エキスパートインタビューOscar Quintas氏のInfrastructure as Code

2020年9月10日発行
マティアス・マドゥ博士著
ケーススタディ

エキスパートインタビューOscar Quintas氏のInfrastructure as Code

2020年9月10日発行
マティアス・マドゥ博士著
リソースを見る
リソースを見る

技術系スタートアップ企業で働くことの醍醐味の一つは、その過程で出会った面白くて賢い人々とのコラボレーションです。クールなアイデアから本格的な市場競争力を持つ企業へと成長させるには、自分だけのアベンジャーズ(あるいはジャスティス・リーグ)チームを編成する必要があります。

そこで今回は、当社のエキスパートであるオスカー・キンタスにスポットライトを当ててみたいと思います。彼はプロダクトコンテンツチームに所属し、シニアセキュリティリサーチャーとして活躍しています。彼はInfrastructure as Code(IaC)に関する専属の魔術師でもあります。彼は、178回にも及ぶIaCプラットフォームのチャレンジを支え、この新鮮でホットなトピックに関するあらゆる質問に答えてくれます。

オスカー・キンタスのヘッドショット
オスカー・キンタス

私たちは彼を特別な存在だと思っていますので、ぜひ知っていただきたいと思います。ここでは、今話題のInfrastructure as Codeのセキュリティ、彼の役割、そしてクラウドのインフラとエンジニアをより良く準備するために組織ができることについて、彼の洞察を紹介します。

Q:Secure Code Warrior でのあなたの役割について教えてください。一日の流れを教えてください。

A: 私はプロダクト・コンテンツ・チームの一員として、シニア・セキュリティ・リサーチャーとして働いています。典型的な仕事は、さまざまな言語(Python、Java、Golangなど)で書かれた課題のコードをレビューし、コードの品質基準が満たされているか、またセキュリティのベストプラクティスが実装されているかを確認することです。また、新しいIaCコンテンツの開発も行っています。

Q: あなたは、Infrastructure as Codeプラットフォームのすべてのチャレンジを支える天才です。どのようなプロセスを経ているのでしょうか?

A: リサーチと、様々なスキルレベルのユーザーに関連性の高いコンテンツを提供するための努力の組み合わせだと思います。私は通常、インフラを導入する際にユーザーが直面する最も一般的な問題を調べることから始め、その情報をもとに、それぞれのケースに応じたセキュリティのベストプラクティスを示す有用な課題を作成します。

私は常に、戦士たちに良い学習体験を提供し、それが仕事に関連した、継続的な利益をもたらす有益な訓練であるようにしています。

Q: IaCのセキュリティは、現在、非常に人気のあるテーマです。クラウドのセキュリティ対策について、企業が直面している主な問題は何でしょうか?
A: Infrastructure as Codeとは、コードを使ってインフラのリソースを管理することです。そのコードを数行書くだけで、何百ものクラウドリソース(ネットワーク、ファイアウォールルール、仮想マシン、コンテナなど)を展開することができますが、これらは適切に設定されていないとセキュリティバグを含む可能性があります。そのため、安全なアプリケーションの展開に適用されるのと同じ原則がIaCにも適用され、これらのリスクとその修正方法をSDLCに関わるすべてのチームが理解する必要があります。

この認識と行動は、IaCセキュリティの適切なトレーニングと、クラウドエンジニアの安全なコーディングスキルを優先させることから始まります。クラウドエンジニアは強力な防御層となり得ますが、アプリケーションをホストするインフラを構築している場合は特に重要です。

Q:Kubernetesについては、業界でも関心が高く、広く使われているようです。しかし、我々のプラットフォームのデータでは、Terraformが圧倒的に人気のある言語であり、高いエンゲージメントを誇っています。
A:Terraformは、シンプルな構文でマルチクラウド環境(AWS、GCP、Azureなど)にインフラリソースを展開できるため、IaCでは事実上の言語となっています コードを使ってインフラを定義することができ、クラウドAPIと透過的に相互作用してリソースのデプロイメントを管理します。

この言語は非常に汎用性が高く、ソースコントロールリポジトリに追加できるため、DevOps / DevSecOpsの原則をインフラのデプロイメントにも適用することができます。しかし、これによって対処しなければならない新たな脅威も出てくるため、Terraformを使ったセキュアコーディングの包括的なトレーニングが必須となります。

Q:あなたはIaCのセキュリティエキスパートですね。
A:IaCはまだ始まったばかりなので、頻繁に新しいものがリリースされています。このような新しい技術についていくのは少し大変ですが、同時にやりがいもあります。新しいことを学んだり、新しいサービスのセキュリティ・ベスト・プラクティスをテストしたりするのがとても好きです。

あなたのIaCセキュリティを次のレベルに引き上げます。

クラウド開発者にInfrastructure as Codeに関するセキュリティ・スキルを磨いてもらいたいなら、IaC Top 8にチャレンジしてみましょう。各章では、IaCのセキュリティに関する8つの一般的なバグについて、新しい知識を試すためのインタラクティブな課題も含めて、完全に説明しています。

