インフラ初心者お勧め!「インフラ勉強会」とは?
こんにちは。
まだエンジニア歴2年目のぺーぺーな私なんですが、最近インフラ初心者にとってとてもとても有益なコミュニティを知ったので、共有したいと思います。
(良いな!って思ったものは広めたくなるタイプです。)
最近、自社・客先の業務だけでは物足りなさを感じていて(まだペーペーだから仕方ないんですけど)、「なんかもっと勉強したいけど何から手を付けようか、、、」と悩んでいました。
そんな時、「女性エンジニアの繋がりが欲しい!!!」と思い立ってふらっと参加したTECH PLAY女子部のイベントで「インフラ勉強会」というコミュニティがあることを知ったんです。
こういうエンジニアのコミュニティって敷居高そう・・・って思ってたのですが、インフラをゼロから始める初心者向けの勉強会らしく、思い切って参加することを決めちゃいました!
しかもこの勉強会、毎晩オンラインで行われていて、ラジオ感覚で視聴できるのでとても便利ですし、インフラ初心者にとってはとてもとてもありがたい。
興味がある方は、Twitterでインフラ勉強会(@infra_workshop)を検索してみてください。#インフラ勉強会というハッシュタグで検索してもよいですね。リンクも張っておきます。
本当にインフラ初心者にも分かりやすいの?
とはいえ、本当にインフラ初心者にとって分かりやすく、敷居が高くないものなのかな・・・?って思いますよね。
そこで、実際にどんなことを勉強会のテーマで取り上げて話しているのかちょっとレポートしたいと思います。
勉強会参加レポート
今回参加した勉強会は「インフラエンジニアのための脆弱性対応」というテーマのもと行われました。
かなりざっくりまとめると、「脆弱性が見つかったら放置せずに対処しようね!」というお話でした。
脆弱性ってなんぞや?って思うかもですが、読んで字のごとく「脆くて弱い性質」のことです。すなわち、システムの弱点ということです。
まあ、これを放置しておくと、システムを改ざんしたり情報を抜き取ってやろうっていう悪質な人たちが寄って来るよ!というわけですね。
具体的に言うと、脆弱性をそのままにすれば、システムに第三者がログインしてきて「cp -p /*」(システムの情報取られるコマンド)や「rm -rf /*」(システムの情報全て消すことができるコマンド)を実行される可能性が高まってしまいます。
そこで、インフラエンジニアとしてどのような対応をしていけばいいのか3つに大別してお話をされていました。
まずは、日頃から最新のセキュリティ情報をつかんでおくこと!
その情報源として、
・NVD
・JVN
・IT media
などを挙げられていました。
後は、CERTとかCIACとかなのかな?
次に、インフラエンジニアがどうするか決めること!
対処方法としては、
・保有(攻撃を受ける状態を維持。お金ないとき、損害が大したことないときとか)
・回避(攻撃を受けない状態にする。ソフトウェア変える。パッチあてるとか)
・低減(攻撃の影響を小さくする。監視機能の追加とか)
・移転(脆弱性対策を他に移す。他社サービスに切り替えるとか)
の4つを挙げられていました。
移転は、金銭的な問題だったりお客さんとの兼ね合いで中々ないそうです。
まあそうですよね(笑)
そして、最後に顧客に完了報告をして安心させること!
何かソフトウェアに脆弱性が見つかったら、そのソフトウェアを使っている顧客は不安になりますよね。
提供する側としては、「問題あり」と言うのは言いづらいですが、そこは嘘つかないことが重要で、いつまでに対処が完了するのか具体的に説明することが顧客との関係性を良好に保つためにも必要ですよというお話でした。
まとめ
今回は30分程度の勉強会でしたが、ベッドで寝転がりながら聞けるくらいとても分かりやすく面白かったです。
日頃からセキュリティ意識は持っておく必要があるなと再認識しました。
気軽に質問もできるようなので、興味がある方はインフラ勉強会に参加してみるといいよ!というお勧め情報でした。
それと私が折角得た知識を忘れないようにするための備忘録でした。
以上。