こんにちは！Jagu’e’rセキュリティ分科会 運営担当の高橋（明）です。

2023年3月2日に第3回Meetupを実施しました！

当日はGoogle Cloudの金融Summitが開催されていたので、参加者数が気になりましたが、時間帯は被らなかったため、予定通り開催しました。

金融Summit参加後にセキュリティ分科会にご参加された方もいらっしゃって、過去3回で最も参加者が多い会となったと思います！

アジェンダ

1. Google Cloud 高橋さん　「NISC サイバーセキュリティ月間 　Google イベントのご紹介」
2. Snyk 相澤さん　「シフトレフト時代のデベロッパーセキュリティを支える Snyk」
3. 野村総合研究所 佐古さん　「CIS Google Cloud ベンチマークのアップデート」
4. ディスカッション

１.「NISC サイバーセキュリティ月間 　Google イベントのご紹介」

Google Cloud高橋（悟史）さんから、NISCのサイバーセキュリティ月間と絡めて、Googleが開催するイベントについてご紹介いただきました。

個人的には言わなくてもわかる気がするのですが、Googleとしてサイバーセキュリティのコミットメントの認知度を上げていく、というのが目的とのことです。

• 3/10（金）「産学官で考える日本社会のサイバーセキュリティー」https://events.nikkei.co.jp/56828/
• 3/13（月）-19（日）　Cybersecurity CHA SHITSU＠六本木ヒルズhttps://japan.googleblog.com/2023/03/google.html

「Cybersecurity CHA SHITSU」の方では、「中小企業対象の無料講座「はじめてのサイバーセキュリティ」では、我らがGoogle 高橋さんが講師をされます！サイバーセキュリティにあまり詳しくない方を対象としているとのことなので、「サイバーセキュリティ、難しそう」と思っている方はのぞいてみてはいかがでしょうか？

2.「シフトレフト時代のデベロッパーセキュリティを支える Snyk」

Snyk相澤さんから、開発者目線でソースコードの脆弱性チェックを行える「Synk  code」などのご紹介をいただきました。

セキュリティ対策は様々ですが、アプリケーションにおいてはいかに早い段階で脆弱性を潰し込めるかが大事ですよね。それを実現できるサービスがSnykさんのサービスとなっています。

IntelliJにSnykのPlugがあって、コードを書きながらすぐにスキャンができるようになっています。デモもお見せいただいたのですが、一瞬で終わって、また修正方法案を３つ表示してくれました。

Snykさんの強みは、脆弱性データベースにあるとのことで、この脆弱性データベースのブラッシュアップに多くの通しをしているとのことだけあってか、名だたるセキュリティベンダーで利用されていたり、AWSのInspectorと連携しているんだそうです。

また、アプリケーションセキュリティテストツールは、他にもDAST（Dynamic Application Security Testing）やIAST（Interactive Application Security Testing）というものがありますが、あくまでシフトレフトにこだわり、SAST（Static Application Security Testing）に注力しているということでした。

最近注目の「SBOM」を出力できる「Snyk SCA」というサービスもご紹介いただきました。

無料プラン（codeのスキャンは月100回まで）もあるようなので、気になる方は試してみてはいかがでしょうか。

https://go.snyk.io/jp.html

https://snyk.io/plans/

３.「CIS Google Cloud ベンチマークのアップデート」

前回の「脅威を知ろう！脅威情報ナレッジベース MITRE ATT&CKとGoogle Cloud」に続いて、NRI佐古さんより今回はCISベンチマークとGoogle Cloudのアップデートについてご紹介いただきました。

第1回Meetupから、毎回NRIさんにはご登壇いただいており、かつ毎回深みのある内容でいつも勉強になっております。ありがとうございます。

セキュリティのフレームワークは、

• NIST CSF
• CIS Controls
• ISMS
• PCI DSS

などいくつかありますが、CISは技術面に強くて、サイバーセキュリティに特化しているという特徴があります。

そして、CIS Benchmarkはある製品に対して、設計や設定のベストプラクティスを与えてくれるものとなっています。

2022年12月に「CIS Google Cloud Benchmark v2.0」がリリースされたということで、それについてのご説明でした。

前回のv1.3と比べると大幅なアップデートではなく、対象サービスとしてIAMが追加されていたり、Secretに関する項目が入っているとのことでした。

Security Command Centerのプレミアム版では、CISチェックができるそうです。（やってみたい、、）

４.ディスカッション

今回は各LTでたくさんの質問が出ましたので、ディスカッション時間はなく、そのまま分科会終了となりました。どのLTも内容濃いものでとても良かったと思います！

Snyk相澤さんから、Snykのステッカーをいただいちゃいました！当社は利用していませんが、犬のデザインが可愛いので、早速PCに貼ってしまいましたww

おわりに

セキュリティ分科会では、以下の方を随時募集しています。

• 分科会参加メンバー
• 分科会でLTやりたい方
• 分科会の運営委員

「セキュリティ分科会」は、非常に学びの多い場だと思います。今回のように有用なサービスやフレームワークに関するLTを聞くだけで、得る物はとても多いです。一方、まだそういうテーマでのLTはないですが、「やってみた」とか「悩んでます」というLTでもいいと思ってます。セキュリティ分科会は、セキュリティに関心があり、セキュリティに携わる方の集まりではありますが、必ずしもハイレベルなセキュリティを語れる必要はありません。

ぜひ、お気軽に覗きに来てみていただけますと、大変嬉しいです。

そして、運営委員も随時募集しています。まだ立ち上がったばかりの分科会ですので、まだ3人という状況ですので、是非とも分科会運営へのご参画、よろしくお願いいたします！

セキュリティ分科会は四半期に1回の頻度でMeetUpを開催するようにしており、次回は5月末ごろを予定しています。多くの方のご参加、お待ちしております！

文責：（株）みんなの銀行 高橋明