1/16 (火) 開催！Incident Response Meetup vol.1 @Sansanさんオフィス 前半はいつもの気になった点のメモです。後半が感想。 ハッシュタグは #障害対応 木村 誠明さん（「システム障害対応の教科書」著者） 障害対応→ダメージコントロールの世界 障害対応教育 暗黙知が殆んど、有識者はいつもいるわけではない 教育が難しい 障害対応の目的 システムを直すことではない ユーザ影響の回避、低減 インシデントコマンダーとは 必要な作業を各担当へ割り振り、実施指示を行い全体をリード 復旧要件、復旧仕様を決める システムの復旧が最善の道とは限らない ICと作業担当者は分ける 機械的な判断で人を巻き込む（人の判断をなるべくいれないことで心理的負荷を下げる） 情報をフローとストックにわける フローはタイムライン ストックは障害レベル、事象など WarRoom 障害対応の専用の部屋 物理、仮想は文化による 不慣れなツールは使えない インシデントコマンダーになるには インシデントコマンダーを育てる 作業担当としてオンコール参加、書記、窓口を経て Q&A 体系的に軍事が参考になることも 障害ランクの定義により、報告ラインを定義 ICをスイッチするはある（宣言する） あんどうさん @integrated1453（株式会社ユーザベース） グループ 1200名 エンジニア 70名 オンコールシフト、PagerDuty 記者等に話をすることもあるので、横文字は日本語にしている（ポストモーテム→障害撲滅委員会） BizメンバーのSOSはSlackからPagerDuty→運用当番 SRE Bookの信頼性の階層 monitoringが一番下 検知してからエンジニアのアサインに時間がかかると障害復旧までの時間がかかる 運用当番が手を動かそうとする

概要 下記ブログでも書いたのだが、Anker Eufy Smart Scale Pro2 を購入した。 2022年買って良かったもの <div class="naaa-product naaa-product-h"> <div class="naaa-product-thumb"> <img decoding="async" class="naaa-product-img-h" src="https://i0.wp.com/m.media-amazon.com/images/I/318EIYK9lOL._AC_AC_SR250,250_.jpg?w=750&#038;ssl=1" alt="Anker Eufy (ユーフィ) Smart Scale P2 Pro（体重体組成計）【アプリ対応 / Fitbit連携 / 体脂肪率 / BMI / 心拍数 / 筋肉量 / 基礎代謝量 / 水分量 / 体脂肪量 / 骨量 / 内臓脂肪 / タンパク質 / 骨格筋量 / 皮下脂肪 / 体内年齢 / ボディタイプ】" data-recalc-dims="1" /> </div> <div class="naaa-product-title naaa-product-title-h"> Anker Eufy (ユーフィ) Smart Scale P2 Pro（体重体組成計）【アプリ対応 / Fitbit連携 / 体脂肪率 / BMI / 心拍数 / 筋肉量 / 基礎代謝量 / 水分量 / 体脂肪量 / 骨量 / 内臓脂肪 / タンパク質 / 骨格筋量 / 皮下脂肪 / 体内年齢 / ボディタイプ】 </div> <div class="naaa-product-price"> <div class="naaa-product-price-h"> </div> </div> <div> <div class="naaa-product-action"> <div class="naaa-product-button naaa-product-button-border"> 見てみる </div> </div> </div> <div class="naaa-rating-and-review-h"> <span class="naaa-product-rating"> <fieldset class="naaa-rating" id="6686b530c4fdb"> <input type="radio" class="naaa-input-star" name="6686b530c4fdb" value="10" /><label class="naaa-full naaa-label-star" title="4.

