株式会社レバテックが運営するイベント、【ヒカ★ラボ】ITI Meetup#1

10月になり、少し寒くなってきて参りました。皆様いかがお過ごしでしょうか。

私は先日、”ヒカリエ・ラボラトリー(研究所)”、略して”ヒカ★ラボ”にて行われた、「ITI Meetup#1インフラ(SRE)になってから半年!ITIインフラ技術について飲みながらお話します!」というイベントに参加してきました。

イベント会場の様子。

円形にステージを囲み、ヒカリエ17階からの最高に綺麗な渋谷の夜景を見ながら、アルコールを含めた飲食をたしなみながら受けるインフラ勉強会は最高でした(笑)。

「ヒカ★ラボ」とは?

渋谷にある商業施設「ヒカリエ」にて、ITに関する勉強会を不定期に開催しているコミュニティです。

株式会社レバテックがエンジニア、クリエイターの方のために無料で勉強会を開催しており、幅広く様々な技術について学ぶことができます。

今回私は株式会社ITIが「ヒカ★ラボ」にて開催したインフラ勉強会に参加してきましたのでそのレポートをお届けします。

イベントでは、

・AWSを使っている方
・新しい技術に興味のある方
・既にインフラエンジニアな方
・既にInfrastructure as Codeを実践してる方/したい方
・Zabbixサーバを運営してる方
・Vulsサーバを運営してる方

に向けて知っておくと嬉しい情報が盛り沢山でした。

ご興味のある方は、コラム最後に登壇者のプレゼンテーションも掲載しておりますのでぜひ御覧ください。

株式会社ITIとは

早くからスマホ対策の重要性に気が付きアプリの開発をされてきた会社です。スマホアプリの開発だけでなく、顧客管理システムの開発・運用受託、
自社Webサービス、Webメディア運営、インターネット広告事業およびプロモーション事業(動画・CM制作・キャスティング、インフルエンサー・YouTube)を手がけるベンチャー会社です。

Web開発にはなんと「KUSANAGI」を導入したWebサイトの運営も行われているそうです。先日わたくしは株式会社ITI様が運営する「WOMAGAzine」というメディアサイトについてインタビューさせていただきました。

過去のインタビュー記事はこちらから→https://www.prime-strategy.co.jp/achievements/jirei_iti_womagazine/

WOMAGAzine

「WOMAGAzine」は、女性に向けて、ちょっとかわいくなれるヒントが盛り沢山の、10代を中心としたターゲット層に向けたメディアサイトです。

プロモーションによるPV数上昇対策として、共有サーバーから負荷に耐えられるクラウドへの移行を行う際に、「KUSANAGI」を導入してサーバーの耐久性を向上し、安定した運用を可能にしたそうです。

このイベントの仕掛け人、安達涼こと”あだちん”さん。

今回のインフラ勉強会を企画されたのはこの方。株式会社ITIでSREチームを率いるあだちんさんです。以下、”あだちん”に”さん”を付けると長くて読みづらくなるので”さん”無しでいきます( ´∀` )

あだちんは月間数万PVもある技術ブログ(https://blog.adachin.me)を運用されており、初心者から~上級者まですべての人に対してわかりやすいインフラ知識を発信しています。

趣味で自宅サーバを構築したり、社内ではSREインフラチームを立ち上げ業務の効率化、信頼性の向上を図るなどの取り組みをされています。

「SRE」とは「サイト信頼性エンジニアリング」の略称で、Googleがどのようにして世界最大規模のソフトウェアシステムの構築、導入、監視、および維持を可能にしたのかを説明している書籍です。この書籍の考え方を、各企業が各種サービス開発に活用されています。

「サイトリライアビリティエンジニアリング 無料」の画像検索結果
サイトリライアビリティエンジニアリング(クリックすると、書籍ページに飛びます)

私も「SRE」の存在を知って驚いていたのですが、O’Reilly社が出版している本書籍は、Googleの下記ページにて無料で公開されているようです。

https://landing.google.com/sre/

ぜひ、上記URL先のぺ―ジ右上の”Read SRE Book”というリンクをクリックして、無料ドキュメントをダウンロードしてみてくださいね。

脆弱性検知ツール「VULS」、kernelの脆弱性について

今回主催のあだちんからは、主に脆弱性検知ツール「VULS」についてご紹介して頂けました。

その資料がこちらです。

「バルス」の画像検索結果

間違えました(笑)

