追記

• 2017/05/12: 下記の備忘録は正確ではない可能性がある。下記の設定を実際に反映させてないのに、プロジェクトが作成できたから。

本編

GCPの備忘録を作っていこうと思う。 今までプロジェクトを2個つくり、最初は GUIでポチポチと、２個目は極力gcloud と kubectlだけで作成をした。今回は可能な限りTerraformをつかい、記録を残したいと思う。 というわけで、プロジェクトの作成から。

いきなりTerraformから逸脱してしまうが、ProjectをTerraformから作るにあたり"roles/resourcemanager.projectCreator"が付与されたIAM Policyが必要だ。これを個人メアドに割り当てることもできるが、冗長性や拡張性を意識しグループメアドに割り当てるのが得策だとかんがえる（システム用アカウントは極力作りたくない）。

ので、まずGsuiteでグループメアド(infra-admin@hogehoge.com)を作り、そこにインフラに携わる人間のアカウントを追加する。そして、iam_policyを作る

gcloud alpha organizations add-iam-policy-binding ${ORG_ID} \
            --member='group:infra-admin@hogehoge.com' --role='oles/resourcemanager.projectCreator'

これをTerraformで記述する

data "google_iam_policy" "admin" {
    binding {
        role = "roles/resourcemanager.projectCreator"
        members = [
            "group:infra-admin@hogehoge.com"
        ]
    }
}

後は、providerとproject.tfを書けば、おｋ

// Configure the Google Cloud provider
provider "google" {
  project     = "${var.project_id}"
  region      = "${var.region}"
}

resource "google_project" "proj-hoge" {
    project_id      = "${var.project_id}"
    org_id          = "${var.org_id}"
    name            = "${var.project_id}"
}

Plan & Apply

% terraform plan
% terraform apply                                                                 (git)-[master]
data.google_iam_policy.admin: Refreshing state...
google_project.proj-hoge: Creating...
  name:        "" => "gcp-hoge"
  number:      "" => "<computed>"
  org_id:      "" => "${ORG_ID}"
  policy_data: "" => "<computed>"
  policy_etag: "" => "<computed>"
  project_id:  "" => "gcp-hoge"
  skip_delete: "" => "<computed>"
google_project.proj-hoge: Still creating... (10s elapsed)
google_project.proj-hoge: Creation complete (ID: gcp-hoge)

Apply complete! Resources: 1 added, 0 changed, 0 destroyed.

以上。

DroidKaigi2017に登壇・運営スタッフ参加したので、その振返りです。

ドキッ★脆弱性 onCreate() から onDestroy() まで

スピーカーとしての振返り

8000円の参加費をとる平日開催のカンファレンスなので気合いれてたつもりだ。 まずやったことは、OverViewの作成だ。１月頭にグワ〜っと各章のタイトルと順番をつけていった。この時点で講演時間は考慮していない。

次に、各章の締め切りとアウトプットする場を設けていった。具体的にいうと毎月開催されるPotatotipsなどの勉強会でLTをすることで、各章を完遂させた。例えば1月には、当時の体制や対応のタイムラインについてPotatotipsで話した。２月には脆弱性が生まれた原因を潰すカスタムリントを作って、やはりPotatotipsでLTした。同月には、セキュリティの勉強会で脆弱性の原因についてLTした。

最後に、各章の整理だ。これは、リハーサルと同時並行で実施した。実際に声煮出すことで、聴講向けのスムーズな構成にするだけでなく、内容を記憶できたため、資料をスリム化させることができた。

本番だが、練習のお陰で、言葉につまることは少なかったと思う。資料に目を向けることを最小限にしつつ、リスナーとうまい具合にコミュニケーションを取れたと思う。ただ、滑舌に改善の余地はあるので、気長に取り組んでいきたい。尚、練習時は25分の長さだったが、本番時は20分まで短縮できた。

誤算としては、30分が意外に短く、かなり内容を削らなければならなかったこと。50分にしておけば実際の攻撃デモや体制を紹介できたのではないだろうか。また、折角の共有なのだから、英語でチャレンジするのも良かったのではないだろうか…後はおまけスライドにミスがあったことかな…

余談ですが、筋肉の前説をいれたのは（自分の）緊張をホグすためでした。

運営としての振返り

事前準備に関しては、基本的に箱詰めをお手伝いしたり、請求書を集めたりなどの簡単な作業をお手伝いしてた。会場の支払い、CONBUさんとの交渉、タスク管理、受付のプラン、公式アプリを作るなどなどと比べてライトな作業だったと思います。そういったことを本業と並行してするのはスゴイの一言に尽きますよね。自分は面と向かって褒めるのがこっ恥ずかしくて苦手なのですが、「同じ時間と空間を過ごせたことに、感謝と誇り」を感じています（僕なりの最大の賛辞表現）

当日はTwitter広報役をやっていましたが、詳しくは@keithyokoyama山のブログをを見ていただくとよいです。反省点としては、海外からいらしたスピーカーをもっとクローズアップすればよかったと思います。自分の主観でしたが、英語喋れない人と日本語喋れない人の間に交流があまりなかったような気がしています。その間の橋渡しをするためにTwitterで「Mr. AAはXX社でAndroidのUIエキスパート的なことをしてます」みたいな紹介をすべきだった、来年はしよう、という気持ちです。

総じて#droidkaigiを見ていると、好意的な感想をいただけているので嬉しく思います。 次回はより大きなイベントになると思うので、自分としてはセキュリティ面でバリューを発揮出来るようにしていこうかな、と思います（すでにご相談いただいたりしているので）

今後のAndroidと私

最近Androidいじってねーんだよな〜というのが悩み。Authenticatorアプリを作ってみたいのと、Android Thingを攻めて行きたい気持ちはあります。後は、講演の最後でも言ったような安全なアプリを作るためのトレーニング、Androidマルウェアアプリの解析などやっていきたい気持ちです。

