トップ 最新

ただのにっき

2018-10-31(水) [長年日記]

「Security Engineering Casual Talks #1」へ行ってきた

先日Twitterに流れてきたSecurity Engineering Casual Talks #1というイベント案内をつかまえてサクッと参加登録。明日からのCODE BLUE*1を手始めにAVTOKYO*2、PacSec、それから今年からはBSides*3まで開催される日本の「サイバーセキュリティ月間」の前哨戦になる……かというと客層がかぶってない気がするけど(笑)。クックパッドでの開催ということもあって、かなりしっかりした料理が提供され、酒類も豊富に並んでいた(ストロングゼロがちょいちょい混じっているというトラップ付き)。

1つめの発表は主催者にして会場提供のクックパッド@kani_bさんによる、開発者用のAWSアカウントを運用してる話。本番用とは別に開発者が自由にAWS上で実験できる環境を提供、よほど危ない機能以外はオープンにして、その代わりオペレーションログも含めてあらゆるログを取得、開発者には触れない場所に保管している。競争力を維持するのに必要な開発スピードとフットワークを損なわないために、リスクを許容してすばやく事後対処するのはとても正しい。しかもオフィスネットワークも含めたトータルな監視体制(といっても開発者の仕事は徹底して妨げない感じ)は、さすがクックパッドは徹底してるなー。

続いてFOLIO社の@ken5scalさんはTeleportを使ってsshをなくす話。日ごろからいろんなサイバー攻撃手法を研究してると、サービスの表口はけっこう硬いから裏口を使って侵入しようというのが定番なんだけど、そうなるとやっぱり開発・運用者個人が一番弱い。そんな人たちがローカルにssh秘密鍵を置いてる状況をなんとかするソリューションがいくつかあって*4、Teleportもそのひとつ。単にブラウザから使えるターミナルというだけでなく、セッション共有による共同作業やsshトンネルまで提供していて、なかなか便利。運用面ではまだ課題を抱えているようだけど。他にもTeleportサービスがダウンしているときのバックアップ用にKryptonを使ってた。へー、Kryptonを実運用してるの初めて見た。

最後はCyberAgentのokzkさんが、AWSの暗号化サービスを紹介。コンテナ内から環境変数経由で復号データを渡すラッパーの紹介など実用的。ほぼ同等なサービスが複数あったりするところにAWSのカオスさを感じるw そういえば冒頭の参加者リサーチで、AWS / GCP / Azureの利用者数がほぼ同じだったのはけっこう意外だった。AWS一強の時代は終わっていたのか。

クラウドを主戦場とするWeb企業がそのセキュリティについて語り合うという場はなかなかないので、イベントとしてはいい差別化だと思う。刺激をもらったので次回もあればできるだけ参加する。

Tags: security

*1 うちの職場から2名登壇予定。

*2 同じく職場から1名登壇予定。

*3 1名登壇予定。あとオーガナイザーも。

*4 最近も知人たちとGCEのVMに入るのはもっぱらブラウザからでsshしたことがないみたいな話をしたばかり。