【開催報告】AWS re:Inforce 2019 re:Cap Seminar

2019年7月30日、AWS Loft Tokyo にて、AWS re:Inforce 2019 で発表・紹介されたセキュリティサービスやソリューションの最新情報を振り返るイベントが開催されました。

AWS re:Inforce 2019 とは、2019年6月25、26日に米国ボストンで開催された AWS セキュリティ&コンプライアンス最大のカンファレンスです。エンドユーザー様、パートナー様を中心に、世界50カ国以上中から8,000人以上の来場者が集まりました。基調講演や170を超えるセッション、パートナー様展示ブースからなる Security Learning Hub、参加者同士のネットワーキングイベントなどからなるとても大きなイベントでした。

そこで本セミナーでは、AWS re:Inforce 2019 に参加されたAWS利用者を迎え、企業のセキュリティ意思決定者・担当者に向けて効率的に情報収集いただく目的で開催されました。以下より、登壇者の発表から伝わる AWS re:Inforce 2019 の熱気をお感じください！

【登壇者発表①】石川陽一氏, システムリスク管理室, カブドットコム証券株式会社

石川氏ご自身で作成されたダッシュボードで、re:Inforce セッションごとの YouTube の視聴数の分析をご紹介されました。セッショントラック毎に絞り込みできるなど、これから re:Inforce セッションを動画視聴する方にとって非常に参考になります！セッションイベント全体の振り返りをいただいた後に、動画視聴数が多い、GRC (ガバナンス・リスク・コンプライアンス) に関連するセッションや、Attribute-based Access Control (ABAC) のセッションなど、最近トレンドとなっているお話をされました。

GRC に関して、AWS ブログで紹介されたこちらのフレームワークはしっくりきたとのことです。このフレームワークを踏まえ、re:Inforce では継続的改善や自動化を中心に取り扱われていたとのことで、それらを実践していく方法を、セッションやワークショップの内容を交えてご紹介されました。日本での一般的な内部統制に対する認識の違いが分かる発表でした。

発表資料：AWS Re:Inforce 2019 Re:Cap LT

AWS Re:Inforce 2019 Re:Cap LT / kabu.com Yoichi Ishikawa

【登壇者発表②】荻原一平氏, 開発部開発基盤ユニットリーダー兼セキュリティ推進室, 株式会社Speee

AWS re:Invent の規模の大き過ぎると感じる方にとって、セキュリティに特化した AWS re:Inforce の規模感はちょうどよいかもしれません。そのような方の一人で、「よりセキュアでプロダクト開発に集中できる環境をつくる」ミッションを持ったエンジニア兼セキュリティ担当の荻原氏からは、セキュアに AWS アカウントを管理するための情報をまとめていただきました。

マルチアカウント管理において、地味ではあるが便利なアップデートとして、AWS OrganizationsのSCPなどの機能強化や、IAM User/RoleやAWSアカウントへのタグ設定、それらをもとにした操作の制限などをご紹介いただきました。実際の企業組織では当たり前となっているマルチアカウント環境に関連する最近のアップデートやセッション情報に興味ある方は、以下発表資料をご参照ください！

発表資料：re:Inforce 2019 re:Cap
AWS re:Inforce 2019 re:Cap

【登壇者発表③】小野雄太郎氏, VP of Infrastructure, Japan Digital Design, Inc.

小野氏からは、AWS CloudFormation と AWS Service Catalog による環境テンプレート化に取り組まれている状況をもとに、AWS Control Tower などのマルチアカウントでのガバナンスや自動化に関してお話しいただきました。IT 担当者は、アカウントの最低限の保護(ガードレール)と準拠状況をモニタリングするなど、いまやマルチアカウントを前提としたガバナンスが求められています。

また、迅速なサービス開発を実現するDevOpsが進んでいくなかで、インフラ担当者の今後の役割として、セキュリティの自動化への取り組みがより重要になっていきます。自動化が必須となるこれからの時代では、IT 担当者は自動化プロセスにセキュリティを組み込んでいくことになります。従来の組織における役割は変わるため、各役割の相互理解のためにも、IT 担当者だけでなく事業責任者なども AWS re:Inforce に参加すると良いと感じたとのことです！

発表資料：re:Inforceにいってきた
AWS re:Inforce 2019 re:Cap – 2019-07-30

【登壇者発表④】唐沢勇輔氏, Senior Engineer (セキュリティ担当), Japan Digital Design, Inc.

