専門家インタビュー:Oscar Quintasによるコードとしてのインフラストラクチャ
技術系スタートアップ企業で働くことの醍醐味の一つは、その過程で出会った面白くて賢い人々とのコラボレーションです。クールなアイデアから本格的な市場競争力を持つ企業へと成長させるには、自分だけのアベンジャーズ(あるいはジャスティス・リーグ)チームを編成する必要があります。
そこで今回は、当社のエキスパートであるオスカー・キンタスにスポットライトを当ててみたいと思います。彼はプロダクトコンテンツチームに所属し、シニアセキュリティリサーチャーとして活躍しています。彼はInfrastructure as Code(IaC)に関する専属の魔術師でもあります。彼は、178回にも及ぶIaCプラットフォームのチャレンジを支え、この新鮮でホットなトピックに関するあらゆる質問に答えてくれます。
私たちは彼を特別な存在だと思っていますので、ぜひ知っていただきたいと思います。ここでは、今話題のInfrastructure as Codeのセキュリティ、彼の役割、そしてクラウドのインフラとエンジニアをより良く準備するために組織ができることについて、彼の洞察を紹介します。
Q:Secure Code Warrior でのあなたの役割について教えてください。一日の流れを教えてください。
A: 私はプロダクト・コンテンツ・チームの一員として、シニア・セキュリティ・リサーチャーとして働いています。典型的な仕事は、さまざまな言語(Python、Java、Golangなど)で書かれた課題のコードをレビューし、コードの品質基準が満たされているか、またセキュリティのベストプラクティスが実装されているかを確認することです。また、新しいIaCコンテンツの開発も行っています。
Q: あなたは、Infrastructure as Codeプラットフォームのすべてのチャレンジを支える天才です。どのようなプロセスを経ているのでしょうか?
A: リサーチと、様々なスキルレベルのユーザーに関連性の高いコンテンツを提供するための努力の組み合わせだと思います。私は通常、インフラを導入する際にユーザーが直面する最も一般的な問題を調べることから始め、その情報をもとに、それぞれのケースに応じたセキュリティのベストプラクティスを示す有用な課題を作成します。
私は常に、戦士たちに良い学習体験を提供し、それが仕事に関連した、継続的な利益をもたらす有益な訓練であるようにしています。
Q: IaCのセキュリティは、現在、非常に人気のあるテーマです。クラウドのセキュリティ対策について、企業が直面している主な問題は何でしょうか?
A: Infrastructure as Codeとは、コードを使ってインフラのリソースを管理することです。そのコードを数行書くだけで、何百ものクラウドリソース(ネットワーク、ファイアウォールルール、仮想マシン、コンテナなど)を展開することができますが、これらは適切に設定されていないとセキュリティバグを含む可能性があります。そのため、安全なアプリケーションの展開に適用されるのと同じ原則がIaCにも適用され、これらのリスクとその修正方法をSDLCに関わるすべてのチームが理解する必要があります。
この認識と行動は、IaCセキュリティの適切なトレーニングと、クラウドエンジニアの安全なコーディングスキルを優先させることから始まります。クラウドエンジニアは強力な防御層となり得ますが、アプリケーションをホストするインフラを構築している場合は特に重要です。
Q:Kubernetesについては、業界でも関心が高く、広く使われているようです。しかし、我々のプラットフォームのデータでは、Terraformが圧倒的に人気のある言語であり、高いエンゲージメントを誇っています。
A:Terraformは、シンプルな構文でマルチクラウド環境(AWS、GCP、Azureなど)にインフラリソースを展開できるため、IaCでは事実上の言語となっています 。コードを使ってインフラを定義することができ、クラウドAPIと透過的に相互作用してリソースのデプロイメントを管理します。
