AWS re:Inforceに参加してきました!

AWS運用自動化サービス「Cloud Automator」

皆さん、こんにちは。

サーバーワークス・カリフォルニアオフィスの臼坂です。

今回は、今週参加してきましたAWS re:Inforceについて報告を兼ねて、ブログを書きたいと思います。

AWS re: Inforceについて

昨年、クラウドセキュリティに特化したカンファレンスとして「re: Inforce」を開催するという発表があり、今週、マサチューセッツ州のボストンで2日間にわたり開催されました。

会場は、比較的最近ボストンに建設されたコンベンションセンターで行われ、7000人ほどの参加者がいたと聞きました。

今回が初の開催ということもあったのか、スポンサー企業もそれほど多くはなく、エキスポ会場での展示は、re:Inventと比べると、小規模だと感じました。(確かな数字はわかりませんが、大体40社くらいだと思います。)

一方で、ブレークアウトセッションなどは充実しており、参加者の技術的なレベルにわけたセッションやワークショップが多々あり、小規模のre:Inventという感じでした。

また、今回のカンファレンスで初めて目にしたのは、会場に入る入り口にセキュリティゲートが設けられ、カバンの中の確認や金属探知、犬によるドラッグチェックを行うというものでした。

セキュリティのカンファレンスと言うことで、セキュリティの強化をアピールしたものだと思いますが、趣向が凝っているなと感じました。

 

何故ボストンでの開催なのか?

最初の開催がなぜボストンになったのか、少し興味があったので調べてみたところ、ボストンは地理的な背景、ビジネス環境の背景からサイバーセキュリティに関して進んでいることが分かりました。

まず、サイバーセキュリティの世界では、イスラエルが先行しており、様々なスタートアップが起業されています。これは、全国民が軍事へ従事することが義務付けされており、サイバーセキュリティ関連の実務や開発を行うエンジニアが多数いることが背景にありますが、イスラエルの会社が米国に来る際に、西海岸にあるシリコンバレーではなく、地理的に近い東海岸を選ぶ傾向があります。

また、ボストン周辺には、様々なヘルスケア企業があり、セキュリティに関して規制されているマーケットであることから、サイバーセキュリティの認識が非常に高く、常によりよりセキュリティソリューションを採用する環境があります。

このような背景から、ボストンはサイバーセキュリティ関連における主要なハブとなっていることから、今回re:Inforceの開催地として選ばれたのではないかと思っています。

 

キーノート

さて本題に移り、キーノートの冒頭では、Availability Zoneについて言及があり、複数の物理的に異なるデータセンターで対応していることの重要性を強調するとともに、AWSのセキュリティに対する姿勢そのものが他社と全く違うことを指摘していました。

それとは別に、IoTのトラフィックが今後急激に増加することを踏まえ、AWS IoT Defenderを使うことによりエンドデバイスをセキュアにすることができることも言及していました。

キーノートの中での主題は、“Security is Job 0” (セキュリティは、全ての人が考え対応していくべき基本的なもの)であり、セキュリティーチームだけの問題ではないということ、またAmazon GuardDutyやAWS Security Hub、Amazon Inspector、Amazon Miceなど、AWSが提供するセキュリティーソリューションを使うことにより、高いセキュリティを担保することが現状可能であること、セキュリティエンジニアのリソースに限りがあり、AWS Lambdaを使用したセキュリティ問題への自動的対処などが非常に重要であること、そして何より、セキュリティ対策はビジネスの根幹を揺るがす問題への対応であることをしっかりと認識する必要があるということでした。

また、キーノートの中で、保険大手のLiberty MutualやCapital Oneが登壇し、AWSとの責任共有モデルへの言及とともに、AWSとどのように手を取り合ってセキュリティの拡充を行っているかを説明していました。また、それぞれ、自社のソリューションを3rdパーティ向けのソリューションとして提供するという新しいアプローチも行っていて、非常に興味深いと感じました。

ブレークアウトセッションについて

ブレークアウトセッションでは、re:Inventと同様に、ハンズオン形式のもの、インタラクティブなセッション、基調セッションなどがあり、ハンズオン形式のものでは、実際のAWSソリューション(Amazon GuardDutyやAWS Security Hub, Amazon Control Towerなどなど)の使い方に始まり、暗号化のベストプラクティスやセキュリティ設定のベストプラクティスなど、様々な分野についてのものがあり、実務を助けるセッションとなっていました。

また、インターラクティブなセッションでは、参加者からも活発に実情がコメントされ、AWSのスピーカーも一緒になって考えるなど、勉強になるものになっていました。

AWSのセキュリティイベント及び、次回のre:Inforce

AWSでは、Global Security Roadshowとして、全世界でハンズオン形式のコンテンツも含むカンファレンスを実施する予定で、東京にも来るとのことです。詳しいスケジュールは、AWS Security Blogにて今後掲載される予定とのことです。

また、次回のre:Inforceは、一年後にテキサス州のヒューストンで行われる予定ということでした。

 

最後に

今回のカンファレンスのメインテーマは、クラウドのセキュリティについて学ぶ場を提供するとともに、セキュリティに関するコミュニティの拡大を狙ったものでした。

米国においては、ハッカーによるサイバー攻撃などによって、消費者の個人情報を含む様々な情報が盗まれるなど、サイバーセキュリティの重要性が増しており、いかにセキュリティを確保するかということが、企業のビジネスの根幹を揺るがす問題として位置づけられるようになっています。

基幹システムのクラウドへの移行に伴い、サイバーセキュリティへの対応ということについてより深く理解をしてもらうことにより、きちんとセキュリティを担保したAWSの利用を訴求するということがセッション全体を通じて感じられました。

特に、AWSと利用者との責任共有モデルについて、キーノートやセッションを通じて、何度も繰り返し説明があったことなどは、利用者にきちんと理解をしてもらい、利用者自身でのセキュリティ対策もしっかり行う必要性があることを理解してもらおうという強いメッセージが込められていたと思います。

また、”Security is Job 0”であることを認識し、ソフトウェアの開発段階からセキュリティを考慮した開発を行うことが必須で、それによりDevSecOpsを実現するとともに、サービスにおけるセキュリティを担保した展開を迅速に行うことができるようになるということを、改めて理解し、実際にカルチャーに取り入れる努力をしていく必要があると思いました。

AWS運用自動化サービス「Cloud Automator」