セッションなどは YouTube に後から公開されるものが多いので、ワークショップを中心に出席するのがよいというアドバイスで始まった唐沢氏の発表では、実際の参加されたワークショップのひとつ、Compliance as Code Workshop についてお話をいただきました。インフラがコード化されていくなかで、監査もコード化していき、定期的な監査からリアルタイムの自動化された監査へ変わっていきます。このワークショップでは、実際に手を動かしながら監査の自動化を体験できるものだった、とのことです。

唐沢氏は、Compliance as Code のコンセプトに関しては、まったくそのとおりだと思う一方で、監査を行う側が、必ずしも理解があるとは限らず、どのように合意形成するかがポイントになると指摘されました。その上で、セキュリティ統制の責任者に AWS re:Inforce に参加してもらうことも、ひとつの解になるだろうとのことでした！

発表資料：セキュリティ担当者が見たAWS re:Inforce 2019

セキュリティ担当者が見たAWS re:Inforce 2019

【登壇者発表⑤】中丸良氏, CTO, 株式会社 SUPINF

「AWS re:Inforce、最っ高でした！」と語る中丸氏。最高だった点として、「AWS の重要概念の理解が深まる」「未来の話ができる／未来がみえる」の2点をお話いただきました。AWS の重要概念として、ビジネスアジリティとガバナンスの両立を目指すために、プロジェクトチームを自由に走らせるための”ガードレール”や”ランディングゾーン”を挙げました。それを実践で理解するために有用な Identity Round Robin Permission Boundary ワークショップがあるので、気持ちが熱いうちにやってみることをお勧めしています。

また、”未来の話はパートナーブースにあり”ということで、AWSに無いソリューションをパートナーが先行して出しているとのことです。日本に代理店がまだないAWSパートナーとして、Aporeto と Turbot を紹介いただきました。Aporeto はサービス間通信の可視化と管理を行うネットワークセキュリティソリューション、Turbot はクラウドガバナンス実現のための”ガードレール”ソリューションです。未来が見えるソリューションを探すためにパートナーブースも是非足を運んでみてください！

発表資料：How do you reinforce yourself?

reinforce-2019-recap-lt

【登壇者発表⑥】日比野恒氏, サイバーセキュリティ部, 株式会社リクルートテクノロジーズ

日比野氏から、AWS re:Inforce 期間中にリリースされた VPC Traffic Mirroring を中心にお話いただきました。VPC Traffic Mirroring により、エージェントやインラインでのパケット取得が不要になり利便性が向上します。また、マルチアカウント環境で、他アカウントへの送信も既にサポートされています。一方で、今後の期待として、Nitro ベースの EC2 以外への対応拡大や、Auto Scaling への対応などのご要望にも言及されました。なお、パケット解析サービスを提供している ExtraHop のブースに立ち寄った際に、既に VPC Traffic Mirroring に対応しており、そのスピード感に驚いたとのことです。

VPC Traffic Mirroring 然り、 AWS に要望をあげることで実現する機能やサービスがあります。AWS サービス開発者に直接要望をあげる機会としても AWS re:Inforce への参加は意義があるとのことです！

発表資料：Boston のクラムチャウダーは美味しかった (AWS re:Inforce re:Cap LT)

