DevOps時代のセキュリティ事情に参加しました。その感想。
感想
まだ実務に携わっていないので、ピンとこないお話も結構あったけれど、多くの学びがあった。
箇条書きにすると、以下のようなことを知った。
- 開発手法が変わることにより、開発者の関わる範囲、責任が増している
- DevOps時代の今、セキュリティについて考えないといけないのはインフラ部分だけではなく、むしろCI/CDパイプラインや開発者の端末、OSSなどの脆弱性が狙われている。
- セキュリティを学ぶための基礎として、最低でもネットワークの知識は必要。できればコンピューターサイエンスも欲しい。
- セキュリティについて実践的に学びたいなら、まずは攻撃を知ること。抽象的に知るのではなく、実際に環境を作って攻撃を行うことでわかることがたくさんある。
- 防御は難しい。
お話を聞いていて印象的だったのは、ソーシャルエンジニアリングについての言及が多かったこと。
セキュリティと言うと、ついPC越し、ネットワーク越しにハッキングされるイメージがあったけれど、脆弱性はありとあらゆるところにあるんだな…と考えさせられた。
DevOps時代の今、開発を行うなら、セキュリティとは無関係ではいられないことをしっかり認識できたのが、一番の収穫だったと思う。