この言語は非常に汎用性が高く、ソースコントロールリポジトリに追加できるため、DevOps / DevSecOpsの原則をインフラのデプロイメントにも適用することができます。しかし、これによって対処しなければならない新たな脅威も出てくるため、Terraformを使ったセキュアコーディングの包括的なトレーニングが必須となります。
Q:あなたはIaCのセキュリティエキスパートですね。
A:IaCはまだ始まったばかりなので、頻繁に新しいものがリリースされています。このような新しい技術についていくのは少し大変ですが、同時にやりがいもあります。新しいことを学んだり、新しいサービスのセキュリティ・ベスト・プラクティスをテストしたりするのがとても好きです。
あなたのIaCセキュリティを次のレベルに引き上げます。
クラウド開発者にInfrastructure as Codeに関するセキュリティ・スキルを磨いてもらいたいなら、IaC Top 8にチャレンジしてみましょう。各章では、IaCのセキュリティに関する8つの一般的なバグについて、新しい知識を試すためのインタラクティブな課題も含めて、完全に説明しています。
あなたのスコアを教えてください、そしてオスカーを誇りに思ってください。
私たちの専門家の一人、オスカー・キンタスにスポットライトを当てたいと思います。彼は当社のプロダクトコンテンツチームの一員で、シニアセキュリティリサーチャーとして働いています。また、コードとしてのインフラストラクチャ (IaC) のすべてに関する、当社の常駐ソーサラーでもあります。
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
技術系スタートアップ企業で働くことの醍醐味の一つは、その過程で出会った面白くて賢い人々とのコラボレーションです。クールなアイデアから本格的な市場競争力を持つ企業へと成長させるには、自分だけのアベンジャーズ(あるいはジャスティス・リーグ)チームを編成する必要があります。
そこで今回は、当社のエキスパートであるオスカー・キンタスにスポットライトを当ててみたいと思います。彼はプロダクトコンテンツチームに所属し、シニアセキュリティリサーチャーとして活躍しています。彼はInfrastructure as Code(IaC)に関する専属の魔術師でもあります。彼は、178回にも及ぶIaCプラットフォームのチャレンジを支え、この新鮮でホットなトピックに関するあらゆる質問に答えてくれます。
私たちは彼を特別な存在だと思っていますので、ぜひ知っていただきたいと思います。ここでは、今話題のInfrastructure as Codeのセキュリティ、彼の役割、そしてクラウドのインフラとエンジニアをより良く準備するために組織ができることについて、彼の洞察を紹介します。
Q:Secure Code Warrior でのあなたの役割について教えてください。一日の流れを教えてください。
A: 私はプロダクト・コンテンツ・チームの一員として、シニア・セキュリティ・リサーチャーとして働いています。典型的な仕事は、さまざまな言語(Python、Java、Golangなど)で書かれた課題のコードをレビューし、コードの品質基準が満たされているか、またセキュリティのベストプラクティスが実装されているかを確認することです。また、新しいIaCコンテンツの開発も行っています。
Q: あなたは、Infrastructure as Codeプラットフォームのすべてのチャレンジを支える天才です。どのようなプロセスを経ているのでしょうか?
A: リサーチと、様々なスキルレベルのユーザーに関連性の高いコンテンツを提供するための努力の組み合わせだと思います。私は通常、インフラを導入する際にユーザーが直面する最も一般的な問題を調べることから始め、その情報をもとに、それぞれのケースに応じたセキュリティのベストプラクティスを示す有用な課題を作成します。
私は常に、戦士たちに良い学習体験を提供し、それが仕事に関連した、継続的な利益をもたらす有益な訓練であるようにしています。
Q: IaCのセキュリティは、現在、非常に人気のあるテーマです。クラウドのセキュリティ対策について、企業が直面している主な問題は何でしょうか?
