DevSecOps/サーバーレス WG

DevSecOps/サーバーレス ・ワーキンググループ(略称:DevSecOps/サーバーレス WG)のページです。

活動要旨

2021年10月より、CSA本部のApplication Containers & Microservice WGは、DevSecOps WGのサブグループとして活動しています。これに合わせて、本WGは、CSA本部のDevSecOps WGおよびServerless  WGと連携して活動しています。

アプリケーションコンテナ&マイクロサービスWGの新活動方針を作成しました。こちらを参照してください。(2019年6月4日)

資料

活動内容

  • 2021年10月29日(金)01:00am – 02:00am(終了)
    Cloud Security Alliance Serverless-WGグローバルミーティング

    • The document discussed on today’s call: Serverless for Execs
      -Eiji-san will review sections 1 and 2
      -Section 2.5 needs to be reviewed
      -Section 3.4 expected to be written
      -Updates and timelines needed for sections – 3.1, 3.2, 3.3, 4
  • 2021年9月23日(金)01:00am – 02:00am(終了)
    Cloud Security Alliance Serverless-WGグローバルミーティング

    • Defined Table of Content for new Serverless WG paper for Execs
    • Assigned sections to authors
    • Each author to provide a first draft of their respective section by next WG call in 2 weeks
    • Paper no-longer than 5 pages long
  • 2021年9月10日(金)00:00am – 01:00am(終了)
    Cloud Security Alliance DevSecOps-WGグローバルミーティング

    • Open Peer Review: Open Until: 11/05/2021
      DevSecOps – Pillar 4 Bridging Compliance and Development” – This document provides guidance to ensure the gap between compliance and development is addressed by recognizing compliance objectives, translating them to appropriate security measures, and identifying inflection points within the software development lifecycle where these controls can be embedded, automated, measured, and tested in a transparent and easily understood way.
      https://cloudsecurityalliance.org/artifacts/devsecops-pillar-4-bridging-compliance-and-development/
  • 2021年7月23日(金)01:00am – 02:00am(終了)
    Cloud Security Alliance Serverless-WGグローバルミーティング

    • Discussed comments made from the peer review process on the ‘Serverless Computing in 2021‘ paper
  • 2021年7月16日(金)01:00am – 02:00am(終了)
    Cloud Security Alliance DevSecOps-WGグローバルミーティング

    • CSA Announcements:
      • Recent document releases:
      • Opportunities to participate in reviews and surveys
      • Recap from the Kick-off Call
        • Reviewed the work done so far
        • Defined the new direction
        • Discussed next steps and near term documents (e.g. finishing the pillars documents)
        • View the recording of the kick-off call here:
      • Documents
        • Review:
          • Pillar 4 – Bridge Compliance and Development document
        • Write:
          • Pillar 2 – Training & Process Integration
          • Pillar 3 – Pragmatic Implementation
          • Pillar 6 – Measure, Monitor, Report & Action
      • Best Practices for Writing
        • Establish a quorum of key writers and establish methods of communication (e.g. weekly calls, email, slack, Circle thread)
        • Start with an outline so you have a roadmap, you can always go back an edit
        • Keep in mind the audience
          • For the pillars
            • Keep it broader than just those who write code
            • But still needs to be technical enough that it’s applicable
          • Applied topics – will be more technical and narrow audience
        • Assign sections of the outline to each of writers
        • Add visuals when words fail – CSA graphic designers at CSA can help!
        • Length of the document – see what’s already been published
      • Ideas for future projects
        • Code (open source) and demos instructions for more hands on opportunities
        • Reference Architecture specifically around security
        • Internal roadmap
      • Calls to Action
        • Introduce yourself on this discussion thread and let us know what your areas of interest or expertise are
        • Participate in this survey!
  • 2021年7月16日(金)01:00am – 02:00am(終了)
    Cloud Security DevSecsOps-WGグローバルミーティング

    • CSA Announcements:
      -Recent document releases:
      -Opportunities to participate in reviews and surveys
    • Recap from the Kick-off Call
      -Reviewed the work done so far
      -Defined the new direction
      -Discussed next steps and near term documents (e.g. finishing the pillars documents)
    • Documents
      -Review:
      Pillar 4 – Bridge Compliance and Development document
      -Write:
      Pillar 2 – Training & Process Integration
      -Pillar 3 – Pragmatic Implementation
      -Pillar 6 – Measure, Monitor, Report & Action
    • Best Practices for Writing
      -Establish a quorum of key writers and establish methods of communication (e.g. weekly calls, email, slack, Circle thread)
      -Start with an outline so you have a roadmap, you can always go back an edit
      -Keep in mind the audience
      <For the pillars>
      *Keep it broader than just those who write code
      *But still needs to be technical enough that it’s applicable
      <Applied topics >- will be more technical and narrow audience
      -Assign sections of the outline to each of writers
      -Add visuals when words fail – CSA graphic designers at CSA can help!
      -Length of the document – see what’s already been published
    • Ideas for future projects
      -Code (open source) and demos instructions for more hands on opportunities
      -Reference Architecture specifically around security
      -Internal roadmap
    • Calls to Action
      -Introduce yourself on this discussion thread and let us know what your areas of interest or expertise are
      -Participate in this survey!
  • 2021年7月2日(金)01:00am – 02:00am(終了)
    Cloud Security Alliance Serverless-WGグローバルミーティング

    • Discussed comments made from the peer review process on the ‘Serverless Computing in 2021‘ paper
  • 2020年6月23日(水)14:55~15:25(終了)
    【東京・オンライン】ZDNet Japan Thales Crypto Summit Japan
    https://japan.zdnet.com/info/event/thales/202106/
    <概要>
    「ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所」

