Security
イベント
meetup
engineer

【イベントレポート】Security Night #1で感じた事

More than 1 year has passed since last update.

Security Night #1(2016/05/11開催)に参加してきました。テーマは「今だからこそ学びなおすSSL/TLS脆弱性の中身と対策!」で、発表資料とまとめはこちら。

https://speakerdeck.com/benzookapi/pci-dss-v-3-dot-2nidui-surudui-ying
http://www.slideshare.net/fujya/ss-61941853
http://www.slideshare.net/hkiriyam/security-night-1-aws-security-approach-and-tls

内容については資料やリンクを見てもらえば分かるので、今回感じた事を。

セキュリティという技術領域自体で基本的には「機能」は生み出さない。ただし全てのサービスに漏れなく必須なものである。これはセキュリティはサービスアプリケーションそのものではないので、その意味ではインフラの一部と定義する事ができる。さらにムーアの法則に比例して、脅威や様々なリスクも時事刻々と連携変化しており、例えば脆弱性の発見やサイバーセキュリティ問題などと領域が静的でなく、常に変化する動的なもの。つまりインフラなのに動的。シャノン藤倉さんの話を聞いていても感じたがそもそもセキュリティは市場サービスや、ツール類の進化に合わせ、そのスイートスポットも変化していくものであるので、とても難解になりがちである。これはまさに勉強会でオープンに助け合って、共有し合うべきテーマだなと感じます。

一方、AWSのセッションで「責任共有モデル」の解説があった。そもそもこれからのサービス開発はサービス提供企業、エンジニアリング企業、ソリューションベンダーが同じ目線に立つ事が必要なんだと思います。一緒に責任を共有するからこそ本質的に対応できる。責任共有モデルの詳細はこちら

つまりインフラがより複雑化して共通・共有化されて、サービスアプリケーションのみに特化する事が出来る今の開発手法の中では、オープンに共通、共有できる勉強会を通して責任共有モデルのベースラインとインフラ知識をオープンに作り上げる事が大切なんだろうなと感じました。

Security Nightの今後は

・PCIDSS
・アカウント認証
・AIとセキュリティの関係
・IoTにおけるセキュリティ

などを計画中という事で、ぜひぜひ継続して参加したいです。