Compliance as code jaws Oita 170826

Shogo Matsumoto
Shogo MatsumotoSecurity Consultant at Amazon Web Services Japan
© 2017, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
アマゾン ウェブ サービス ジャパン株式会社
セキュリティコンサルタント 松本 照吾
2017/8/26
Compliance as Code
-セキュリティとの上手な付き合い方-
今日はこんな話をします
WHAT? ガバナンスとは何か
WHY? Innovation vs Security?
HOW? Config Rules
WHAT? ガバナンスとは何か
WHY? Innovation vs Security?
HOW? Config Rules
ガバナンスとは?
ガバナンスとは
現状の把握に基づく合理的
な意思決定
• 現状の可視化
• リスクへの認識
• 適切な説明責任
• 適切な実行責任
Security ≠ Compliance
リスクに対するControl
(脅威、脆弱性、管理策の
明確化)
基準や規制、そして期待への準拠
Governance
組織が主体的に行う意志決定
ガバナンスとは?
ガバナンスとは
現状の把握に基づく合理的
な意思決定
• 現状の可視化
• リスクへの認識
• 適切な説明責任
• 適切な実行責任
Security ≠ Compliance
リスクに対するControl
(脅威、脆弱性、管理策の
明確化)
基準や規制、そして期待への準拠
Governance
組織が主体的に行う意志決定
環境の見える化に基づく、
意思決定ができる環境を
もたらすこと
変更されたリソース
ユーザーが実施した変更
AWSにおけるガバナンスと実装
現在
CloudTrail → 履歴取得
Config → 履歴取得
時間
ユーザが操作
変更される
システム
IAM
Organizations
→
設定した権限でのみ
操作可能
Config Rule
→
ルールから外れた状態
に対して警告
AWS Configとは
• AWSリソースの構成変更をロギング
• 履歴も保存
• 構成情報は定期的にスナップショットとしてS3に保存
• 必要に応じSNSを使った通知も可能
• ログはS3に保存
• あるべき状態の評価 (Rules)
• AWSが適用するルール
• 独自のルールを適用
• コスト
• 記録される設定項目につき 0.003 USD
(1回の設定として前払いのみ)AWS Config
AWS Config Rules
Dash Board形式でリソースを管理
8
AWS Config が対応しているAWSリソース
(2017/8/20現在)
http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/resource-config-reference.html#supported-resources
AWS Service Resource Type Resource Type Value
AWS Certificate Manager Certificate AWS::ACM::Certificate
AWS CloudFormation Stack
1
AWS::CloudFormation::Stack
AWS CloudTrail Trail AWS::CloudTrail::Trail
Amazon CloudWatch Alarm AWS::CloudWatch::Alarm
Amazon Elastic Block Store Amazon EBS volume AWS::EC2::Volume
Amazon Elastic Compute Cloud EC2 Dedicated host
2
AWS::EC2::Host
EC2 Elastic IP (VPC only) AWS::EC2::EIP
EC2 instance AWS::EC2::Instance
EC2 network interface AWS::EC2::NetworkInterface
EC2 security group AWS::EC2::SecurityGroup
Amazon EC2 Systems Manager Managed instance inventory
3
AWS::SSM::ManagedInstanceInventory
Elastic Load Balancing Application load balancer
4
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS Identity and Access Management
5
IAM user
6
AWS::IAM::User
IAM group
6
AWS::IAM::Group
IAM role
6
AWS::IAM::Role
IAM customer managed policy AWS::IAM::Policy
Amazon Redshift Cluster AWS::Redshift::Cluster
Cluster parameter group AWS::Redshift::ClusterParameterGroup
Cluster security group AWS::Redshift::ClusterSecurityGroup
Cluster snapshot AWS::Redshift::ClusterSnapshot
Cluster subnet group AWS::Redshift::ClusterSubnetGroup
Event subscription AWS::Redshift::EventSubscription
AWS Config が対応しているAWSリソース
(2017/8/20現在)
http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/resource-config-reference.html#supported-resources
AWS Service Resource Type Resource Type Value
Amazon Relational Database Service RDS DB instance AWS::RDS::DBInstance
RDS DB security group AWS::RDS::DBSecurityGroup
RDS DB snapshot AWS::RDS::DBSnapshot
RDS DB subnet group AWS::RDS::DBSubnetGroup
Event subscription AWS::RDS::EventSubscription
Amazon Simple Storage Service Amazon S3 bucket
7
AWS::S3::Bucket
Amazon Virtual Private Cloud Customer gateway AWS::EC2::CustomerGateway
Internet gateway AWS::EC2::InternetGateway
