りょうかいの備忘録

ITインフラSE系を生業としております。IT系の記事感想を始め、趣味の旅行や写真を掲載していこうと思っています。

第3回 JAWS-UG 横浜支部勉強会に参加してきました。

横浜に生活の拠点を移して一月半。横浜のJAWS-UGが開催されるという事を聞きつけ、早速参加してみました。

場所は横浜駅西口の近くにある情報セキュリティ大学院様。


情報セキュリティ大学院大学

駅から歩いてすぐの場所にありました。少し意外だったのは無線LAN環境がなかったという事かな。芋を持ってきて正解でした(;´Д`) 場所を提供して頂きありがとうございました。

 

 主宰の吉田さんの開催のご挨拶、場所を提供して頂いた情報セキュリティ大学院の橋本様のご挨拶の後に勉強会開始。

 

まずはADSでこの度部長となられました片山様(@c9katayama)のプレゼンからスタート。冒頭に以下の本のご紹介から。

Amazon Web Services クラウドデザインパターン実装ガイド

Amazon Web Services クラウドデザインパターン実装ガイド

そして早速ヤマンネタを披露。いやいや、こんな所でつかみはOKって言われても…

いよいよ本題。AWSには責任共有モデルというスタイルを持っている。AWSを使うに辺り、AWS側とユーザ側で以下の様に責任分野を分けようというものです。

 ○AWS:ファシリティ、物理的セキュリティ、物理インフラ、ハイパーバイザetc

 ○ユーザ:OSやアプリ等のセキュリティetc

 →上記のように書くと一見難しそうに見えますが、実の所ユーザが担当するのは以前と大きく変わらないとの事。OSやアプリを実装するに辺りセキュリティ面を考慮しているのは昔からやっていますので、そういう事を仰っているのだと思います。

後、片山様のプレゼンで非常に興味深かったのは、物理的セキュリティの事項。例えばデータセンターの秘匿が非常に徹底されている点。東京にデータセンターがある事は知っているが具体的な場所は全く不明。現に社員ですら場所を教えてもらえてない。そして論理的アクセスと物理的アクセスが完全に分かれている。どういう事かというと、物理的なアクセスが許可されている人には論理的なアクセスが認められていない。その逆も然り。なので恣意的にハッキングをする事が不可能であるという仕組みを社内で作っているという事です。これは日本の大手SIベンダーとは一線を画している、いや、日本の方が緩いというべきなのか…色々と考えさせられました。

その他にも日本のISMSをはじめ米国のPCI DSS、SSAE16/ISAE3402 SOC1等の各種監査の認定を受けています。現在もSOC2の審査を受けているとの事。第3者の信頼できる認定機関で認定を受けており、セキュリティには万全の態勢で臨んでいます。

そして最後に片山様のAWSをセキュリティ実装という観点から見たお勧めの実装方法。

 ①責任共有モデルに則り必要な所だけに注力する。

 ②既存のセキュリティポリシー(AWS実装前から充てていたもの)を利用する。

 ③AWS独自部分は提供機能を使って実装する。

 

次にサーバーワークス大石様(@ooishi)のプレゼン。

お馴染みの切腹ネタで始まりましたがw内容は非常に濃いものでした。詳細は上記スライドを参照して頂ければと思いますが、一部特に濃かった内容2点を以下にご紹介。
①場所の秘匿について
 片山様のプレゼンでも述べられましたが、大石様もこの点にはとても注視しており、秘匿が破られた時に一気にリスクが高まる事を歴史ネタで熱く語っておられました。先ほども書きましたが大手SIのデータセンターって場所が分かるんですね。一応自分もかつては中の人だったので、その中の1つがどこにあるかって何となく察しがつきますし…少しこの辺のセキュリティの考え方が超巨人のクラウドベンダーであるAWSやSalesforceGoogleとは違っているのではと感じます。
②サイバー攻撃に耐えました!
 尖閣諸島の領土問題で一気に緊張した日中関係。その際に官公庁のHP改竄等のサイバー攻撃を受けたというのは何度かニュースに上がりましたが、実はその攻撃対象にサーバーワークスが手掛けた日赤もあったという事でした。あっさりやられた箇所を尻目にしっかり対応できていたそうです。これは凄いわ…(;゚д゚)ゴクリ…
 
以上2点でしたがそれ以外にも大変参考になるプレゼンを見せて頂きました。切腹は今回はなしでwありがとうございました!
 
