今だからこそ!サーバ仮想化入門に参加した

今だからこそ!サーバ仮想化入門に参加したときの会話内容やメモ。
ESXiをベースにした仮想化の説明があった。

開催企業

・株式会社セラクさん。
・農業向けIoTのみどりクラウドやサーバ構築業務などが得意。

サーバ仮想化について

・日本で流行り始めたのは、Windows98のサポートが終了したとき。仮想化して動かそうというところから。
・仮想化のメリットの1つは、新しいサーバ購入時にシステムの移行が簡単になること。(ドライバがハードウェアに依存しないため)
・仮想化にはハイパーバイザー型とホスト型がある。
・ハイパーバイザー型はリソースを効率よく利用できる。(ハイパーバイザーはOSのようなもの)
 Hyper-VはRootPartitionがある珍しいハイパーバイザー型。
・仮想マシンがCPUを利用する場合は、実CPUにアクセスして処理している。
 そのためESXiの仮想マシンの最大CPU数は、物理サーバのCPU数となる。

ESXiについて(Hyper-Vとの比較)

・ESXiのBSODをPSOD(Purple Screen of Death)と呼ぶ。画面が紫色のため。
・「クローン」「テンプレート」といった仮想マシンの雛形を作る機能(AWSで言うとAMI)はHyper-Vにはないし、ほしい。
・Storage vMotion(Hyper-Vでいう記憶域の移行)はStandard以上のライセンスが必要。(約4種類のライセンス形態らしい)
・DRS(Distributed Resource Scheduler、Microsoftだとクラスターの負荷分散)について、最近ではCPUやメモリだけでなくネットワーク帯域も監視して分散する。
・DRSは予測機能もあり、例えば出社時間の9時頃にアクセスが増えるサーバを予測して負荷分散してくれるらしい。
・DRSはアメリカでは9割くらい利用されているポピュラーな機能とのこと。中小企業が多い日本ではそこまで流行っていない。
・vSphere FTについて、別ホストサーバにサーバの複製を作成し、プライマリサーバがダウンしたらセカンダリを自動的に起動させる。
 ミッションクリティカルの観点で、手動でセカンダリを起動させるHyper-Vレプリカよりも優秀。(ただしHyper-VレプリカはBCP観点機能のため比較したら怒られるかも)
・vSphere FTは便利ではあるがその他機能が利用できなくなる。
・プロアクティブHAは、部分的なホスト障害を予測してvMotionを実施する機能であるが、監視ソフトの設定など敷居が高い。
・vSphere Web Clientは廃止され(Flashを利用しているため)、vSphere Client(HTML5)に切り替わっていく。
・あまり知られていないが、個人アドレスで登録可能なオンラインハンズラボがある!!
 http://labs.hol.vmware.com/

MANABIYAに参加した(1)

MANABIYAに参加した。その時のメモ。

CrossSession – エンジニアにとっていい制度ってなんだろう?-

以下テーマと関連質問にスピーカーの3名が答えていた。
・フレックス制度
・エンジニアの評価制度
・社内エンジニアの教育制度

以下ざっくばらんなメモ。

小賀昌法氏 – 株式会社VOYAGE GROUP執行役員CTO

・チームを縦割りにした際に、技術力を正しく評価できない上司がいるチームもあった。
 評価に納得していないエンジニアがいるという意見が増えはじめた。
 そのため社内で技術力を客観的に判断できるようにするために、技術評価会を立ち上げた。

・評価方法について、1人のエンジニアを別部署から2人のエンジニアが評価する。
 評価に時間をかけ、その結果はレポートとして提出される。
 そのレポートは評価者からの声(よりよい評価をするために他者のレポートを見たい)により全社公開している。

・エンジニアがビジネスチームに調整する際は「どうやったらビジネスが成長するんだっけ」と問いかけが効果的かも。

・ダイレクトコミュニケーションには勝てないと思っているが、リモートワークの環境は整えている。
 悪天候時はリモートワークという選択肢もある。

・ダイレクトコミュニケーションだと構築、運用の中で、当初の目標が変わっていくことが多い。
 リモートワークだとこのブラッシュアップが発生しにくい。

・会社の制度をつくることすらエンジニアリング。

成田一生氏 – クックパッド株式会社執行役CTO

・教育方針は研修ではなく、成長の機会を与えること。
 やるべきこと・やりたいこと・得意なことが重なった場合に人は一番成長する。
 そのため成長を妨げない環境が大切。海外カンファレンスなどを後押しできる環境になっている。