Network access control list (ACL) AWS::EC2::NetworkAcl
Route table AWS::EC2::RouteTable
Subnet AWS::EC2::Subnet
Virtual private cloud (VPC) AWS::EC2::VPC
VPN connection AWS::EC2::VPNConnection
VPN gateway AWS::EC2::VPNGateway
Configの有効化はセキュリティのベストプラクティス
Cloud Trailと並んで、利
用開始時に設定をオンにす
ることを推奨
AWS Configはリージョン
単位のサービスとなるため、
利用するリージョンごとに
設定が必要
WHAT? ガバナンスとは何か
WHY? Innovation vs Security?
HOW? Config Rules
INNOVATION vs Security
Innovationの阻害要因としての
セキュリティ
クラウドジャーニーの道程
• 導入当初は、AWSによってビジネスを加速させ
たいニーズがある部門などが中心
やりたいことをすぐに実現できることが、
AWSの魅力!!!
DevOps
AWSのマネージドサービスで
必要なツールを活用!
ガバナンスの観点からみた課題
イノベーションのスピードにあわせて管理するこ
とは容易ではない
リリースするなら、
安全なサービスを!
Security
セキュリティ評価は
いつするのか?
警戒すべき“落とし穴”がある
結果として、“ルールに縛られた”プロセスが残る
承認プロセスの増加
サービス活用の制限
ビジネス機会の損失……本来は望んでいない結果
セキュリティとは誰か?
セキュリティ部門
リスク管理部門
監査部門
保守/運用を行うサードパーティー
・・・・・・彼らにも理由がある
内部統制
職務分離という錦の御旗
でも、
やるべきことは、
責任を明確にすることであって、
協力しないということではないです
よね。
Compliance as Codeの考え方
従来の組織ポリシーの評価
• エクセルでインタビュー結
果を記入
• 手作業の負担、ミス、虚偽
の結果
評価自体を自動化
• APIの呼び出しを踏まえ評
価
• Lambdaとの連動
Config rules
AWS Configの機能
Ruleという形で定められた基準
への準拠を評価
• AWSが用意するManaged Rules
• お客様が独自で用意するCustom
Rules
• Custom RulesはLambda
Functionにより定義
例:Config rulesが評価するもの
特定の機能が利用されているか
• CloudTrail
• MFA
• S3のVersioning
• Redshiftの暗号化
特定の条件にあった実装がなされているか
• インスタンスタイプ
• 組織の命名規則にあったタグ付け
• EC2インスタンスにつながるポートの制限
• IAMのパスワードポリシー
なぜ、Config Rulesが有効なのか
完全自動化やイベントドリブンなコント
ロールも大事だが、過度な自動化はかえっ
て組織の運用を阻害することも。
内部統制の観点からみると統制の分離
• Controlを実行する権限
• Controlを評価、監査する権限
壁
Tips:AWS Configによる集中管理
複数のAWSアカウントを利用して
いる場合にConfig rulesを利用して
評価を行う場合には、クロスアカ
ウントアクセスを使って管理用ア
カウントに配置したLambda
Functionを呼び出すことも可能。
Lambda Functionのメンテナンス、
統制の標準化が楽に。
https://aws.amazon.com/jp/blogs/devops/h
ow-to-centrally-manage-aws-config-rules-
across-multiple-aws-accounts/
WHAT? ガバナンスとは何か
WHY? Innovation vs Security?
HOW? Config Rules
実装のステップ
–例題:VPC Flow logsの有効化を評価-
https://aws.amazon.com/jp/blogs/security/how-to-audit-your-aws-resources-for-security-compliance-by-using-custom-aws-config-rules/
前提:実施すること
評価事項
• VPCに対してFlow logsが有効化されているか
• CIS Benchmark4.3に準拠
• Compliant(準拠)かNon Compliant(非準拠)を評価する
Lambda Functionを作成
• Configで上記のLambuda Functionを呼び出すCustom Ruleを
作成
• 定められたタイミングで評価を実施し、SNSにて通知
実行の仕組み
• AWS
Lambda
• AWS
Config
Rules
• Amazo
n SNS
準拠か非準拠かを判定
するポリシー評価の
コードを実行
変更があった場合に
Lambda Functionを
トリガー
1
2
3
準拠ステータスに変更
があった場合の通知
CIS Benchmarkとは?
AWSのセキュリティベストプラ
クティス
CLIベースで評価方法を掲載
https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Fou
ndations_Benchmark.pdf
Blue Print Code(スクラッチで作る場合は通常Config用Blue printを利用)
# Custom AWS Config Rule - Blueprint Code
#
import boto3, json
def evaluate_compliance(config_item, r_id):
return 'NONCOMPLIANT'
def lambda_handler(event, context):
# Create AWS SDK clients & initialize custom rule parameters
config = boto3.client('config')
invoking_event = json.loads(event['invokingEvent'])
compliance_value = 'NOT_APPLICABLE'
resource_id = invoking_event['configurationItem']['resourceId']
compliance_value = evaluate_compliance(invoking_event['configurationItem'], resource_id)
response = config.put_evaluations(
Evaluations=[
{
'ComplianceResourceType': invoking_event['configurationItem']['resourceType'],
'ComplianceResourceId': resource_id,
'ComplianceType': compliance_value,
