Cyber SecurityサウナJapan

エピソード #6: クラウド環境とサーバーレス環境のセキュリティ、『WithSecureカスタマーアンバサダー』について

エピソード #6: クラウド環境とサーバーレス環境のセキュリティ、『WithSecureカスタマーアンバサダー』について

サウナのようにホットなセキュリティトレンド、テクノロジー、インサイトをお届けするポッドキャスト『Cyber SecurityサウナJapan』。第6回目ではゲストスピーカーとして北海道テレビ放送の三浦一樹さんをお迎えして、クラウド環境/サーバーレス環境のサイバーセキュリティについて語っていただきます。また、『WithSecureカスタマーアンバサダー』にご就任いただいた三浦さんのクラウドコミュニティでの取り組みに関してもお話しいただきます。

エピソード #6はこちらからご視聴ください。

スクリプト:

河野:
みなさんこんにちは。あるいはこんばんは。『Cyber SecurityサウナJapan』へようこそ。このポッドキャストでは、サイバーセキュリティに関するサウナのようなホットなトピックをお届けします。

ホストを務めるのは、ウィズセキュア株式会社 法人営業本部 河野真一郎です。今回は初の出張収録ということで、アンッティさんはお休みです。河野が単独で収録に来ています。場所は北海道 鶴居村『FOX & CRANE CABIN』で、国産バレルサウナ『サムライサウナ』でセルフロウリュの後、外気温3℃な冬の川に飛び込む予定です。

本日のエピソードでは、ゲストスピーカーとして北海道テレビ放送株式会社 (HTB) コンテンツビジネス局 ネットデジタル事業部 三浦一樹さんをお迎えしています。三浦さん、よろしくお願いします。

三浦:
はい。北海道テレビ放送の三浦一樹です。『Cyber SecurityサウナJapan』、毎回リスナーとして聞いていたので、今回初のゲストとして収録に呼んでいただくことができて大変光栄に思っております。よろしくお願いいたします。サムライサウナに初めて来たんですけども、すごく楽しみにしていて、先ほど見学だけしたんですが、早く入ってめちゃくちゃ冷たいであろう冬の川に飛び込むのが楽しみです。今回はヴィヒタ (白樺の若い枝葉を束ねた物) の葉っぱも持ってきたので、それを使ってサウナ楽しみたいと思っています。よろしくお願いいたします。

河野:
今日の『Cyber SecurityサウナJapan』は、クラウド環境、サーバーレス環境のサイバーセキュリティについて、HTB三浦さんとお話していこうと思います。また、後半では三浦さんが『WithSecureカスタマーアンバサダー』にご就任頂いた点についてもコメントを頂きます。 三浦さんは、いろんな外部セミナー、ユーザー会でHTBさんのクラウド環境のご利用について登壇されていますけど、このポッドキャストを聞いている方向けに、HTBさんがどのようにクラウド環境を活用しているか、お話いただけますか?

三浦:
HTBでは動画配信やECサイトを運用するプラットフォームとして、クラウドの環境を利用しています。インフラは主にAWSを利用しているんですけども、システム開発におけるコーディングだけに専念したいっていうのが主にあったので、サーバーレス環境を今採用しています。

Japan_Podcast_06_2

河野:
三浦さんと各種ユーザー会でお話していくなかで、クラウド環境とサーバーレス環境のセキュリティについて検討されているとお聞きしたのですが、三浦さんのセキュリティに関するお悩みというのは、どんなものでしたでしょうか?

