Interact 2018 に参加した(2)

Interact 2018に参加した。その際のメモ。

Recap: PowerShell Core – 高井 一輝氏

PowerShell Coreとは何か

Windows PowerShellとの違いについて

・Full .NET Frameworkに依存しないPowerShell
・クロスプラットフォーム
 LinuxやMACでも動作する。
・Windows PowerShellと互換性はあるが、基本的には違うもの
・WMFに(建前上は)依存しない
・SSHが使えるバージョンと使えないバージョンがある
・UTF-8(BOMなし)
・Modern Lifecycle Policy(新しいバージョンが出たら、半年の間にアップデートする必要あり)
・WindowsPowerShellと共存可能
・Windows PowerShellは、今後大幅な機能追加やエンハンスは行われない予定

Powershell Coreへ移行すべきか

No。ただし新しくコードをかく場合はPowerShell Coreを意識してもよいかも。

Powershell Coreを使うべき人

・クロスプラットフォームで利用したい人
・コンテナを利用してWindows管理したい人(開発スピードが早いプロダクトを利用している場合)
・PowerShellの動作を変えたい人(オープンソースのため、どうぞ)

注意点

・LinuxからWindowsへのWinRMの通信は失敗する
 最新のWindowsは認証されていないと受け付けないようになっており、PowerShellCoreでの認証周りの設定が難しい、らしい。

Windows Admin Center -Project Honolulu改め- – 指崎 則夫氏

※Inside Previewを利用しているため、変わってくる可能性も

Windows Admin Centerとは

・ブラウザを利用して、サーバを中央管理することが可能
・EdgeもしくはFirefox(ただし検証はされていない)が無難
・Chromeは画面遷移で認証エラーが多発する
・インストールが簡単(ただし証明書が絡むと少し手間がかかる)
・インストールファイルサイズが数10MBと軽量
・10GB以上のCSVがあれば冗長化構成をとることができる(2ノード以上のWindows Server 2016 failover Cluster)
・イベントログの確認、サービスの起動、ファイルの確認、レジストリの操作など管理できる

Admin Centerからサーバへのアクセス方法

・PowerShell or WinRMで接続するため、各サーバに許可設定をする必要がある

管理される側要件(古いOSについて)

・WinSV2012(WMF5.1以上)
・Win2008R2(WMF5.1以上)も最新のAdminCenterは管理できる
・ワークグループなWindowsはレジストリを登録することが必要

Microsoft Azure Global VNet Peering(仮) – 廣瀬一海氏

・VNet Peeringを利用すると、AzureがSDN(LVGREやSmartNIC(FPGA)を利用)であることを感じられる
・FPGAを利用してパケットチェックして機械学習を利用して、DDoS攻撃を処理している
・Azureは実質WANのようなもの。リージョン間のネットワークもMicrosoftで海底ケーブルを引き、すべて自社網を利用する唯一のパブリッククラウド
・東京リージョンから大阪リージョンへは2msレベル
・Azureは33000マイルの自社網を持ち、世界二位のグローバルネットワークを保有している(1位はペンタゴン)
・ExpressRouteは南極以外からは接続できる
・VNet PeeringはvNETのエンドポイントのBGPルーターを利用して実現している
 制限として10地点としか接続できない
・NW設計について、サブネット分離(Publicサブネット、Privateサブネット)という鉄板も世界をまたいだ設計を考えると、破綻する
 事業ネットワーク、論理ネットワークを考慮して、事業の展開に役立つような設計が大切

Interact 2018 に参加した(1)

Interact 2018に参加した。その際のメモ。

Azureの契約直前・直後に意識しておくこと10箇条 – 足利 惟 氏

Azureそのものの管理の話。

自己紹介

・株式会社pnop所属。
・JAZUG運営メンバー。

Azureの契約プランを一度確認するべし

・サブスクリプションにはさまざまな契約プランがある。
・Visual Studio サブスクリプション(旧MSDNサブスクリプション)には月1万7000円利用できる特典がついている。