あなたのスコアを教えてください、そしてオスカーを誇りに思ってください。

リソースを見る
リソースを見る

著者

マティアス・マドゥ博士

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

エキスパートインタビューOscar Quintas氏のInfrastructure as Code

2020年9月10日発行
マティアス・マドゥ博士著

技術系スタートアップ企業で働くことの醍醐味の一つは、その過程で出会った面白くて賢い人々とのコラボレーションです。クールなアイデアから本格的な市場競争力を持つ企業へと成長させるには、自分だけのアベンジャーズ(あるいはジャスティス・リーグ)チームを編成する必要があります。

そこで今回は、当社のエキスパートであるオスカー・キンタスにスポットライトを当ててみたいと思います。彼はプロダクトコンテンツチームに所属し、シニアセキュリティリサーチャーとして活躍しています。彼はInfrastructure as Code(IaC)に関する専属の魔術師でもあります。彼は、178回にも及ぶIaCプラットフォームのチャレンジを支え、この新鮮でホットなトピックに関するあらゆる質問に答えてくれます。

オスカー・キンタスのヘッドショット
オスカー・キンタス

私たちは彼を特別な存在だと思っていますので、ぜひ知っていただきたいと思います。ここでは、今話題のInfrastructure as Codeのセキュリティ、彼の役割、そしてクラウドのインフラとエンジニアをより良く準備するために組織ができることについて、彼の洞察を紹介します。

Q:Secure Code Warrior でのあなたの役割について教えてください。一日の流れを教えてください。

A: 私はプロダクト・コンテンツ・チームの一員として、シニア・セキュリティ・リサーチャーとして働いています。典型的な仕事は、さまざまな言語(Python、Java、Golangなど)で書かれた課題のコードをレビューし、コードの品質基準が満たされているか、またセキュリティのベストプラクティスが実装されているかを確認することです。また、新しいIaCコンテンツの開発も行っています。

Q: あなたは、Infrastructure as Codeプラットフォームのすべてのチャレンジを支える天才です。どのようなプロセスを経ているのでしょうか?

A: リサーチと、様々なスキルレベルのユーザーに関連性の高いコンテンツを提供するための努力の組み合わせだと思います。私は通常、インフラを導入する際にユーザーが直面する最も一般的な問題を調べることから始め、その情報をもとに、それぞれのケースに応じたセキュリティのベストプラクティスを示す有用な課題を作成します。

私は常に、戦士たちに良い学習体験を提供し、それが仕事に関連した、継続的な利益をもたらす有益な訓練であるようにしています。

Q: IaCのセキュリティは、現在、非常に人気のあるテーマです。クラウドのセキュリティ対策について、企業が直面している主な問題は何でしょうか?
A: Infrastructure as Codeとは、コードを使ってインフラのリソースを管理することです。そのコードを数行書くだけで、何百ものクラウドリソース(ネットワーク、ファイアウォールルール、仮想マシン、コンテナなど)を展開することができますが、これらは適切に設定されていないとセキュリティバグを含む可能性があります。そのため、安全なアプリケーションの展開に適用されるのと同じ原則がIaCにも適用され、これらのリスクとその修正方法をSDLCに関わるすべてのチームが理解する必要があります。

この認識と行動は、IaCセキュリティの適切なトレーニングと、クラウドエンジニアの安全なコーディングスキルを優先させることから始まります。クラウドエンジニアは強力な防御層となり得ますが、アプリケーションをホストするインフラを構築している場合は特に重要です。

Q:Kubernetesについては、業界でも関心が高く、広く使われているようです。しかし、我々のプラットフォームのデータでは、Terraformが圧倒的に人気のある言語であり、高いエンゲージメントを誇っています。
A:Terraformは、シンプルな構文でマルチクラウド環境(AWS、GCP、Azureなど)にインフラリソースを展開できるため、IaCでは事実上の言語となっています コードを使ってインフラを定義することができ、クラウドAPIと透過的に相互作用してリソースのデプロイメントを管理します。

この言語は非常に汎用性が高く、ソースコントロールリポジトリに追加できるため、DevOps / DevSecOpsの原則をインフラのデプロイメントにも適用することができます。しかし、これによって対処しなければならない新たな脅威も出てくるため、Terraformを使ったセキュアコーディングの包括的なトレーニングが必須となります。

Q:あなたはIaCのセキュリティエキスパートですね。
A:IaCはまだ始まったばかりなので、頻繁に新しいものがリリースされています。このような新しい技術についていくのは少し大変ですが、同時にやりがいもあります。新しいことを学んだり、新しいサービスのセキュリティ・ベスト・プラクティスをテストしたりするのがとても好きです。

あなたのIaCセキュリティを次のレベルに引き上げます。

クラウド開発者にInfrastructure as Codeに関するセキュリティ・スキルを磨いてもらいたいなら、IaC Top 8にチャレンジしてみましょう。各章では、IaCのセキュリティに関する8つの一般的なバグについて、新しい知識を試すためのインタラクティブな課題も含めて、完全に説明しています。

あなたのスコアを教えてください、そしてオスカーを誇りに思ってください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。