10月から株式会社マクアケでSREとしてお世話になっています。 そんなマクアケのアドベントカレンダー3日目の記事です。 昨日は、絶賛育休中のrenoinnさんのEnt+Atlasでマイグレーションするでした。 最近はTerraformよりもDBのお勉強が多いですが、久しぶりにTerraform関連のブログです。 概要 Terraformを使っていると、いろいろな理由で差分が発生することがある。 terraform管理と手動管理が混ざっている terraformがアップデートされて使えなくなった構文がある プロバイダーがアップデートされて使えなくなった構文がある いずれの理由にせよ、構成ドリフト（設定差異）はterraform適用へのハードルをあげる。 targetで指定すれば良いが、どこか不安が残る、そんなコードになりがちになる。 管理を対象を全てのリソースにしないにせよ、terraformの差分が解消してあることが望ましい。 そんなこんなで、terraformの差分解消に伴うtipsやらポイントを自分のためにもまとめておく。 まずは何はともあれ現状を見てみる 差分を解消しなくてはいけないリポジトリは、常に触っているリポジトリとは限らない。 そうすると、terraform initからはじめる必要がある場合がある。 その場合、いきなりコケて心が折れるかもしれないけれど、まずは落ち着いて terraformのバージョン と 権限　を確認しよう。 特にAWSの権限が実は不足していたなんてことはままある。 backendに指定しているリソース、AWSでS3を使っている場合は、AWS CLIを使って対象のS3へアクセスできることを確認しよう。 私は必ずbackendにS3を使っている場合は、下記が実行できるかを必ず確認しておく。（VPNがつながっていない、SAML認証が通っていない、SAMLのアクセスキーの有効期限が切れていた、、、なんてことはありがち） aws s3 ls XXX terraform init でコケるときはプロバイダーのバージョンも疑う terraform init がコケるなんて、おいおい、、、という気持ちかもしれないが、放置していればそういうこともある。 まして初めて触るリポジトリなら、ありえなくは無い。 上記権限等が問題ないのであれば、プロバイダーのバージョンを疑ってみる。 AWSのプロバイダーだけならまだしも、templateを使ってたり、他のプロバイダーを使っていればコケることはある。 最悪は、すでに動かしている人がいたら、その人から .terraform ごともらえば解消するかもしれない。 terraform planを実行するときは-outで出力するか、-no-colorをつける ということでinitまで出来たら、次はterraform planをしてみる。その結果、大量に差分が出力されることがある。 その場合はファイルに出力してみると差分の作業がやりやすくなる。 terraform plan -out /tmp/diffs.txt このファイルはバイナリで terraform show /tmp/diffs.txt で確認することが可能だ。 もし、ファイルにちょっとメモ書き込みしたり、対応したリソースの行を消したりしたい場合はファイルにリダイレクトすることになる。 しかし、単純にリダイレクトで下記のように実行するとシェルの色の文字コードが出力されてしまう。 $ terraform plan > ~/Downloads/diffs.txt data.template_file.example: Reading... data.template_file.example_test: Reading.

VPS選定 概要 いままで叔父の会社で契約してもらっていたVPSを解約することとなり（会社のホームページを動かして自分のサイトも相乗りさせてもらってたVPS）、個人ブログやWikiサイトを急遽移設することになった。 いままではさくらのVPSを契約していたが、せっかくなのでここで一度立ち返って、VPSを選定してみることに。 観点 料金：まずは安価であることが一番でしょう。趣味だし。それが最優先事項。 信頼性：障害報告をチェックしてみる バックアップ：VPSだと難しいだろうけど、オプションがあれば知りたい その他：オプションで特記事項あれば スペック もともと3コア2GBプランだったので、メモリは2GBくらいあったほうがいいけど、下げて運用してみようと思う。プランアップが簡単だと尚良い。 とりあえず最低3年くらいは使う想定で試算してみる。 結論 最初に結論から書くと、Conohaを採用することとした。 その理由は後述する。 さくらのVPS もともと使っていたので、第一候補。 まず、料金はこちら。 https://vps.sakura.ad.jp/specification/ 月額と年額があり、2GB3コアだと東京で1848円/月、1GB/2コアだと935円/月。 年額だと、初年度の値引きを除外して通常2GB3コアで1795円/月、1GB/2コアで900円/月。 スケールアップは容易にできる。ただし、スケールアップのみで、スケールダウンはできなそう。 個人的にいいなと思ったのが、パケットフィルター。 