A: Infrastructure as Codeとは、コードを使ってインフラのリソースを管理することです。そのコードを数行書くだけで、何百ものクラウドリソース(ネットワーク、ファイアウォールルール、仮想マシン、コンテナなど)を展開することができますが、これらは適切に設定されていないとセキュリティバグを含む可能性があります。そのため、安全なアプリケーションの展開に適用されるのと同じ原則がIaCにも適用され、これらのリスクとその修正方法をSDLCに関わるすべてのチームが理解する必要があります。
この認識と行動は、IaCセキュリティの適切なトレーニングと、クラウドエンジニアの安全なコーディングスキルを優先させることから始まります。クラウドエンジニアは強力な防御層となり得ますが、アプリケーションをホストするインフラを構築している場合は特に重要です。
Q:Kubernetesについては、業界でも関心が高く、広く使われているようです。しかし、我々のプラットフォームのデータでは、Terraformが圧倒的に人気のある言語であり、高いエンゲージメントを誇っています。
A:Terraformは、シンプルな構文でマルチクラウド環境(AWS、GCP、Azureなど)にインフラリソースを展開できるため、IaCでは事実上の言語となっています 。コードを使ってインフラを定義することができ、クラウドAPIと透過的に相互作用してリソースのデプロイメントを管理します。
この言語は非常に汎用性が高く、ソースコントロールリポジトリに追加できるため、DevOps / DevSecOpsの原則をインフラのデプロイメントにも適用することができます。しかし、これによって対処しなければならない新たな脅威も出てくるため、Terraformを使ったセキュアコーディングの包括的なトレーニングが必須となります。
Q:あなたはIaCのセキュリティエキスパートですね。
A:IaCはまだ始まったばかりなので、頻繁に新しいものがリリースされています。このような新しい技術についていくのは少し大変ですが、同時にやりがいもあります。新しいことを学んだり、新しいサービスのセキュリティ・ベスト・プラクティスをテストしたりするのがとても好きです。
あなたのIaCセキュリティを次のレベルに引き上げます。
クラウド開発者にInfrastructure as Codeに関するセキュリティ・スキルを磨いてもらいたいなら、IaC Top 8にチャレンジしてみましょう。各章では、IaCのセキュリティに関する8つの一般的なバグについて、新しい知識を試すためのインタラクティブな課題も含めて、完全に説明しています。
あなたのスコアを教えてください、そしてオスカーを誇りに思ってください。
技術系スタートアップ企業で働くことの醍醐味の一つは、その過程で出会った面白くて賢い人々とのコラボレーションです。クールなアイデアから本格的な市場競争力を持つ企業へと成長させるには、自分だけのアベンジャーズ(あるいはジャスティス・リーグ)チームを編成する必要があります。
そこで今回は、当社のエキスパートであるオスカー・キンタスにスポットライトを当ててみたいと思います。彼はプロダクトコンテンツチームに所属し、シニアセキュリティリサーチャーとして活躍しています。彼はInfrastructure as Code(IaC)に関する専属の魔術師でもあります。彼は、178回にも及ぶIaCプラットフォームのチャレンジを支え、この新鮮でホットなトピックに関するあらゆる質問に答えてくれます。
私たちは彼を特別な存在だと思っていますので、ぜひ知っていただきたいと思います。ここでは、今話題のInfrastructure as Codeのセキュリティ、彼の役割、そしてクラウドのインフラとエンジニアをより良く準備するために組織ができることについて、彼の洞察を紹介します。
Q:Secure Code Warrior でのあなたの役割について教えてください。一日の流れを教えてください。
A: 私はプロダクト・コンテンツ・チームの一員として、シニア・セキュリティ・リサーチャーとして働いています。典型的な仕事は、さまざまな言語(Python、Java、Golangなど)で書かれた課題のコードをレビューし、コードの品質基準が満たされているか、またセキュリティのベストプラクティスが実装されているかを確認することです。また、新しいIaCコンテンツの開発も行っています。
Q: あなたは、Infrastructure as Codeプラットフォームのすべてのチャレンジを支える天才です。どのようなプロセスを経ているのでしょうか?
