「re:Inforce Japan 体験記とAWSに学ぶセキュリティ組織の作り方」で登壇しました

今回は先日開催した弊社イベントである「AWS re:Inforce参加者から見るクラウドセキュリティの最新動向と応用」で登壇した内容の共有です。

hiroyuki kaji

2023.09.08

こんにちは、コカコーラ大好きカジです。

今回は先日開催した弊社イベントである「AWS re:Inforce参加者から見るクラウドセキュリティの最新動向と応用」で登壇した内容の共有です。

re:Inforce Japan ツアー体験記

以下についてご説明しました(抜粋)

  • AWS セキュリティに特化したカンファレンス
  • アナハイム(カリフォルニア)で 6/13 - 14 の 2 日間開催
  • オンライン(※一部セッション)とオフラインの同時開催
  • オフラインセッションは Youtube にて随時公開中

  • re:Inventとの違い

  • Japanツアー(日本語通訳付きのExpoツアー)
  • Japanツアーのホテル
  • Workshop(ハンズオン)
  • ツアー特別公演
  • Amazon style/Amazon fresh

AWSに学ぶセキュリティ組織の作り方

*あくまでも個人での調査であり、推測も含んでいます。

re:inforceでのセキュリティ文化について

セキュリティの文化についての話が、複数聞くことができました。レポートブログはこちら

気になって調べたらAWSで最近資料を公開していました

これからのセキュリティ組織の作り方として学ぶべき点が多いと思いましたのでご紹介します。

How Do I Build Culture of Security ? 2023/6/24に公開

AWS Exective Insights AWSセキュリティ文化の育成

セキュリティの文化はトップから

  • AWSでは、AWS最高情報セキュリティ責任者(CISO)が AWS最高経営責任者(CEO)と 毎週1時間 会議を行っている
  • CEOはAWSのセキュリティを詳細に把握
  • そして文化的には、セキュリティが最優先事項であるという雰囲気が組織全体に定着

  • リーダーは、全員参加の会議であろうと、その他の広範囲に分散されたコミュニケーションであろうと、セキュリティの重要性を頻繁に強調

  • 上司にとってセキュリティが重要であれば、あなたにとっても重要になりますよね。

疑わしいセキュリティ異常を簡単に報告できるように

  • AWSでは、実際にあるのか、認識されているかにかかわらず、疑わしいセキュリティ異常を簡単に観察して報告できるようにしている
  • 従業員が何かを疑うたびに、チケットを発行することを推奨されている

.oO(ミスは起こるものなので非難しない文化も重要)

中央集権(ゲートウェイ型)ではなく全員がセキュリティチームメンバー

  • AWSではセキュリティに対して、中央集権(ゲートウェイ型)のアプローチではなく全ての事業部を支援するというアプローチ .oO(どこかで聞いたアプローチ)

  • 全員がセキュリティチームのメンバー

  • 組織内の役割に関係なく、当事者意識と責任感が植え付けられる

  • 専門知識を共有し、ビジネスのリスクを軽減するために存在する

    • ただし、サイロ化させず、中央集権にしない
  • 第1にレクチャーが最優先、第2に警備
    • あとのガーディアンへどのようなレクチャー、トレーニ ングをしているのかは不明

* サイロ化=組織の中でシステムや部門が分断され、独立している状態

セキュリティ・ガーディアン・プログラム

ガーディアン

  • 一般の開発者が担当
  • オペレーションの中でセキュリティを根付かせる
  • セキュリティチームのトレーニングを受講してからガーディアンになる
    • AWSには数千人のガーディアンがいる
  • コミュニティーがあり、セキュリティチームや他のガーディアンとQAできるようになっている

セキュリティ・ガーディアン(想像図)

  • 支援するガーディアンズというメンバーが各事業部にいて、主要なエンジニアをスペシャリストに育成することを支援
  • セキュリティチームは、第1にコーチングすることを優先しているそうです。

  • チームで協力し、設計から実装、テストまで一貫してセキュリティリスクを低減

  • より良い文化を作るために、セキュリティを足枷にしない、より強靭なビジネスのための基盤になっている

  • AWSでは責任はそれぞれで持つというカルチャー

  • 中央集権ではなく、ガーディアンを増やすのがCISOの役目

  • 思想はCCoEと同じでは?

    • CCoE(Cloud Center of Excellence) クラウドを推進するために設置される全社横断型の組織

個人でガーディアンしてました

弊社システム開発部門のセキュリティ関連の壁打ち • 部の垣根を超えた支援

  • 2018年から現在まで
    • 2週に1回MTG
  • 改善した項目
    • ドキュメント整備支援
    • AWS Well-Architected Frameworkの壁打ち
    • システム改善のアドバイスや調査支援
  • メリット
    • ドックフーディングできる
    • お客様案件でノウハウとして提供・利用できる
  • デメリット
    • 少し仕事量が増えます

まとめ

  • 来年もre:inforceに行きたい
  • セキュリティの文化が大切
  • ガーディアンプログラムを見習いたい
    • CCoEのセキュリティ版かも
    • 弊社も取り入れたい

ご参加頂いた方々ありがとうございました。 イベントでAWS 平賀様から言いたいことはすべて含まれてましたと、太鼓判を押してもらったのが嬉しかったです。

スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ

関連記事

AWS入門ブログリレー2024〜 Amazon Data Firehose(旧 Amazon Kinesis Data Firehose)編〜

emi

2024.05.02

[アップデート]最後にAMIを使ってEC2インスタンスを立てた日時が確認できるようになりました

たぬき

2024.05.02

TerraformでCloudFrontのキャッシュポリシーやオリジンリクエストポリシーの作成・設定をやってみた

sora

2024.05.02

[アップデート] AWS Security Hub の新しいセキュリティスタンダード「AWS Resource Tagging Standard v1.0.0」を使って組織に必要なタグキーがリソースに設定されているか検出出来るようになりました

いわさ

2024.05.02