・全社員フレックス制度を利用することが可能で、タイムゾーンなどチームごとに働きやすい時間帯は違うため
 コアタイムはなくなった。ルールはチームごとに決めてもらっている。

・フレックスについては、フェーズによって使い分けても良いかも。
 決めることが多い場合は、全員いる時間帯が長い方が良く、開発フェーズは各々が集中できる時間帯に出社すればよい。
 答えはないので自分たちで考えていく必要がある。

・リモートよりは会社に来てほしい。
 ただしリモートでやれることはリモートでやったほうが効率的ではある。

・正しく成果を定量化(生産性を数値化する)することは幻想だと考えている。

・現状の評価方法は部長と技術リーダーがビジネス面、技術面から評価している。
 評価の頻度をあげるという取り組みをしている。(年2回だと被評価者も忘れる。)

・評価は公開していない。もしかしたら本人にすら評価結果を見せないほうがよいのかもしれない。
 評価の透明性は、馴れ合いを生む可能性がある。

・例えば会社が勉強会に行けというのではなく、若い人たちは勝手に行くので、支援できる制度があったほうがよい。
 自分が何をすれば成長できるかは自分で考えるべし。ただそう言うからには、支援する。という考え方。

・新しく会社を作る場合は、昇給も降給も考えたほうが良い。降給は、強いメッセージが含まれている可能性が高い。
 自分の会社の場合は、次に行ったほうが良いよという意味が強く含まれている。

・挑戦したい人の足を引っ張らない制度が一番良い制度ではないか。

・家賃補助の範囲を0.5km広げることで、2口コンロの地域に住みやすくなって
 「毎日の料理を楽しみにする」というミッションに近づいたと感じている。

梶原賢祐氏 – 株式会社メルカリ

・学生のレベルを考えると一律の初任給はおかしいという流れからMergradsを導入している。

・ストックオプションなどが昇給以外のモチベーションになりうるかも。
 仕事のやりがいが一番のモチベーション。

感想

・どうやったら働きやすくなるかの、答えの一つがリモートワークなのかも。
・どの企業もエンジニアの成果を定量化するよりも、納得感を求めている模様。
・多様性と評価の定量化は矛盾している言葉だなと。
・リモートワークよりもオフィスを魅力的なものにしようという考え方もある。
・今後は働きがいよりはともかく、働きやすさにも注力しなければならない。

JAWS DAYS 2018 に参加した (5)

AWSセキュリティ事始め~基礎からはじめてクラウドセキュリティの恩恵を受ける~

クラウドを利用しないことについて、セキュリティ的に不安という声

・クラウドよりもオンプレミスがセキュリティ面で優れている理由を上司に聞いてみよう。
・最近、日本法の適用も可能になった。
https://aws.amazon.com/jp/blogs/news/how-to-change-aws-ca-by-artifact/

いくつかのマネージメントサービスの紹介する。
これらを単独や組み合わせて使っていくことでセキュリティを向上させるべし。

Amazon Inspector

・1エージェント1評価0.30USDから
・各サーバで月1回定期スキャンしても良いかも

WAFマネージメントルール

・常に最新のルールにメンテナンスされる

AWS Shield

・L3/L4レベルのDDoSは無料で防がれている
・なぜAWSがDDoSに強いか
 https://www.slideshare.net/AmazonWebServicesJapan/aws-shield-managed-ddos-protection

GuardDuty

・機械学習で怪しい通信を検知する
・機械学習には膨大なデータが必要となるが、一企業で用意することは難しい。
 AWSの膨大なデータの学習データを利用することができる。

Macie

・S3に保存されているデータを機械学習で自動的に発見するサービス
 S3の漏洩などに早めに気が付けるかも

JAWS DAYS 2018 に参加した (4)

Amazon Rekognitionを使って親御さんの写真探しのお手伝いができた話

はいチーズ!とは

全国5000団体が利用する写真販売サービス
写真販売がいつでもどこでも気楽に可能となる。

顔検索機能

ミッションは、園児一人一人が主人公の写真を撮る。
大規模園であると10000の写真の中から子供を見つけないといけない。
親は忙しいため、顔検索機能を実現しようとした。