AWS re:Inforce2019 re:Cap LT

【登壇者発表⑦】水谷正慶氏, 技術部セキュリティグループグループ長, クックパッド株式会社

水谷氏からは、AWS re:Inforce で取り上げられていた Security as Code の例をご紹介いただきました。Amazon CloudWatch Events で設定変更を検知し自動修復を行うセキュリティ設定、開発環境などで AWS CloudTrail で必要な権限を導出して自動的にポリシーを作成する AWS IAM ポリシー作成の自動化、Amazon SageMaker を用いた機械学習による AWS WAF ルールの自動更新などです。自分達の組織に必要な機能をAWSのマネージドサービスを組み合わせて実現できます！

その例として、クックパッド様でのAWSのマネージドサービスを利用した Security as Code の事例を紹介されました。Amazon S3 バケットにある1日当たり3億件のセキュリティログを、AWS Lambda で変換・転送するのに１日1.6ドルで実現しています。AWS re:Inforce で一般提供開始した AWS Security HubのFindings (検出結果)も Amazon S3 にエクスポートして上記仕組みに統合しています。今後は、セキュリティアラートの自動分析・対応するフレームワークを AWS 環境上で実現していくとのことです。

発表資料：AWS re:Inforce recap

AWS re:Inforce recap 2019

【登壇者発表⑧】守屋裕樹氏, イノベーション統括部, 株式会社NTTドコモ

守屋氏からは、Security と Development の両立をテーマにお話いただきました。一般的な企業では、セキュリティ担当者と開発者は対立しがちなところを、AWS re:Inforce での登壇事例から、セキュリティや監査の自動化をすすめることで、このふたつを両立をしている実例をご紹介いただきました。

Comcast の事例では、旧来 IAM ロールの払い出しをチケットで行っていたのをRole Vending Machineを作成し自動化し、セキュリティと Developer Experience を両立しています。また、Riot Games の事例では、Permanent Credential の排除の取り組みのなかで、一時キーの払い出しツールを作成した際に、Developer Experience を意識し、Web UI 以外にも API や CLI を用意した話がありました。

これらの事例を通じたメッセージとして、セキュリティ担当者が自動化に前向きに取り組む姿勢を持ち、開発者は、セキュリティ担当者にノウハウを積極的に提供することが、強固なセキュリティと開発のスピードが両立するためには必要となってくるとのことです！

発表資料：AWS re:Inforce 2019 re:Cap LT ～”SecurityとDevelopmentの両立”について考えてみた～

AWS re:Inforce 2019 re:Cap LT

【オープニング&クロージング】桐山隼人, シニアセキュリティソリューションアーキテクト, アマゾンウェブサービスジャパン株式会社

AWS re:Inforce 2019 の概要と、Keynoteでのメッセージを中心にお伝えしました。セキュリティの分野は、事業の最前線でセキュアにサービス開発運用する方、ポリシーやルールに従い企業内のセキュリティを管理する方、ビジネス環境変化を注視しクラウド時代の新しいセキュリティ統制の在り方を模索する方など、色々な立場の方が関係してきます。セキュリティは全ての立場の人が能動的に考えるべきことであり、セキュアかつ迅速なビジネスを一人一人が体現することで、周囲と共に前進していけます。

失敗を恐れず素早く試行錯誤を繰り返して、やがて革新をもたらす人のことを AWS ではビルダー (Builder) と呼びます。サービス開発する方も、セキュリティ管理する方も、企業統制を考える方も、全員がビルダーです。「ビルダーによるビルダーのためのセキュリティ(Security by Builder for Builder)」の実現を願って、このセミナーは終了いたしました。

発表資料：AWS RE:INFORCE 2019 RE:CAP

AWS re:Inforce 2019 re:Cap Opening and Closing

二時間半のあっという間のセミナーでしたが、AWS re:Inforce 2019 の熱量と参加者の熱い想いを体感できたのではないでしょうか。これを機に、2020 年の AWS re:Inforce に参加してみたい！と思っていただけたら幸いです。また、来年もよろしくお願いいたします。

以下は登壇者の集合写真です。本セミナーにご参加いただいた皆様、登壇者の皆様、誠にありがとうございました！