余計なポートのアクセス制御をサーバー側でやらずに、その手前でできるのは大きい。 あと無料で監視もできるのもプラス。 バックアップ機能は無い。 https://manual.sakura.ad.jp/vps/support/others.html#:~:text=の確認方法-,「さくらのVPS」でバックアップの機能はありますか,するなどご対応ください。 障害情報 https://help.sakura.ad.jp/status/archive/trouble/vps/ 私の環境ではWordPressのJetPackで監視していたものの、VPS自体の問題での障害は正直記憶が無い。ただ、情報としては、一月に3回程度が該当する場合があるというところか。個人的には許容範囲内だし、先述の通り、該当した記憶は無い。 Conoha VPS https://www.conoha.jp/vps/ 友人に勧められたので、候補にしてみる。 1GB2コアで968円/月、2GB3コアで1848円/月。気持ちConohaのほうが安い。 スケールアップとダウンが自由にできるようなので、この点はさくらインターネットには無い良さ。 https://www.conoha.jp/vps/function/scaleup/?btn_id=vps-function–functions_vps-scaleup 3世代バックアップがあるらしい。ただし有料。 https://www.conoha.jp/vps/function/autobk/?btn_id=vps-top–functions_vps-autobk これは大きい。自分のミスはローカルバックアップなりして、イメージ毎の自動バックアップにおまかせできると良さそう。 障害情報について調べてみたが、公開している公式ページが無いのだろうか？見当たらなかった。 ここはマイナスポイントかな。 ポートについて自分で設定できる。Openstackなので、セキュリティグループでできるのだと思う。 https://support.conoha.jp/v/port/ 監視もConohaMobileでできるようだ。 https://www.conoha.jp/app/conohamobile/?btn_id=vps-function–vpsHeader_app-conohamobile また、TerraformやOpenstackコマンドが使えるところは魅力的かもしれない。 https://qiita.com/kaminchu/items/d0776c381213d54a3a69 DigitalOcean https://www.digitalocean.com/ これは友人が使っているとのことなので、こちらも調べてみることにした。 k8sとかFaaSっぽいサービスとか、色々なプラットフォームの利用ができるようだが、まずはVPSであるDropletsから見てみると、1GB1コアで$5/月、2GB1コアで$10/月、2GB2コアで$15。 2022/6/29日現在135円/ドルなので、10USDだと1363円で、1GBは681円、$15だと2025円！（円安ツライ） モニタリングはDropletなら月額に含まれているようだ。 https://docs.digitalocean.com/products/monitoring/ https://docs.digitalocean.com/products/monitoring/details/pricing/ 無料のFirewallもある。 https://docs.digitalocean.com/products/networking/firewalls/ ネガティブ要素は国内にリージョンが無いことかな。海外アクセスは基本ないので、レイテンシーを考えると厳しいか。 障害情報はよくあるステータスページで公開されている。 https://status.digitalocean.com/

概要 Ubuntuをデスクトップ機として使うようになって1年半くらい経った。 かなり快適でたまにツラミという感じになってきたので、そろそろ普段使っているツールを軽くまとめておこうと思う。 ブラウザ 普通にChromeが使える。ドラッグアンドドロップでGoogle Driveにファイルがアップロードできないのが謎なくらい。 あと、Chromiumをなんのけなしに使ってみようと思ったら、動作が死ぬほど重かったのでやめた。 プリンタ周り 下記でも書いたのだけど、プリンタドライバーは普通にLinux対応していることが殆どなので難しいことはあまり考えなくても使える。 Ubuntuでも印刷したい 表計算やドキュメントソフト 読み取り専用でLibreOffice。自分で何かを作るときはGoogleDocsかSpreadSheet、Slideを使うようにしている。 やはり、LibreOfficeだと崩れることがあるので、共同編集には使っていない（とは言え見るだけなら昔ほどでは無い気もするけど）。 エディタ VSCode。気が向いたらターミナルでVimを使う。 ターミナル デフォルトのターミナル。tmuxで画面分割しているので、特に追加機能が不要なので事足りている。 メディア再生 VLCメディアプレイヤー。