従量課金制

・使った分だけお支払い。基本はクレジットカードを利用し、Microsoftへ直接支払い。
・デメリット
 ・会社のクレジットカードを作成する必要がある。(意外と敷居が高い)
 ・請求書払いの場合、SendGridなどサードパーティと外部サービスは購入も支払いもできない。

Azure CSP(Cloud Solution Provider)

・Microsoftがオススメしている。
・サブスクリプション + パートナーが提供する付加価値。
・購入方法はパートナーの仕様に依存し、パートナー経由で購入する。法人のみ。
・デメリット
 ・ASM(旧型式)のリソースは作成できない。移行の際にボトルネックになる可能性がある。
 ・Azure Marketplaceの従量課金製品のほとんどは購入できない。(BarracudaのFW製品など)
 ・Microsoftのサポートは購入できない。(パートナー提供のみ)

EA(Enterprise Agreement)

・大企業向けの一括購入プラン。基本的に1社1アカウント。
・年間160万円以上(?)利用する場合に利用可能。
・LPA(ライセンスプロバイダー)経由で購入。
・デメリット
 ・年間使用分を事前に購入するため、年間金額を予測して購入しないといけない。
  (余ったものは返ってこない。これはクラウド?)
 ・Azure Marketplaceの購入はできるがほとんどの場合は別請求となる。
  (足利さんはオラクルの製品を利用していて、別請求で100万円ほどかかったことがある。)
 ・StorSimpleを利用したいのであれば現状EA一択。

MSA(MicroSoftAccount)と組織アカウントの違いを理解すべし

・MSA:個人で作成できるアカウントで、Microsoftが管理する。
・組織アカウント:企業が組織レベルで作成するアカウント。Azure ADに情報が格納される。
・MSAにリスクがあるため、Azureのアカウントは、すべて組織アカウントで管理することがオススメ。
・MSAのリスク
 ・セキュリティポリシーが強制できない。
  パスワードポリシー、多要素認証、監査など。
 ・5年ログインしないとアカウントが無効になる。
  Azureサブスクリプションの管理者の場合は、サブスクリプションが無効になる可能性がある。

Azure ADは最初に作っておくべし

・MSAを起点としてサブスクリプションを作成すると、メールアドレスに応じたAzure ADテナントが勝手に作成される。
・CSPはこのリスクはない。
・EAの場合は注意が必要。以下URLから先にAzure ADを用意可能。
 https://account.azure.com/organization/

Azure ADの管理者を理解するべし

・Azure ADの管理者はあくまでAzure AD内部を管理する。
 そのためユーザを作成しても、そのユーザはリソースにアクセスできない。
 (サブスクリプションの入力を求められる。もしくはサブスクリプション内で適切なロールを割り当てる必要がある。)

AzureADとサブスクリプションの関係を理解するべし

・Azure AD テナントに複数サブスクリプションを紐づけることが可能。
・Azure AD テナント間でサブスクリプションを譲渡可能。
・MSAはAzure ADではゲストユーザーとなる。
・ディレクトリを一緒にしておくとVNET Peeringを使うことが可能になる。

むやみに管理者ロールを渡すべからず

・RBAC(Role-Based Access Control)を利用して細かくリソース管理すること。
・管理者ロールはサブスクリプションを削除もできるし、所有者を無尽蔵に増やしていくことも可能。
・作業時のリスクを減らすために、適切な役割を割り振るべし。

リソース管理の便利機能を抑える

・リソースロック
 すべてのユーザに削除禁止、読み取り専用どちらかの状態にリソースをロックする機能。
・Azure Resource Policy
 リソースに関する規則を決める。RBACと違いデプロイ中のリソースプロパティに焦点。
 Dシリーズしか作成できない、東京リージョンにしか作成できないなどの制限を付与できる。
・Management Group(Preview)
 複数のサブスクリプションを管理するためのグループ。

サポートは必ず契約するべし

・Standardが値下げされてきている
・テクニカルサポートは有償サポート契約が必要
・パートナーになっている場合は、プログラム特典のサポートが利用できるかも
 (Microsoft Partner Network・MSDN・Signature Cloud Support)

感想、というよりも疑問

・AzureはAzure ADを1つ作成して、そこにユーザを作り、AD周りの権限を与える。
 サブスクリプションをAzure ADに複数割り当てて、ユーザにサブスクリプションごとにリソース権限を与える。
 という使い方であっているのかどうか?
・アカウント管理者(サブスクリプション管理者)とサービス管理者はわけたほうがよいのか?