三浦:
サーバーレス環境で開発進めていくのは、作るのは簡単だったんですけども、やっていくうちに、サーバーレス環境を利用していくとOSやミドルウェアなどのセキュリティアップデートに関して気にすることがなくなるっていうのは最大のメリットの1つだとは思っているんですが。その上で、 逆にAWS環境の認証権限の設定でサーバーレス環境そのものの設定と稼働するアプリケーションの、実際乗っているアプリケーション側のセキュリティといった、ユーザー側での設定や構築っていうところについて悩みが段々たまってきたかなというところが実際にありました。

なので、セキュリティを強固なものにしていくために、どんなところを実際に気をつけなくてはいけないのかとか、どのような対策をすればいいのかっていうところが課題として挙がってくるようになっていきました。

そこで、セキュリティの検討をしていく中で、AWSのベストプラクティスやAWSのWell-Architectedフレームワークなども実際に調査したりディスカッションをおこなったりもしていたんですけども、その中でサーバーレスセキュリティ環境の実際の対策を具体的にどうすればいいのかというところに関して、いくつかセキュリティベンダーさんに提案をお願いするような流れをやっていました。

河野:
いくつかのセキュリティベンダーに提案依頼されていく中で、ウィズセキュアからは、ご提案として、WithSecureコンサルティングサービスによるサーバーレス環境の設計レビューを含む脅威分析サービスをご提案、実際にご採用いただきましたが、提案内容に関する感想や、実際に提出されたレポートへのご感想はいかがでしたか?

三浦:
サーバーレス環境に対するセキュリティの対策という点において、ウィズセキュアさん以外のところにもいろいろお願いしていたんですけども、そこで実際に上がってきたものがAmazon EC2など、サーバーレスではないインフラ側のセキュリティ対策というものを前提にしたものが多く、それらはやはりこちらの求める要件に合致しなかったっていうところが実際にありました。AWS環境で数多くのセキュリティ診断の実績があるということと、バックエンドからフロントエンドのところまでを含めて総合的なサービス全体の対応が可能であるということと、そして本当に唯一、サーバーレス環境のセキュリティについて高度な知見を持っているというところがウィズセキュアさんからご提案いただけたので、それが選定の決め手になったと思っています。脅威分析サービスを実施している際は、打ち合わせ後のミーティングの場でも気軽に「こういうとこって実際どうなってるんですかね?」みたいな感じで相談に乗ってくれたり、あと漠然としたそもそも単語のレベルがわからなかったりとかっていうのもあったんですけど、そういうのも含めて、本当に丁寧にウィズセキュアのコンサルタントの方からご説明をしていただけたので、セキュリティに対しての不安とかも解消できたんじゃないかなと思っています。

Japan_Podcast_06_4

河野:
三浦さん、ありがとうございます。脅威分析サービスレポートの感想はいかがでしたか?

三浦:
実際に提出されたサーバーレス環境向けの脅威分析サービスレポートは非常に分厚いものを作っていただけたんですけども、想定しうる脅威や攻撃による影響の範囲、あとセキュリティを担保するために必要な対策とはどういうふうにやったらいいのかっていうところまで含めて具体的に提示されていて、非常にわかりやすいものだったかなと思っています。ウィズセキュアによる対面での説明もありまして、そこで質疑応答とかもさせていただけたので、実際最初レポート読んでわからなかった部分が正直何点かあったんですけども、それも1個ずつ丁寧に教えていただいたので更に明確化されたんじゃないかなというところも非常に良かったかなというところで、大きな1つ評価ポイントになったかなとは思います。

現在、そのいただいた脅威分析のレポートなんですけども、HTBのシステム開発するときにはもう1回立ち返るセキュリティのガイドラインのような形で社内で活用するような感じで使わせていただいております。

一般にセキュリティはやっぱりコストとして捉えられがちなんじゃないかなというのは正直実感としてあるんですけども、私はそのインフラとシステムも投資をするものであると同時にセキュリティも全く同じく1つ投資の対象なんじゃないかなというふうに考えています。ウィズセキュアのコンサルティングの利用の前後で、私1人だとなかなか難しかったんですけども、社内の他の役員とかにも対して、サイバーセキュリティというものは大切なんだよっていうところで、本当に何かあったときは大変なんだよっていうところの危機感。またそれに対しての投資の意識っていうのも正直まだ少しずつかなっていうのはあるんですが、確実に変化が生じているんじゃないかなというのは、このレポートから起きた大きな成果だったんじゃないかなと思っています。

河野:
三浦さん、提出レポートへのご感想、ありがとうございました。
今後、WithSecureへ期待することなどはありますか?

