Microsoft Tech Summit 2017の感想など
行ってきました。
場所はウェスティンホテル東京で写真はこんな感じです。写真の腕がしょぼくてすいません。
少し宣伝
今回は、自社のブース展示&対応を行っていました。内容はAzure AD JoinしたWindows 10 PCで、オンプレADにSSOできるというものです。今まで、オンプレADにSSO出来るのはそのADに参加している端末のみ、ワークグループ端末その他は、オンプレファイルサーバーなどにアクセスする際、ID/Passwordを入力するのが常識です。しかしながら、ある条件、具体的にはWindows Hello for Business ハイブリッド構成環境であれば、Azure AD JoinしたPCでオンプレADにシングルサインオンできちゃうんです!!!!すごい!!!!
…というのがあまり実感頂けなかった気がするので、ロジックなどを別のブログ記事で説明したいと思います。ひとまず検索で引っかかるようにキーワードを強調表示しておきます。。。
宣伝はこれくらいにしてセッションの感想です。展示準備のため十分に参加できませんでしたが、聞けたところだけメモします。
DAY1:CLD001:インフラ エンジニアにもできる企業の IT 改革 ~モダンなインフラを作ろう~
途中から入室。少し抽象的なセッションで、意気込み重視というか、技術的な要素は少なかった気がします。
DAY1:PRD012:16万人の「働き方改革」を支えるICT活用 ~社内実践から見えた効果と課題とは~
富士通さんのセッション。使用されている技術に目新しさはないけど、それをどうやって16万人に浸透させるか、という話。新しい技術を振りかざしてお客様を訪問するだけではなく、その技術を実際ユーザーにどうやって使ってもらうかまで意識しないといけないな~と思いました。。新システム導入で一番怖いのは、使い勝手が悪くてユーザーから文句が出るのではなく、導入しても無視され使われない事なんです。
DAY1:SEC001:GDPRと国境無きインターネット
お仕事に影響あるのでちゃんと聞きました。
GDPRという制度について
- EU域内の国民の個人データを他の国で不適切(適切であっても?)に保管すると罰金。売り上げの4%か26億円。
- EUは本当に制裁を発動させるので、ちゃんと対応する必要がある。
- 何かいちゃもんつけられた時に、少なくとも"ちゃんとやってますよ"と説明責任を果たす必要がある。
個人データとは?
- メールアドレスも個人データ。
- メールリレーサーバーをメールが通っただけでGDPR対象。個人データの処理が対象だから。
- IPアドレスやcookieも個人情報である。
- つまりなんでも個人データと思った方がよい
GDRPの登場人物
- データ主体⇔管理者⇔処理者
- データ主体:個人(EUの人たち)
- 管理者:お客様企業
- 処理者:MS(SaaS事業者)
- Q.日本にしか会社ないんだけど?
- A.日本にしかなくても、EUの人がショッピングサイト使って自分の名前などを登録しており、ショッピングサイトが日本にあればGDPR対象
GDPR有効化における主要な変更点
- データ主体者の権利を担保する
- アクセス
- 修正
- 消去
- 意義申し立て
- エクスポート
- 制御と通知を確保する
- データに対するセキュリティ
- 侵害検出後の72時間以内の当局への通知
- 同意の取得
- データ処理の詳細な記録の保持
- EUのデータを収集するのがダメなのではなく、きちんと管理してますよ、と言えない事が問題である。
- DPO(Data ProtectionOfficerの選出)はほぼ必須
※ ここらへん、後でスライド補足
EU域外+信頼されている国以外にデータを出すのは原則禁止。EU域外で"信頼されている"国は10数か国で日本は含まれない。
マイクロソフトはどうやってるの?
"世界中のお客様のGDPRへの取り組みをお手伝いします。"具体的なアクションはオンラインサービス条件の中に文言として盛り込む。ひとまず安心してほしい。
…とのこと。
具体的なシステム面からの説明はありませんでしたが、SaaS事業者としては、EUリージョンに建てたIaaSを勝手に他のリージョンに移動しない、という事になるのでしょうか。このセッションを聞いていると、GDPRはSaaS事業者だけの問題ではなく、SaaSを使用する企業自身の問題と感じました。
お客様は何をしないといけないのか??
