Experteninterview: Infrastruktur als Code mit Oscar Quintas
技術系スタートアップ企業で働くことの醍醐味の一つは、その過程で出会った面白くて賢い人々とのコラボレーションです。クールなアイデアから本格的な市場競争力を持つ企業へと成長させるには、自分だけのアベンジャーズ(あるいはジャスティス・リーグ)チームを編成する必要があります。
そこで今回は、当社のエキスパートであるオスカー・キンタスにスポットライトを当ててみたいと思います。彼はプロダクトコンテンツチームに所属し、シニアセキュリティリサーチャーとして活躍しています。彼はInfrastructure as Code(IaC)に関する専属の魔術師でもあります。彼は、178回にも及ぶIaCプラットフォームのチャレンジを支え、この新鮮でホットなトピックに関するあらゆる質問に答えてくれます。
私たちは彼を特別な存在だと思っていますので、ぜひ知っていただきたいと思います。ここでは、今話題のInfrastructure as Codeのセキュリティ、彼の役割、そしてクラウドのインフラとエンジニアをより良く準備するために組織ができることについて、彼の洞察を紹介します。
Q:Secure Code Warrior でのあなたの役割について教えてください。一日の流れを教えてください。
A: 私はプロダクト・コンテンツ・チームの一員として、シニア・セキュリティ・リサーチャーとして働いています。典型的な仕事は、さまざまな言語(Python、Java、Golangなど)で書かれた課題のコードをレビューし、コードの品質基準が満たされているか、またセキュリティのベストプラクティスが実装されているかを確認することです。また、新しいIaCコンテンツの開発も行っています。
Q: あなたは、Infrastructure as Codeプラットフォームのすべてのチャレンジを支える天才です。どのようなプロセスを経ているのでしょうか?
A: リサーチと、様々なスキルレベルのユーザーに関連性の高いコンテンツを提供するための努力の組み合わせだと思います。私は通常、インフラを導入する際にユーザーが直面する最も一般的な問題を調べることから始め、その情報をもとに、それぞれのケースに応じたセキュリティのベストプラクティスを示す有用な課題を作成します。
私は常に、戦士たちに良い学習体験を提供し、それが仕事に関連した、継続的な利益をもたらす有益な訓練であるようにしています。
Q: IaCのセキュリティは、現在、非常に人気のあるテーマです。クラウドのセキュリティ対策について、企業が直面している主な問題は何でしょうか?
A: Infrastructure as Codeとは、コードを使ってインフラのリソースを管理することです。そのコードを数行書くだけで、何百ものクラウドリソース(ネットワーク、ファイアウォールルール、仮想マシン、コンテナなど)を展開することができますが、これらは適切に設定されていないとセキュリティバグを含む可能性があります。そのため、安全なアプリケーションの展開に適用されるのと同じ原則がIaCにも適用され、これらのリスクとその修正方法をSDLCに関わるすべてのチームが理解する必要があります。
この認識と行動は、IaCセキュリティの適切なトレーニングと、クラウドエンジニアの安全なコーディングスキルを優先させることから始まります。クラウドエンジニアは強力な防御層となり得ますが、アプリケーションをホストするインフラを構築している場合は特に重要です。
Q:Kubernetesについては、業界でも関心が高く、広く使われているようです。しかし、我々のプラットフォームのデータでは、Terraformが圧倒的に人気のある言語であり、高いエンゲージメントを誇っています。
A:Terraformは、シンプルな構文でマルチクラウド環境(AWS、GCP、Azureなど)にインフラリソースを展開できるため、IaCでは事実上の言語となっています 。コードを使ってインフラを定義することができ、クラウドAPIと透過的に相互作用してリソースのデプロイメントを管理します。