A: リサーチと、様々なスキルレベルのユーザーに関連性の高いコンテンツを提供するための努力の組み合わせだと思います。私は通常、インフラを導入する際にユーザーが直面する最も一般的な問題を調べることから始め、その情報をもとに、それぞれのケースに応じたセキュリティのベストプラクティスを示す有用な課題を作成します。
私は常に、戦士たちに良い学習体験を提供し、それが仕事に関連した、継続的な利益をもたらす有益な訓練であるようにしています。
Q: IaCのセキュリティは、現在、非常に人気のあるテーマです。クラウドのセキュリティ対策について、企業が直面している主な問題は何でしょうか?
A: Infrastructure as Codeとは、コードを使ってインフラのリソースを管理することです。そのコードを数行書くだけで、何百ものクラウドリソース(ネットワーク、ファイアウォールルール、仮想マシン、コンテナなど)を展開することができますが、これらは適切に設定されていないとセキュリティバグを含む可能性があります。そのため、安全なアプリケーションの展開に適用されるのと同じ原則がIaCにも適用され、これらのリスクとその修正方法をSDLCに関わるすべてのチームが理解する必要があります。
この認識と行動は、IaCセキュリティの適切なトレーニングと、クラウドエンジニアの安全なコーディングスキルを優先させることから始まります。クラウドエンジニアは強力な防御層となり得ますが、アプリケーションをホストするインフラを構築している場合は特に重要です。
Q:Kubernetesについては、業界でも関心が高く、広く使われているようです。しかし、我々のプラットフォームのデータでは、Terraformが圧倒的に人気のある言語であり、高いエンゲージメントを誇っています。
A:Terraformは、シンプルな構文でマルチクラウド環境(AWS、GCP、Azureなど)にインフラリソースを展開できるため、IaCでは事実上の言語となっています 。コードを使ってインフラを定義することができ、クラウドAPIと透過的に相互作用してリソースのデプロイメントを管理します。
この言語は非常に汎用性が高く、ソースコントロールリポジトリに追加できるため、DevOps / DevSecOpsの原則をインフラのデプロイメントにも適用することができます。しかし、これによって対処しなければならない新たな脅威も出てくるため、Terraformを使ったセキュアコーディングの包括的なトレーニングが必須となります。
Q:あなたはIaCのセキュリティエキスパートですね。
A:IaCはまだ始まったばかりなので、頻繁に新しいものがリリースされています。このような新しい技術についていくのは少し大変ですが、同時にやりがいもあります。新しいことを学んだり、新しいサービスのセキュリティ・ベスト・プラクティスをテストしたりするのがとても好きです。
あなたのIaCセキュリティを次のレベルに引き上げます。
クラウド開発者にInfrastructure as Codeに関するセキュリティ・スキルを磨いてもらいたいなら、IaC Top 8にチャレンジしてみましょう。各章では、IaCのセキュリティに関する8つの一般的なバグについて、新しい知識を試すためのインタラクティブな課題も含めて、完全に説明しています。
あなたのスコアを教えてください、そしてオスカーを誇りに思ってください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
技術系スタートアップ企業で働くことの醍醐味の一つは、その過程で出会った面白くて賢い人々とのコラボレーションです。クールなアイデアから本格的な市場競争力を持つ企業へと成長させるには、自分だけのアベンジャーズ(あるいはジャスティス・リーグ)チームを編成する必要があります。
そこで今回は、当社のエキスパートであるオスカー・キンタスにスポットライトを当ててみたいと思います。彼はプロダクトコンテンツチームに所属し、シニアセキュリティリサーチャーとして活躍しています。彼はInfrastructure as Code(IaC)に関する専属の魔術師でもあります。彼は、178回にも及ぶIaCプラットフォームのチャレンジを支え、この新鮮でホットなトピックに関するあらゆる質問に答えてくれます。
私たちは彼を特別な存在だと思っていますので、ぜひ知っていただきたいと思います。ここでは、今話題のInfrastructure as Codeのセキュリティ、彼の役割、そしてクラウドのインフラとエンジニアをより良く準備するために組織ができることについて、彼の洞察を紹介します。
Q:Secure Code Warrior でのあなたの役割について教えてください。一日の流れを教えてください。
A: 私はプロダクト・コンテンツ・チームの一員として、シニア・セキュリティ・リサーチャーとして働いています。典型的な仕事は、さまざまな言語(Python、Java、Golangなど)で書かれた課題のコードをレビューし、コードの品質基準が満たされているか、またセキュリティのベストプラクティスが実装されているかを確認することです。また、新しいIaCコンテンツの開発も行っています。
Q: あなたは、Infrastructure as Codeプラットフォームのすべてのチャレンジを支える天才です。どのようなプロセスを経ているのでしょうか?
