イベントレポ-DevOps時代のセキュリティ事情

どうも。ファインディの北川(@OnigiriMa_shi)です。DevRelとしてエンジニア向けイベントの開催、自社メディア「Findy Engineer Lab」の運営をおこなっています。

11/15(火)に行ったイベントのテーマは"セキュリティ"。
セキュリティについては、キャリア面談やイベント実施後のアンケートにて、"もう一歩踏み込んで学びたい・・・！"  "セキュリティについてちゃんと勉強しないとな・・・"といったことをユーザーの方からよく聞いていました。(私もSIer自体そうでした)
ということで、セキュリティをどこから学べばいいのか、セキュリティはどの程度知っておけばいいんだろ、、最近のトレンドも伝えたいなと思い、本イベントを企画しました。(自分が知りたかった笑)

DevOps時代のセキュリティ事情 (2022/11/15 19:00〜)

DevOps時代のセキュリティ事情 #security_findy

結果、めちゃくちゃ学びが深かったです。まさか、昨今の開発環境がこんなにもリスクに満ちた世界になっているとは、、！！

本日は、その学びを皆さんに共有したく、記事を執筆します。

アーカイブで動画もあげておりますが、せっかくモデレートを行い直接@takesakoさんと@rungさんのお二人とお話したので、その時の熱量を自分の言葉で少しでも皆様に伝えたいなと思います。

開発環境も守るべき領域となっている　

私も前職では脆弱性診断やWAFの構築などの案件に携わっていましたが、昨今のセキュリティの深い事情はつゆ知らず。rungさんに、以下の資料に基づいて発表がとても新鮮でした。

昨今の開発環境はパブリッククラウド、GitHubなどのソースコード管理、CircleCIなどのCICDツールで構成されることが一般的。上記資料をみてもらうとわかりますが、現在の開発環境は自動化推進の波をうけて、開発者体験向上のためにも様々な自動化ツールが採択されています。

そんな外部のツールに脆弱性が存在することで、そこを狙った攻撃があれば、本番環境までリスクが及ぶとのことでした。

例えばですが、以下のような事例も過去にあったりします。
https://scan.netsecurity.ne.jp/article/2021/05/25/45711.html

「Codecov」への不正アクセスで「メルカリ」のソースコードと一部顧客情報等が外部流出 | ScanNetSecurity

したがって、現在のセキュリティエンジニアは責任範囲が増大する中で、サプライチェーン全体、CICDパイプラインのセキュリティを配慮した設計にしなければならないとのことです。

私は金融系オンプレ育ちで、開発環境はオフィスからで、Jenkinsなどはダウンロードしてしか使えないといった環境だったので、このトレンドには非常に驚きました(私の環境が古すぎた)

フロントエンドと同じように、セキュリティは学び続ける必要がある

セキュリティは、2000年頃の個人情報漏洩や愉快犯によるハッキングが旺盛の時代から、現代のランサムウェアや感染や上述のDevOpsの開発スタイルの変化によるリスクなど、いたちごっこのように攻撃と防御手段が進化してきました。

セキュリティを専門にする人は、つねに法改正やどんな言語やツールが存在するかなど、常に情報と経験をアップデートし続けなければなりません。

そういった話の中で、参加者からのコメントで、
「セキュリティはフロントエンドと同じようにトレンドを学び続ける必要があるんですね」
という声がありました。

フロントエンドもトレンドの栄枯盛衰が激しく、キャッチアップが必要な分野。まさにこの方の仰るとおりで、セキュリティ分野においても常に今なにがリスクとなるかを把握しておく感度が必要であると感じました。

セキュリティは全職種共通のリテラシー

また、個人的に感じたのは、セキュリティは専門の人に任せればいいわけではなく、個人で勘所をもっと高めなければいけないということでした。（当たり前ですみません）

現在のトレンドとして、社内で使用するVPNも脆弱性が多いものが多く、狙われ始めているとのこと。身近にセキュリティリスクが及んでいることを感じ、単純に自分は専門じゃないから〜ですませられない領域だな、と痛感しました。

では、お二方はセキュリティをどうやって学んでこられたのか？

お二人の回答としては、攻撃と防御を両方とも、自らの手を動かしてやってみることでした。

自分で開発環境をつくって、k8sやCICDツールも入れて、試してみることが一番身につくとのことです。

ここまでとはいかなくても、学ぶための集まりに参加したり、一緒に学習できるコミュニティや勉強会に参加してみたりすると、それだけで情報のキャッチアップはできるので、おすすめとのことでした。SECCONやセキュリティ・キャンプをみなさんみてみましょう、、！

セキュリティは"総合格闘技"。求められる仕事は複雑でやりがいに満ちている

竹迫さんからは、様々な名言をいただいたので、最後にそちらを紹介します。細かい文脈はぜひ動画をみていただければと思います。

まずは、「セキュリティは"総合格闘技"」ということ。上記にも記載しましたが、セキュリティは多種多様な領域の知見が必要で、だからこそ面白い分野であるとのことです。

そして、「セキュリティには専門家はおらず、学際的」だということ。誰でも学ぶことができて、学んでいける領域であること。
私も正直"専門領域"という認識が強かったので、この言葉で大分イメージがかわりました。

最後に、体系的な学び方として、「セキュリティという言葉を使わずにやりたいことを説明してみる」ということでした。
"セキュリティ"というと漠然としていますが、「CICDに潜む脆弱性を防ぐために〇〇する」など明確化すれば、自分が何をやれば目的が達成できるのか、ということですね。シンプルにしましょう、ということですね。

海外では求人も多く給与レンジも高いセキュリティエンジニアのポジション。しかし、日本ではまだ多くありません。一方で、企業や世間からのニーズはとても高いため、今後日本でもセキュリティに携わる方々がお二方のような存在を目指してこれからもっと生まれていくだろうな、と感じた夜でした。

私も、引き続きセキュリティに関する感度をあげて、とりあえず迂闊にVPNを使わないようにします。笑

それでは、また次のイベントで！

モバイルエンジニアの今後とキャリアとは〜有山さんと松館さんから学ぶ 〜 (2022/11/22 19:00〜)

エンジニアキャリア論〜正社員もフリーランスも経験してわかること〜 (2022/11/29 19:00〜)