前回の第2回の勉強会から少し時間が空いてしまいましたが、去る11月27日(金)に第3回目のJAWS-UG初心者支部勉強会を開催しましたので、開催レポート第1弾をお届けいたします。
今回は株式会社D2C様のオフィスをお借りして開催いたしました。
今回は70名を超えるみなさまに参加していただくことができました。
▼第3回 JAWS-UG初心者支部の概要(募集サイト)はこちら
https://jawsug-beginner.doorkeeper.jp/events/32077
togetterまとめ
●第3回 JAWS-UG初心者支部勉強会~クラウドセキュリティ~ #jawsug #jawsug_bgnrhttp://togetter.com/li/905859
参加ブログ(※随時更新中!書いたのでここに載せてっていう人は、コメントください!)
●本勉強会運営コアメンバーのnnakayamaさん :JAWS-UG初心者支部#3を運営してみたhttp://nnakayama.hatenablog.com/entry/2015/11/28/161305
簡易レポート+資料
■ オープニング+新設&リブートした支部の紹介
青木 由佳 さん @yuka_jyotei
初心者支部運営コアメンバーである青木さんから、最近立ち上がったJAWSの支部や今後予定されているAWSのイベント各種について説明をしてくれました。
ここ最近は、HPCやIoTなどなど、どんどん専門的で細分化された支部が続々とたちあがってきています。
数も増えてきて、「どの支部がいつ勉強会あるの??」というのがややわかりにくくなりつつありますが、そんな悩みを解消できるGoogleカレンダーがございますので、皆様、こちらをご活用ください!
★JAWS-UG 勉強会カレンダーのURLはこちら!
https://bit.ly/jawscal
また、毎年3月に開催されている大規模なJAWSユーザーイベント、JAWS DAYSの2016年の開催日が決定したことも告知されました。
2016年のJAWS DAYSは3月12日@新宿にて開催です!!!
http://jawsdays2015.jaws-ug.jp/
■ クラウドはセキュリティ的に危ないのか
Cloudpack 齋藤愼仁さん (@sudachikawaii)
メインテーマのセキュリティについてのトップバッターはロードバランサーすだちくんこと、Cloudpackのシンジさん。シンジさんはCloudpack(アイレット)入社前は、HPC、ホスティングのサーバ構築、ゲーム好きが講じてゲーム会社からお声がかかるなど、マルチな活躍をされていたということですが、ある日、目覚めたそうです。
「時代はクラウドじゃね?」
そして、アイレットに入社。元々多才な才能をお持ちだっただけに、アイレット入社後も活躍の場を広げていったそうですが、CTOの鶴の一声で気づけばセキュリティ担当に。。。。
過去の経歴とセキュリティのシンクロ率はゼロだったということですが、さすがシンジさん。現場で1からセキュリティについて叩きこまれ、この初心者支部でも語ってくれるほどの素晴らしいセキュリティ担当者になったそうです。
「技術力(ITリテラシー)と セキュリティリテラシーは 全くもって比例しない」
ということで、まずは、技術力はあっても、セキュリティという切り口では初心者の人が混乱しやすい情報セキュリティに関する様々な基準についての特徴や違いについてを丁寧に、わかりやすく違いを語ってくださいました。
まず、外部監査基準について、プライバシーマーク、ISMS ISO 27001:2014、PCI DSSなどについて語っていただきました。「セキュリティ素人」には本当にわかりにくい、国内/国際基準、それってなんぞや?というところをしっかりと抑えていただき、そして極めつけの「どこまで準拠すれば安全と言えるんだ!?!?!」と発狂しそうになるみんなの気持ちをシンジさんはおそらく受け止めたうえでの、淡々とした語り口により、みんなのセキュリティーへの理解は深まり、落ち着きを取り戻すことができたことでしょう。
そしてクライマックスは、いよいよAWSに関するセキュリティについて。
結局、前半に語られた外部基準を満たしているからといって「絶対に安全」はないのだということで、クラウドセキュリティを語る上ではとっても大事な
「共有責任モデル」
のお話がでてきました。
例え、AWSが外部基準を満たし、最高のセキュリティ環境を提供してくれたとしても、それを利用する側のリテラシーが低いとすべてがパーになってしまうのです。
よく「セキュリティはかけ算だ。(1つでも0があるとすべてが0になる)」といいますが、まさに利用する私達自身も努力をしなければいけないわけです。
CloudpackさんはAWSの利用者であり、他利用者へプロバイドする役割を担っているということもあり、「利用者側でできうる最高の準備を!」ということで、SOCという基準を取ることに決めたこと、そしてSOCとはなんぞや?ということ、そしてSOC基準をクリアする上でCloudpackさんでやったこと(クラウド閉域接続網の整備、ファシリティの冗長化等)を語ってくれました。
とはいえ、SOCは誰でも取れるものではありません。(むしろ難易度がめちゃくちゃ高い)
ですので、最後は
「ISMSやPCI DSSなどの基準をうまく活用して 事業の透明性を高めることがクラウドを売る側も使う側も安心安全なセキュリティに繋がると信じている」
ということで締めくくられていました。
第3回の勉強会レポート第2弾もお楽しみに!
0 件のコメント:
コメントを投稿