言わずもがなという感じ。最近は音楽をPCで流すということがYoutube以外なくなってきたので、あまり使っていない。 メール Gmailなのでブラウザ。ThunderBirdがデフォルトで入っているけど使ってない。 ブラウザまとめ系？アプリ Franz。tweatdeckとかChatworkとかに使ってる。不満は特に無いが、Slackでブラウザのバージョン警告が出るようになった。 Slack Franzで警告が出るようになったので、Slackは個別に入れている。これもLinux版が普通に動く。 Notion NotionもUbuntuソフトウェアにあるので、それを使っている。ただ、ブラウザから使うのと大差ないのであんまりいらないかも。後述のAlbertで呼び出しやすいのでそのまま使っている気がする。 Docker そのまんま。特に何不自由なく使えている。デスクトップのCPUはAMDだけど、今の所困りごとは無い。 パスワード管理 enpass。これはMacでも使っているし、Linuxでも使えるので便利。自動入力の方法はわかっていないので、普段はChromeのパスワード管理を使いつつ、Chromeのパスワード管理だと難しいフォームだったり、備忘録をenpassにまとめている。 ランチャー Albert。macOSのAlfred的なやつ。絵文字を探して貼り付けるときと、アプリの起動のためだけに使っている。あと、Chromeのブックマークからリンクを呼び出せるので、その拡張も使っている。便利。 自分でPythonでスクリプトが書ける。 画像編集 glimpse image editor。GIMPが定番だと思うけど、どこかのサイトでオススメされていたので使っている。 主に簡易的なモザイク追加とかトリミング用途のみ。動作がGIMPより軽いので個人的にはこちらのほうが好み。 kindle kindleは残念ながらLinux版がないので、Wineを入れて使っている。フォントが対応していなくて豆腐になるので、別途設定したりしなくてはいけず、ちょっと苦労した割にはあんまり使っていない。 Wineなので快適〜！とまではいかずとも普通に読むことはできる。 Remote Desktop Remmina。接続先を保存もしておけるし、クリップボードで同期できる。普通に便利。 SFTP FileZilla。macOSで使っていたので。ほかは知らない。感覚的に使えるから便利。GUIが不要な単発ファイルのときはSFTPコマンドを使ってる。 画面分割 GNOMEがデフォルトでキーボードショートカットで画面分割ができるようになっているので特にソフトは不要。ただ、自分はワイドディスプレイを使っているので3分割したいな〜と思ってる。 iPad 最近のiPadは、特にiTunesとかなくてもmacOSはもちろんのこと、Linuxにつないでも特になにもしなくても認識してファイラーが起動する。 そのためPDFファイルとかをコピーすればiPadで読めるので大変に重宝してる。 フォント フォントはttfファイルとかをホームとかシステムとかのディレクトリに突っ込めば使える。GUIは基本一般ユーザーなので、ホーム配下で良いと思うのだけど、最近明らかにドット始まりのディレクトリの数がめちゃくちゃ多くなってきていて気になってる…。 構成管理 dotfilesとAnsible。だが、、最近ちゃんとメンテしていない。。（だからまとめておこうと思った次第…） テーマ gtk-tweaksというのを使うとカスタムテーマを適用することができるので、それを使っている。（昔はgtk-tweak-toolsだったようだが今はgtk-tweaksに統合されている） 適当にUbuntuのテーマを探してインストーラーを実行したら、あとは好きなアイコンを設置してあげれば、好みのテーマが適用できる。 困りごと ここまで書いてきて全く困ったことが無いかというとそんなことはなく、例えば最近下記のようなことはあった。 Ubuntu22.04にアップグレードしたらサウンドが死んだ バージョンアップでおかしくなったのは間違いないが、しかしバージョン個別の問題ではなく、昔から同じようなことはあったようなので環境要因が高いと思われる。 あとは、やはりどうしてもWinとMacしかバイナリが無いなんていうときは困る。 総じて どうしてもLinuxデスクトップじゃないと出来ないのは、上述の通り、WinやmacOSにしかバイナリが提供されていないデスクトップソフトウェアがあったとき。 Wineを使っても動かない場合があるので、そんなときだけmacOSを使ってる。 あとは、普段は特に不満なくという感じ。 なぜUbuntuを使うのか？と言われると、WinやmacOSと比べると考える対象がシンプルで、サーバー機と基本感覚は同じように扱える所かなと思っている。 例えば普段WindowsのGit bashだったりWSLのUbuntuに入れば別世界に入った感覚になるが、それらと比べるとUbuntuからDebianのコンテナにbashでアタッチしても違和感が無い。