もしも社長がセキュリティ対策を聞いてきたら（日経BP Next ICT選書）

• 作者: 蔵本雄一
• 出版社/メーカー: 日経BP社
• 発売日: 2015/06/30
• メディア: Kindle版
• この商品を含むブログを見る

上記のメモといっても、自分が流し読みした本に対するいいまとめがあったのでそれを元に構成変更・追記を実施。

• 元ネタ: http://booklog.jp/item/1/4822215911

・セキュリティは「監視的コスト」

上流の話

セキュリティ対策の優先度付け -> FMEA

リスク優先度算出時の構成要素：

• 発生頻度、影響度、防御困難度
• それぞれに対して4段階で点数化し、
• 優先度の高い内容から対策を施していく。
• 場合によっては、影響度のポイントを上げる。

セキュリティ対策の種別 -> Get Secure And Stay Secure

• Get Secure：セキュアにする
• システム化、教育といった対策
• Stay Secure：セキュアに保つ
• 検知、可視化、改善

セキュリティ対策による部分最適にならないためには

• 運用管理しやすい仕組み
• 他の階層と連携（認証基盤・アクセス制限・ファイアウォールなどの連携)
• 認証基盤の統合
• CISOの設置

セキュリティ対策のコスパ

アプローチ

• 守備範囲の限定
• 標準機能の活用
• アリモノを更新
• 多層防御

ソリューション選定 -> コンジョイント分析

• 対策から各アプローチから選定されたソリューションの特徴を抽出し、比較検討する

特長例

• ウイルス対策: 検出率、IT基盤統合、管理工数、ライセンス費用
• 出口対策: 提供形態、レポート、リセンス費用、認証ユーザー

多層防御

• 物理セキュリティ
• セキュリティポリシー
• 認証基盤
• NW境界
• 内部ネットワーク
• エンドポイント
• アプリ
• データ

セキュリティ対策の効果測定 -> PDCA

中長期: 計画達成のPDCA

• Plan
• Do
• Check
• Action

短期: 問題解決のPDCA

• Problem-Finding：問題発見
• Display：可視化
• Clear：問題解決
• Acknowledge：確認

セキュリティ対策の必要性や脅威の動向を経営者に説明する -> PEST分析

• Political：政治的環境要因
• Economic：経済的環境要因
• Social：社会的環境要因
• Technology：技術的環境要因

セキュリティ対策の4段階 -> NIST SP800-61

• 準備　→　検知・分析　→　根絶・復旧・封じ込め →　事件発生後の対応
• 検知・分析部分の強化が早期発見への近道。

セキュリティルール作りの際の考え方

• ポリシー：情報セキュリティに関する基本方針
• スタンダード：実施する対策
• プロシージャ：利用する製品や管理手順

ルール実施までの流れ

• ルール作成・みなおしの体制創り -> CFT(Cross Functional Team)
• ルール切り分け -> 技術的な強制ルール vs 強制しないルール
• ルールに応じた仕組みの実装　-> ペナルティや損害イメージ

ルール切り分けの方針 -> MMOから考える

• Measure/Motivation/Opportunity(MMO)から考える
• MotivationとOpportunityを下げることで発生頻度を下げるのがよい。

ルールの効果測定方法 -> DAGMARモデル

• 5段階の達成度合いを計測:
• 未知: まだ知られていない状態
• 認知: 存在を認知
• 理解: ルールの内容・背景を理解
• 確信: 良いモノ（重要性)だと確信
• 行動: 順守

企業文化・人材も視野に入れた包括的なセキュリティ対策: -> マッキンゼーの7S

• Shared Value（価値観）：ソフト <- 他のSにも影響
• Strategy（戦略）：ハード
• Structure（組織）：ハード
• System（システム）：ハード
• Skill（スキル）：ソフト
• Staff（人材）：ソフト
• Style（スタイル・社風）：ソフト

要素技術

認証基盤構築のポイント

• IDはユニークに
• パスワード管理ポリシーの矯正
• 管理者IDは強く(ICカードなどの利用)
• 認証基盤は統合

エンドポイントの一般的対策

• ウイルス対策ソフトの導入と定義ファイルの常時最新化
• パッチ(セキュリティ更新プログラム)の適用と更新
• 不正プログラムの起動防止(起動可能なソフトをホワイトリスト方式で管理)
• 不正通信の禁止
• 盗難・紛失による情報漏えいを防止(FDE/リモートワイプ)

安全・柔軟なIT基盤 -> 3A(AnyTime, AnyWhere, AnyDevice)

• AnyTime: 社内のどこでも -> 無線LAN, デジタル証明書(or パスワードとMACアドレス制限)
• AnyWhere: リモートワーク(部分アクセス(クラウド) or 完全アクセス(VPN))
• AnyDevice: BYOD(検疫ネットワーク)

セキュリティ対策を支援する機能

• OS標準イメージ
• インベントリ収集
• アプリやセキュリティ更新プログラムの配布（サイレントインストールとスケジュール)
• バックアップ
• 特定の実行ファイル・起動時間の把握(利用頻度のか把握や感染端末の特定など）
• ヘルプデスク支援
• 安全な構成
• 管理者権限のコントロール

例

• 操作ログを取得する
• 操作ログを分析する
• 管理者権限は申請時しか利用させない
• セキュアな領域での作業は必ず2人1組

もしも社長がセキュリティ対策を聞いてきたら（日経BP Next ICT選書）

• 作者: 蔵本雄一
• 出版社/メーカー: 日経BP社
• 発売日: 2015/06/30
• メディア: Kindle版
• この商品を含むブログを見る