9/25(金) に行われた以下オンラインイベントの参加速報です。

• Twitter HashTag : #InfraStudy

今回は前半の話は まるでついていけない いい勉強になりました、な感じだったけど後半になるにつれて自分の中に眠っていた何かが目覚めてきたような感覚でした。
これからどういう心持ちで、どういった基準を見てセキュリティに臨むのが良いのか、再確認できたような気がします。いい機会でした。

目次

• 目次
• My Tweet Pickup
• 資料のまとめ
  • 基調講演「インフラ基盤技術のセキュリティとこれから」
  • LTs
    • LT1「AWS SSO vs IAM Roleベース ID Federation」
    • LT2「Bastion〜AWS Fargateで実現するサーバーレスな踏み台設計」
    • LT3「正拳突き教えてほしい」
    • LT4「はじめてのゼロトラスト 実践への第一歩」
    • LT5「クラウド時代のセキュリティをふりかえる」
• その他

My Tweet Pickup

前半の、情報ストック。

#InfraStudy CIS Benchmark (MSのドキュメント)https://t.co/US2veM48ve

— 央 (@sogaoh) September 25, 2020

#Infrastudy NIST SP 800-190 (PDF)https://t.co/Y0PfaJjvTm

— 央 (@sogaoh) September 25, 2020

#InfraStudy CNCF STRIDE 脅威モデル [検索]
-> いちばん上に出てきた情報↓https://t.co/NWyK5LLdJX

— 央 (@sogaoh) September 25, 2020

#InfraStudy 3省3ガイドライン (Google Cloud)https://t.co/Wv8Xbn1fPy

— 央 (@sogaoh) September 25, 2020

ささった。

#InfraStudy Co3
- Communication
- Completeness
- Continuous

— 央 (@sogaoh) September 25, 2020

Q & A 全部拾った。

#InfraStudy
Q. コンテナ環境（CI/CD）におけるクレデンシャルの扱いは？
A. 環境変数で渡すのがベストでは。SecretsやKMSのような外部を利用するのもアリかと。

— 央 (@sogaoh) September 25, 2020

#InfraStudy
Q. 自社サービスのセキュリティポリシーはどうやって決めているのか？（許容の根拠や考え方）
A. 自分の会社に合うポリシーで。リスクマトリクスで算出して運用している。WAFは有効にするのが望ましい。ステージング環境の利用、モニタリングの活用も適宜。

— 央 (@sogaoh) September 25, 2020

#InfraStudy
Q. セキュリティの勉強、普段何を？
A. そういった人をTwitterでフォロー、メーリングリストの参照をするなどしているが、手を動かすのも大事。

— 央 (@sogaoh) September 25, 2020

#InfraStudy
Q. Co3 で意識していることは？
A. セキュリティチームと開発チームは対立になりがち。脆弱性の情報を渡すときCVE番号だけじゃなくどういう問題なのかを添えるようにしている。

— 央 (@sogaoh) September 25, 2020

#InfraStudy
Q. DevSecOps を制度としてどう運用しているか？
A. ガイドラインを作る。年に１回は研修して底上げをする、インシデント発生時に関係者にどのレベルを共有する、など。

— 央 (@sogaoh) September 25, 2020

Bastion はこれが大事、と思いました。

#InfraStudy "Attack Surface を減らす"

— 央 (@sogaoh) September 25, 2020

ゼロトラスト、これを参照してくださいトノコト

#InfraStudy AWS上でどのようにゼロトラストアーキテクチャを考えていくかhttps://t.co/HeuHCnckAw

— 央 (@sogaoh) September 25, 2020

これも難しい

#InfraStudy "セキュリティにどのくらい比重を置くかは難しいが、どのプロダクトにも必要"

— 央 (@sogaoh) September 25, 2020

全部はこちら↓
https://twitter.com/search?q=%23InfraStudy%20%40sogaoh%20since%3A2020-09-25%20until%3A2020-09-26&src=typeahead_click&f=live

資料のまとめ

（司会： @matsumotory さん）

基調講演「インフラ基盤技術のセキュリティとこれから」

@mrtc0 さん

#Infrastudy の資料をアップロードしました。使ったコマンド等は https://t.co/X1aGr0aYqf にあります。 https://t.co/S5yKVqg9JD

— Kohei MORITA (@mrtc0) 2020年9月25日

LTs

LT1「AWS SSO vs IAM Roleベース ID Federation」

@ken5scal さん

docs.google.com

LT2「Bastion〜AWS Fargateで実現するサーバーレスな踏み台設計」

@msy78 さん

LT3「正拳突き教えてほしい」

@fujiihda さん

LT4「はじめてのゼロトラスト 実践への第一歩」

@hiromaaa03 さん

LT5「クラウド時代のセキュリティをふりかえる」

@tomoyamachi さん

その他

送り迎えや家事があって、そのあとの懇親会に遅れて入ったんですが、喋る間もなく終わりました。。 聴いてて、拾ったことを書いておきます。

このへん話てるあたりから入りました。

www.kubesim.io

github.com

Wazuh これです

#InfraStudy Wazuh https://t.co/nrFInU9IJM

— 央 (@sogaoh) September 25, 2020

あと、脆弱性診断のレポートどううまくまとめてますか？って話あったんですが、某診断機関は「IPAのウェブ健康診断」を参考にしてるって何年か前に言ってました。今はどうなんでしょうね。