参考 – わからなくて調べたこと

Azure サブスクリプションから CSP への移行【10/16更新】
Azure の購入方法

[AWS Black Belt Online Seminar] AWS Cloud9 入門 の閲覧メモ

[AWS Black Belt Online Seminar] AWS Cloud9 入門を閲覧した。その時のメモ。

内容


特徴

・セットアップが手間、チーム開発の上でより容易なコラボレーションが必要、既存IDEはサーバレスに追いついていないといった課題解決のためのソリューション
・AWSサービスに直接アクセスできるため、シームレスな開発が可能。
・日本リージョンにはまだ来ていない。
・コスト節約のために、デフォルトでは30分利用しないとインスタンスを停止する。

利用パターンによって、3種類のセットアップ方法がある

・Team Setupでは、開発者チームや開発者チームなどのグループ分けが可能。(IAMグループを利用する)
・AdvanceTeamSetupでは、特別なポリシーを設定するで、TeamSetupより細かく権限制御することが可能。

一部拡張子についてはプレビューを利用可能


言語サポート状況について

・コード補完について ▲:実験的(ベータ版) △:localfunctionのみ ×●:パスを指定すれば利用可能

参考-リリースに関するAWSサービス図-

Harekaze Talk #1 に参加した

Harekaze Talk #1 @日本マイクロソフト株式会社に参加した。その際のメモ。

Office365等のお金セキュリティや色々話す – @hiww氏

・Office 365 を利用するのであれば、Office 365 Advanced Threat Protection サービスを利用すべし。
 簡単にメールのセキュリティを向上させることが可能。

EMACについて – @chouett0氏

EMACとは

・Extreme Malware Analyzing Challenge(造語、今後変わるかも)
・マルウェア解析の敷居を低くしたい
・まずはコミュニティ形成から、最終的には大会ができればよいと考えている

解析例

fileコマンドでファイルを判別
→HTMLファイルだった
→http,httpsでURLを検索
→whoisやaguse.jpを利用して中身を調べる
→アクセス先が2箇所あり、中国とロサンゼルス
→ロサンゼルスのサーバにアクセスするとマルウェアをダウンロード
→Ollydbgでマルウェアの動きを解析(バイナリであれば、stringsコマンドが有益かも)
 Wiresharkで通信状況、Process Explorerなどでプロセス状況を監視する
→Firefoxと連携して、他のマルウェアをダウンロードしている模様
 電源設定やディスプレイサイズでサンドボックスかどうか確認しているらしい

SCAP on Windows – @hogehuga氏

・Security Content Automation Protocol
 情報セキュリティ対策の自動化と標準化のための規格で、製品についてのID (CPE)、 脆弱性についてのID (CVE)、
 設定についてのID (CCE), 脆弱性の深刻さのスコアづけ (CVSS)、自動チェックのための言語 (OVAL)、
 チェックリストのフォーマット (XCCDF) などが標準化されている。
 https://qiita.com/bezeklik/items/8bf7d0ccf5cf916d778c
・CVSSについて、スコアだけでなくVectorを見なければならない(どの程度、攻撃しやすく危険なのかがより詳細にわかる)
・OpenSCAPをWindowsで動作させようとしたが、コンパイルがうまくいっていない状況。(バイナリ配布されていないためコンパイル)
・SCAPツールの大半はLinux用でWindows用はない。
 WSUSやグループポリシーがあるから不要?ただしセキュリティアップデートすることと、脆弱性がなくなることは別問題。
・SCAP実現時のメリットは、Linuxと同じように管理できるようになること。(CVSSなどで比較できるため、見通しがよくなる)
・SCAP実現時のデメリットとして、CVSSがわかっても、どのKBの更新プログラムが適用されていないのかはわからない。
 OVALdiが2014年以降、更新されていなさそう。