三浦:
実際今のシステムの開発っていうところに関してはひとつ落ち着いて、今運用のフェーズになっている段階なんですけども、フロントエンドのシステムをはじめデータの取り扱いだったりとか、セキュリティ面で考慮するべきっていうところはずっとあり続けていくのかなと。それが非常に多くの分野において、セキュリティのことを考えなきゃいけないっていうところがいっぱいあるっていうふうに思っています。なので、現在実際動いているシステムが本当にそのセキュリティが確保された状態になっているのかなっていうところは正直わかっていないので、その答え合わせというものを1回やってみたいかなと思っています。

河野:
三浦さんありがとうございます。今日のポッドキャストを聞いてる人たちの中には、クラウド環境やサーバーレス環境に対して悩んでる人たちもいると思うんです。そういった人たちに、ウィズセキュアのサービスをご使用いただいた、ぶっちゃけた感じの感想のコメントっていただけますか?

三浦:
ぶっちゃけた話っていうので言いますと、正直VPC (Virtual Private Cloud) の内側にほとんどリソースを置かないというような、本当にサーバーレスに特化した環境でサービスの構築というのをおこなっているのが弊社の環境なんですけども、そういった時、本当にどうやったらいいかわからないっていうのが実際検索しても出てこなかったりっていうのがあると思うんですけど。そういうサーバーレス環境のセキュリティ対策っていうのも、今すぐやらなきゃいけないこともあるし、優先順位もいろいろ考えて今後は確実にやんなきゃいけないとかっていうのもあると思うので。そういうのを選別していくと、最初はちっちゃく始めて1つずつクリアしていくっていう、セキュリティの対策においてもそのスモールスタートで始めるっていうようなことができるんじゃないかなっていうのはひとつ気付かされたことかなと思っているので、似たような環境だったりとか使ってる方はぜひですね、一度ウィズセキュアさんにご相談なんかしてみるといいんじゃないかなと思ってます。

Japan_Podcast_06_1

河野:
三浦さん、ウィズセキュアにとって嬉しいコメント、ありがとうございます。

また三浦さんには、今年2023年に『WithSecureカスタマーアンバサダー』にご就任頂きました。

ウィズセキュアがモットーとする「グッドパートナーシップ」と「コ・クリエイション」を体現されているお客様にご就任頂いているのが『カスタマーアンバサダー』です。 今日のポッドキャストのゲストスピーカーご参加を始めとするウィズセキュアの各種イベントにご参加頂きつつ、ウィズセキュアのサービスをご使用頂いたフィードバックや、現在のサイバーセキュリティに関する情報、またパートナーシップや協業についてお話を頂いているのですが、この『カスタマーアンバサダー』の制度を社内で聞いた時に、真っ先に私が思い浮かんだのが三浦さんだったんですね。

三浦:
いやー。あの、最初お話いただいたときも嬉しかったですけど、私全然セキュリティのこと一個もわかってないですけど大丈夫ですかー?っていうのは、ちょっと河野さんの方にもお返しさせていただいたかなと思ってますけど、大丈夫だったんですね?っていう。

河野:
大丈夫です。大丈夫です。というのも、三浦さんと河野が初めてお会いしたのは2017年のJAWS DAYSっていう日本全国からAWSを利用しているユーザーが集まるJAWS UGのイベントだったんですけど、その後三浦さんがJAWS UGをはじめとするユーザー会でアウトプットや登壇していく回数や熱量が素晴らしいと思ってまして。外部のコミュニティ参加や登壇していく三浦さんの姿を見てですね、これはもうカスタマーアンバサダーっていったら三浦さんしかいないというふうに思ったんですけど、いかがでしょう。三浦さんが外部のコミュニティに参加や登壇していくきっかけってのはどんなもんだったんでしょうか?

