blog
更新日 : 2023/10/18
AWS Security Forum Japan 2023 に行ってきました
背景
弊社としては複数のクラウド環境を利用しています。マルチクラウド環境でゼロトラストとなると、管理(設定)が大変。
ということで、設定の煩雑さを解消するアイディアがないかなという目的で参加しました。
結論
結論から言うと、アイディアは見つかりませんでした。
まぁ、AWS上で動くお便利ツール(失礼!)の宣伝イベントって意味もあるので、しょうがないかなとは思います。
これだけだとブログに載せるには浅いので、Forumで聞きかじったこと、思ったことを書きたいと思います。
Forumの内容
Forumの基調講演タイトルに「セキュリティの民主化」とありました。
簡単に言うと、「職人技である作業を誰でも簡単にできるようにするには?」ということのようです。
プロジェクトマネジメントが標準化されて実践されているように、企業におけるセキュリティも標準化して実践しましょうと。
で、実践するにあたり、こんな製品使うとラクですよという(後半は)宣伝でした。
考察
そもそもセキュリティって、ISMS(ISO/IEC27001, 27002)でこうやって管理してこう回していきましょうね という規範があります。この規範だと広すぎて、サイバーセキュリティリスクに特化したものが欲しくなってきて、NIST CSFが出てきたと思っています。
(アメリカがサイバーインフラの覇権を握るための施策ってのは考えすぎか。)
日本も2015年にIPAから「サイバーセキュリティ経営ガイドライン」だして頑張ってるんですけどね。
NIST CSFでは「特定・防御・検知・対応・復旧」の5つの機能に分類して、それらを22のカテゴリ(手順)で定義しています。
弊社では「特定」と「防御」に重きを置いているのですが、「検知」以降のプロセスにももう少し力を入れないとなぁと思った次第でした。
次回は個人的に興味のあった自動コード生成について書きたいと思います。