A: リサーチと、様々なスキルレベルのユーザーに関連性の高いコンテンツを提供するための努力の組み合わせだと思います。私は通常、インフラを導入する際にユーザーが直面する最も一般的な問題を調べることから始め、その情報をもとに、それぞれのケースに応じたセキュリティのベストプラクティスを示す有用な課題を作成します。
私は常に、戦士たちに良い学習体験を提供し、それが仕事に関連した、継続的な利益をもたらす有益な訓練であるようにしています。
Q: IaCのセキュリティは、現在、非常に人気のあるテーマです。クラウドのセキュリティ対策について、企業が直面している主な問題は何でしょうか?
A: Infrastructure as Codeとは、コードを使ってインフラのリソースを管理することです。そのコードを数行書くだけで、何百ものクラウドリソース(ネットワーク、ファイアウォールルール、仮想マシン、コンテナなど)を展開することができますが、これらは適切に設定されていないとセキュリティバグを含む可能性があります。そのため、安全なアプリケーションの展開に適用されるのと同じ原則がIaCにも適用され、これらのリスクとその修正方法をSDLCに関わるすべてのチームが理解する必要があります。
この認識と行動は、IaCセキュリティの適切なトレーニングと、クラウドエンジニアの安全なコーディングスキルを優先させることから始まります。クラウドエンジニアは強力な防御層となり得ますが、アプリケーションをホストするインフラを構築している場合は特に重要です。
Q:Kubernetesについては、業界でも関心が高く、広く使われているようです。しかし、我々のプラットフォームのデータでは、Terraformが圧倒的に人気のある言語であり、高いエンゲージメントを誇っています。
A:Terraformは、シンプルな構文でマルチクラウド環境(AWS、GCP、Azureなど)にインフラリソースを展開できるため、IaCでは事実上の言語となっています 。コードを使ってインフラを定義することができ、クラウドAPIと透過的に相互作用してリソースのデプロイメントを管理します。
この言語は非常に汎用性が高く、ソースコントロールリポジトリに追加できるため、DevOps / DevSecOpsの原則をインフラのデプロイメントにも適用することができます。しかし、これによって対処しなければならない新たな脅威も出てくるため、Terraformを使ったセキュアコーディングの包括的なトレーニングが必須となります。
Q:あなたはIaCのセキュリティエキスパートですね。
A:IaCはまだ始まったばかりなので、頻繁に新しいものがリリースされています。このような新しい技術についていくのは少し大変ですが、同時にやりがいもあります。新しいことを学んだり、新しいサービスのセキュリティ・ベスト・プラクティスをテストしたりするのがとても好きです。
あなたのIaCセキュリティを次のレベルに引き上げます。
クラウド開発者にInfrastructure as Codeに関するセキュリティ・スキルを磨いてもらいたいなら、IaC Top 8にチャレンジしてみましょう。各章では、IaCのセキュリティに関する8つの一般的なバグについて、新しい知識を試すためのインタラクティブな課題も含めて、完全に説明しています。
あなたのスコアを教えてください、そしてオスカーを誇りに思ってください。
目次
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]
%20(1).avif)
.avif)