この言語は非常に汎用性が高く、ソースコントロールリポジトリに追加できるため、DevOps / DevSecOpsの原則をインフラのデプロイメントにも適用することができます。しかし、これによって対処しなければならない新たな脅威も出てくるため、Terraformを使ったセキュアコーディングの包括的なトレーニングが必須となります。
Q:あなたはIaCのセキュリティエキスパートですね。
A:IaCはまだ始まったばかりなので、頻繁に新しいものがリリースされています。このような新しい技術についていくのは少し大変ですが、同時にやりがいもあります。新しいことを学んだり、新しいサービスのセキュリティ・ベスト・プラクティスをテストしたりするのがとても好きです。
あなたのIaCセキュリティを次のレベルに引き上げます。
クラウド開発者にInfrastructure as Codeに関するセキュリティ・スキルを磨いてもらいたいなら、IaC Top 8にチャレンジしてみましょう。各章では、IaCのセキュリティに関する8つの一般的なバグについて、新しい知識を試すためのインタラクティブな課題も含めて、完全に説明しています。
あなたのスコアを教えてください、そしてオスカーを誇りに思ってください。
Wir möchten einen unserer Experten, Oscar Quintas, ins Rampenlicht rücken. Er ist Teil unseres Product Content Teams und arbeitet als Senior Security Researcher. Er ist auch unser ansässiger Zauberer für alles, was mit Infrastructure as Code (IaC) zu tun hat.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
技術系スタートアップ企業で働くことの醍醐味の一つは、その過程で出会った面白くて賢い人々とのコラボレーションです。クールなアイデアから本格的な市場競争力を持つ企業へと成長させるには、自分だけのアベンジャーズ(あるいはジャスティス・リーグ)チームを編成する必要があります。
そこで今回は、当社のエキスパートであるオスカー・キンタスにスポットライトを当ててみたいと思います。彼はプロダクトコンテンツチームに所属し、シニアセキュリティリサーチャーとして活躍しています。彼はInfrastructure as Code(IaC)に関する専属の魔術師でもあります。彼は、178回にも及ぶIaCプラットフォームのチャレンジを支え、この新鮮でホットなトピックに関するあらゆる質問に答えてくれます。
私たちは彼を特別な存在だと思っていますので、ぜひ知っていただきたいと思います。ここでは、今話題のInfrastructure as Codeのセキュリティ、彼の役割、そしてクラウドのインフラとエンジニアをより良く準備するために組織ができることについて、彼の洞察を紹介します。
Q:Secure Code Warrior でのあなたの役割について教えてください。一日の流れを教えてください。
A: 私はプロダクト・コンテンツ・チームの一員として、シニア・セキュリティ・リサーチャーとして働いています。典型的な仕事は、さまざまな言語(Python、Java、Golangなど)で書かれた課題のコードをレビューし、コードの品質基準が満たされているか、またセキュリティのベストプラクティスが実装されているかを確認することです。また、新しいIaCコンテンツの開発も行っています。
Q: あなたは、Infrastructure as Codeプラットフォームのすべてのチャレンジを支える天才です。どのようなプロセスを経ているのでしょうか?
A: リサーチと、様々なスキルレベルのユーザーに関連性の高いコンテンツを提供するための努力の組み合わせだと思います。私は通常、インフラを導入する際にユーザーが直面する最も一般的な問題を調べることから始め、その情報をもとに、それぞれのケースに応じたセキュリティのベストプラクティスを示す有用な課題を作成します。
私は常に、戦士たちに良い学習体験を提供し、それが仕事に関連した、継続的な利益をもたらす有益な訓練であるようにしています。
Q: IaCのセキュリティは、現在、非常に人気のあるテーマです。クラウドのセキュリティ対策について、企業が直面している主な問題は何でしょうか?