これまで顔認識製品を検証してきたが、速い、安い、高精度がなかなか見つからない。
エンジンの自社開発は技術的に難しい。
あきらめかけていた時にAmazon Rekognitionを知った。

Amazon Rekognition

学習済みのAIが3種類。
Lex・Polly・Rekoginition(画像の物体やシーン、顔の検出)
Rekoginitionに顔と顔が似ているかどうかの判定する機能があった。

主に利用するAPIは3つ。
CreateCollection:顔コレクションを作成
IndexFaces:顔メタデータ(顔の特徴を表すベクトル)を顔コレクションに追加
SearchFacesByImage:類似顔画像を探す

優位点

他社製品と比較して、Rekognitionが優位なポイント
・S3上の画像を処理可能
・顔メタデータ作成がスケール可能
・顔メタデータ保持コストが安い
・精度が高い
・検索が速い
 数万件のデータから1,2秒で検索可能

問題点

導入当時は問題があった。
・東京リージョンになかった(2月28日より利用できるように)
・1画像から同時検出できる顔の数が上限15である問題(当時)
 そのため集合写真が扱えなかったため、画像を分割して探すような処理を入れていた。
 ⇒人混みモードがリリースされ、1画像あたり100個検出されるようになった。

利用されるまで

ベータリリースで一部の顧客へ利用してもらった。
効果がなかなか現れず、使用率が低い時期が続いた。

「画像をアップロードが手間なのではないか」
⇒注文履歴を分析して、必要な子供の顔を取得して、オススメ写真として表示するようにしたところ
 ユーザの使用率が上がり、コンバージョン率がアップした。

JAWS DAYS 2018 に参加した (3)

「AIアナウンサー」を20分で解説!

Amazon Pollyは初心者にオススメ!

プログラムしなくてもマネージメントコンソールから利用可能。

他のクラウドのサービスと比較して
価格的メリットは少ないが、日本語音声の質が一番良かったらしい。

確かにすぐ利用できた。

no border

すべての人が開発者になる時代がきている。
自分で問題を見つけ出し、解決できる人材が増えていく。
ITはさらに一部の企業だけのものではなくなっていく。

JAWS DAYS 2018 に参加した (2)

AWS のマネージドサービスを使ったセキュリティ強化のための自動化

freeeは少数のSRE(5名)で支えられており、リソースは限られている。
マネージドサービスや自動化をうまく利用して
ユーザーにとって本質的に価値のあることにフォーカスするべき。

WAF対応

攻撃者IPアドレスをnginxのconfに入れて拒否していたが、WEBサーバの負荷があがってきたためWAFを利用することに。
WAFでのブロック結果をSlackに飛ばしており、重要度によって色分けされるようにしている。

GuardDutyを利用した攻撃検知

Cloud Trail・VPCフローログ・DNSログなどを収集して、攻撃されているかどうかを検出する。
ポートスキャニングなどはほぼリアルタイムで検知する。
通知の機能はないため、Cloud Watch Eventsから、Lambdaが動作し、Slackで通知するようにしている。

JAWS DAYS 2018 に参加した (1)

AWS × 形式手法で人知を超えたセキュリティを手に入れろ

システムを数学的対象として記述すること(形式手法)で
直感に頼ることがなくなる。ただし習熟者は少なく学習コスト高め。

理解できなかったため、少し調べてみた。

形式手法

「テストでは、欠陥が無いことは保証できない」(Edsger W. Dijkstra)
この問題を解決するため、形式手法では、仕様を数学的に記述し、テスト漏れがないことを証明する。
形式手法とモデリング – AlloyAnalyzerを中心に

モデル検査機 Alloy

Alloy Analyzerをダウンロードして

java -jar "C:\Users\shimizu\Downloads\alloy4.2_2015-02-22.jar"

とすることでAlloy Analyzerが起動した。

試しに1つ実行してみた。

sig User {
	policy : Policy,
}

sig Policy {}

run {}

第2回すだちくん勉強会に参加した

第2回すだちくん勉強会に参加した。その時のメモ。

サーバーワークスが実践するカルチャーインストール3つのポイント 大石良氏

サーバーワークス歴史

2008年 社内サーバー購入禁止令
2009年 新規案件はAWSのみ
2011年 日本赤十字社がダウン(AWS構成で提案し、30分で構築完了)。その後義援金管理システム導入。
そこからAWSの導入が加速した。

