutual (アメリカの大手生保会社)
    • 大量のアカウントを管理している
    • Security Hubを有効化してアカウント払い出し
    • メンバーアカウントのSecurity Hubからセキュリティチームのアカウントに情報を集約
    • Lambdaを使って自動修復
• まとめ
  • GatekeeperではなくGuardrail
  • マルチアカウントを前提としたセキュリティ自動適用
  • Guardrail構築に役立つAWSサービス

感想

Guardrailの考え方はしっかりと刷り込んでいきたいですね！

Control TowerとSecurity Hubはガンガン活用していきたいです！

#3: Japan Digital Design株式会社 唐沢 勇輔氏 『セキュリティ担当者からみたre:Inforce 2019』

• これまでの仕事
  • セキュリティ製品の企画開発
  • QA
  • マネジメント
• AWS経験はない！
• 会社紹介
  • Japan Digital Design
  • MUFGの直接子会社
  • クラウドネイティブに内製化できる組織
  • 雇用形態をあたらしく
  • 何やってるの？
    • Biz Lending
      • 中小企業向けレンディングサービス
    • みんかぶ保険
    • 等々
• 入社2日目でいきなりre:Inforceに行くことになった
• 行く前の準備
  • AWSを知る
    • ネットにあるたくさんの情報
    • Well-Archtected
    • AWSセキュリティベストプラクティス
  • AWSを触る
    • JDD Kidsroom
    • Udemy
  • トレーニング
    • Security Engineering on AWS
• 参加
• いくつかトピックを紹介
  • Security Automation
    • 自動化しましょうねという話
    • CodePipelineとオープンソースを組み合わせてリリース時にセキュリティチェックを自動的にやったり
    • イベント検知から対応まで自動的にやったり
    • セキュリティやってる人はインシデント起きたらアドレナリンが出て楽しめる人かもしれないけど、オートメーション大事だよね
  • Infrastructure as code requires security as code
  • DevSecOps
    • I am not fan of DevSecOps(会場拍手)
    • 開発プロセスにセキュリティを埋め込む
    • Security is now board level for everyone
    • すべての人が考えるべきだよね
• 攻略ガイド
  • セッションは公開されるけどワークショップはその場だけなので参加したほうがいい
  • ユーザ事例はyoutubeで公開されないかもなので積極的に聴く
  • Builder Loungeは試した見た系を見たり聞ける
  • ある程度レベルがあれば基礎セッションは聞かなくてもいいかも
• Compliance as code
  • 監査の変革
  • インフラがコード化する = 監査もコード化
  • 新しいAML( anti mony laundering)の形
• ワークショップに参加してみた
  • Building Serverless Compliance as code
  • CLIでAWS環境をチェック
  • サードパーティとか使うといい感じになる
    • Cloud Custodian
    • 等々
• Compliance as Code成功の鍵？
  • 監査をするのが理解ある人とは限らない
  • どう合意形成するか？
  • まずは、セキュリティ監査の責任者をre:Inforceに連れてこよう！
• ブログも書いてるよ！
  • 「Capital Oneデータ漏洩経路の考察」も書いたよ！

感想

Compliance as Code(CaC)というところまで来ているのにびっくりですね！

監査の人も巻き込んでガンガン進めていきたいですね！

#4: マネーツリー株式会社 マーク マクダッド氏 『AWS re:Inforce 2019 Recap』

• MoneytreeははじめからAWSを活用していた
• YOUは何をしにボストンへ？
  • CTOのロスとお酒を
• 参加した背景
  • セキュリティ系のチェックリストが金融機関から渡される
    • クラウドでの対策をしても話が合わない
  • これは日本だけ？と思うことが多い。海外の金融機関はどうしているんだろうか？いいネタを持って変えるとエキスパートになれるのでは？
  • AWSの幹部や各サービスのリードに会いたい
  • SWAGほしかった
  • 飲み会が好き
• CTOのロスが参加した背景
  • プライオリティは真逆だった
• 目的を達成できたのか
  • 飲み会あった
    • Japan Nightに参加
    • 事業会社は少なかったので次回は参加してほしい！
  • SWAG
    • パソコンもらった
    • ちゃんと参加セッションの評価をしないともらえない
• 参加してみた感想文
  • クラウドを理解してくれない情報セキュリティ部門は日本だけじゃない
    • 誰でもセキュリティを意識してほしい
    • It's Old 情報セキュリティ
      • アプリケーションとDBを別のVPCに置くとか
    • 新しい情報セキュリティ
      • 変更によるリスクと機密性をグラフに落とす
  • AWSの社員は意外にfriendly
    • アカウントマネージャだけでなく各サービスチームも一緒に相談に乗ってもらえた
    • 事前にAWSの担当に話しておくといいかも
    • AWS KMSのチームを1時間も独占しちゃった
      • BYOKについて伺った
      • 最終的にAWSを信頼するか決めなければならない
      • いいとこ取りはできないことをKMSのトップたちから聞けた
• ベンダーたちの展示は初日回るべき
  • ベンダーのピッチをきくことによって
    • 今後はどのようなthreatが来ているか把握できる
    • クラウドのconfigを監視するツールが多かった
    • 資金調達したところのスタートアップ企業のブースに寄るべし(船に乗せてもらい、3時間飲み放題に参加)
      • 実際有意義でどんな営業をしているかとかも聞けた
      • 大手企業の課題も聞けた
• 国内のネットワーキングができる
  • 今回は人数が多くなかったけど、日本ではなかなか出会えない人と会えた
  • 自由に長く話ができた
• YOUは何で来ない？
• 日本の企業はもっと出るべき
  • Fin-JAWSでじゃ違うと思うけどセキュリティ==pentestingと脆弱性とパッチだと思っているセキュリティチームが多いらしい
  • オートメーションしたりたくさんやることがある
• 次回いきたいならmoneytreeへ！

感想

直接的な技術意外にも日々の困りごとなどを相談できる場でもあったのはすごくいいですね！

来年は参加しましょう！ｗ

さいごに

re:Inforceは新しいサービス発表こそぼちぼちであったものの、たくさんのナレッジや考え方の共有があってとても有意義なイベントであったのではないかと感じました。

ガードレールやCompliance as Codeなど世の中がどう変わっていくかをしっかり追っていきたいですね！