【レポ】ssmjp 2020/02の1 へ、参加してきました！

お疲れ様です。inoです。

今回は、先日参加した
ssmjp　2020/02の1の、勉強会の参加レポートを執筆したいと思います。
宜しくお願いします。

なお、Blog自体が今まで書いたことが無いため、
所々拙筆な記載になるかと思われますが、ご容赦頂ければと思います。

まず、そもそもssmjpとは？

ssmjp、それは‥

リンク参照(こら

ざっくりいうと、月1ベースの割とノンジャンル勉強会。元は運用をベースとしているようです。
でも内容に関しては、基本(公序良俗に反してなければ)何でもあり。

過去の登壇内容だと…
・ルパン三世カリオストロの城の話
・瞑想の話
・総合格闘技の話
なども、実際に登壇なさった方が居たようですよ。

さて、そんなssmjpの02の1の内容は、スペシャル会(ITIL会)でした。
今回は3人の方が登壇されてました。
各々の内容と所感を書いていこうと思います。

ひとりめ　yoshio_sawada　さん

クラウドでも非機能要求グレードは必要だよね、というお話。
案件例として、シングル構成から冗長構成への移行案件の話が。
※但し瞬断すら嫌よ♪、と。。。(；ﾟДﾟ)
➡さて、どうするか？
　➡非機能要求グレードを使おう！と。

さて、非機能要求グレードとは？
　➡IPAに公開されているツールで、
　ユーザと開発者間の認識齟齬・意図の食い違いを防止するために
　非機能要求を段階的にリストアップし、各々の要求レベルを
　段階的に示したもの。
　(私見)案件とか要件定義とかのフェーズで、文書化、仕様書化
　しづらいことや、暗黙の了解で動いてしまいそうな懸念事項を
　見える化するために使われるのかな？

これを導入することで、
・検討すべき非機能項目を網羅的できる。
が
・その分項目がかなり多くなる。
そして、基本的にオンプレミス用に作成されているため、
クラウド上ではクラウドベンダー側とシステム構築側とで
レイヤーを分けて考えていく必要あり。
☞非機能要求グレードをうまく活用し、事前に気づけたはずの問題に
事後に気づき、悲しい思いをすることがないようにしていきましょう。(終)

(所感)
自身、要件定義などの上流の経験はありませんが
確かにクライアントとの折衝の段階からこういった齟齬は生じやすそうですし
実際のサービスイン直前！というときに気づいたら…
目もあてられませんね。
案件の調整などは現在の業務でもありますし、日頃から見える化されていない部分にも、改めて目を向けていかなければ…と感じました。

ふたりめ　ぐご　さん

突然PCI DSS担当になった人が話すPCI DSS入門

表記
世界ではPCI(半角スペース)DSSが優勢。
日本ではPCIDSSが優勢。

そもそも
PCI DSSってなんすか？？
➡クレジットカード自体のデータ保護を目的とした規格。
　情報の保護、漏洩時の追跡、送受信の事業者etc...
　カード以外の情報に対してはそんなに厳密には定義されていないのかな？

定義が厳格で、各項目が明確。
また、完全一致で準拠。1項目でも満たせないなら非準拠となり、部分準拠は無い。

準拠方法
①QSA(外部監査)とSAQ(自己問診)を用いて各要件を満たしたことを確認
②ASV(認定スキャンベンダー)からの審査をクリアしAOCを作成
③カードブランドに提出

ここでスコープの話が出てきました。
　スコープ？
　　➡PCI DSSを適用する範囲のこと。
　　　技術でいうとActive Directory、NTPサーバ、ログサーバなど
　　　データを保存/処理/送受信するものが対象。
　　　ただ、人やプロセスも対象となりうるため
    　   範囲決めが難航する。

なので、範囲の決め方としては
　　①まず、全部を範囲にする
　　②次にPCI DSSと照らし合わせて対象外を外していく
という方法を取っているそうです。
そしてデータセンターにおいても監視カメラの設置が要件に含まれているため
準拠するなら、内部/外部委託先関係なく監視カメラが設置されていない場合は設置に協力頂くことに。