'Annotation': 'Insert text here to detail why control passed/failed',
'OrderingTimestamp': invoking_event['notificationCreationTime']
},
],
ResultToken=event['resultToken'])
https://aws.amazon.com/jp/blogs/security/how-to-audit-your-aws-
resources-for-security-compliance-by-using-custom-aws-config-rules/
自分の作成したロジックを定義し、compliance_value
に結果を格納
結果をAWS Configに渡す。結果はAWS Configのコン
ソールから確認可能
Annotationパラメータによって準拠評価に対する補足を
表記
イベントハンドラー
IAM Role作成
ConfigからVPC Flow logsにアク
セスを行うための権限付与
以下のManaged policyをRoleに
付与
• AmazonEC2ReadOnlyAccess
• AWSLambdaExecute
• AWSConfigRulesExecutionRole
Lambda Functionの作成
LambdaのConsoleよりCreate
function
実装が合う場合はConfig rules用
のBlue printからつくる方が楽※
本例ではTriggerにCloudwatch
eventsを指定
• 変更=API Callの呼び出し
• Triggerは設定したい変更による
※2017/8/23現在 Node.jsでPeriodicとchange Triggeredが選択可能
Lambda Functionの作成
名前と言語およびVersionを選択
インラインで記載もしくはコードを
アップロード
追記部分の解説
import boto3, json
def evaluate_compliance(config_item, r_id):
if (config_item['resourceType'] != 'AWS::EC2::VPC'):
return 'NOT_APPLICABLE'
elif is_flow_logs_enabled(r_id):
return 'COMPLIANT'
else:
return 'NON_COMPLIANT'
def is_flow_logs_enabled(vpc_id):
ec2 = boto3.client('ec2')
response = ec2.describe_flow_logs(
Filter=[
{
'Name': 'resource-id',
'Values': [
vpc_id,
]
},
],
)
if len(response[u'FlowLogs']) != 0: return True
実際の評価を定義
評価対象が正しいか(間違ったリソースを指定していな
いか)
評価結果が正しいか(VPC IDごとに準拠か非準拠か)
ec2.describe_flow_logsを実行し、実行結果を’ResourceId’のみにフィル
タする。
http://boto3.readthedocs.io/en/latest/reference/services/ec2.html#
EC2.Client.describe_flow_logs
結果に文字列が含まれているかを評価し、含まれているならTrueをかえす。
追記部分の解説
def lambda_handler(event, context):
# Create AWS SDK clients & initialize custom rule parameters
config = boto3.client('config')
invoking_event = json.loads(event['invokingEvent'])
compliance_value = 'NOT_APPLICABLE'
resource_id = invoking_event['configurationItem']['resourceId']
compliance_value = evaluate_compliance(invoking_event['configurationItem'], resource_id)
response = config.put_evaluations(
Evaluations=[
{
'ComplianceResourceType': invoking_event['configurationItem']['resourceType'],
'ComplianceResourceId': resource_id,
'ComplianceType': compliance_value,
'Annotation': 'CIS 4.3 VPC Flow Logs',
'OrderingTimestamp': invoking_event['notificationCreationTime']
},
],
ResultToken=event['resultToken'])
Annotationを変えているだけ
Custom ruleの作成
Configのコンソールより、
Rules→Add Rule→Add custom rule
を選択
以下を設定
• Ruleの命名
• 呼び出すLambda FunctionのARNを指定
• トリガータイプ(定期的、変更時)
• 頻度(定期的を選択した場合 1,3,6,12,24時間か
ら選択)
• ルールのパラメータ(特定のValueに沿っているか
を評価する場合など)
通知の設定
通知用のLambda Functionを作成
Configをクエリし、メッセージを発信
するためのポリシーを前ステップで作
成したロールに追加
Daily(Schedule expressionで
rate(1day)などの頻度を定め、評価
結果を配信
あとは実行あるのみ
評価結果に対するアクションは自身で判断して実行する
必要あり。
評価の実行はマネジメントコンソール、CLI、定められた
タイミングやイベント発生時に実行可能。
Codeを書くためのステップ
Codeを書くことは目的にしない
• Managed Ruleを活用
• 画面を見てしまえば終わり、という場合もある
• 書ける人が書く(協力の文化)
車輪の再発明はいらない
• Managed Ruleにあるものは不要
• AWSが公開しているCustom ruleもチェック
真似ることが大事
• やりたいことに似ているCustom ruleを探してたたき台に。
• AWSが公開しているGithubのリポジトリを参照
• https://github.com/awslabs/aws-config-rules
まとめとして
Compliance評価を自動化
→事実に基づく意思決定
→セキュリティ運用の負荷軽減
→DevSecOps文化の醸成
Let’s Config Rules!!!
Security
OperationsDevelopment
要件の明確化
要件のCode化
評価に基づく
改善
1 of 41