Windowsのセキュリティ機構について – @megumish氏

※Linuxと比較したときの話がメイン。

・Exploitする人がいるため、セキュアに保たなければならない。
・Exploitはメモリを書き換えることやあるいはメモリ上の資源を利用することで行われる。
・攻撃手法の種類について
 ・XSS
 ・SQL injection
 ・Binary Exploitation
  ・Shell Code Injection
  ・Buffer Over Flow
  ・Return Oriented Programming
  ・Heap Exploitation
・VMMap(sysinternals)というツールでWindowsメモリの状況を確認すると、Linux(cat /proc/self/maps)と以下の点が異なることがわかる。
 ・実行プロセスが最初にあるか、最後か。
 ・heapメモリが散らばっている。(Linuxは一箇所に集まっている)
 ・メモリ確保が少しづつ処理される。(Linuxは一気に確保する)

セキュリティ機構

・Full Relro(おそらくLinuxの話)
 外部バイナリを実行するときに、テーブルを利用する。
 Exploitはテーブル関数の書き換えることで予期せぬコードを実行させる。
 つまりテーブルを読み取り専用にすることで、セキュリティレベルを向上させる。
・DEP(Data Execution Prevention)
 実行可能領域にする必要のないメモリ領域に実行権限を与えないことで、Exploitを防ぐ。
・ASLR(Address Space Layout Randomization)
 OS起動時にバイナリの配置位置をランダムに変更する。
・CFG
 不正な関数が実行されていないか調べ、ROPなどの攻撃を防ぐ

まとめ

・そもそもLinuxとWindowsだとメモリ管理方法が違いすぎるため、攻撃の仕方や守り方も違ってくる。
・アップデートはしっかりしよう!

TechTrend #1:DevOpsにつながるソフトウェア開発プロセス再考 に参加した

TechTrend #1:DevOpsにつながるソフトウェア開発プロセス再考に参加した。その時のメモ。
とても有益だった。

Countir

ファイナンスの未来に、答えを。
ブロックチェーンに取り組んでいるらしい。

DevOpsにつながるソフトウェア開発プロセス再考 – 長沢智治氏

・DevOpsの定義はないため、スコープは人によってさまざま
・「現場の解は現場にしかない」
 今日学んだことを実践するというよりは、自分たちのビジネスの立ち位置を考えて
 どう動くかチームでコンセンサスしていくことが重要

時代の流れとIT

・確立したビジネスがあり便利な道具としてITを使うモデルから、ITありきのビジネスモデルに変化してきた
 時代は変わる、つまりソフトウェア開発手法も変えるべきなのかもしれない
・ユーザがダイレクトに伝えられる時代になってきている
 そのため意思決定はユーザや競合他社の状況も含めて判断しなければならないため
 CMO(Chief Marketing Officer)の重要性が上がっている
・つまり意思決定権は市場が主導となっている
・より顧客にリーチするにはどうすればよいか?といった攻めるプロダクトも必要
・品質について、コード品質からシステム品質に重要性が移り
 現在はビジネスとして品質が担保されているかどうか?がポイントに
 コードの品質が悪くとも、ビジネスの品質が高いということもある
・ステイシーマトリックスでいうと90年代は単純であったが、現在は無秩序

アイアントライアングルと開発手法

・Quality(品質)はある程度守るという前提で
 Scope(要件)、Cost(費用)、Delivery(納期)の全ては固定できない
 どれを守るか?が重要
・ウォーターフォールとアジャイルで固定するものは違う
 ウォーターフォール:要件(S)を固定して、工夫してコスト(C)と納期(D)を検討する
 アジャイル:一定の期間(D)で、一定のチーム(C)で、できる範囲(S)を実施していく
・アジャイルではその時々で優先順位の高いもの、できるものから処理していく
 つまりスプリントごとに価値を見直すため、結果として従来型よりも価値を高めやすい
・アジャイルでは、このチームでこの期間で、どれくらいのことができるか?が明確となり、予測できるようになる