FP3級 今月頭にFP3級の結果が返ってきていて合格していた。 この歳になって色々常識的なことがわかってないな、なんて思うことが多々あり、特に家族を持っている身としてはお金についてもしっかり学ばないといけないと思って取得した。 電工二種以来の国家資格なので嬉しい限り。 中々、利率の計算なんかは実際にやってみないと、すぐに忘れてしまうだろうが、これをベースに日々のお金にまつわることを学んでいけたらと思っている。 PythonZen&PEP8検定試験 先日、PythonZen&PEP8検定試験のベータ試験に関するメールをもらったので受験して合格した。 ベータではあるが、取得すると本認定となるそうだ。 自宅でWEB受験＆試験管無し、20問という緩めの設定だが、時間は60分と制限がある。 参考としては下記辺り。 PEP8公式のhttps://pep8-ja.readthedocs.io/ja/latest/と、PythonZenの訳がなされている記事を見ておくとよさそう。 私は下記を見ておいた。 https://qiita.com/IshitaTakeshi/items/e4145921c8dbf7ba57ef 普段、VSCodeでPythonのPEP8規約チェックを入れているので、ある程度はわかっているつもりでも理解していないと微妙にむずかしかったという所感。 ベータは3月一杯なので、気になる人はすっと勉強して、受験するとよさそう。 <p style='padding: 5px;'>

概要 かなり久しぶりのブログです。 タイトル通り、Ryzen7Pro4750Gでも耐えられるDeskminiの新シリーズのX300が発売されましたのでそれを使ってデスクトップPCを組み立てた話です。 https://www.asrock.com/nettop/AMD/DeskMini%20X300%20Series/index.jp.asp 実際にはAシリーズでも動くとかなんとかという話はあるのですが、4750Gの排熱に耐えられないらしくX300が開発されたとか。 ということで、長らくLinuxデスクトップPCに憧れていたのもあり、自宅作業が増えたのでノートPCからデスクトップPCへの回帰です。 構成 Deskmini X300 CPU Ryzen 7 Pro 4750G 8Core 16Thread Memory Crucial 16GB x2 DDR4-3200 (https://amzn.to/32jOGpC) M.2 SSD 1TB WD Blue (https://amzn.to/3n2Larr) CPU クーラー Noctua NH-L9a-AM4 (https://amzn.to/32p29wd) WiFiキット X300用 これらは全て秋葉原ツクモeXで見積もりしてもらい、そこで一括購入しました。 X300とRyzen Pro7 4750Gはセット価格だったかもしれません。 Ryzen Pro 7シリーズはマザーとセットになって安くなっているので、それを買ったほうがお得です。 配送料2000円込で総額104,859円でした。 ノートPCを購入するのと比べると圧倒的に安価になりました。 多分同じスペックのMacBook Proを購入するとなると、30万近くいったでしょうね。。（もちろんGPUはMacBookのほうが高性能である前提ですが） OSはUbuntuを選択したので、Windows10Proとかを購入するなら+20000円程度はみておく必要があります。 組み立て X300へCPUを取り付けるところから開始していきます。 いくつかパーツがありますが、SATA 2.5インチベイ用のネジとかがあるので、バックアップとかで使わなければ使わないパーツが結構あります。 しばらくお目見えすることはないであろうCPUはちゃんと写真を撮っておきました。 一番大変だったのはWiFiキットの取り付け。 WiFiのケーブルとキットを止めるところが1mmくらいですごいシビアだった。2箇所あるんだけどたぶんここに20分くらいかけてる。 完成 X300が非常にコンパクトでAPU搭載の4750Gはこのサイズで最強と言っても過言ではないかもしれません。 CPUもメモリ問題なく認識しています。 UEFIでマウスが使えるのが地味に便利です。 OSはUbuntuの20.10 Groovy Gorillaを導入しました。

SendGrid Night #8 https://sendgrid.doorkeeper.jp/events/99483 SendGrid Night #8が開催されるとのことで参加してきた。 その際にLT申し込みしたら、通ったのでLTもしてきた。 メモ SendGrid Update 株式会社構造計画研究所 中井勘介さん 2013年12月〜 日本語ウェブサイトや日本語サポートや日本語ドキュメント日本円決済 2019.2.1 にTwilio社に買収 New Email Activity Feed 30日前のイベントまで確認 タイトルやメタデータ CSVダウンロードエクスポート New Marketing Campagins ステップメール Email Testing Simple Signup Forms Email Validation API 実際に送信することなく検証可能 タイプミス シンタックス DNSレコード ロールアドレス バウンス実績 構造計画研究所で契約したアカウントはまだ利用できないけどこれから Email in 2020 and Beyond（Eメールの将来） 2009年〜 500億メール/月、ユーザーは8万 1971年にはじめてメールが送信された メールは終わり？