サーバワークスの「文化」

創業者だけが当事者として伝えられること

2つの環境要因
・生産人口の低下
・Uberization:ITが文化を壊す
→エンジニアの価値・若手の価値が相対的に増大
クラウドで世界をもっと働きやすくするためにしていることについて

BYOD制度

利用者には手当を支給
その結果、自然とクラウドワークスタイルが生まれた(事前申請性の時間や場所にとらわれない働き方)

場所にとらわれない働き方

リモートワーカーの気持ちがわかるためにリモート飲み会など実施
やってみてわかったメリットとして、帰りやすく、精算がフェア

ファシリティ

なぜ会社にいるのか?→たいていはそこにパソコンがあるからではないか?
既存の社員がはたらきやすくなるオフィスにすることが大切
社員内で委員会を立ち上げてもらって検討してもらうことに

メールを禁止

Slackを利用
 文字コミュニケーションの場合「怒ると叱るとは違う」は通用しない(マイナスにしかならない)
 ガイドラインを定期的にbotにつぶやかせるなどルールを定めて守れるようにしている
 有効活用している(工数管理bot:作業前に何をするかつぶやくと、作業時間を日時で集約してくれる)

クラウドで重視すること

オンプレミス時代はハード事前購入が必須であり、失敗が許されない
ユーザも大きめのハードを買う。ハードが大きくなれば関係者も大きくなる
→保険能力、人員数の調達能力が重要だった
クラウドでは適切に組み合わせられるかがすべて

オンプレミス時代と変わらないものはセキュリティであるが
売上をあげるためのセキュリティを意識している

人事制度

自由度が高いため、骨太な人事制度が必要
「成果をみる」ことを重要視する

まとめ

ワークスタイル変革は目的ではない
 優秀な人に入社してもらい、長くいてもらうために
 すべての会社で必要になる絶対不可欠な取り組み
ワークスタイル変革に必要なことはソフト・ハードとそれを用いる文化の組み合わせ
 文化と信頼を築くための文化が必要
行動から文化を作ることができる

これからはじめるセキュリティ 河野省二氏

bit.ly/2psZKOk

健康のためにサプリだけ飲んでいますという考え方が一番危険
仕組みを理解して防御しなくてはならない

攻撃を因数分解して守るべし

標的型メール攻撃を題材に検討する
 メール、リンク・添付ファイル→ウイルス感染→権限昇格→情報入手
 リスクをこのように因数分解して、どこで対応を考えるか
  時間がかかるようなところで対応するべし
   権限昇格に時間がかかるため、もしウイルス感染したとしても権限昇格を抑えれば問題ない
   ランサムウェアは「情報入手」が「ファイル暗号化」に変更されるだけであるため
   標的型攻撃対策をしていれば、本質的にはランサムウェアを恐れることはない
    (またここまで標的型攻撃が言われるようになったのは経済産業省があまりにも周りが対応しないため、
     標的型攻撃対策を謳うようになったためらしい)
 メディアに頼るとUSBを禁止したり、出口対策をしたりするような効果が薄い対応をしてしまう
  そのためまずはリスクのチェーンを作成する
   スパムメールをなくすためには→gmailやOffice365を利用したほうがよい
  添付メールを減らす
  1通添付して5人にメールすると、メールサーバやローカルなど合わせて20以上のファイルがコピーされる
 そして管理できない情報が増えることになる

IT制限をして効率悪化させないために

例えば年金機構はメールを利用しない
→IT制限による効率悪化が発生する
 →どのようにしたらメールが利用できるかを検討することが必要
  原因不明のときは何かが利用禁止になる。阻止するためにはログが必要

木を見て森を見る

報道義務があるのは個人情報だけ
 個人情報を抜かれた場合は、実はすべてを抜かれている状態
 サイバーセキュリティ事故は犯人が捕まらないと動機がわからない(しかし殆どの場合は捕まらない)

