✏️

2024年の情報セキュリティ&SRE社内勉強会を振り返る

2024/12/04に公開

この記事は MICIN Advent Calendar 2024 の4日目の記事です。
https://adventar.org/calendars/10022
前回はYotさんの『自分たちのアジャイル開発の紆余曲折を振り返る』でした。


はじめに

MICINの情報セキュリティチーム&SREチームでは、『最新の技術情報の交換』『各自の業務内容のアウトプット・キャッチアップ』『各自が興味のある情報の共有』を目的とした社内勉強会を毎週開催しています。今年のはじめに本勉強会の取り組みについてご紹介させていただきましたが、2024年も残り1ヶ月を切り、今年も無事勉強会を続けることができそうです。

この記事では、2024年に勉強会で発表された内容を振り返るとともに、新たな取り組みについてもご紹介します。自社の勉強会などの発表ネタや、運営の手助けに貢献できれば幸いです。

2024年の発表内容

🛡セキュリティ

『情報セキュリティの敗北史: 脆弱性はどこから来たのか』 解説

https://www.hakuyo-sha.co.jp/science/security/
コンピュータの誕生から現代までの情報セキュリティの歴史を振り返り、失敗事例を通じてセキュリティリスクの起源と課題を探る書籍です。「どうすればセキュリティリスクを下げることができるだろうか」ということを、各々が考えるきっかけとなりました。

『マスタリングOkta:IDaaS設計と運用』 解説

https://www.oreilly.co.jp/books/9784873119717/
MICINではエンジニア組織の技術力アップのため、オライリーのサブスクを契約し、希望者がオライリーの電子書籍を自由に読めるサポート制度を今年1年間限定で導入しました。この勉強会でも、そこで読んだオライリー本を紹介する方がいらっしゃいました。この書籍はIDaaS(クラウドベースの認証サービス)の1つであるOktaについて、各種機能の具体的な使用方法について解説されたものです。MICINで利用しているIDaaSとOktaの機能差分や、書籍中のベストプラクティスと比較した際の現状のIDaaS運用の改善点を中心に解説し、今後のIDaaSの活用について議論しました。

『LLM and Generative AI Security Solutions Landscape』 解説

https://genai.owasp.org/resource/llm-and-generative-ai-security-solutions-landscape/
OWASPが発行しているLLM(大規模言語モデル)や生成AIに対するセキュリティソリューションのリファレンスガイドで、堅牢で安全なAIアプリケーションを構築するために必要な知識とツールについて解説しています。昨日、ブログにも解説記事を公開しましたので、併せてご覧ください!

個人情報とデータ利活用の両立について

個人情報に関して、その概要やデータ加工を含む提供における課題、提供時の権利や保障について解説いただきました。

ISMAPについて

政府情報システムのためのセキュリティ評価制度であるISMAPについて、制度の概要や、社内の準拠状況について解説いただきました。

Jamf Proについて

MacやiPhoneといったiOSデバイスの管理システムであるJamf Proの社内導入を推進された方に、どのような機能を備えているか、解説いただきました。また、導入の背景やどれだけ便利になったかなどについて、苦労話も交えながら語っていただきました。

SIEMワークショップ

プロダクトのログ収集基盤(SIEM)に使用しているOpenSearchを用いた、ログ調査を行うワークショップを実施しました。昨年もこの勉強会でSIEMに関するワークショップ実施しましたが、1年近く経過して操作を忘れがちな点もあり、継続した学習の機会があることの重要性を実感しました。

🦎SRE・インフラ

『AWSコスト最適化ガイドブック』 解説

https://www.kadokawa.co.jp/product/322104000266/
AWSでのクラウド利用費用の削減アプローチ、AWSコスト管理に関するサービスの利用方法、持続的な最適化を促進するための体制や運用プロセスの整備について解説された書籍です。一般的なコスト削減手法を学び、自社でのコスト削減の可能性について議論しました。

『システム運用アンチパターン』 解説

https://www.oreilly.co.jp/books/9784873119847/
ソフトウェアシステムの開発・運用において陥りやすい状況や犯しがちな間違いをアンチパターンとして紹介し、それらを改善するための具体的な行動が解説された書籍です。MICINでは、これらのアンチパターンに該当していないか、改善点はないかを議論しました。

『データ保護完全ガイド —あらゆるデータの保全と回復を可能にする』 解説

https://www.oreilly.co.jp/books/9784814400553/
データを保護する上で用いられる手法やソフトウェア・サービス、バックアップとアーカイブを保存する際に使用されるハードウェアなど、データ保護に関する知識が解説された書籍です。バックアップとアーカイブの違いといった基本的な部分や、クラウド環境でのバックアップ、最新のデータソースに関するバックアップなど、重要なポイントを学びました。

Terraform Provider-defined Function ハンズオン

Terraform v1.18でリリースされたTerraform Provider-defined Functionについて、ハンズオン形式で解説いただきました。これまでTerraform単体では実現できなかったことについて、どのようなことができるようになったかを学びました。

Datadog Learning Center ハンズオン

https://learn.datadoghq.com/courses/core-web-vitals-lab
アプリケーション監視に使用しているDatadogの学習コンテンツであるDatadog Learning Centerをハンズオン形式で解説いただきました。普段あまり利用していないDatadogの機能に関する理解を深めました。