2020年にはメールは無いと言っている人もいる メールはスマホで最も確認しているツール メールの将来 究極のパーソナライゼーションになっていく ebayではEmailを開封した際に確約 メールの開封率は増えてきている Google Email AMP Gmailの画面上でカレンダーのタイムゾーン等を変更できる 売上をメールで完結できる（AMPや他の技術等） アメリカの政府が一番DMARCを利用している BIMIを採用したことでCTR10%向上 個人情報の管理 Infrastructure at massive scale （月間500億通配信を支える大規模インフラ） 130000メール/秒 20億通/日 BlackFriday 2017 20日で20億通/日 40億通 サイバーマンデー 2019 2016年のときはモノリシックだった テストをやるのが大事 従来のDBやPHPの環境にカサンドラのようなものは導入すべきではない スケーラブルなシステムは設計 どんなシステムも無制限ということはありえない パワーショベルでファイバーケーブルを切断したことも diggのDCを買い上げた MDW LAS 2015, メールはそれぞれ、APIは片方 2017バージニア北部のDC APIはAWSへ pods/swimlanes/shards Shared nothing architecture, 依存を持たない 障害を抑えて他のサービスに影響がないように Pre2018, APIDでできていてSPOF 現状はマイクロサービスにして、サービス間の影響をなくしている Pull型の仕組みでPushではない 非同期処理 kafkaを中心に 検索はAthena シンプルが一番大事 全てをハイスケールにする必要は無い 影響が大きいところにだけハイスケールにする LT資料 感想 まず、SendGridの人の話が聞けたのは大変良かった。

https://sre-lounge.connpass.com/event/151290/ 場所：サイボウズ東京オフィス@日本橋 エウレカ 原田さん 去年の新卒入社 11期目 ペアーズとかカップル向けの製品 「パフォ会」→パフォーマンス定点観測会 APIとインフラに触れるメンバーが参加 Slackのワークフロービルダーで通知してる ファシリテーターを交替制にしてる Datadogでダッシュボード化していて、上から順番に一週間分見ている SLI→(総リクエスト数-5xxでかえった数)/総リクエスト SLO 99.95% エラーログのTOPを確認 SQLのスロークエリの件数/デッドロック件数 AuroraのPerformance Insightsもみてる 従量課金のコスト把握（コストエクスプローラーを見てる） パフォーマンスの異常検知を確認 アラートの断捨離（アラートはDatadogに全て寄せてる） Datadog Monitor Trendsでアラートの一覧が確認できる 指標化は大切 ツールの集約は大事→redashで可視化していたけど毎回入力していて大変だったけど、Datadogに集約できた エンドポイントごとの集計だと辛いので、今のところはAPIエンドポイントに重み付けはせずに事業全体で数値をみてる→いずれはやりたい サイボウズ アオイさん インフラ基盤プロジェクト データが増加してる 新基盤Neco→k8sを主体 検索エンジンの移行 現状はESは1台でストレージで冗長→Necoにはクラスター構成にする予定 ElasticCloud on k8s(1.0 beta) ECK使おうと思っている人→０！ indexサイズ制限してなかったために、めちゃくちゃでかいindexが生まれてしまった indexのサイズごとにクラスターを分ける案を検討 デプロイにArgoCDを使う予定 環境ごとに設定を変えるようにkustomizeを使う予定 DockerレジストリはQuay.io Quay.ioはセキュリティチェックもしてくれる 監視はPrometheusとGrafana ログはまだこれから検討 Repro 荒引さん ECS Auto Scaling desired countを調整する必要がある spot instanceを使う https://github.com/reproio/ecs_deploy Fargateを使用しない理由 パフォーマンスが低い気がする RIやSpotInstanceが無い タスクの起動が遅い log driverがaws logs一択 Firelensが正式リリースされたので解消されたかも Fargateの本格導入検証ができていない Auto Scalingグループ AZRebalance Spot InstanceはAZは考慮されない ECSだとCloudWatchのメトリクスが最大1分？ SREチームが機能開発や開発環境整備もやっている １つのクラスターで10個くらいのサービス BatchはFargate使用 Batchはスケールインの影響を受けない環境で稼働している SRE NEXT 2020.

