第2回すだちくん勉強会に参加した。その時のメモ。
サーバーワークスが実践するカルチャーインストール3つのポイント 大石良氏
サーバーワークス歴史
2008年 社内サーバー購入禁止令
2009年 新規案件はAWSのみ
2011年 日本赤十字社がダウン(AWS構成で提案し、30分で構築完了)。その後義援金管理システム導入。
そこからAWSの導入が加速した。
サーバワークスの「文化」
創業者だけが当事者として伝えられること
2つの環境要因
・生産人口の低下
・Uberization:ITが文化を壊す
→エンジニアの価値・若手の価値が相対的に増大
クラウドで世界をもっと働きやすくするためにしていることについて
BYOD制度
利用者には手当を支給
その結果、自然とクラウドワークスタイルが生まれた(事前申請性の時間や場所にとらわれない働き方)
場所にとらわれない働き方
リモートワーカーの気持ちがわかるためにリモート飲み会など実施
やってみてわかったメリットとして、帰りやすく、精算がフェア
ファシリティ
なぜ会社にいるのか?→たいていはそこにパソコンがあるからではないか?
既存の社員がはたらきやすくなるオフィスにすることが大切
社員内で委員会を立ち上げてもらって検討してもらうことに
メールを禁止
Slackを利用
文字コミュニケーションの場合「怒ると叱るとは違う」は通用しない(マイナスにしかならない)
ガイドラインを定期的にbotにつぶやかせるなどルールを定めて守れるようにしている
有効活用している(工数管理bot:作業前に何をするかつぶやくと、作業時間を日時で集約してくれる)
クラウドで重視すること
オンプレミス時代はハード事前購入が必須であり、失敗が許されない
ユーザも大きめのハードを買う。ハードが大きくなれば関係者も大きくなる
→保険能力、人員数の調達能力が重要だった
クラウドでは適切に組み合わせられるかがすべて
オンプレミス時代と変わらないものはセキュリティであるが
売上をあげるためのセキュリティを意識している
人事制度
自由度が高いため、骨太な人事制度が必要
「成果をみる」ことを重要視する
まとめ
ワークスタイル変革は目的ではない
優秀な人に入社してもらい、長くいてもらうために
すべての会社で必要になる絶対不可欠な取り組み
ワークスタイル変革に必要なことはソフト・ハードとそれを用いる文化の組み合わせ
文化と信頼を築くための文化が必要
行動から文化を作ることができる
これからはじめるセキュリティ 河野省二氏
bit.ly/2psZKOk
健康のためにサプリだけ飲んでいますという考え方が一番危険
仕組みを理解して防御しなくてはならない
攻撃を因数分解して守るべし
標的型メール攻撃を題材に検討する
メール、リンク・添付ファイル→ウイルス感染→権限昇格→情報入手
リスクをこのように因数分解して、どこで対応を考えるか
時間がかかるようなところで対応するべし
権限昇格に時間がかかるため、もしウイルス感染したとしても権限昇格を抑えれば問題ない
ランサムウェアは「情報入手」が「ファイル暗号化」に変更されるだけであるため
標的型攻撃対策をしていれば、本質的にはランサムウェアを恐れることはない
(またここまで標的型攻撃が言われるようになったのは経済産業省があまりにも周りが対応しないため、
標的型攻撃対策を謳うようになったためらしい)
メディアに頼るとUSBを禁止したり、出口対策をしたりするような効果が薄い対応をしてしまう
そのためまずはリスクのチェーンを作成する
スパムメールをなくすためには→gmailやOffice365を利用したほうがよい
添付メールを減らす
1通添付して5人にメールすると、メールサーバやローカルなど合わせて20以上のファイルがコピーされる
そして管理できない情報が増えることになる
IT制限をして効率悪化させないために
例えば年金機構はメールを利用しない
→IT制限による効率悪化が発生する
→どのようにしたらメールが利用できるかを検討することが必要
原因不明のときは何かが利用禁止になる。阻止するためにはログが必要
木を見て森を見る
報道義務があるのは個人情報だけ
個人情報を抜かれた場合は、実はすべてを抜かれている状態
サイバーセキュリティ事故は犯人が捕まらないと動機がわからない(しかし殆どの場合は捕まらない)
世の中の流れをSecurity目線でも考える事
今流行しているマイクロシステムのほうが守りやすい
メールライブラリに問題があれば、柔軟に切り替えられるように
できなければ別途守る仕組みが必要で、費用がかかり、柔軟性が低くなる
セルフサービス化
運用がセルフサービスできるようにしているのがクラウド
人間が関与を最小限にすることが情報セキュリティの目標の1つ
情報漏えいからなりすましが流行してきているため別のアプローチも必要
大谷晋平氏
※タイトルは見逃し
AWSにジョインした理由
AWSの中身を知るためには、入らないとわからない
(broadcast.amazon.com という動画で様々な仕組みの動画が見放題
S3の仕組みが2時間*10本ほど)
AWSは利用者と運用者でそれぞれ極める必要がある
今後営業だけしかできない人員はいらなくなるかも
やめるに至った理由
提供だけではなく、構築してみたいとモヤモヤしてきた
事業成功の喜びを見たかった
神戸康多氏
vuls誕生について
社会人13年目(12年間発表などしたことがなかった)
・100台弱のカオス環境
オープンソースのアップデートは他人のバグの穴埋め作業
クリエイティブな思想が生まれにくくなる
→どうにかしたいという怒りがvulsを産んだ
新機能など
・各OSが出している脆弱性情報をOVALスキャンするバージョンを準備予定
changelogでなくなることで検知精度の向上
NVD,JVNに掲載されていない脆弱性情報が表示可能に
・VulsのSaaS版を作ることになった
CASBについて シンジ氏
利己的なコミュニティ(JAWS)への怒りを感じたことがすだちくん勉強会の始まり
CASB
・ビジネスを進める?セキュリティ進める?
・シャドーITは絶対ダメ
・やるべきはデータ保護
VPNや閉域網で複数拠点を接続する、つまりネットワークで問題解決を図ろうとしてきた
ビジネスの付加価値としてセキュリティがある
組織のシャドーITはどうころんでも悪
ブロックではなくて安全に使わせる
ネットワークではなくて、データを制御する
統制は不可能
120人で180種類のクラウドサービスを利用している
ガートナーによるとシャドーITのたった5%しか守れていない
そのために必要な5つのSaaS
・G Suite
・Office 365
・box
データ保管
データは貯めるものではなく、使うもの
極端に言えばファイルサーバ
これらは別機構でも代用可能
以下がポイントとなる
・netskope
データ統制
セキュリティの高さを測ることが可能
データの可視化と制御が可能
シャドーITを撲滅させる現在唯一の手段
使っているサービスを購入したりして、どんどん推し進めることが可能
・druva
データ保護
バックアップサービス
すべての端末(パソコンやスマホ)も可能
金額の目安
box(500-1200円/月・事例だすと鬼値引きがあったり・ユーザアカウントしない課金方法も)
netskope(12000円/月・国内代理店から購入、そろそろ日本オフィスできる)
druva(15000円/月)
エンタープライズ向けのサービス
ライセンスは「基本的に」ユーザあたり年間課金
Iret社は今日紹介した製品すべての販売代理店