ここからはハンズオンとプレゼンの2手に分かれます。自分はプレゼンの方に参加。
 
プレゼン班では、情報セキュリティ大学院の苗村憲司先生による「著作権法はクラウドにとって敵なのか?」という刺激的な内容の特別講演が行われました。
こちらのURLを見て頂ければわかると思いますが、苗村先生はインターネットを始めとして多くの業績を残されている方です。私は初見でしたがプレゼンの内容を拝見して非常に有益な内容だったと思います。全体は把握しきれませんでしたが以下トピックスで箇条書きにして示します。
 
・クラウド化に伴う著作権の適用については法の専門家である弁護士ですら見解が分かれている。
・司法の判断も高等裁で業者側勝訴だったのが最高裁で逆転判決が下って敗訴となった例も多い。この中には苗村先生の想定を超えるものもあった。
・日本政府も苗村先生を委員長とした調査委員を発足させ、報告書も提出している。
著作権法での課題は大きく分けて四つ。①サーバーへのアップロードに伴う複製。②ダウンロードやストリーミング。③リスク分散への複製。④クラウド環境におけるプログラム実行による複製。しかしどれもエンジニアレベルで影響を与えるものではない。
・そもそも米国でインターネットの定義というのはリソースをシェアするものを前提とするものだった。なので著作権というもの自体が存在しなかった。
・米国は議会で決めた事を最終的に審査し判断するのが司法の役目になる。なので多少これは…と思うようなものが立法で出来ても司法がNGを出すケースも多い。しかし日本は逆に立法で決めた事を優先させることが多い。これは日本と米国では逆になっている。
・過去クラブキャッツアイ事件、MYUTA事件、まねきTV事件、ロクラクⅡ事件等ターニングポイントになるような著作権侵害の判断が出ている。しかしこれらの判決がすぐにクラウドに適用されるかどうかは時期尚早。
・今後どのようにしていけばよいか。苗村先生の提言は次の3つ。①著作権の国際的議論。②契約による権利処理の積極的推進。③技術的手法の活用。
 
中々理解のしにくい著作権ですが、苗村先生のプレゼンで背景や現状、今後どのようにすればよいか、その一端を教えて頂けたと思います。大変為になりました。
後、宜しかったら以下も。

 

続いて、TripWire菊池様とTrendmicroの日原様が続けてご登壇。
菊池様のプレゼンでは、ここの所のサイバー攻撃の実情と侵害されるポイントがどこなのかを説明。

とにかく大事なのは信用です!( ー`дー´)キリッ

そして情報セキュリティベンダー(←ここ大事!)のTrendmicro日原様のプレゼン。

そしてなんと!(゚д゚)!DeepSecurityの公式(?)キャラクターDSマンの登場!これには…

となりました(;´Д`)

上記お二方の結論としては…

と実感しました。あ、後TripWire EnterpriseとDeep Securityの宣伝も…w

 

次は横浜支部ならではのAWSウルトラクイズ模試だそうで。

これは…濃すぎる!全然分からなかったorz

何でもディフェンディングチャンピオンとして2連覇すると吉田さんの鼻息も荒い。模試対策も企画されているらしい。

 

最後にLT。今回は全部で4つ。

まずはmacnicaの鈴木様。ソリューションのSplunkを用いて超リッチなエンジニアを目指そう!…ごめんなさい、おいらはダメなエンジニアに入ってしまったorz

 

次に主宰のcloudpack吉田様。

某顧客の中にはAWSで作ってほしいというリクエストもあり、その際に必要だ多野が審査基準であるPCI DSSの審査に通るというもの。PCI DSSには明確な規定があるとの事。それはISMSと重複する項目もあるそうです。

 

次に情報科学専門学校の武藤様。

そして…ついに…

これはサーバーワークス様もバックアップするとの事。

益々の発展に期待したいです!

 

そして、最後は電通国際情報サービス田中様のLT。

 
すごい、すごすぎる…(;゚д゚)ゴクリ…
覚えるべきことが3点とはすごすぎる…
 
以上、勉強会は無事終了。
そして懇親会で盛り上がり、最後は#ヤマンこと片山様の一本締めでお開きとなりました。

※ちなみに片山様の手前に白い後頭部が写っているのがおいらです…orz

 

今回、初めて横浜支部に参加しましたが、感想は以下の通りです。

自分も大きな刺激を受けたと思います。また是非参加したいものです。