"ちゃんとやってますよ"というプロセスを作る。例えば、名刺を受領した時…
- ×よくない例
- 各人の名刺入れに保管し、捨てたり家に持ち帰ったりポリシーが統一されておらず、トラッキングは出来ない。
- ○よい例
- 社内に持ち帰った段階で、名刺管理DBに情報を入れている
- 各人は必要な時にオンラインで名刺管理DBを参照する
- 名刺管理DBはIRMがかかっており、社外にコピーできない
など。
感想
EU国民のデータを日本のサーバーで触らない、となると、自社のお問い合わせフォーム用のサーバーをEUに配置して、EU域内のIPからアクセスされた場合、EU内のWebフロントエンドに飛ばしてデータもそこで持つ…としないといけないけど、どんだけシステムコストかかるねん、という話だし、例えばEU国民が日本に旅行に来て日本語でお問い合わせフォームに書いたら、システム上はGDPR対象のデータであると分からない。
それ以前に、仮にEUにEU国民のデータを保管しても、日本の端末から閲覧しただけでブラウザキャッシュが残っちゃうので、結論から言うとシステム的にGDRPを守るのは不可能じゃないかと。
よって落としどころとしては、EU国民のデータも"仕方なく"日本国内のサーバーで処理しちゃうことがあるけど、ちゃ~んと保護するし、ユーザーから申請があれば削除するようなフローを作るし、不要に長期保管しない仕組みを作ってますよ、と言うしかない?
まーしかしskype会議でEUの支店と会話してPPT共有したらどうすんねん、とか考えると辛いね。GDPRの正式施行は2018年5月らしいので、EUの動向に要注目です。
DAY1:SEC002:セキュリティ マニアックスでおます~コネクテッド カー時代に活かす IT サイバー セキュリティ~
途中入室。面白かった~。
- クルマのハッキングを防御するためには、PCと同じく多層防御の考え方が必要。
- PCの場合
- Tier2:クライアントPC
- Tier1:管理者アカウント
- Tier0:サーバー
- のような多層構造となっており、クライアントPCがやられてもそいつを組織から切り離せばOK、など。
- クルマの場合
- Tier2:物理ソケット。ここが破られるとチップを入れ替えられて物理的に乗っ取られてしまう。例えばカーシェアなど不特定多数で共有する車はこういった物理的なセキュリティもしっかりしているべき。
- Tier1:インフォなんとか(名前忘れた):エンタメ系のモジュール。外部との通信のためにポートが空いていると危険
- Tier0:駆動系モジュール(名前忘れた):車に"前進"や"後退"の信号を送るモジュール。本当はここをしっかり守りたいが、このモジュールはCPU性能が低くふるまい検知やアンチウイルスを動かすことが出来ないので、現状、Tier1までで防御する事が重要
クルマ業界も何もやっていないわけではないが、ファームウェアを書き換えられるなどは想定しておらず、IT業界では当然の対策がされていない部分もある。昔からハックに対応してきたIT業界の知見が必要である。
DAY1:SEC005:ネットワーク エンジニア必見!VPN/DMZ は要らなくなる!? Azure AD Application Proxy で実現するセキュアなアクセス
ネットワークエンジニア向け…なのか?前半、Azure APP Proxyの構築方法。VPNと違って外→内の通信がないからセキュア。内→外の通信。構築時に認証付きプロキシは回避してね。オンプレアプリはAzureポータルからエンタープライズアプリケーションを追加する。理解しやすかったが、レベル400もあるかな…と思いました。
以上がday1。終わった後はBeerBush。写真撮り忘れた...ローストビーフ美味しかったです。
DAY2:DEP008:Microsoft System Centerによる進化したハイブリッドクラウドの環境の管理
System Center RunbookをAzure automationに移行できる、など。個人的にSCCMとIntuneの連携を聞きたくて参加したけどあまり話題なく。System CenterってSCCM以外の機能がたくさんあったの忘れてた僕が悪いですすいません。
DAY2:CLD012:百聞は一見に如かず。デモで理解する Azure Stack の面白さ!
