こんにちは！Jagu’e’rセキュリティ分科会 運営担当の高橋（明）です。

早くも2024年の1/3が終わろうとしています。私は年初にたてた2024年の目標の進捗が思わしくなく、巻き返せねばと思っているところです。

さて、それでは本題です。

2024年4月8日に第7回Meetupを実施しました！

これまで、会場は渋谷ストリームを利用させていただいておりましたが、昨年からセキュリティ分科会の運営にご参加いただいたフューチャー（株）田中さんのオフィス＠大崎で開催いたしました！

Google Cloud Next開催の週でもあり、集客が心配されましたが、会場参加の方は少なかったもののリモートの方含めるといつも通りだったかなと思います。（が、もっと増やしたいので頑張らねば）

アジェンダ

1. CISベンチマークの歩きかた/Cloud Ace 塩瀬さん
2. Secure By Design By Defaultを推進するメルカリSecurity & Privacyチームの取り組みやGCP活用事例/メルカリ jsonさん
3. Security Command Center Enterprise（SCCE）/Google 高橋さん

１.「CISベンチマークの歩きかた」

Cloud Ace 塩瀬さんから、CISベンチマークについて、プレゼンいただきました。ブログを書きながら改めてプレゼン資料を拝見すると、塩瀬さんはGoogle Cloudの認定コンプリートされています。合格するだけじゃなく、維持も大変かとおもいますが、素晴らしいです。

さて、プレゼンの内容について、スライドの構成はかの有名な旅行ガイドブック「地球の歩き方」風で、「交通ガイド」「エリアガイド」「歴史」といった構成になっていて楽しませていただきました。

私自身もCISベンチマークについては把握していたものの、より理解が進んだように思います。NIST SP800-53、PCIDSS、ISMSと比べてどんなポジショニングという点も分かりやすくてとてもよかったです。

また、「CISベンチマーク」っていってるけど、「CIS Benchmarks」と「s」が付くんだよ、という解説が一番目から鱗なポイントでしたww

2.「Secure By Design By Defaultを推進するメルカリSecurity & Privacyチームの取り組みやGCP活用事例」

メルカリJsonさんから、Security & Privacyチームの取り組みについてご紹介いただきました。

Jsonさんは、キャリアとして通訳からセキュリティエンジニア、セキュリティマネージャと異例のキャリアの持ち主で、しかもISC2の各資格、ISACAの各資格、その他多数の資格を取得されており、自称「資格マニア」でもあります。

これまた維持が大変そうですが、取得は簡単ではないものばかりなので、常に学んでる姿勢に尊敬します。

メルカリさんは言わずと知れたフリマのビジネスからスタートされていますが、今やクレカ・仮想通貨に加え、空き時間でできる仕事を探せるサービスも始められて、マルチプロダクト化が進んでいるように思います。

そんな中、セキュリティ＆プライバシーのチームには、

Security and privacy by design, by default, and at scale

という行動指針があるとのこと。なるほど、大変参考になります。実は私自身もメルカリさんのセキュリティの取り組みは、engineer blogをRSSにてウォッチしており、参考にさせてもらっています。

プレゼンでは具体的な幾つかの事例が紹介されました。もともと公開されていた情報ですので、こちらにもリンクを貼っておきます。特にSIEM/SOAR的なものをGoogle Cloudのサービスで作り込んでいるところは圧巻かなと思います。GWSについても、「機密性区分ラベル」が最近活躍しているそう。

参考URL

https://engineering.mercari.com/blog/entry/20220513-detection-engineering-and-soar-at-mercari/

https://engineering.mercari.com/blog/entry/20240131-ja-okta-access-review/

https://mercan.mercari.com/articles/19140/

メルカリさんでも、

• Assured Workloads
• SAIF Framework
• SCC Enterprise

これらのサービスをより使ってみたいということで、セキュリティ分科会を通じて、他の会社からこの利用事例などが共有されると素晴らしいなと思いました！

３.「Security Command Center Enterprise（SCCE）」

最後のセッションは、我らがセキュリティ分科会Googlerの高橋さんから、Security Command Center Enterpriseについてご紹介いただきました。

これまでは、StandardとPremiumの2つのエディションだったわけですが、このたびEnterpriseエディションが誕生したということですね。

ポイントはたくさんあると思いますが、Google CloudだけじゃなくAWSやAzureも保護対象になったということで、マルチクラウド環境でシステムを稼働させているユーザは気になるところかと思います。

また、課金体系もプレミアムと異なりワークロードの従量課金ではなく、ワークロードをベースにしたサブスクリプション契約というところですね。

高橋さんの推しポイントとしては、

MandiantとGoogleの脅威情報のデータベースはナンバーワン

とのことで、まさにそうかもしれないですね。

参考URL

https://cloud.google.com/security-command-center/docs/attack-exposure-learn?hl=ja

https://cloud.google.com/security/products/mandiant-managed-threat-hunting?hl=ja

当社はまだSCCを試したこともないので、ぜひ近々試していきたいと思います！すでに使っている方いらっしゃったら、ぜひ、セキュリティ分科会で共有をお願いいたします！

おわりに

セキュリティ分科会では、以下の方を随時募集しています。

• 分科会参加メンバー
• 分科会でLTやりたい方
• 分科会の運営委員

このようなコミュニティは非常に学びの多い場だと思います。あるいは、Google Cloudユーザ間のつながり・人脈を構築することができます。

LTをする方も、必ずしも先進的な事例を紹介したり、ハイレベルな研究結果を披露するといったことはマストではありません。

• 「今こんなことをしているけど、こんなことで悩んでいる」
• 「（セキュリティに関するサービスを）使ってみた」

ぜひ、お気軽に覗きに来てみていただけますと、大変嬉しいです。

そして、運営委員も随時募集しています。運営メンバーは5人いますが、本業も忙しく、分科会自体の活動量もまだまだだと思っています。

少しずつのリソースシェアで構いませんので、是非とも分科会運営へのご参画、ご検討の程よろしくお願いいたします！

次回予告

セキュリティ分科会は四半期に1回の頻度でMeetUpを開催するようにしており、次回は6月21日（金）に金融分科会とのコラボを予定しています。多くの方のご参加、お待ちしております！

文責：（株）みんなの銀行 高橋明