はじめに
きっかけは山原さん@shonansurvivorsがSOC2関連のイベントをやりたいとのことで、 LT枠の相談をいただき、即答して登壇してきた。そもそもSOC2の勉強会がないのと、セキュリティ施策やShisho Cloud/Takumi導入の話を中心に、SRE視点でのSOC2対応やセキュリティ運用のリアルについてライトに話してきた。早速イベントレポートしていきたいと思う。
イベント概要
https://security-compliance.connpass.com/event/366743/
SOC2というセキュリティに関する制度・仕組みを解説した情報はWebで検索すれば様々ありますが、実際に取得やその後の運用に関わったエンジニアによる、現場の生の情報はまだまだ少ないのではないでしょうか?本イベントはSOC2取得済みのスタートアップ、ベンチャー企業のエンジニアによる、SOC2をテーマとしたLT会です。
会場
会場はprimeNumberオフィスで行われた。primeNumberさんとは個人的に教え子やメンバーの方と知り合いが多いのだが、オフィスに来たのは初だった。広くてキレイなのが魅力的だった。オフィスが見当たらなくてギリギリで現地に到着したので、むちゃくちゃ焦った。はじめはスポンサーLTということで、pN CTO 鈴木さんのお話が始まった。次に自分はLT一番手だったのでドキドキ。
Findy Team+のSOC2取得までの道のり @adachin0817
一番手ということで、まずはSOCの基礎的な仕組みや考え方からお話しした。入社してからは、Shisho Cloudの導入やセキュリティログ基盤の構築など、SOC2対応に向けて多くの取り組みを進めてきました。当時は忙しかったが、事例をチームで作り上げられたのは大きな成果だったと思う。
SOC2取得の全体像 @shonansurvivors
さすが@shonansurvivorsさんといったところで、SOC2取得における全体像と分かりやすい図による解説だった。SOC2の取得は情シスからエンジニア含めて巻き込む必要があるので、システム構成や権限、データフローなどの棚卸しから、不要な設定、データの削除まで、徹底的に見直すプロセスが不可欠。どこまでやるべきか、どう進めるべきかのイメージが持てたら良いと思う。
継続的セキュリティ&ガバナンス強化とSOC2タスクの自動化 @umisora__
マネーフォワード@umisora__さんのお話。SOC2取得理由や維持の自動化にるDrata Agentを活用して証跡収集やリアルタイムモニタリングを自動化されていた。AdminaはAPI連携により、全SaaSアカウントや特権IDの情報を一元取得し、GitHub Actions で管理・処理を自動化するという、非常に実践的で再現性の高い構成だった。作り込みがすごいといった感想。
まとめ
懇親会では質問攻めにあったが、情シスの方の参加が多いように見えた。普段SREやセキュリティエンジニア同士では出てこない視点の質問も多く、新鮮だった。個人的にようやくFlattのAzaraさんに出会えたのが嬉しかった。イベントはとてもゆるかったのと、次回も開催してほしいところ。ぜひ、他社さんでSOC2取得した際には登壇楽しみにしてます!
最後に山原さんお疲れ様でした!以下pNさんがイベントレポート書いてくれたので、そちらもチェックしてみてください。ありがとうございました!
0件のコメント