世の中の流れをSecurity目線でも考える事

今流行しているマイクロシステムのほうが守りやすい
メールライブラリに問題があれば、柔軟に切り替えられるように
できなければ別途守る仕組みが必要で、費用がかかり、柔軟性が低くなる

セルフサービス化

運用がセルフサービスできるようにしているのがクラウド
人間が関与を最小限にすることが情報セキュリティの目標の1つ
情報漏えいからなりすましが流行してきているため別のアプローチも必要

大谷晋平氏

※タイトルは見逃し

AWSにジョインした理由

AWSの中身を知るためには、入らないとわからない
(broadcast.amazon.com という動画で様々な仕組みの動画が見放題
S3の仕組みが2時間*10本ほど)
AWSは利用者と運用者でそれぞれ極める必要がある
今後営業だけしかできない人員はいらなくなるかも

やめるに至った理由

提供だけではなく、構築してみたいとモヤモヤしてきた
事業成功の喜びを見たかった

神戸康多氏

vuls誕生について

社会人13年目(12年間発表などしたことがなかった)
・100台弱のカオス環境
 オープンソースのアップデートは他人のバグの穴埋め作業
 クリエイティブな思想が生まれにくくなる
 →どうにかしたいという怒りがvulsを産んだ

新機能など

・各OSが出している脆弱性情報をOVALスキャンするバージョンを準備予定
 changelogでなくなることで検知精度の向上
 NVD,JVNに掲載されていない脆弱性情報が表示可能に
・VulsのSaaS版を作ることになった

CASBについて シンジ氏

利己的なコミュニティ(JAWS)への怒りを感じたことがすだちくん勉強会の始まり

CASB
・ビジネスを進める?セキュリティ進める?
・シャドーITは絶対ダメ
・やるべきはデータ保護

VPNや閉域網で複数拠点を接続する、つまりネットワークで問題解決を図ろうとしてきた
ビジネスの付加価値としてセキュリティがある
組織のシャドーITはどうころんでも悪
ブロックではなくて安全に使わせる
ネットワークではなくて、データを制御する
統制は不可能
120人で180種類のクラウドサービスを利用している
ガートナーによるとシャドーITのたった5%しか守れていない

そのために必要な5つのSaaS

・G Suite
・Office 365
・box
データ保管
データは貯めるものではなく、使うもの
極端に言えばファイルサーバ
これらは別機構でも代用可能

以下がポイントとなる
・netskope
データ統制
セキュリティの高さを測ることが可能
データの可視化と制御が可能
シャドーITを撲滅させる現在唯一の手段
使っているサービスを購入したりして、どんどん推し進めることが可能
・druva
データ保護
バックアップサービス
すべての端末(パソコンやスマホ)も可能

金額の目安
box(500-1200円/月・事例だすと鬼値引きがあったり・ユーザアカウントしない課金方法も)
netskope(12000円/月・国内代理店から購入、そろそろ日本オフィスできる)
druva(15000円/月)
 エンタープライズ向けのサービス
 ライセンスは「基本的に」ユーザあたり年間課金

Iret社は今日紹介した製品すべての販売代理店

osc2017-tokyo/spring に参加した

osc2017-tokyo/springに参加した。その際のメモ。

PowerDNSとその周辺OSSのご紹介〜BINDはもういらない〜 大野 公善氏

株式会社デージーネットについて

事業理念「よりよい技術で、インターネット社会の安心と便利に貢献します」
名古屋と東京に拠点がある。

PowerDNSについて

1999年にプロジェクト発足(ある企業のクローズドソース)
2005年にOSSになった
Authoritative Server 4.x からはソフトウェアが成熟してきている
(3.X系は機能追加が盛んに行われていた)

・権威DNSとキャッシュDNSサーバで構成されている。(それぞれが別プロセスで動作する)
・バックエンドのDBとして、MySQLやLDAPなどさまざまなDBが可能
・Poweradminという管理ウェブインターフェースと組み合わせて利用可能
 管理コンソールを利用して、統計から異常な問い合わせがないか調べることが可能
 DNSゾーンやレコードの管理が可能
 ユーザごとにアクセス権限を付与することが可能
 日本語対応している
・BINDより早い
 ベンチマークにqueryperf(bind付属ツール)を使用したところquery/secが1.2倍くらい
・DNSSECサポート
 pdnsutilというコマンドを利用
・REST APIが利用可能
 統計情報を取得可能
・BINDからのゾーンファイルの移行
 zone2sqlというコマンドが用意されている
・ 脆弱性は1年間に18個でBindと比較して少ない
・KnotDNS、NSDなどをフロントにおいても良いかも
・サーバの統計情報をグラフ化するcollectdというOSSがある
 DnsAnswer・DnsQuestion・Latencyなどをグラフ化可能

