先週末は下記のイベントにスカラシップで参加しました。
JAWS DAYS 2018 | テーマは「no border」2018年3月10日(土)にTOC五反田メッセ(東京)にて開催
JAWS DAYS とは
JAWS DAYSは主催JAWS-UG、後援AWSJで行われるJAWS-UG最大のイベントで、全国のJAWS-UGメンバーが中心となりボランティアベースでイベントの企画・準備をし、AWSに関する幅広いテーマのセッションが行われています。
参加登録1900名ぐらいあったそうです。
めちゃめちゃ大きいイベントでした!
セッション
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値〜OWASPとTop10とminiHardening〜
2017年に新しくなったOWASP TOP10を活用していこうというお話とセキュリティ演習のお話でした。
セキュリティ要件をどうすればいいか悩んでいる方にとってもOWASP TOP 10は良い判断材料になるとのこと。
セキュリティは運用フェーズでやると高コストになるので、
ちゃんと設計の段階から考えて作りましょうとかそういう話もありました。
確かに開発やってると、運用段階でセキュリティのことを考えると辛くて
直すのにとても苦労しましこともあります。
そういうのも減らすためにも、ちゃんと設計開発の段階から
セキュリティのことを考える必要があるなと感じています。
OWASP TOP 10読み終わったので、活用していきたいと思います。
セッションの後半はMiniHardeningの内容でした。
セキュリティの演習環境をAWSでどうやって実現するか、
また演習ではどういうことをやっているのかを部紹介してもらいました。
本家Hardeningのカジュアル版であるMiniHardeningの裏側の話が聞けて良かったです。
実は私も2017年12月に行われたセキュリティミニキャンプ沖縄でセキュリティ演習環境を提供したことがあるあったので、今回のお話は大変貴重でした。
特に侵入テストの申請の時にIPアドレスやインスタンスIDが変わる環境においてどうやって申請したらいいのか、私も悩んでた時期があって、どうやってその辺の申請をやっているのか気になっていました。私も悩んでAWSサポートに相談交えながらも申請出したこともあり、非常に親近感のある内容でした。
AWS Technical Evangelists Special talk session -スペシャルトークセッション AWSとユーザーコミュニティが生み出すNo borderな未来-
AWSは2017には1430のアップデートをしているらしい。すごい…!
これだけ多い新サービス、新機能のキャッチアップをどうしたら良いかという疑問に対し、
全ては不可能だから、自分の好きなものから始めたら良くて、
とにかくみんなで知見を共有することでした。
AWS認定も、とにかくドキュメントを読み込むことと、
アーキテクチャの事例を学ぶことが大事だそう。
新サービスがたくさん出てても全てが全く新しい技術というわけでもないし、
学んだことは絶対どこかで生きてくるんだろうなっていう感じでした。
英語のセッションも、レシーバーから通訳が流れてきてたので非常に助かりました。
AWS × 形式手法で人知を超えたセキュリティを手に入れろ
IAMポリシーを結構書くようになって、
シミュレータと挙動が違くてうんざりしてたこともあったり
結構、経験と勘、雰囲気で書いてることもあって悩みがあって
Alloyなども使ってみるなど、結構学ぶものが多かったです。
AWS のマネージドサービスを使ったセキュリティ強化のための自動化では、
WAFを利用して攻撃を自動ブロックする話や、GuardDutyでの驚異検出など
サービスを守るためのセキュリティツールをフル活用していた感じでした。
コンテナを守る技術 2018
コンテナの基礎知識からProductionで運用するまでの
主にセキュリティ周りのノウハウをまるっと色々とご紹介していました。
コンテナのセキュリティもそうだけど、
ホスト側のセキュリティもちゃんと担保できてるよねとか
セキュリティグループちゃんと分けてますか
リソースをきちんと制限して他のコンテナの巻き込み事故を防げてますかなど、
ホスト側のセキュリティもちゃんと確認しようねってことも再確認できました。
あとはコンテナイメージをビルドする際に継続的なセキュリティチェックを
やろうっていうこともお話ししてました。
例えばCIに組み込めたらアプリケーションのセキュリティテストから
イメージのビルドまで全部できるので、
やってみてもいいかもしれません。
他にもaqua, NeuVector, Twistlockなど、コンテンツを守るための
セキュリティチェックツールを多数紹介していました。
出展ブース
空き時間に出展ブースも回ってきました。 F5さんがAWS WAFで使えるルールを提供してるお話とか MoneyForwardさんやF-Secure, クラスメソッド,Twilio-UGのブースで いろいろお話できたり シェリルやランカと撮影したりしたので 楽しかったです。 (マクロスFファンです)
気づいたら全ブース回ってました。
他にも、SAの方々とFargateで抱えてた疑問をお話したりと
アドバイスも貰えたので、知見がものすごく増えました。
懇親会 & LT
懇親会は、AWS SAMURAIの発表とLT大会でした。
SAMURAIのみなさんおめでとうございます。
LT大会では、各支部自慢LT大会だったので、
私もJAWS-UG沖縄として5分間のLTをやりました。
各支部の自慢といえば、
沖縄では毎年実施しているCloud on the BEACH。
むしろ沖縄でやるのが一番ベストなこのイベントの紹介をしました。
みなさん参加してくださいね^^
実は、懇親会にこんなに人がいるって知らなくて
LT前はビビってましたが、実際にやってみるとなんてことはなくて
むしろ楽しかったし、これだけ大勢の前で喋る機会はそうそうないので
私にとってはすごくいい経験になりました。
LTの動画を取ってもらってたのですが、
もっとアピールできるところいっぱいあったのになあとちょっと後悔。
LTはアピールできてなんぼなので、
もう少しインパクトのある喋り方できたらなあと思いました。
LTの投票は4位でした!
おわりに
前回参加者のブログとかも読んでましたが、
「勉強をしに行く ではなく 刺激を受けに行くが正しい」と
そう感じた1日でした。
イベントスタッフや登壇者のモチベーションがすごく高く
私もたくさんの刺激を受けることができました。
LTと同様、告知になりますが、
4月28日(土) JAWS-UG 沖縄 Cloud on the BEACH遊びに来てくださいね〜。
最後に
本日より、JAWS-UG 沖縄のコアメンバーになりました^^
コミュニティ運営のお手伝いができればと思います。
宜しくお願いしますm(_ _)m