A: Infrastructure as Codeとは、コードを使ってインフラのリソースを管理することです。そのコードを数行書くだけで、何百ものクラウドリソース(ネットワーク、ファイアウォールルール、仮想マシン、コンテナなど)を展開することができますが、これらは適切に設定されていないとセキュリティバグを含む可能性があります。そのため、安全なアプリケーションの展開に適用されるのと同じ原則がIaCにも適用され、これらのリスクとその修正方法をSDLCに関わるすべてのチームが理解する必要があります。
この認識と行動は、IaCセキュリティの適切なトレーニングと、クラウドエンジニアの安全なコーディングスキルを優先させることから始まります。クラウドエンジニアは強力な防御層となり得ますが、アプリケーションをホストするインフラを構築している場合は特に重要です。
Q:Kubernetesについては、業界でも関心が高く、広く使われているようです。しかし、我々のプラットフォームのデータでは、Terraformが圧倒的に人気のある言語であり、高いエンゲージメントを誇っています。
A:Terraformは、シンプルな構文でマルチクラウド環境(AWS、GCP、Azureなど)にインフラリソースを展開できるため、IaCでは事実上の言語となっています 。コードを使ってインフラを定義することができ、クラウドAPIと透過的に相互作用してリソースのデプロイメントを管理します。
この言語は非常に汎用性が高く、ソースコントロールリポジトリに追加できるため、DevOps / DevSecOpsの原則をインフラのデプロイメントにも適用することができます。しかし、これによって対処しなければならない新たな脅威も出てくるため、Terraformを使ったセキュアコーディングの包括的なトレーニングが必須となります。
Q:あなたはIaCのセキュリティエキスパートですね。
A:IaCはまだ始まったばかりなので、頻繁に新しいものがリリースされています。このような新しい技術についていくのは少し大変ですが、同時にやりがいもあります。新しいことを学んだり、新しいサービスのセキュリティ・ベスト・プラクティスをテストしたりするのがとても好きです。
あなたのIaCセキュリティを次のレベルに引き上げます。
クラウド開発者にInfrastructure as Codeに関するセキュリティ・スキルを磨いてもらいたいなら、IaC Top 8にチャレンジしてみましょう。各章では、IaCのセキュリティに関する8つの一般的なバグについて、新しい知識を試すためのインタラクティブな課題も含めて、完全に説明しています。
あなたのスコアを教えてください、そしてオスカーを誇りに思ってください。
技術系スタートアップ企業で働くことの醍醐味の一つは、その過程で出会った面白くて賢い人々とのコラボレーションです。クールなアイデアから本格的な市場競争力を持つ企業へと成長させるには、自分だけのアベンジャーズ(あるいはジャスティス・リーグ)チームを編成する必要があります。
そこで今回は、当社のエキスパートであるオスカー・キンタスにスポットライトを当ててみたいと思います。彼はプロダクトコンテンツチームに所属し、シニアセキュリティリサーチャーとして活躍しています。彼はInfrastructure as Code(IaC)に関する専属の魔術師でもあります。彼は、178回にも及ぶIaCプラットフォームのチャレンジを支え、この新鮮でホットなトピックに関するあらゆる質問に答えてくれます。
私たちは彼を特別な存在だと思っていますので、ぜひ知っていただきたいと思います。ここでは、今話題のInfrastructure as Codeのセキュリティ、彼の役割、そしてクラウドのインフラとエンジニアをより良く準備するために組織ができることについて、彼の洞察を紹介します。
Q:Secure Code Warrior でのあなたの役割について教えてください。一日の流れを教えてください。
A: 私はプロダクト・コンテンツ・チームの一員として、シニア・セキュリティ・リサーチャーとして働いています。典型的な仕事は、さまざまな言語(Python、Java、Golangなど)で書かれた課題のコードをレビューし、コードの品質基準が満たされているか、またセキュリティのベストプラクティスが実装されているかを確認することです。また、新しいIaCコンテンツの開発も行っています。
Q: あなたは、Infrastructure as Codeプラットフォームのすべてのチャレンジを支える天才です。どのようなプロセスを経ているのでしょうか?
