カミナシ エンジニアブログ

株式会社カミナシのエンジニアが色々書くブログです

トップ > AWS > 【AWS re:Invent 2023】セキュリティの自動化について

【AWS re:Invent 2023】セキュリティの自動化について

AWS AWS re:Invent 2023

どうもセキュリティエンジニアリングの西川です。

12/3(UTC)現在まだラスベガスにいます。これが今回のラスベガスで書く最後のブログとなります。

最高の仲間たちと過ごせて最高の1週間でした。笑いすぎてお腹が筋肉痛です。 たくさんのお土産話ができましたので、日本に帰った際は聞いていただけると嬉しいです。

ラスベガス最後は「セキュリティの自動化」について話をしていきたいと思います。セキュリティの自動化といってもAWS環境の話で、コンプライアンス違反があったら自動的に修復したりするもののことを言っています。

どうしてこうも世の中、「セキュリティの自動化」の話が多いのだろうと思いながら色々なセッションを聞いていました。そして、「セキュリティの自動化は本当に必要なのだろうか?」と、ここラスベガスで自分の中であれやこれやと考えていて、最終日に「SEC327-R1: Speed up cloud security investigations, response, and remediation」 というセッションと「Scan images in CI/CD by building your own orchestration」に出ました。

「Scan images in CI/CD by building your own orchestration」ではHSBCという香港の銀行の方もお話しをされていて、その事例をお伺いすることができました。HSBCではAWSアカウントが1800以上あって、プロダクトが700以上あるとのことです。これは今まで自分が所属してきた会社などでは想像できないほどの数なのですが、日本でこの数のアカウントとプロダクトを持っているところはほぼ無いのではないかと思います。が、グローバルではこういう企業は逆に数えられないぐらいあるのかもしれません。

そう思うと、何も考えずに「自動化」という言葉を使うのは抵抗がありましたが、ここまで来ると自動化せずには難しいというのは痛いほどわかって、いくつかのセッションでいかに検知から修復までを自動化させて対応を早くするかというテーマで話があった理由が理解できました。

だからと言って、「こんなのは例外でうちの組織はまだ小さいから大丈夫!」とはならず、小さい組織のうちからこういうことを意識しながら環境を整えていくのが大事なのだと思います。

なぜかというと、これはどこかできちんと話をしたいのですが、セキュリティは現状の課題の対応と、数年後の理想像の両方を考える必要があると思っているからです。しかし、数年後の未来ってどう描くといいのか?というのは難しく、難しいからこそ、先を進んでいる企業がどういう取り組みをしているかを参考にする方法があると思います。課題にばかり着目してセキュリティに取り組んでしまうと、対策が後手後手となり、組織が大きくなっていったときに、その組織規模に応じたセキュリティが実装できておらず、苦しい想いをすることもあるかと思います。

今回、組織規模の違いは認識しつつも、自分たちの組織ではどうなのか、自動化する必要があるのかないのか、あるとしたらどうやって実装していくか、ないとしたらそれはいつまで必要ないのか、みたいなところを想像をめぐらせていました。

ここは本当に「自組織におけるセキュリティチームが何を求められているか」というところに尽きると思います。弊社ではCTOが方向性を示してくれているため、セキュリティチームはひたすらそれに向かって突き進むというわかりやすい形をとっています。

もちろん、「どう実装していくか」という具体的なところに関してはセキュリティチームが考えないといけないため、そう簡単ではないのですが、こういうセッションに参加することによって、次に何をする必要があるかという具体的なところまで示してくれているため非常に有意義な時間となりました。ネクストステップを明示してくれているセッションはありがたいです。

最終日はかなり疲れていて、「セッションを聞かなくてもよいかなー」という気持ちもあったのですが、最後まで走り抜けて良かったと思いました。

今回いろいろな方とさまざまな場で話をすることができ、たくさんの良い刺激をいただきました。本当にありがたい1週間でした。10年以上前にお世話になっていた会社の方と話をすることができたり、英語のコミュニケーションをあきらめない大切さを教えていただいたり、自分の中の甘い部分にも気付かせていただいて非常に貴重な時間を過ごすことができました。

来年もre:Inforceかre:Inventあるいは両方行きたいと思っていますが、自分以外の開発者が参加してくれることも同時に期待しています。 今回お会いできた方々、またお会いできる機会があればそのときはよろしくお願いいたします。またお会いできなかったみなさま、次回お会いできることを楽しみにしております!

最後まで読んでくださりありがとうございました!