ノウハウ丸ごと共有します!ハートビーツの24/365体制を支える人材育成 – 倉持亘 氏
感想
・主体性(自分で考える)を大切にしている
・手を動かさないと身につかない
・障害時に大外ししないことを意識する
に共感した。
24/365を支える体制
・3交代制であり、3チームでローテーションしている
・1チーム5-6人で、役割がある(主担当と副担当、研修生)
目指す人物像
・なぜそうなるかを理解できる。自分で理解して、答えにたどり着ける人材(原則原理)
・技術はツールであり、このツールを利用して顧客へ価値を与えられる
・迅速に復旧までたどり着ける
人材育成におけるテーマ
・主体性
自分で考えさせる。座学よりも、手を動かして理解してもらう(でなければ身につかない)
研修内容
研修生
・未経験者も雇うため、サーバ構築から障害対応までの基礎を教育する
サーバ構築研修
・目的:LAMP環境の仕組みを理解する
・タワーPCを渡して、あとはよろしく!チェックポイントは提示するが、構築の手順は提示しない
・やっていいこと、悪いことを学ぶ
・たくさん失敗させて、たくさん学んでもらう
・質問に対して、答えを伝えるのではなく、なるべく本人が答えにたどり着くように誘導する
・やったことはBacklogにエビデンスとして残してもらう
・後で担当者が方向性があっているか確認する
・ググってコピペしたものではないか確認するようにしている(自分の言葉でかけているか)
ロールプレイング研修
・目的:以下を身につけてもらう
・技術だけでは顧客に価値を提供できない
・技術がないと仕事はできない、
・顧客とHBのエンジニアという設定でロールプレイング
顧客からアバウトな相談事を受けて、必要な情報を聞き取り、顧客の解決策を検討し、プレゼンしてもらう
・チェックポイント
・Quick & Dirty (完ぺきではないが素早く)を実践できているか
・顧客を理解できているか(サービスの理解、ビジネスの理解)
・技術的に正しいことを言っており、もし不明瞭なことがあった場合に持ち帰っているか
障害対応研修&実践
・障害対応フローを覚える
・調査コマンドを課題ベースで覚えてもらう
使い方の詳細は説明しない。後ほど理解できているか確認する
・座学で学んだことを実際の障害で対応してもらう
フィードバック
・現場ではうまくいかないことも多いため、フィードバックを実施している
・その場でのフィードバック
・Backlogを利用したフィードバック
目的:振り返る機会を作る、指導者と研修生の認識をなくす
日報のようなものに、わからないことなどを記載してもらい、後日認識合わせをする
・KPTを使った振り返り
・P(自分に足りないところ):指導者の考えるPと研修生の考えるPのギャップを埋める
・T(Pをどうやって身につけるか):なるべく自分で考えさせる
・隔週実施
副担当
主担当面談
・主担当とは:シフト内の障害対応の責任者、すべての障害に目を通し、副担当に仕事を割り振る役割
・目的:主担当に必要なスキルを身につける
・主担当のロールプレイング
・災害時のロールプレイング
・複数障害が発生した場合のロールプレイング
・面談してフローを作成していくイメージ
・チェックポイントとしては、優先順位をつけて、正しく仕事を割り振れるか、
・論理的に切り分けて大外しせずに復旧までたどり着けるか
育成の課題
・指導者への指導
人によって教え方が上手、下手がある
・フィードバックする時間の確保
日頃の業務の中でフィードバックする時間がないときがある
質疑応答
・障害でパニックになる人に対してどうしているか?
⇒自分に自信がないことが原因だと思うため、小さい成功体験を積み重ねるよう教育している
・自分はできている思っている主担当に対してどのようにアプローチしているか?
⇒IT業界は流れが早いため、別途研修を設けている
「使ってみた」では終わらせない! AWS GuardDutyを使ったサイバー攻撃の検出・分析45分スタートアップ講座 – 鈴木研吾 氏
資料:GuardDutyを使ったサイバー攻撃の検出と分析.pdf
感想 – というよりも知らなかったこと
・ArcSight、SplunkといったSIEMツールがある
・サイバーキルチェーンという標的型攻撃における攻撃手順を標準化したものがある
これをもとに多段防御を検討することができる
GuardDuty 素晴らしいところ
・GuardDutyは検知だけのため、システム的な影響なし
内部ではログをコピーして分析するため、遅延が発生することはない
中の人に聞いた時も、ただただONにするだけでよいとのこと
・金銭面への影響についても、1ヵ月でどれくらいかかるかチェック可能
なぜGuardDuty
・AWSでは想定すべき脅威の種類が増えて、今までの検知ロジックだけでは不足している
今までの検知が古いというわけではない
オンプレミス時代にはなかった想定すべき脅威の種類
・クラウドサービスとしてのアカウント
・リソースと権限
・動的にスケールするリソース
・Pay as you Goなリソース
GuardDuty in Folio
いくらかかっている?
・11アカウント全てON、$6.38/day
・SOCサービスは月間20万円ほど
誤検知ある?
・とても少ない
・もし誤検知があれば、その条件のアラートを無効にする機能が最近リリースされた
ユースケース?
・GuardDutyは集約する機能しかもたないため、CloudwatchからLambdaに流している
・検知したら、自動的にスナップショットを取得し、別VPCに展開し、フォレンジックするような仕組みを用意することも可能