A: リサーチと、様々なスキルレベルのユーザーに関連性の高いコンテンツを提供するための努力の組み合わせだと思います。私は通常、インフラを導入する際にユーザーが直面する最も一般的な問題を調べることから始め、その情報をもとに、それぞれのケースに応じたセキュリティのベストプラクティスを示す有用な課題を作成します。
私は常に、戦士たちに良い学習体験を提供し、それが仕事に関連した、継続的な利益をもたらす有益な訓練であるようにしています。
Q: IaCのセキュリティは、現在、非常に人気のあるテーマです。クラウドのセキュリティ対策について、企業が直面している主な問題は何でしょうか?
A: Infrastructure as Codeとは、コードを使ってインフラのリソースを管理することです。そのコードを数行書くだけで、何百ものクラウドリソース(ネットワーク、ファイアウォールルール、仮想マシン、コンテナなど)を展開することができますが、これらは適切に設定されていないとセキュリティバグを含む可能性があります。そのため、安全なアプリケーションの展開に適用されるのと同じ原則がIaCにも適用され、これらのリスクとその修正方法をSDLCに関わるすべてのチームが理解する必要があります。
この認識と行動は、IaCセキュリティの適切なトレーニングと、クラウドエンジニアの安全なコーディングスキルを優先させることから始まります。クラウドエンジニアは強力な防御層となり得ますが、アプリケーションをホストするインフラを構築している場合は特に重要です。
Q:Kubernetesについては、業界でも関心が高く、広く使われているようです。しかし、我々のプラットフォームのデータでは、Terraformが圧倒的に人気のある言語であり、高いエンゲージメントを誇っています。
A:Terraformは、シンプルな構文でマルチクラウド環境(AWS、GCP、Azureなど)にインフラリソースを展開できるため、IaCでは事実上の言語となっています 。コードを使ってインフラを定義することができ、クラウドAPIと透過的に相互作用してリソースのデプロイメントを管理します。
この言語は非常に汎用性が高く、ソースコントロールリポジトリに追加できるため、DevOps / DevSecOpsの原則をインフラのデプロイメントにも適用することができます。しかし、これによって対処しなければならない新たな脅威も出てくるため、Terraformを使ったセキュアコーディングの包括的なトレーニングが必須となります。
Q:あなたはIaCのセキュリティエキスパートですね。
A:IaCはまだ始まったばかりなので、頻繁に新しいものがリリースされています。このような新しい技術についていくのは少し大変ですが、同時にやりがいもあります。新しいことを学んだり、新しいサービスのセキュリティ・ベスト・プラクティスをテストしたりするのがとても好きです。
あなたのIaCセキュリティを次のレベルに引き上げます。
クラウド開発者にInfrastructure as Codeに関するセキュリティ・スキルを磨いてもらいたいなら、IaC Top 8にチャレンジしてみましょう。各章では、IaCのセキュリティに関する8つの一般的なバグについて、新しい知識を試すためのインタラクティブな課題も含めて、完全に説明しています。
あなたのスコアを教えてください、そしてオスカーを誇りに思ってください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
技術系スタートアップ企業で働くことの醍醐味の一つは、その過程で出会った面白くて賢い人々とのコラボレーションです。クールなアイデアから本格的な市場競争力を持つ企業へと成長させるには、自分だけのアベンジャーズ(あるいはジャスティス・リーグ)チームを編成する必要があります。
そこで今回は、当社のエキスパートであるオスカー・キンタスにスポットライトを当ててみたいと思います。彼はプロダクトコンテンツチームに所属し、シニアセキュリティリサーチャーとして活躍しています。彼はInfrastructure as Code(IaC)に関する専属の魔術師でもあります。彼は、178回にも及ぶIaCプラットフォームのチャレンジを支え、この新鮮でホットなトピックに関するあらゆる質問に答えてくれます。
私たちは彼を特別な存在だと思っていますので、ぜひ知っていただきたいと思います。ここでは、今話題のInfrastructure as Codeのセキュリティ、彼の役割、そしてクラウドのインフラとエンジニアをより良く準備するために組織ができることについて、彼の洞察を紹介します。
Q:Secure Code Warrior でのあなたの役割について教えてください。一日の流れを教えてください。
A: 私はプロダクト・コンテンツ・チームの一員として、シニア・セキュリティ・リサーチャーとして働いています。典型的な仕事は、さまざまな言語(Python、Java、Golangなど)で書かれた課題のコードをレビューし、コードの品質基準が満たされているか、またセキュリティのベストプラクティスが実装されているかを確認することです。また、新しいIaCコンテンツの開発も行っています。
Q: あなたは、Infrastructure as Codeプラットフォームのすべてのチャレンジを支える天才です。どのようなプロセスを経ているのでしょうか?