こっちです。テーマは「脆弱性検知ツールVULSの導入をしてから半年経ってみて」です。

「VULS」とは、「VULnerability Scanner」の略称で、フューチャーアーキテクトの神戸氏、林氏によって開発されました。

本イベントに参加する前、私の中ではインフラエンジニアは、お客様の為にずっとパソコンの前に張り付きログを監視していないといけないイメージでした。しかし、今回のイベントで、イメージが変わりました。

 

インフラエンジニアはいろいろなツールを使い、工夫をして作業されているようです。「VULS」などの便利なツールを使えば、効率よく作業ができるだけでなく、作業の抜け漏れも防ぐことができるようです。

例えを挙げるなら、脆弱性の対応。

脆弱性が発見された場合、ネットやメールでアラートを受け取り、情報を得ると思うのですが、中々リソースが足りない企業だったりするとメールを見逃しがちだと思います。

それだけでなく、他のところにも脆弱性があるか調査しないといけない必要もでてきて、作業が複雑になるという可能性もあります。

「VULS」を使用すると、Linuxサーバーに存在する脆弱性をスキャンすることができます。その他にもOSパッケージ管理対象外のミドルウェアをスキャンするなど、各種ソフトウェアのスキャンを自動化することができます。

下記はプレゼンの中で使用された、脆弱性データベースJVN iPedia(2017年4月~6月)の登録件数です。

出典元: https://www.ipa.go.jp/security/vuln/report/JVNiPedia2017q2.html

脆弱性の件数、合計で70996件!たった3か月で!驚きの数値です。

「VULS」を使用すると、設定ファイルのテンプレートを自動生成したり、EmailやSlackなどの脆弱性の通知を可能にしたりと、開発者にとって嬉しい自動化ツールが盛り沢山で搭載されているようです。

 

しかしこの件数を自力で捌くことは到底難しい・・・。だから「VULS」に始まる自動化ツールは必要なんだと思いました。

インフラエンジニアが実務の中でどんなことをしていて、何に困っているのかイメージできるようになったことが、今回のインフラ勉強会に参加して得られた一番の学びです。

 

ちなみに同レポートには通脆弱性タイプ一覧CWEが掲載されていたので、「WordPressプラグインに関する脆弱性対策状況」の調査結果を貼り付けておきます。

クロスサイトスクリプティング(CWE-79)が51.4%と多くを占めており、続いてSQLインジェクション(CWE-89)、パス・トラバーサル(CWE-22)が13.5%となっています。WordPressに関する脆弱性は本体だけでなく、そのプラグインのソフトウェアにも存在しており、SQLインジェクションの脆弱性を悪用されるといった重大なインシデントが発生する可能性があるということですね。

最近では、Linux Kernelの脆弱性情報(CVE-2017-1000253)が公開されていますし・・・。サイト運営者の方、お気を付けて下さい。

安達さんのプレゼン動画はこちらからどうぞ→https://www.youtube.com/watch?v=Mv-ToDC10_o&feature=youtu.be

登壇者プレゼン資料ご紹介

下記に、株式会社ITIのインフラエンジニアの方々が作成されたプレゼン資料を掲載いたします。

どうぞご覧ください。

企画開発部 インフラ(SRE)チーム 稻葉 涼 さん(https://blog.vtryo.me)

「Terraformで実装できることをAnsible AWSでどこまでできるか」

企画開発部 インフラ(SRE)チーム 宮澤 輝 さん

「新卒がZABBIX3でサーバ監視を冗長化⁉H2Oにも移行した!」

企画開発部 インフラ(SRE)チーム 當山 翔太 さん

「お菓子おじさんによる[AWS CLI]シェルでAWSサービスの自動構築をやってみた」

わたしもたまに、株式会社ITIのメンバーの皆様に個別勉強会にてインフラ知識を教えて頂いております★

インフラ勉強会の様子

このような個別勉強会にご興味がある方は、まずこちらのフェイスブックページをフォローすることをお勧めいたします。

「もう落ちこぼれじゃないようなエンジニアの反乱」→ https://www.facebook.com/groups/340982456050050/

それではどうも!最後まで読んで頂きありがとうございました。

Follow me!

asumi