2016年3月7日
2016年3月7日
2016年3月7日(月)
クラウドを使うことで、セキュリティ診断が身近になる?
クラスメソッド株式会社 AWSコンサルティング部
梶 浩幸
私は、仕事でAmazon Web Service(以後はAWSと記載)を利用したシステム構築や支援を行っています。そのAWSから2015年10月に新サービスが発表され驚きました。それは、Amazon Inspectorというセキュリティ診断のサービスです。現在まだプレビュー段階で、これから提供されるサービスです。今後他のクラウド事業者からも同様のサービスが展開されると推測しています。
セキュリティ診断はチェック内容に依存して、ツールによる安価なものから、アナリストによる手動検査で高価なものまで様々です。ただ、セキュリティ診断をする場合、クラウド/VPS/オンプレミスに関係なく、ツールを自分で構築するか、オプション提供で外部ツールを使用するか、別途手配してクラウド型の診断サービスを使用するかのどれかになり、いづれにせよ手間がかかるものだと思っています。
しかしクラウドサービスの一部としてセキュリティ診断されることで
- 操作画面で設定でき、診断のための構築や準備の手間が少ない
- セキュリティ診断ツールの結果から連携したシステム構築が可能になる
ことが期待できます。
上記により、システム構築する上でセキュリティ診断が一般化して初歩的な問題点が解消され、セキュリティレベルが底上げされるのではないかと考えています。このことから、クラウドやVPSからセキュリティ診断がシステムの一部になって提供されると、専門家がいないような中小規模の会社でも導入しやすくなり、セキュリティに関して全く知見がない人でも、診断し対処しやすい環境が当たり前なるのではないかと期待しています。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2016年3月7日(月)
SDL活動における「情報セキュリティ人材」
ソニー株式会社 ネットワークエンタテインメント部門
ネットワークプラットフォームサービス部 開発2課
勝海 直人
コラムをご覧の皆さま、こんにちは。
私は、ソニー株式会社でPlayStation Network(PSN)サービス開発のセキュリティ活動を担当しています。このコラムでは、私の所属するセキュリティチームの活動をご紹介しながら、「情報セキュリティ人材」の所感を述べさせていただきます。
PSNサービスとそのセキュリティ活動
PSNサービスは、「プレイステーション 4」(以下PS4)をはじめ「プレイステーションヴィータ」(以下PS Vita)、「プレイステーション 3」(以下PS3)などが利用するネットワークサービスです。PS4で遊んだ方ならご存知だと思いますが、PS4ではゲームをプレイするだけではなく、フレンドとチャットをしながら、ネットワークを介して同じゲームをシェアしてプレイしたり(リンク:http://www.jp.playstation.com/ps4/hardware/share/)、フレンドのプレイを視聴することができます(リンク:http://manuals.playstation.net/document/jp/ps4/share/requests.html)。PS4がWeb APIと連携することで、これらの機能を実現しています。
複数の開発チームが連携しながらPSNサービスを開発しており、開発チームの中には「セキュリティ」を担当するチームもあります。そして、私は東京のセキュリティチームに所属しています。「セキュリティ」と言っても様々な分野がありますが、私たちのチームはいわゆるSDL(Security Development Lifecycle)に関するセキュリティ活動を担当しています。
SDL(Security Development Lifecycle)
SDLは、ソフトウェア開発における工程ごとにセキュリティ活動を実践して、ソフトウェアにおけるセキュリティを向上させる開発プロセスです(リンク:https://www.microsoft.com/en-us/sdl/process/)。米Microsoft社がSDLを提唱・実践し、現在では米Microsoft社以外の企業も採用しています。
私たちセキュリティチームは、このSDLの中でも特に設計(Design)、実装(Implementation)、検証(Verification)のセキュリティ活動に注力しています。ネットワークサービスの開発状況に合わせて、データフロー図(DFD)に基づくリスク分析、静的コード解析、脆弱性診断などを実践します。そして、これらの活動からネットワークサービスにおけるリスクを洗い出します。
また、開発サイクルごとにこれらのセキュリティ活動を繰り返し実践します。近頃これらの活動の作業工数が増加する傾向にあり、一緒にセキュリティ活動を実践してくれる人はいないかと思う今日この頃です。
「情報セキュリティ人材の不足」に感じること
「人」の話題になったところで、「情報セキュリティ人材」に目を向けてみましょう。最近「情報セキュリティ人材の不足」をよく耳にするようになりました。同時に、セキュリティキャンプ(http://www.security-camp.org/)やCapture The Flag(CTF*1)、勉強会などセキュリティをテーマにするイベントが頻繁に開催されています。私が情報セキュリティ業界に飛び込んだ頃に比べると、「情報セキュリティ」自体が一業種になったと言える時期でしょうか。
しかし「情報セキュリティ」といった場合、私はマルウェアや脆弱性、および不正アクセスといったインシデントが注目されがちと感じています。そして「情報セキュリティ人材の不足」もこれらの分野のエキスパート育成に注力する印象を持っています。当然、エキスパート育成はとても大事ですが、各企業・組織における情報セキュリティ人材を増やすことも同様に大切なことだと考えます。
各企業・組織におけるセキュリティ(インシデント対応も含む)は、基本的には各企業・組織の人材で確保する必要があります。私は10年強セキュリティ企業で勤務した後、現在のセキュリティチームに加わりました。これまでお会いした方々を思い返してみると、SDLに関わっているセキュリティ技術者が少ない印象を持っています。
情報セキュリティに関わる技術者には、マルウェアや脆弱性、および不正アクセスだけではなく、SDLにも目を向けていただき、企業・組織における情報セキュリティ人材が増えることを願っています。
*1: 情報セキュリティの文脈では、「セキュリティに関する知識・技術力を競う競技イベント」を指します。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。