Recommended

フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 by
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 Tomoyoshi Amano
1.2K views49 slides
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】 by
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】Tomoyoshi Amano
2.9K views79 slides
クラウドセキュリティの価値と機会 by
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会Hayato Kiriyama
485 views51 slides
4 Enemies of DevSecOps 2016 by
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
2.2K views68 slides
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則 by
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則Hiroshi Tokumaru
71.5K views86 slides
アプリケーションデリバリーのバリューチェイン by
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
1.2K views28 slides

More Related Content

What's hot

参加しよう!Hardening Project #h10v #h・v by
参加しよう!Hardening Project #h10v #h・v参加しよう!Hardening Project #h10v #h・v
参加しよう!Hardening Project #h10v #h・vMasahiro NAKAYAMA
4.2K views44 slides
セキュア開発の<s>3つの</s>敵 by
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
1K views71 slides
【スカイアーチ】Webサイトを脆弱性攻撃から守る by
【スカイアーチ】Webサイトを脆弱性攻撃から守る【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る株式会社スカイアーチネットワークス
977 views37 slides
AWS WAF 全機能解説 @2021夏(文字化けあり) by
AWS WAF 全機能解説 @2021夏(文字化けあり)AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)Yuto Ichikawa
450 views33 slides
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~ by
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~Minoru Sakai
1.2K views53 slides
「教養としてのサイバーセキュリティ」講座 by
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
1.5K views19 slides

What's hot(20)

参加しよう!Hardening Project #h10v #h・v by Masahiro NAKAYAMA
参加しよう!Hardening Project #h10v #h・v参加しよう!Hardening Project #h10v #h・v
参加しよう!Hardening Project #h10v #h・v
Masahiro NAKAYAMA4.2K views
セキュア開発の<s>3つの</s>敵 by Riotaro OKADA
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA1K views
AWS WAF 全機能解説 @2021夏(文字化けあり) by Yuto Ichikawa
AWS WAF 全機能解説 @2021夏(文字化けあり)AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
Yuto Ichikawa450 views
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~ by Minoru Sakai
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
Minoru Sakai1.2K views
「教養としてのサイバーセキュリティ」講座 by Riotaro OKADA
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA1.5K views
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 - by Cybozucommunity
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity1.4K views
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう by Riotaro OKADA
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA1.8K views
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126) by Masanori KAMAYAMA
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
Masanori KAMAYAMA406 views
超高速開発を実現するチームに必要なセキュリティとは by Riotaro OKADA
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA281 views
セキュリティスキルをゲットする、たった3つの方法 by Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA2.6K views
CISOが、適切にセキュリティ機能とレベルを決めるには by Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA791 views
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル by シスコシステムズ合同会社
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA by Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA1.7K views
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう by Hiroshi Tokumaru
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみようデバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
Hiroshi Tokumaru30.4K views
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op... by Typhon 666
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
Typhon 6663.4K views
アクセシビリティvsセキュリティ ~こんな対策はいらない!~ by Yoshinori OHTA
アクセシビリティvsセキュリティ ~こんな対策はいらない!~ アクセシビリティvsセキュリティ ~こんな対策はいらない!~
アクセシビリティvsセキュリティ ~こんな対策はいらない!~
Yoshinori OHTA6.7K views
#qpstudy 2015.11 Hardening 10 ValueChainで惨敗してきた by Masahiro NAKAYAMA
#qpstudy 2015.11 Hardening 10 ValueChainで惨敗してきた#qpstudy 2015.11 Hardening 10 ValueChainで惨敗してきた
#qpstudy 2015.11 Hardening 10 ValueChainで惨敗してきた
Masahiro NAKAYAMA2.8K views