冗長化について

・DRBD + Pacemaker + Corosync で完全冗長化可能
・MariaDB Galera Clusterや負荷分散装置をおくことで冗長化
→Hawk(HAクラスタコンソール)を利用すると便利
 openSUSEが作成している

その他

メールサーバのセキュリティ診断サイトを立ち上げました。
メールサーバセキュリティ診断 | MSchecker
メールサーバの情報は第三者に公開されることはありません、とのこと。

質問したこと

・PowerDNSの冗長化構成にVIPを利用していたが、ネームサーバのプライマリ・セカンダリ利用では問題になるのか。
→どちらでも問題なく考え方次第。顧客によっては完全冗長化というところがあり、この構成を紹介した。

・NSDとの速度差について
→NSDのほうが早い。理由は軽いから。
 KnotDNSはスケールアウトできるソフトとなっているためスペックが大きくなるほどKnotDNSのほうが早くなる。

・AWSのROUTE53などと連携可能かどうか?
→DNSゾーン転送が可能であれば、連携可能。

Debian Updates – 岩松 信洋氏

・Debianはフリー/オープンなOSを作成しようとするボランティベースのプロジェクト
・63カ国、約1000名の公式開発者が開発中(パッケージメンテナや翻訳も入れるともっと増える)
・Stretchは2017年のQ2またはQ3(4月-6月くらい)
・Debian Mini Conference
 いつかDebian Confを日本で実施するために、運営情報の取得や運営能力をアップさせるため。

Updates

2017年1月5日 Soft freeze 新しいパッケージの更新禁止
2017年2月5日 Full freeze パッケージの更新は止めてデバッグ
現在バグが153個あり、これが通ればDebian9が公開される。

・isoイメージが8.7.1であり今までと違い3つ数字があるが内容は変わらないため、気にしなくてよい。
・thunderbirdはバグが多く、debian9のリリースに間に合わなかった。
・古いCPUはサポート外となるため注意が必要
・テーマは Soft waves(デザイナーさんにて決定、デスクトップ画像など、Stretchの足をイメージ)
・LTSであるLinuxカーネル4.9.x、MariaDB 10.0.28、MySQL 5.7.17、PHP 7.1.1
・デバックシンボルパッケージがデフォルトで提供されたことにより、問題があった場合は、デバックしやすくなる

展示ブース

フューチャーアーキテクト株式会社

vulsのunknownは仕様?
→CVE登録されたときに、数値はまだ決まっていなかったり
 企業サイトには詳細があるけれども、CVEサイトには存在しない場合がある。
 それらはunknownとして登録される。

資料を確認するに
apt-get upgrade –dry-run
aptitude changelog
している模様。

日本 openSUSE ユーザ会

統合管理ツールYaST(ヤスト)が便利そうだった。
GUIで利用する場合に便利そうな印象を受けた。

Azure寺子屋第1回 を聞いた

Azure寺子屋第1回を聞いた。
その時のメモ。

日本でも使いやすいようにしている。

国家機密レベルの情報を保持可能。

DOD Level 5 PA granted to Microsoft Azure and Office 365


Azureは一番検討されているクラウドサービス。
左グラフ、青のラインが実際に利用しているクラウド。
緑のラインが検討したいクラウド。

ネットワーク速度

38リージョン存在する(AWSやGCPも圧倒する)
ネットワーク距離について東日本と西日本は2ms。
日本リージョンと東アジアリージョンは80ms。
米国リージョンまでだと130ms。

素晴らしいサイト

azureの基本的な情報を確認することが可能(制限やSLAなど)
http://azureplatform.azurewebsites.net/en-us/

Azureの状態

https://azure.microsoft.com/ja-jp/status/

LinuxSQL情報

WindowsSQLServerとLinuxSQLServerのAlwaysOnなどを試した人もいる。
権限周りにはまらなければ、意外と使えるらしい。