はじめまして、エンジニアリング本部クラウドサービス開発一部の岡本です。普段は、IDCFコンテナで提供しているKubernetesのアドオンを中心とした開発を行っております。

今回は、8月5日に開催された CloudNative Security Conference 2022 の参加レポートです。また、私自身も運営側として関わっておりましたので、その時の活動内容なども軽く話せたらと思います。

• CloudNative Security Conference 2022とは？
• 運営での活動について
  • Observability チームについて
  • Grafanaのダッシュボードについて
• セッション
  • Simplify Cloud Native Security with Trivy
  • SBOMを利用したソフトウェアサプライチェーンの保護
  • eBPFで実現するコンテナランタイムセキュリティ
• 所感
  • カンファレンスの実行委員として活動を通じて
  • カンファレンスを聴講して
• 最後に

CloudNative Security Conference 2022とは？

CloudNative Security Conference 2022 by CloudNative Days (CNSec2022)は、CloudNative Daysのスピンオフとして、クラウドネイティブセキュリティに特化したテックカンファレンスです。

CloudNative Days はコミュニティ、企業、技術者が一同に会し、クラウドネイティブムーブメントを牽引することを目的としたテックカンファレンスです。最新の活用事例や先進的なアーキテクチャを学べるのはもちろん、ナレッジの共有やディスカッションの場を通じて登壇者と参加者、参加者同士の繋がりを深め、初心者から熟練者までが共に成長できる機会を提供します。

"About CloudNative Days" - https://cloudnativedays.jp/

運営での活動について

今回、私の実行委員として携わったないでの活動内容をご紹介します。

Observability チームについて

私は、このカンファレンスにてObservabilityチームを担当していました。Observabilityチームでは、イベント参加者の視聴者数や登録数、SNSでの投稿といったテレメトリデータを収集して可視化し、データを活用したイベント運営のサポートを行っております。

また、上記の内容を実現するためにテレメトリ収集・可視化に関するシステムの開発・構築・運用なども行っておりました。

Grafanaのダッシュボードについて

Observabilityチームの成果物として、ログ・データ可視化のためのツールであるGrafanaのダッシュボードの公開を行っていました。

Grafanaのダッシュボードでは、以下のようなメトリクスを公開していました。

また、他にもTwitterでの公式ハッシュタグのツイート状況(いいね数・リツイート数・感情分析スコア)などのメトリクスも公開しておりました。

セッション

カンファレンスでの講演を聞いた中で、いくつかのセッションをピックアップしてご紹介します。

Simplify Cloud Native Security with Trivy

クラウド環境への移行に伴って、必要なセキュリティ対策について細かく丁寧に説明されていました。

また、@knqyf263氏が個人で開発し、OSSで公開していた頃から注目していた脆弱性ツールのTrivyですが、知らないうちに多くの領域をサポートし始めていて衝撃をうけました。今後も幅広く対応していくとのことなので、目が話せないなと感じました。

speakerdeck.com

SBOMを利用したソフトウェアサプライチェーンの保護

サプライチェーンセキュリティが近年、取り上げられることが多くなり、それに伴ってSBOMと呼ばれるソフトウェアの可視化方法が注目されています。SBOMに関しては余り馴染みのない方も多く、僕も名前くらいしか知らなかったのですが、基礎概念から紹介してくださっていたので理解が深まりました。SBOMについて知らない方や今後、活用していきたいという方にも有益な情報が詰まった発表だったなと感じました。

speakerdeck.com

eBPFで実現するコンテナランタイムセキュリティ

「eBPFとは何か？」というところから、セキュリティでの利用例として、コンテナランタイムセキュリティを実現するOSSツールの紹介がされていました。eBPFについてはまだまだ勉強中の私自身ですが、わかりやすく解説されていました。

また、OSSツールでは、Falco、traceeやTetragonなども取り上げており、それぞれの特徴がどういったものなのか比較しながら、理解できたのも良かったです。

speakerdeck.com

所感

今回のカンファレンスの運営と登壇者の講演を聞いて、それぞれ感じたことをまとめました。

カンファレンスの実行委員として活動を通じて

• 皆で一つのイベントを作り上げたという経験は非常に大きいものであった
• 自分とは異なる企業で働いている方たちと、様々なディスカッションをすることができた
  • 豊富な知見を持った方たちも多くいたので、自分じゃ思いつかない意見なども聞くことができたのは貴重だった
• 業務とは異なる技術に触れて、かつ実際に動かすこともできたので、新しい知見を得ることができた
  • INPUT/OUTPUTの両方ができたので、自分の成長にも繋がった
• 自分もまだまだ未熟な部分も多く、それを気づくことができた
  • ただ気づくだけでは意味がないので、課題として今後の成長のためにも解決していく

カンファレンスを聴講して

• 「クラウドネイティブにおけるセキュリティ」と言っても考えることは多く、新しい学びを多く得ることができた
• しかし、実際に導入しようと思うと色々な壁に直面しそうで不安が拭えないことも多くあるので、その点はこれから試行錯誤していきたいと感じた
• 変化の激しいクラウド技術と急増するサイバー攻撃への対策のために「何をやるべきなのか」を理解し、IDCFへのサービスにも展開していきたい

最後に

今年も11月21 - 22日にCloudNative Days Tokyo 2022が開催されます。ご興味のある方は、ぜひご参加ください。 公式Twitterにて、随時更新して参りますので、こちらもご確認ください。

twitter.com