ここで非保持化の話も出てきました。

　非保持化？とは…
　　➡日本独自の考え方
　　　PCI DSSと=ではないもののカード情報保護という意味では同等の効果
　　　・・・これだけじゃわからん。

前述の部分との差分で言うと、非保持化はデータを保存/処理/送受信しない。

事例を出すと、ECサイトでカード情報入力部分を他社にリダイレクトしたり
Javascript埋め込みで入力するようなECサイト。
➡非保持化：達成！
　PCI DSS：要準拠
　➡なので、非保持化とPCI DSSは違います。

担当になった場合のおすすめガイドライン
・スコープガイドライン
・PCI SSCサイト(英語版)
　※日本語版サイトはリンクがそもそも無かったり
　日本語版のものが無かったり。。。

まとめ
PCI DSSはITガバナンス！
ITガバナンスが効いていない組織ではPCI DSSの準拠はとても大変。
ITガバナンス、デジタルフォレンジックなど、情報セキュリティの知識がないと、PCI DSSの理解はキツイ
もしPCI DSS担当になってしまったら、情報セキュリティマネジメントの午前問で勉強がおすすめ。

(所感)
PCI DSS、初めて知りました。
非保持化との違いもわかりました！
…非保持化は登壇を聴いている間、ガラパゴスという言葉が脳裏をよぎりました(-_-;)
実務で担当になった際は参考にさせて頂きます。

さんにんめ　(っ´∀｀)っ ゃー　さん

いきなり{非機能要求グレード,PCIDSS}担当にさせられた！どうする！？な話
※一部公開禁止となっていたため、公開可能な部分のみ記載致します。

機能要求と非機能要求の違い
・機能要求：ビジネスに直結、イメージしやすい
・非機能要求：ビジネスに直結しない、具体化が進まないと利用者がイメージしづらい

それぞれの抜け漏れがあると？
・機能要求が満たされないと➡目に見えるバグとして顕在化されやすい
・非機能要求の抜け漏れがあると➡本来できないことができるようになってしまう→セキュリティインシデント

非機能要求グレードの活用法(現場目線)
・顧客やステークホルダーは機能要件にしか興味がない
・まれに過去のインシデントなどで非機能要件に目が行くことも

非機能要件を設計したい！
・IPAが推してるから…と錦の御旗にする
・基本、網羅性は高い
　→しかも無理やり全てを当て嵌めなくても良い
・いい感じにやっといて、は危険
→せめて「この中からアレとアレをチョイスしました！」と言えるように

推薦図書
沢渡あまねさんの「新人ガール　ITIL使って業務プロセス改善します!」
と
運用設計の教科書 ~現場で困らないITサービスマネジメントの実践ノウハウ

基本的考え方
・要件に対してのテスト手順があり、そのヒントとしてガイダンスがある

まとめ
・PCI DSSも、非機能要求グレードも、ITILも、トップダウンで導入したほうが良い
・良いとこ取りで導入してもOK(PCI DSSは全部入れないといけない)

(所感)
前お二方の登壇内容を実際に導入提案しようとしたら…？な話。
非機能要件の抜け漏れによるセキュリティインシデントの部分は他の多くの参加者の方も反応されていたように思います。
上層部から動かそうとしなければならないなど、各項目の導入自体のハードルはやはり高そうに感じました。

感想

・去年からssmjpに参加させて頂いてますが、今回はITIL会ということで
かなり濃い内容のものでした。
去年、沢渡あまねさんが登壇された会もスペシャル会でしたが、スペシャル会は特に学びが多くて参加を毎回楽しみにしています。
今後の状況が不透明ですが、極力参加していきたいです。
・今回が初のBlogということで投稿がだいぶ遅れてしまいました。
次回のアウトプット時には早く投稿できるよう、仕組みを考えていきたいです。

拙い投稿に長々とおつきあい頂き、有り難うございました。