こんにちは。
こちらの更新も最近は、多くなっています。
タイトルの通り、
AWS Security Forum Japan 2023
に参加してきました。
参加してきて、思った事をつらつら書こうと思います。
副題に書いてありますが、「セキュリティ民主化の実現に向けて」とあります。
少し前から金融から他のITシステムへの潮流が流れてきてたセキュリティについて。
基本的な概念はあんまり変わらないですね。
脆弱性の情報をどうやって取得するか、その管理と工数はどこから捻出するか、自動化するのか<以下、どうするのかと記載します。>
セキュリティ侵害発生時の対策をどうするのか
パッチの適用をどうするのか
がメインどころです。
もう少し掘り下げて着眼点を変えてみましょう。
発生した脆弱性やゼロデイ、事前対策で発生リスクを抑えながら、
誰が、いつ、何処の段階で判断して、事前対策をして、リリースし、それを如何に継続し、自動化等を使って効率化出来るか。
が主でした。
ただ、そこでAWSさん。きちんと「責任共有モデル」がちゃんと存在してくれています。
AWSはここまではこうやって、責任持ってますよ。
こういう対策になってますよ。ってちゃんと書いてあります。ただ、これはあくまで「標準モデル」です。
サーバレスだったりマネージドサービスを使うと少し責任が変わってくる感じです。
資料が見つからなかったのですが、利用者の責任範囲が小さくなり、場合に寄っては運用しコストを下げられる感じになります。
そういうのを含めて、いつ、何処で対策するか、どのように継続するか。
が一番の肝になってくる感じでした。
また、最近では、サードパーティのアプライアンスも組み合わせることで事前に対策がちゃんと取れたり、連携幅が広がったりします。
そういったことで視野を広げるにはとても良い機会かと思います。
AWSさんが講演されてた資料は、今回配信もなくダメみたいなので公開は伏せますね。
追記:
ただ、1点だけ・・・基調講演ですごく大変な事あったなーって思ったので。(これくらいは良いよね?)
Organization管理をしているAWSアカウントに於けるルートアカウントでMFA認証が必須となるらしいです。
2024年の中頃に。。