今回のTechSummitの目玉はAzure Stack、ってくらい注目度が高く、セッションも多かったです。このセッションでは利用者からみたAzure Stackと管理者からみたAzure Stackを説明し、最後にAzure Stackのマルチノードの動いている所のデモでした。マルチノードすごい。
事前にちょいと勉強したのですが、Azure Stackって、本当にAzureがオンプレでそのまま使える、以上終了、みたいな所ありますよね。もちろん、負荷分散やネットワーク、冗長化などの構成を考える必要はありますが、それは考えればいいだけで、使う側の使い勝手は変わらない。
ということで、決め手はAzure Stackの使いどころをどのように提案できるか、だと思いました。なんとなく、他のソリューションに比べて営業サイドの人たちが使い方提案で売り込む、Surface HUB的な製品なのかな…と勝手に思ってます。
DAY2:DAL005:Azure Cosmos DB を使った高速分散アプリケーションの設計パターン
同時間帯のハンズオン満席だったのでこちらのセッションに参加。思った以上に面白かったです!CosmosDBは早いしDR組みやすいしよい!けど高いから既存のSQLと役割分担するとよいよ。デモでは軽~く使ってたけど、ドキュメントまじめに読むと1か月かかると言われてビビってます。説明のペースが速かったのでPPTで復習したいと思います。
DAY2:SEC009:Azure AD による Web API の 保護 ~ Azure API Management をセキュリティの観点で解説
Webアプリを使ってAPIを実装し、そのAPIを開発者やユーザーに開放する時に、APIを適切に管理する方法。Azure ADや!って同僚のインフラエンジニアと参加したのですが「そもそも俺たちWebアプリ作ったことある?」とのっけから脱落気味。便利さは一応理解したものの、ちょっと我々には早すぎた…か。ただ、このご時世、アプリ作ったらAPI公開して当然という気もするし、NAVITIMEや駅探のAPIは便利に使わせてもらってます。こういうのをAzure AD基盤で管理できるは知らなかったので勉強になりました。
DAY2:APP003:Azure Functions と Serverless - 概要と企業向け Tips
この時間帯、見たいセッション被ってたんですよね~。Cosmos DBで興味が出たのでAzure Functionへ。これ、全然マークしてなかった自分が恥ずかしく。基本的なサービスのトリガーとバインディングも用意されているから、今までサーバーにスクリプト置いてタスクスケジューラーで動かすシステムを捨てることが出来る。Automationは少し触った事があったのですが、Functionはそれより簡単にデプロイできてびっくりしました。インフラ関係の仕事だと使う機会少なそうだけど、何かの案件で無理やり使ってみたいな~。
DAY2:SEC007:Azure AD B2C と LINE 連携により実現する学校や企業における次世代 ID/メッセージ基盤
期待していただけあってディープでした…。SNSのIDと連携できるAzure AD B2Cだが、標準で連携できるサービスにLINEが入っていない。ならカスタムで作っちゃおう、との事でしたが、ドキュメントがないためほぼ手探り。そりゃ社外秘だわな…。面白いセッションだったけど、これを聞いて"参考になった!自分も解析しよう!"となる人はどれだけいるのか…。なんとも圧倒されるセッションでした。
感想
去年のメモを見返していたのですが。
Microsoft Tech Summit 2016に行ってきたメモ - 今日も元気にIT屋さん
- 今年増えたもの
- Azure Stack
- IoT
- Serverless
- 今年減ったもの
- Exchange/skype
- MS365製品の単品セッション
- ID統合系(AADC同期パターンだけの話)
- 変わらないもの
- EM+S(ADFSもういらない系の話)
※ あくまで私視点です
個人的にはTeamsがないことが意外でした。EM+S系、Microsoft365系は、おそらく知ってる話だろうな~って出なかったんですがtwitter追ってる感じだと多分予想は当たってたのかな、と。EM+Sの条件付きアクセスについては去年の時点で概念自体は完成していた気もしますが、自分が自社ブースでデモ手伝ってる中でも、まだまだエンドユーザーの情シスまでは浸透していないのかな~?と感じました。キャズム超えそうな雰囲気はあると思うのですが、まだ啓蒙活動が必要だと思います。他は、やはりOffice 365って名前付くとセッション参加人数増えるんだろうけど、Microsoftさんとしてはそういうベーシックなんじゃなく、他の技術をアピールしたいんだろうな~って思ったりしました。
