最近プライベートでオフラインイベントにちょいちょい参加し始めたので、備忘録ベースで記事化していきたいと思います。今回は2023年8月31日、JAWS-UG 大阪「AWS のセキュリティサービス&ソリューション座談会」に現地参加したのでその内容共有です。
AWS RDK 〜AWS ConfigのカスタムルールをLambdaで書くときに使うツールキット〜
- RDK(Rule Development Kit)はAWS Configルールのカスタムルールを作成を支援するキット
- カスタムルールはLambdaかGuardで書けるが、RDKはLambdaで書く。
- AWS SAMのようなイメージと紹介されていたが、確かにツール導入から実装までの手順がすごく似ていた。SAMの触り方は詳細手順付きでQiitaでまとめているので、良ければご一読ください。
- 使うためにはS3やIAM等、他サービスの権限が必要。最低限必要なポリシーは下記Gitを参照。
ガードレールを運用しよう(仮)
ガードレール自体の内容は省略しますが、話の流れで出てきた下記ツールの存在を知れたのが大きかったです。
- AtlantisというTerraformのCIツールがある。試しに触って記事化したい。
- tfsecというTerraformのコードをセキュリティのベストプラクティスに基づいてスキャンする仕組みがある。GitHubActionsにも使える。
AWSはどのようにセキュリティ文化を育んでいるか
- AWSにおけるセキュリティ人材育成の仕組みを解説していた。
- AWSではサービスを開発するチームと、セキュリティチームは分かれている。
- 開発要員は増える一方、セキュリティ要員はまだまだ少ないため、開発チーム内でセキュリティ人材を育成するAWS Security Guardiansという仕組みがある。導入した後の実績として、セキュリティレビュー完了までの時間が 26.9%(21 万日以上)短縮された。
- セキュリティを考慮する際、脅威モデリングのアプローチ方法を紹介したAWS公式のブログ記事やThreat modeling for buildersのWorkshopなどが紹介されていた。
- AWSが監査を受けたレポートはAWS Artifactにまとめられており、「AWSの責任についてはここを読んでくれ!その他の部分の監査については任せた!」なんて荒業もできるっぽい。(ここは少し語弊あるかもです)
感想
今回はじめてJAWSイベントに参加しました。参加して良かったと感じた点は、知らないサービスや普段自分であまり勉強しない分野の知識が得られた点です。社内外のイベント参加は今後も意識的に回数を増やしていきたいところです。
一方反省点としては、オフラインに関わらず他のエンジニアの方と交流がほぼ出来なかった点です。ここはもう恐れず自分から話かけるしかないと思っていますが、まだ少々心理的なハードルが高い状態です汗。この一年でなんとかしたい…!
あともう一つ、記憶が新しいうちに聞いた内容をさっさと記事化すべきでした。メモしていなかったオフライン限定の内容は時間がたったら忘れていました。次からは遅くとも次の日までには記事にするとか、最初からブログに乗せる想定のメモをする等で対策します。
今後も色々参加することになると思いますが、可能な限り記事化します。