Similar to Compliance as code jaws Oita 170826

[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法 by
[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法
[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法de:code 2017
874 views31 slides
男It番長 セキュリティチェックリスト by
男It番長 セキュリティチェックリスト男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト小島 規彰
363 views17 slides
セキュリティ基準、標準、規制 との付き合い方 by
セキュリティ基準、標準、規制との付き合い方セキュリティ基準、標準、規制との付き合い方
セキュリティ基準、標準、規制 との付き合い方Tomohiro Nakashima
1K views39 slides
170311 JAWS days 2017 fintech by
170311 JAWS days 2017 fintech170311 JAWS days 2017 fintech
170311 JAWS days 2017 fintechToshihide Atsumi
2.4K views58 slides
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight by
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonightAmazon Web Services Japan
1.7K views36 slides
失敗事例で学ぶ負荷試験 by
失敗事例で学ぶ負荷試験失敗事例で学ぶ負荷試験
失敗事例で学ぶ負荷試験樽八 仲川
18.4K views66 slides

Similar to Compliance as code jaws Oita 170826(20)

[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法 by de:code 2017
[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法
[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法
de:code 2017874 views
男It番長 セキュリティチェックリスト by 小島 規彰
男It番長 セキュリティチェックリスト男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト
小島 規彰363 views
セキュリティ基準、標準、規制 との付き合い方 by Tomohiro Nakashima
セキュリティ基準、標準、規制との付き合い方セキュリティ基準、標準、規制との付き合い方
セキュリティ基準、標準、規制 との付き合い方
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight by Amazon Web Services Japan
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
失敗事例で学ぶ負荷試験 by 樽八 仲川
失敗事例で学ぶ負荷試験失敗事例で学ぶ負荷試験
失敗事例で学ぶ負荷試験
樽八 仲川18.4K views
【ITソリューション塾・特別講義】Security Fundamentals/2017.5 by Masanori Saito
【ITソリューション塾・特別講義】Security Fundamentals/2017.5【ITソリューション塾・特別講義】Security Fundamentals/2017.5
【ITソリューション塾・特別講義】Security Fundamentals/2017.5
Masanori Saito3.7K views
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」 by アトラシアン株式会社
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
AWSSummitTokyo2017 SRCセッション振り返り by Shogo Matsumoto
AWSSummitTokyo2017 SRCセッション振り返りAWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
Shogo Matsumoto533 views
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生: by schoowebcampus
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
schoowebcampus1.9K views
導入事例_継続的セキュリティチェック成功体験 by Yoshii Ryo
導入事例_継続的セキュリティチェック成功体験導入事例_継続的セキュリティチェック成功体験
導入事例_継続的セキュリティチェック成功体験
Yoshii Ryo570 views
情報セキュリティ教育クラウド「セキュリオ」サービス資料.pdf by ssuser4bfaca
情報セキュリティ教育クラウド「セキュリオ」サービス資料.pdf情報セキュリティ教育クラウド「セキュリオ」サービス資料.pdf
情報セキュリティ教育クラウド「セキュリオ」サービス資料.pdf
ssuser4bfaca1.1K views
クラウドを積極活用した サービスの開発のために by Yuichiro Saito
クラウドを積極活用したサービスの開発のためにクラウドを積極活用したサービスの開発のために
クラウドを積極活用した サービスの開発のために
Yuichiro Saito32 views
「Seculio」Document.pdf by ssuser4bfaca
「Seculio」Document.pdf「Seculio」Document.pdf
「Seculio」Document.pdf
ssuser4bfaca244 views