A: リサーチと、様々なスキルレベルのユーザーに関連性の高いコンテンツを提供するための努力の組み合わせだと思います。私は通常、インフラを導入する際にユーザーが直面する最も一般的な問題を調べることから始め、その情報をもとに、それぞれのケースに応じたセキュリティのベストプラクティスを示す有用な課題を作成します。
私は常に、戦士たちに良い学習体験を提供し、それが仕事に関連した、継続的な利益をもたらす有益な訓練であるようにしています。
Q: IaCのセキュリティは、現在、非常に人気のあるテーマです。クラウドのセキュリティ対策について、企業が直面している主な問題は何でしょうか?
A: Infrastructure as Codeとは、コードを使ってインフラのリソースを管理することです。そのコードを数行書くだけで、何百ものクラウドリソース(ネットワーク、ファイアウォールルール、仮想マシン、コンテナなど)を展開することができますが、これらは適切に設定されていないとセキュリティバグを含む可能性があります。そのため、安全なアプリケーションの展開に適用されるのと同じ原則がIaCにも適用され、これらのリスクとその修正方法をSDLCに関わるすべてのチームが理解する必要があります。
この認識と行動は、IaCセキュリティの適切なトレーニングと、クラウドエンジニアの安全なコーディングスキルを優先させることから始まります。クラウドエンジニアは強力な防御層となり得ますが、アプリケーションをホストするインフラを構築している場合は特に重要です。
Q:Kubernetesについては、業界でも関心が高く、広く使われているようです。しかし、我々のプラットフォームのデータでは、Terraformが圧倒的に人気のある言語であり、高いエンゲージメントを誇っています。
A:Terraformは、シンプルな構文でマルチクラウド環境(AWS、GCP、Azureなど)にインフラリソースを展開できるため、IaCでは事実上の言語となっています 。コードを使ってインフラを定義することができ、クラウドAPIと透過的に相互作用してリソースのデプロイメントを管理します。
この言語は非常に汎用性が高く、ソースコントロールリポジトリに追加できるため、DevOps / DevSecOpsの原則をインフラのデプロイメントにも適用することができます。しかし、これによって対処しなければならない新たな脅威も出てくるため、Terraformを使ったセキュアコーディングの包括的なトレーニングが必須となります。
Q:あなたはIaCのセキュリティエキスパートですね。
A:IaCはまだ始まったばかりなので、頻繁に新しいものがリリースされています。このような新しい技術についていくのは少し大変ですが、同時にやりがいもあります。新しいことを学んだり、新しいサービスのセキュリティ・ベスト・プラクティスをテストしたりするのがとても好きです。
あなたのIaCセキュリティを次のレベルに引き上げます。
クラウド開発者にInfrastructure as Codeに関するセキュリティ・スキルを磨いてもらいたいなら、IaC Top 8にチャレンジしてみましょう。各章では、IaCのセキュリティに関する8つの一般的なバグについて、新しい知識を試すためのインタラクティブな課題も含めて、完全に説明しています。
あなたのスコアを教えてください、そしてオスカーを誇りに思ってください。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