チームと集団

・集団でなく、チームであるべき
 ・共通の目的と成果
 ・やり方を共有
 ・フォロー関係
・ビジネスする場合は集団も必ずある(開発班と企画班)が、DevOpsのためにはチームになる必要がある
 そのためには共通の目的を持つこと

知らなかったサービス

質問を匿名で受け付けるツール
https://www.menti.com/

AWS Black Belt – Amazon GuardDuty を閲覧した

AWS Black Belt – Amazon GuardDutyを閲覧した時のメモ。

セキュリティサービス整理


ID・アクセス管理:IAM,SSO
発見的統制:CloudWatch,CloudTrail(APIのロギング),GuardDuty
インフラストラクチャー保護:WAF,Shield(DDoSプロテクション)
データ保護:KMS,Macie
インシデントレスポンス:Lambda
リスク・コンプライアンス:Config,Trusticadvisor

Amazon GuardDuty について

特徴


・AWS re:Invent 2017でリリースされたサービス
・利用するとAWSServiceRoleForAmazonGuardDutyというロールが自動的に作成される
・IAMなどの監視もすることができることが強み

価格

脅威の検知方法



注意点

・検知のみでインシデントレスポンスは、CloudWatchEventとLambdaと連携する必要がある
・リージョンごとに設定する必要がある(CloudFormationを利用すると便利)
・VPC Flow LogsやCloudTrailを有効にしていなくても、AmazonGuardDutyが自動的に有効にして検知してくれる
・90日以上保管したい場合はS3に保存しておく必要がある
・他のアカウントに結果を共有することが可能

エンジニア必見★ITネットワーク・セキュリティ技術基礎講座に参加した

エンジニア必見★ITネットワーク・セキュリティ技術基礎講座に参加したときのメモ。

開催企業

・株式会社セラクさん。
・農業向けIoTのみどりクラウドやサーバ構築業務などが得意。
・インフラが売上の7割を占める。
・社内ではNW講習が5日間あるらしい。

NWを勉強する上でオススメの資格

CCNA Routing & Switching

・Cisco Systems社の認定試験。(入門資格)
・上位資格にCCNP、CCIEがある。CCIEはすべて英語で、英語で会話してNW設定をするという項目があり、非常に難しく、かつ高額。

CompTIA Network+

・ベンダーニュートラル。体系的に学ぶ上で有用な資格。
・海外ではメジャーであるが、国内ではそこまでメジャーではない。

学習サイトやツール

・3分間Networking
・ネットワークエンジニアとして
・ラボ用サイト-CCStudy
・Packet Tracer
 Cisco社が提供しているネットワークシミュレータ。
 無料でCisco Networking Academiyに会員登録すると利用可能。
・Virus Total
・Digital Attack Map
 ネタとして。
・Fiddler
 プロキシ。Webアプリケーションとブラウザ間の通信をキャプチャしてデバック可能。

ルーティング

スタティックルーティング

・手動で各ルーターに経路情報を設定する必要があり、手間がかかる。
・ダイナミックルーティングのように不要な通信が発生しない。
・経路にトラブルが発生したら手動で対応する必要がある

ダイナミックルーティング

・初期設定すればルーター間で自動的に経路情報を交換してくれる
・宛先までの経路が複数ある場合、メインの経路にトラブルが発生したら自動的に経路を切り替える。
・経路ごとにCPU状況などを確認して最適なルートを検出することも可能。

サイバー攻撃

目的

・愉快犯
・金銭目的(個人情報搾取など)
⇒最近は金銭目的が増加傾向にある

DDoS対策

FWで防いだとしても、回線は混雑する可能性が高い。
通信業者やプロバイダのDDoS対策は月額20万円ほど

OS、SQLインジェクション、XSS

WAFが有効。

その他セキュリティ対策

・ワンタイムパスワード
 トークン方式とトークンレス方式があり、セキュアな環境を構築可能。
・二要素認証
・人の教育
 社員のセキュリティ意識が低ければ、いくら導入しても無駄になる。