三浦:
最初は本当にただ参加者として勉強会に参加してたところからなんですけど。2015年ぐらいから、データ放送っていうちょっとニッチなサービスのディレクションとかやってたんですが、その派生でクラウドをちょっと触る機会がちょっとずつ始まっていって。また、テレビ局で働いているので動画配信を簡単にするためにはどうすればいいかっていう周辺技術を勉強していく中でAWSのことを知って、それでカンファレンスとか勉強会とか、札幌でも結構ユーザーが主催しているいろんな勉強会があったので、そういうとこに少しずつ参加するようになってきました。社内だとクラウドって使ってる人本当に1人もいなかったので聞く相手もいないし、1人だとモチベーションをなかなか保てない、みたいなところがあったんですけど、その外部の勉強会の方に参加して懇親会とかで、スピーカーの方とか一緒に参加者の方と話をしていく中で自然とクラウドってこういうふうにやってたらいいんだなとか、そういう考え方もひとつ身につきましたし。やっぱり今日勉強会で聞いた話を1回家に帰ってもう1回やってみようっていうモチベーションとかすごい高まっていったので。そういうのをどんどんやっていく中で、気づけばちょっとスピーカー側でもやってみたいなというところになっていて、ちょっと運営とかやってる方にもご相談したんですけど、いや別に大したことやってなくても、もしその失敗談でもいいから三浦くんの体験を喋ってくれれば、それがひとつ共有されたりとか、じゃあそういう失敗しなきゃなくなるよねっていうのもあると思うからそういうところから喋ったらっていうのもお話いただいたので、それでちょっとずつちょっとずつコミュニティのイベントでスピーカーをさせていただくっていうことが増えたかな、というところはあるかなと思っています。参加者も積極的に普通に聞くだけっていうのはひとつ。それでも得られるものっていっぱいあると思うんですけども、ただ登壇することにした方がもっといいよってみんな言ってたんで、それをどういうことなのかなって未だにちょっと具現化/言語化するのが難しいかなと思うんですけど、実際登壇したりとか、お話をすることによってまたそれで話題を提供できることによって、そのネタで懇親会ですごい盛り上がったりとか、後でまた別の機会で、何か似たようなお話で喋ってくれないかみたいな話も伝わっていったので。そういうところが勉強会でいろいろ喋っていくと自分の勉強にもなるし、自分のモチベーションも上がっていくしっていうところがなかなか楽しかったかなと思ってます。

Japan_Podcast_06_5

河野:
やっぱり今三浦さんがお話してくれたような、自分で学んだこととかを外部に発信してくっていうのは、『WithSecureカスタマーアンバサダー』が元々考えとして持っているグッドパートナーシップやコ・クリエーションの、パートナーシップだったリクリエーションだったり、やはりご自分の持ってるノウハウとかを外部に発信される。それを聞いた人たちがさらにそのノウハウを役立てていくってことに非常に活用されてるんじゃないかなというふうにいつも思ってる次第です。実際にこのポッドキャストの収録をした翌日も、コミュニティのウェビナーでワーケーションに関する登壇予定がありますよね。

三浦:
はい。

河野:
河野も外部のコミュニティイベントへ参加する機会、たまに登壇する機会もあるんですけど、ぜひ引き続き『WithSecureカスタマーアンバサダー』としての三浦さんのご活動もご一緒させていただきたく思ってます。

三浦:
よろしくお願いいたします。

河野:
ということで、今日はクラウド環境とサーバーレス環境のセキュリティと『WithSecureカスタマーアンバサダー』について、HTB三浦さんと河野でディスカッションしました。

そろそろ春。関東近郊のキャンプ場でテントサウナをやりやすい季節になってきました。テントサウナと一緒に『Cyber SecurityサウナJapan』ポッドキャストへ参加したいという方は、ぜひTwitterからメッセージをいただけると幸いです。

というところで、『Cyber SecurityサウナJapan』第6回は

三浦:
三浦一樹と

河野:
河野真一郎でお送りいたしました。また次回お会いしましょう!

Cyber SecurityサウナJapan エピソード#6はYouTubeでもご覧いただけます。
https://youtu.be/NkvFJKwOgkE