徳丸氏が解説、クラウドネイティブ環境でWebサービスを立ち上げる際に気を付けるべきポイント:「サービスごとに責任共有モデルが異なることをきちんと理解すべきだ」
「@IT Cloud Native Week 2024 冬」の基調講演にイー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTO 徳丸 浩氏が登壇。クラウドネイティブ環境でWebサービスを展開する際に気を付けるべきセキュリティのポイントを解説した。
「@IT Cloud Native Week 2024 冬」の基調講演にイー・ガーディアングループCISO(最高情報セキュリティ責任者)兼EGセキュアソリューションズ取締役CTO(最高技術責任者)の徳丸 浩氏が登壇。「クラウドネイティブなWebサービスにおけるセキュリティの勘所」と題し、クラウドネイティブ環境でWebサービスを展開する際に気を付けるべきセキュリティのポイントを解説した。
DevOpsやマイクロサービス、コンテナにもセキュリティ課題はある
著書『体系的に学ぶ 安全なWebアプリケーションの作り方』(通称、徳丸本)やYouTubeチャンネルなど、数多くの媒体での発信や提言を通じて、サイバーセキュリティ業界の発展に貢献し続けている徳丸氏。冒頭、クラウドネイティブの目的をこう解説した。
「クラウドネイティブの目的は柔軟性と迅速性にあります。Webサービスを提供していく上では、ニーズの変化、環境の変化、スケールの変化に柔軟に対応することが求められます。近年、アジャイル開発やスクラムのような手法が取り入れられるようになりましたが、本番環境に適用する速度がボトルネックとなりました。そこで、Devの部分(企画、開発、ビルド、テスト)とOpsの部分を(リリース、デプロイ、運用、監視)を一体化して自動化するDevOpsが重視されるようになりました。一方、巨大なシステムを開発、運用する1000人規模のチームでアジャイル開発は困難です。そこでシステムを小さい単位(サービス)に分割し、それぞれのサービスを小さなチームで管理しようという考え方が生まれました。ただ小さく分けるだけではなく、お互いの影響がないように疎結合に分割しようという考え方がマイクロサービスです。マイクロサービスで実装することで、新機能の追加など何かしらの変更や拡張時に、システムへの影響を最小限に抑えることができます」
一方、徳丸氏は「クラウドネイティブ技術ごとにセキュリティの課題がある」と指摘した。
関連記事
クラウドネイティブセキュリティでオブザーバビリティが注目される理由
セキュリティでオブザーバビリティの考え方が広がりつつある。連載の最終回として、オブザーバビリティがなぜ注目されるのか、その理由を解説する。
「XZ Utils」にバックドア(CVE-2024-3094)の問題 Fedora、Debian、Alpine、Kali、OpenSUSE、Arch Linuxの開発版、実験版に影響
主要なLinuxディストリビューションなどで広く使用されている「XZ Utils」に、悪意あるコードが挿入された問題(CVE-2024-3094)が確認された。
名古屋港が約3日でランサムウェア被害から復旧できた理由 国土交通省が語る教訓
名古屋港コンテナターミナルで起きたランサムウェア感染は、3日で復旧までこぎ着けた。国土交通省の最高情報セキュリティアドバイザーを務める北尾辰也氏が、攻撃から復旧までのいきさつと、教訓を紹介した。
Copyright © ITmedia, Inc. All Rights Reserved.