今だからこそ!サーバ仮想化入門に参加した

今だからこそ!サーバ仮想化入門に参加したときの会話内容やメモ。
ESXiをベースにした仮想化の説明があった。

開催企業

・株式会社セラクさん。
・農業向けIoTのみどりクラウドやサーバ構築業務などが得意。

サーバ仮想化について

・日本で流行り始めたのは、Windows98のサポートが終了したとき。仮想化して動かそうというところから。
・仮想化のメリットの1つは、新しいサーバ購入時にシステムの移行が簡単になること。(ドライバがハードウェアに依存しないため)
・仮想化にはハイパーバイザー型とホスト型がある。
・ハイパーバイザー型はリソースを効率よく利用できる。(ハイパーバイザーはOSのようなもの)
 Hyper-VはRootPartitionがある珍しいハイパーバイザー型。
・仮想マシンがCPUを利用する場合は、実CPUにアクセスして処理している。
 そのためESXiの仮想マシンの最大CPU数は、物理サーバのCPU数となる。

ESXiについて(Hyper-Vとの比較)

・ESXiのBSODをPSOD(Purple Screen of Death)と呼ぶ。画面が紫色のため。
・「クローン」「テンプレート」といった仮想マシンの雛形を作る機能(AWSで言うとAMI)はHyper-Vにはないし、ほしい。
・Storage vMotion(Hyper-Vでいう記憶域の移行)はStandard以上のライセンスが必要。(約4種類のライセンス形態らしい)
・DRS(Distributed Resource Scheduler、Microsoftだとクラスターの負荷分散)について、最近ではCPUやメモリだけでなくネットワーク帯域も監視して分散する。
・DRSは予測機能もあり、例えば出社時間の9時頃にアクセスが増えるサーバを予測して負荷分散してくれるらしい。
・DRSはアメリカでは9割くらい利用されているポピュラーな機能とのこと。中小企業が多い日本ではそこまで流行っていない。
・vSphere FTについて、別ホストサーバにサーバの複製を作成し、プライマリサーバがダウンしたらセカンダリを自動的に起動させる。
 ミッションクリティカルの観点で、手動でセカンダリを起動させるHyper-Vレプリカよりも優秀。(ただしHyper-VレプリカはBCP観点機能のため比較したら怒られるかも)
・vSphere FTは便利ではあるがその他機能が利用できなくなる。
・プロアクティブHAは、部分的なホスト障害を予測してvMotionを実施する機能であるが、監視ソフトの設定など敷居が高い。
・vSphere Web Clientは廃止され(Flashを利用しているため)、vSphere Client(HTML5)に切り替わっていく。
・あまり知られていないが、個人アドレスで登録可能なオンラインハンズラボがある!!
 http://labs.hol.vmware.com/

MANABIYAに参加した(1)

MANABIYAに参加した。その時のメモ。

CrossSession – エンジニアにとっていい制度ってなんだろう?-

以下テーマと関連質問にスピーカーの3名が答えていた。
・フレックス制度
・エンジニアの評価制度
・社内エンジニアの教育制度

以下ざっくばらんなメモ。

小賀昌法氏 – 株式会社VOYAGE GROUP執行役員CTO

・チームを縦割りにした際に、技術力を正しく評価できない上司がいるチームもあった。
 評価に納得していないエンジニアがいるという意見が増えはじめた。
 そのため社内で技術力を客観的に判断できるようにするために、技術評価会を立ち上げた。

・評価方法について、1人のエンジニアを別部署から2人のエンジニアが評価する。
 評価に時間をかけ、その結果はレポートとして提出される。
 そのレポートは評価者からの声(よりよい評価をするために他者のレポートを見たい)により全社公開している。

・エンジニアがビジネスチームに調整する際は「どうやったらビジネスが成長するんだっけ」と問いかけが効果的かも。

・ダイレクトコミュニケーションには勝てないと思っているが、リモートワークの環境は整えている。
 悪天候時はリモートワークという選択肢もある。

・ダイレクトコミュニケーションだと構築、運用の中で、当初の目標が変わっていくことが多い。
 リモートワークだとこのブラッシュアップが発生しにくい。

・会社の制度をつくることすらエンジニアリング。

成田一生氏 – クックパッド株式会社執行役CTO

・教育方針は研修ではなく、成長の機会を与えること。
 やるべきこと・やりたいこと・得意なことが重なった場合に人は一番成長する。
 そのため成長を妨げない環境が大切。海外カンファレンスなどを後押しできる環境になっている。

