リクルートテクノロジーズ メンバーズブログ  クラウドセキュリティに向き合う2日間ー「RTC AWS Security Bootcamp」を開催しました

クラウドセキュリティに向き合う2日間ー「RTC AWS Security Bootcamp」を開催しました

セキュリティオペレーションセンターの安東です。

先月頭に、クラウドセキュリティをテーマにしたエンジニア向けの社内イベントとして、「RTC AWS Security Bootcamp」を開催しました。今回はその内容を少しご紹介します。

イベント開催の背景

私の担当業務はセキュリティ監視ですが、最近は特に「クラウド」環境のセキュリティ対応について考える機会が多くなってきています。

クラウドセキュリティは、これまでオンプレミスで実装してきた考え方と異なる部分もあり、セキュリティエンジニアにとっては「クラウドとなるとちょっとわからない」と思うこともあるのではないかと思います。

一方、普段クラウド環境に触れているインフラエンジニアにとっては、セキュリティは「小難しい、大変」という印象がある人も多いのではないかと感じます。

この、クラウドセキュリティという領域に対して普段感じている「すきま感」に対して、異なる領域のエンジニアが歩み寄って攻略できるようなきっかけの場となればと思い、イベントの企画に至りました。

プログラム概要

今回のプログラムは終日2日間にわたり、下記のような2部構成で行いました。

Day1:AWSのセキュリティサービスに特化したワークショップ(座学)

Day2:CTF(Capture The Flag)形式でAWS上のセキュリティの課題に対応するSecurity Jam(競技)

今回の企画にあたってはAWS Japan プロフェッショナルサービス本部の皆さんのご協力のもと、上記プログラムを提供いただきました。

以下、当日の開催レポートです!

Day1 – ワークショップ

初日はベストプラクティスの理解に焦点をあてた、座学による講義です。

午前中はクラウドへの移行や導入をする際のセキュリティにおける考え方を学び、午後は以下のようなテーマに沿って、より具体的なサービスの種類や実装方法を学びました。

  • IDとアクセス管理
  • ロギングとモニタリング
  • データ保護
  • インフラ保護
  • インシデントレスポンス

また、講義の最後には、2、3名で課題のディスカッションをするグループワークも行いました。

本日学んだ内容を元に、与えられた条件下におけるユーザーアカウントの分け方、アーキテクチャを考えて発表します。

発表を聞いている方からは「お〜」「リアルな構成だ」などの反応が。

各グループの回答や解説を聞いていると、ベストプラクティスはあるものの、「これだけが正解」というものはなく、利用ケースや状況に沿って考えるべきだということを感じられました。

Day2 – Security Jam

2日目は、いよいよ待ちに待った競技、Security Jamです。

Security Jamは例年アメリカで開催されているAWSのカンファレンス、re:Iinventのコンテンツの1つとして実施されているものです。

私は2017年11月のre:Inventの際に参加し、世界中から集った400名ほどの参加者の中非常に苦戦しながらも、オンプレとは違ったセキュリティの自動化や可視化の可能性を感じ、7時間という長い戦いを楽しむことができました。(他に日本人がいなかったようだったので、最初は少し心細かったですが)

今回はRTC仕様ということで、5時間の枠でチーム対抗の競技をしてもらうことにしました。

競技開始前、どことなく会場全体に緊張感が漂います。

それでは競技のスタートです!!

Security Jamのコンソールはグローバル共通とのことですが、ハッカーを思わせるインターフェースで、理由もなくわくわくしてしまいます。

画像はウォームアップ問題が表示されている状態。

問題は全部で10問あり、正解するとその問題の得点をゲットできます。

以下が問題の例です。

  • 定義されたコンプライアンス基準に準拠していない構成を改善する問題
  • S3バケットの権限設定を正して情報流出をストップする問題
  • 不審なスクレイピングアクセスをログから特定し、自動で遮断する設定を入れる問題

・・・などなど

 

各問題には「Clue」というヒントが用意されており、どうしようもなく行き詰まった場合は開くことができます。ただし、 Clueを開くと得点がマイナスになるため、開き方もチームの戦略の1つです。

みなさん目がマジでした。

開始30分もすると、正解するチームがちらほら見られ、あちこちで歓声が聞こえてきます。

また、各チームの得点と順位はリアルタイムに会場前方のスクリーンに表示されているので、得点できない時間が続く時は焦りも隠せません。

そうこうしているうちに、タイムアップ!

結果は・・・2名チームながらも最後に追い上げを見せたBチームの優勝でした。

その後振り返りとして、各チームからそれぞれの問題について順番に、解法や苦労したことの発表を行います。

アメリカで参加したSecurity Jamではこうした振り返りはなかったので、より反省や気づきを得ることができました。

最後に、上位チームの表彰式です。

上位のチームには素敵な景品(1位のチームにはAWS参考書籍、2位のチームにはこの本!)も贈呈されました。

イベントを終えて

イベント後、参加した社内のメンバー全員より「また開催されたら参加したい」という声をいただきました。

また、感想としては以下のようなものが寄せられました。

「机上でしかやったことがない操作を実際に行えて理解が深まった」

「あまり知らないサービスを実際に触ることで知ることができた」

「手を動かしてみたいことが増えて忙しくなりそう」

私自身も参加経験者かつイベント企画側ながら競技に参加させてもらいましたが、正解にたどり着けない問題も複数あり、かなり苦戦してしまいました。

実際に業務で発生する問題と競技はまた少し違いますが、特定の分野の知識だけではなく幅広い知識が求められるところこそ、クラウドセキュリティの難しさと面白さだということが改めて感じられたイベントになったのではないかと思います。

最後に、この度の開催にあたりご協力をいただいたAWS Japan プロフェッショナルサービス本部の皆さま、ありがとうございました!