オブザーバビリティ入門

https://speakerdeck.com/kesompochy/pepabonoobuzababiriteiyan-xiu-2024-shuo-ming-zi-liao
GMOパペポ社の研修資料を活用させていただき、オブザーバビリティの重要性や、オブザーバビリティを高めるために必要なテレメトリーにはどのようなものがあるか、監視とオブザーバビリティの関係性などの理解を深めました。

機能フラグについて

https://www.getunleash.io/
ソフトウェア開発において特定の機能を動的に有効化または無効化するための技術である機能フラグについて、概要や実装テクニック、代表的なツールについて紹介いただきました。その後、Unleashのデモアプリをハンズオンで解説いただき、どのような機能が存在するかを学びました。

💻IT全般

『エンジニアリング組織論への招待』 解説

https://gihyo.jp/book/2018/978-4-7741-9605-3
エンジニアリングにおける課題解決のための思考整理方法やメンタリング手法について解説されている書籍です。この中の「取引コストと技術組織」と「技術的負債」の章について紹介いただきました。

『ソフトウェア品質知識体系ガイド』 解説

https://www.juse.or.jp/sqip/squbok/index.html
ソフトウェアの品質を体系的に整理し、解説している書籍です。来年にかけて分割して解説いただいている途中ではありますが、情報セキュリティやSRE業務では触れにくいソフトウェアの品質保証や品質向上に関わる技術者とって有用な知識を学んでいます。

MX/SPF/DKIM/DMARCについて

神奈川県の公立高校入試の出願システムのメール送信トラブルが話題になっていた時期に、メール関連のDNSレコードについて、その意味や設定方法を学び直しました。

💼ワークスタイル

『世界標準の経営理論』 解説

https://www.diamond.co.jp/book/9784478109571.html
世界で標準となっている経営理論が網羅的かつ体系的にまとめられている書籍です。前述の「エンジニアリング組織論への招待」の取引コストに関する解説の基礎知識として、取引費用理論の章を解説いただきました。

兵站について

https://dic.nicovideo.jp/a/兵站
兵站とは、戦闘地帯から離れた場所で活動する軍隊におけるさまざまな行動や、それらを担当する部署を指す総称であり、順調な活動を支える後方支援を意味します。情報セキュリティチームやSREチームが社内の横断組織として、社内のオペレーションの効果や効率をどのように向上させることができるか(≒後方支援できるか)について、兵站の考えからヒントを学びました。

🛫イベント

『AWS re:invent re:Cap』

https://aws.amazon.com/jp/events/reinvent-recap/
2023年11月から12月にかけてラスベガスで開催されたAWSのカンファレンス『AWS re:Invent』を振り返るイベントです。講演資料を読み合わせながら、AWSの最新技術について学びました。

『アルティメットサイバーセキュリティクイズ』 社内でもやってみる

https://www.seckansai.com/ucsecquiz/
2024年7月に開催された『アルティメットサイバーセキュリティクイズ2024』の問題やルールを参考に、MICIN社内でセキュリティに関するクイズを開催しました。リラックスした雰囲気の中、セキュリティやIT知識を深めました。

『Business Technology Conference Japan 2024』 参加レポート

https://btcon.jp/2024
情報システムやコーポレートITに関するカンファレンス『Business Technology Conference Japan 2024』に参加したメンバーから、セッションの紹介やカンファレンスを通じて学んだ内容を共有いただきました。

エンジニア合宿のお題検討会&振り返り

2024年8月に『生成AIを利活用したPoCをやってみよう!』というテーマで、MICINのエンジニア合宿が開催されました。合宿では、本勉強会に参加している情報セキュリティとSRE関連メンバーでチームを組み、Microsoft Azure上で生成AIを利用するための基盤の整備に取り組みました。合宿の開催に先立ち、勉強会の時間を使って合宿の取り組み内容を事前に相談したり、合宿後には実施内容の振り返りや今後の運用に関して議論したりしました。情報セキュリティチームとSREチームが定期的に集まり、気軽に議論できる場があることは有益だと感じています。

2024年の新たな取り組み&おわりに

2024年の新たな取り組みとして、情報セキュリティ・SRE関連メンバーだけでなく、社内のエンジニアメンバー全体に対して参加の呼び掛けを広く行い、よりオープンな勉強会にすることを目指しました。テーマによって興味の有無に差があるため、参加者の数にばらつきはあります。しかし、少しでも聴講者が増えることで、組織全体としての知識の底上げに繋がるとともに、発表者のモチベーション向上にも繋がっていると感じています。


エンジニアメンバーへのアナウンス

発表者としては、興味を持っていることを調べたり、購入したまま積読している書籍を読むきっかけとなります。聴講者としては、自ら主体的にはあまり触れない様々なジャンルの知識を吸収できるということでメリットを感じています。2025年もさらなる勉強会の継続を通じて、MICINの技術力向上を目指します!


MICINではメンバーを大募集しています。
「とりあえず話を聞いてみたい」でも大歓迎ですので、お気軽にご応募ください!
https://recruit.micin.jp/

株式会社MICIN

Discussion