・全社員フレックス制度を利用することが可能で、タイムゾーンなどチームごとに働きやすい時間帯は違うため
 コアタイムはなくなった。ルールはチームごとに決めてもらっている。

・フレックスについては、フェーズによって使い分けても良いかも。
 決めることが多い場合は、全員いる時間帯が長い方が良く、開発フェーズは各々が集中できる時間帯に出社すればよい。
 答えはないので自分たちで考えていく必要がある。

・リモートよりは会社に来てほしい。
 ただしリモートでやれることはリモートでやったほうが効率的ではある。

・正しく成果を定量化(生産性を数値化する)することは幻想だと考えている。

・現状の評価方法は部長と技術リーダーがビジネス面、技術面から評価している。
 評価の頻度をあげるという取り組みをしている。(年2回だと被評価者も忘れる。)

・評価は公開していない。もしかしたら本人にすら評価結果を見せないほうがよいのかもしれない。
 評価の透明性は、馴れ合いを生む可能性がある。

・例えば会社が勉強会に行けというのではなく、若い人たちは勝手に行くので、支援できる制度があったほうがよい。
 自分が何をすれば成長できるかは自分で考えるべし。ただそう言うからには、支援する。という考え方。

・新しく会社を作る場合は、昇給も降給も考えたほうが良い。降給は、強いメッセージが含まれている可能性が高い。
 自分の会社の場合は、次に行ったほうが良いよという意味が強く含まれている。

・挑戦したい人の足を引っ張らない制度が一番良い制度ではないか。

・家賃補助の範囲を0.5km広げることで、2口コンロの地域に住みやすくなって
 「毎日の料理を楽しみにする」というミッションに近づいたと感じている。

梶原賢祐氏 – 株式会社メルカリ

・学生のレベルを考えると一律の初任給はおかしいという流れからMergradsを導入している。

・ストックオプションなどが昇給以外のモチベーションになりうるかも。
 仕事のやりがいが一番のモチベーション。

感想

・どうやったら働きやすくなるかの、答えの一つがリモートワークなのかも。
・どの企業もエンジニアの成果を定量化するよりも、納得感を求めている模様。
・多様性と評価の定量化は矛盾している言葉だなと。
・リモートワークよりもオフィスを魅力的なものにしようという考え方もある。
・今後は働きがいよりはともかく、働きやすさにも注力しなければならない。

JAWS DAYS 2018 に参加した (5)

AWSセキュリティ事始め~基礎からはじめてクラウドセキュリティの恩恵を受ける~

クラウドを利用しないことについて、セキュリティ的に不安という声

・クラウドよりもオンプレミスがセキュリティ面で優れている理由を上司に聞いてみよう。
・最近、日本法の適用も可能になった。
https://aws.amazon.com/jp/blogs/news/how-to-change-aws-ca-by-artifact/

いくつかのマネージメントサービスの紹介する。
これらを単独や組み合わせて使っていくことでセキュリティを向上させるべし。

Amazon Inspector

・1エージェント1評価0.30USDから
・各サーバで月1回定期スキャンしても良いかも

WAFマネージメントルール

・常に最新のルールにメンテナンスされる

AWS Shield

・L3/L4レベルのDDoSは無料で防がれている
・なぜAWSがDDoSに強いか
 https://www.slideshare.net/AmazonWebServicesJapan/aws-shield-managed-ddos-protection

GuardDuty

・機械学習で怪しい通信を検知する
・機械学習には膨大なデータが必要となるが、一企業で用意することは難しい。
 AWSの膨大なデータの学習データを利用することができる。

Macie

・S3に保存されているデータを機械学習で自動的に発見するサービス
 S3の漏洩などに早めに気が付けるかも