ヒカリエにあるDeNAさんで「【Security✕Discussion】#1 DeNA・楽天・LINEとセキュリティについて語る夜」というイベントが開催されたのでその時のメモです。 https://discussion-security.connpass.com/event/148055/ セキュリティポリシーの大改訂 DeNAさん 岡村隆之さん セキュリティチームのリーダー ゲームで世界配信があると各国の法律が関わってくる オートモーティブ事業では位置情報が関わってくる 世の中と事業にあわせて改訂が必要 セキュリティをマネジメントするためにガバナンスがある → NIST 具体的な方法はコントロールで定義する コントロールが149個ある 脅威情報を外部から取得→シナリオを作成→担当者へバトンタッチ（防御検知ツールの導入・授業員研修・インシデント対応計画） 事業部やインフラ部門に確認して修正しつつ、全社的にコメントをもらう→ポリシーに落とし込む モニタリングする ポリシーに基づいて会社は動く ポリシーが有効に機能しているか確認する→実態にあわなければポリシーを修正する、事業にあわないポリシーを見つける、会社の戦略にあわせる PDCAをまわすことがポリシー改訂に必要 楽天のサイバーセキュリティの取り組み。攻撃事例を交えながら対策例の共有 楽天さん 福本佳成さん 2002年に楽天入社 初代楽天のセキュリティエンジニア 2002年は脆弱性だらけのサイトばかり 開発のセキュリティプロセスを構築 セキュリティ組織の設立 2003年にセキュアコーディングを徹底 新規で年間700プロジェクトの監査をおこなっている→監査=脆弱性チェック 定期監査 2007年にRakuten-CERT/2008年にCSIRTへ加盟 2013年から不正ログイン試行が激増 中国で楽天用の不正ログインツールが出回る 連携して不正ログインサーバーを見つけて犯人逮捕 フィッシングサイトを停止できず、ドメインが作られ続ける APWGにフィッシングサイトのデータベースがあって、各ブラウザが参照するようになった 今は15分で更新されるようになった トラフィックの30％は不正なアクセス 楽天は日本初のOWASPスポンサー 情報セキュリティのお仕事と組織運営 LINEさん 新美さん 組織はITセキュリティ系（インフラやアプリ、脆弱性）の仕事と情報セキュリティ系（ポリシーや個人上情報保護）の仕事にわかれている 若いメンバーが教育/クラウドサービスの審査等を担当 キャンペーンの情報取り扱い・文言審査・UXの確認を行っている シニアメンバーがサービス横断で設計を行っている、弁護士や法務経験者、Pマーク運用者等が担当 DBで暗号化されているかなど、専任の技術者が担当 各国法やニュース、トレンドを分析 対外企画の立案〜実行 法務機能を担う、仕事の基本は兼務（4チームで）、さまざまな専門家を登用 企画→設計→実装→運用 情報セキュリティの仕事は多様、悩みも多様 感想 今回は技術一辺倒というよりは、各社がどうやってセキュリティを担保するために取り組んでいるかという発表だったが、興味深い内容が多かったように思う。 DeNAさんのようにゲームで世界配信したり、配車アプリなどを提供していると多種多様な情報が得られるだろうし、セキュリティと一口に言ってもインフラやアプリケーションの脆弱性もあれば、個人情報の取り扱いに関するポリシーなども関わってくる。 その上で、DeNAさんはポリシーを定義してPDCAをまわしながら、世の中と事業にあわせてポリシーをアップデートしていっているというのは、適切でいて、且つ安心できるポリシーになるだろうと思う。 ガチガチに定義しただけで、実運用の伴わない、体外的なアピールのようなポリシーは運用者も指示者も疲弊して、事業にもそぐわないのおで誰もハッピーにならないのかもしれない。 人数がいて、知識や新しい動向のキャッチアップの得意な人が向いているのかもなーと思ったし、運用に則したポリシーであれば皆協力的かもしれない。 次に、楽天さんの発表者の方はセキュリティエンジニアのスペシャリスト中のスペシャリストと言った方だった。 2002年に楽天のセキュリティエンジニア第一号として入社して、ずっとセキュリティに関する取り組みを行っているようで、外には公開できない内容を惜しげもなく発表されていた。 ホワイトハッカーとはまさにこんな方を言うのだろうなと思いながら聞きつつ、楽天はセキュリティに関して日本でもトップクラスの取り組みをしているというのがわかったし、個人的には一番おもしろい話だった。 最後はLINEさんの取り組みの話で、どちらかというと組織構成の話が主だっていた。