More from Shogo Matsumoto

グローバルクラウドコンプライアンスにおけるトレンド by
グローバルクラウドコンプライアンスにおけるトレンドグローバルクラウドコンプライアンスにおけるトレンド
グローバルクラウドコンプライアンスにおけるトレンドShogo Matsumoto
483 views17 slides
JAWS_NAGOYA_compliance as_code210726 by
JAWS_NAGOYA_compliance as_code210726JAWS_NAGOYA_compliance as_code210726
JAWS_NAGOYA_compliance as_code210726Shogo Matsumoto
222 views31 slides
SJAWS recap reinforce by
SJAWS recap reinforce SJAWS recap reinforce
SJAWS recap reinforce Shogo Matsumoto
1.1K views11 slides
Pycon mini20190511 pub by
Pycon mini20190511 pubPycon mini20190511 pub
Pycon mini20190511 pubShogo Matsumoto
1.1K views31 slides
JAWS IoT 専門支部LT(City on a cloudご紹介) by
JAWS IoT 専門支部LT(City on a cloudご紹介)JAWS IoT 専門支部LT(City on a cloudご紹介)
JAWS IoT 専門支部LT(City on a cloudご紹介)Shogo Matsumoto
376 views19 slides
Security JAWS#10 Public sector summit re:cap by
Security JAWS#10 Public sector summit re:capSecurity JAWS#10 Public sector summit re:cap
Security JAWS#10 Public sector summit re:capShogo Matsumoto
588 views30 slides

More from Shogo Matsumoto(6)

グローバルクラウドコンプライアンスにおけるトレンド by Shogo Matsumoto
グローバルクラウドコンプライアンスにおけるトレンドグローバルクラウドコンプライアンスにおけるトレンド
グローバルクラウドコンプライアンスにおけるトレンド
Shogo Matsumoto483 views
JAWS_NAGOYA_compliance as_code210726 by Shogo Matsumoto
JAWS_NAGOYA_compliance as_code210726JAWS_NAGOYA_compliance as_code210726
JAWS_NAGOYA_compliance as_code210726
Shogo Matsumoto222 views
JAWS IoT 専門支部LT(City on a cloudご紹介) by Shogo Matsumoto
JAWS IoT 専門支部LT(City on a cloudご紹介)JAWS IoT 専門支部LT(City on a cloudご紹介)
JAWS IoT 専門支部LT(City on a cloudご紹介)
Shogo Matsumoto376 views
Security JAWS#10 Public sector summit re:cap by Shogo Matsumoto
Security JAWS#10 Public sector summit re:capSecurity JAWS#10 Public sector summit re:cap
Security JAWS#10 Public sector summit re:cap
Shogo Matsumoto588 views

Recently uploaded

AIで始めるRustプログラミング #SolDevHub by
AIで始めるRustプログラミング #SolDevHubAIで始めるRustプログラミング #SolDevHub
AIで始めるRustプログラミング #SolDevHubK Kinzal
20 views25 slides
3Dプリンタでロボット作るよ#1_黎明編 by
3Dプリンタでロボット作るよ#1_黎明編3Dプリンタでロボット作るよ#1_黎明編
3Dプリンタでロボット作るよ#1_黎明編Yoshihiro Shibata
19 views7 slides
how query cost affects search behavior translated in JP by
how query cost affects search behavior translated in JPhow query cost affects search behavior translated in JP
how query cost affects search behavior translated in JPTobioka Ken
9 views16 slides
図解で理解するvetKD by
図解で理解するvetKD図解で理解するvetKD
図解で理解するvetKDryoo toku
84 views22 slides
lt.pptx by
lt.pptxlt.pptx
lt.pptxtomochamarika
50 views13 slides
SSH超入門 by
SSH超入門SSH超入門
SSH超入門Toru Miyahara
48 views21 slides

Recently uploaded(7)

AIで始めるRustプログラミング #SolDevHub by K Kinzal
AIで始めるRustプログラミング #SolDevHubAIで始めるRustプログラミング #SolDevHub
AIで始めるRustプログラミング #SolDevHub
K Kinzal20 views
3Dプリンタでロボット作るよ#1_黎明編 by Yoshihiro Shibata
3Dプリンタでロボット作るよ#1_黎明編3Dプリンタでロボット作るよ#1_黎明編
3Dプリンタでロボット作るよ#1_黎明編
how query cost affects search behavior translated in JP by Tobioka Ken
how query cost affects search behavior translated in JPhow query cost affects search behavior translated in JP
how query cost affects search behavior translated in JP
Tobioka Ken9 views
図解で理解するvetKD by ryoo toku
図解で理解するvetKD図解で理解するvetKD
図解で理解するvetKD
ryoo toku84 views

Compliance as code jaws Oita 170826