      • 企業のデジタルトランスフォーメーション(DX)基盤として、クラウド環境上にデータベースを新設・移植したり、運用管理効率化のために、アプリケーションコンテナやマイクロサービス、サーバーレスを導入したりするケースが増えています。それに合わせて、従来のオンプレミス型を前提とする認証/認可、暗号化・鍵管理、バックアップ管理といったデータセキュリティ対策の内容も変わりつつあります。本講演では、データ保護に関わるインシデント事例を紹介しながら、エンタープライズユーザーが最新のクラウドネイティブ基盤を利用する場合のデータセキュリティ管理の勘所について概説します。
    • https://www.slideshare.net/esasahara/ss-249506456
  • 2021年6月18日(金)01:00am – 02:00am(終了)
    Cloud Security Alliance Serverless-WGグローバルミーティング
    [CSA Announcements]

    • was discussed and created the Table of Contents on a new paper aiming at execs.
    • Discussed comments made from the peer review process on the ‘Serverless Computing in 2021‘ paper

    Next steps:

    • Marina to create the template for the new execs paper
    • Chairs, (Aradhna and Vishwas), to address comments made from the peer review process on the ‘Serverless Computing in 2021‘ paper
    • Address all comments of peer review in order to send paper for proof reading before design and publication.
  • 2021年6月4日(金)02:00am – 03:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

      • Upcoming Events
      • Open Peer Reviews
      • Recent releases

    [Discussion]

    • Working on addressing/paying homage to  GRC in the prior sections of the document in a shift left manner.
    • Authors of relevant sections have been emailed about incorporating GRC by Mark.
      • Marina and Mark to work together on rearranging content
      • Authors to incorporate the GRC pieces for next sections
      • Mark developed a new document to outline the GRC collapse recommendations
    • Review 6.1.4 new content based on previous feedback
    • Leadership to meet for review of content

    [Timeline]

    • Author’s to finalize sections by June 9
    • Leadership to review content June 10
    • Next Step: Public peer review with CSA
  • 2021年度(2021年6月1日~2022年5月31日)活動計画
    • ワーキンググループの目的
      アプリケーションコンテナ&マイクロサービス(ACM)ワーキンググループは、グローバルレベルで、アプリケーションコンテナおよびマイクロサービスのセキュリティに関する基本的な調査研究を行い、セキュアなアプリケーションコンテナおよびマイクロサービス利用のためのガイダンスやベストプラクティスを発行するとともに、日本国内レベルでは、クラウドサービスのユーザー/コンシューマー向けに、アプリケーションコンテナおよびマイクロサービスのセキュリティに関する啓発活動を行うことを目的とする。
    • 2021年度活動計画
      [国内活動]
      1. 本ワーキンググループは、日本クラウドセキュリティアライアンスのインディビジュアル/コーポレート/アフィリエートメンバーからのボランティアによって構成される。
      2. 本ワーキンググループは、運営委員会の下で、主要なプロジェクトマネジメント、オンラインワークプレイス、テクニカルライティング支援、日本クラウドセキュリティアライアンス理事会への報告をコーディネートする。
      3. これらに関連する周知、認知、研究の機会を計画/実行するために、関西支部や、他のWG、各種団体・メディアとの連携活動を強化する。

      [グローバル活動]

      1. CSA ACM-WGのグローバル活動への積極的コミットメント
      2. Serverless WG、Health Information Management WG、IoT WG、DevOps WG等、コンテナ/マイクロサービスを共通基盤とする他のWGとの連携活動強化
      3. CSA海外チャプターとの連携活動強化(例:中国、東南アジア、インド、EMEA)
  • 2021年5月7日(金)02:00am – 03:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

      • Upcoming Events
      • Open Peer Reviews
      • Recent releases

    [Update for Microservices Architecture Pattern (MAP) ]
    Discussion – Chapter 6

    • Mark provided comments directly in the papers and via email.
    • Talked to contributors about the feedback. All need to incorporate the feedback.
      • 6.1.1 – Contributor to notify when changes are ready for review
      • 6.1.3 – Needs help reviewing the table for clarity.  Author unsure about what is unclear. Use the comment feature
      • 6.1.4 – Author to provide content by end of weekend. May combine 4 and 10.
      • 6.1.5 – Leads need to provide an answer.
      • 6.1.7 – New content, Author to finish and notify leadership when it’s ready to be reviewed
      • 6.1.9 – Author to add contribution soon
      • 6.1.10 – Incorporate into 6.1.4

    Next Steps

    • Provide all updates by early next week.
    • Goal a first version of the draft of Chapter 6 then we can start the conclusion portion
    • Leads will check calendars for Thursday next week meeting with just Chapter 6 authors.
  • 2021年4月23日(金)02:00am – 03:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

      • Upcoming Events
      • Open Peer Reviews
      • Recent releases

    [Update for Microservices Architecture Pattern (MAP) ]
    Reviewed recent contributions to Chapter 6

    • Email Mark to discuss any challenges or issues between this meeting and next

    Timeline

    • Finish up a draft of the patterns by next meeting. If collaborating please create plan with team (emails are at the beginning of the document).
    • Refine patterns for the following meeting.
    • Public review through May and publish in June
  • 2021年4月8日(金)02:00am – 03:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

      • Upcoming Events
      • Open Peer Reviews
      • Recent releases

    [Update for Microservices Architecture Pattern (MAP) ]
    Comment from Mark regarding the sections

    • “The positioning is not enterprise, and not enterprise inheritable (except for QAQC reporting post-pull requests after branch merge but that is deliberately out of scope here). Shift-left control state is a means to control the scope and keep SDLC is as an overlay as long as its DEV scoped with Enterprise plane mentioned. If you can Map the OWASP top 10 API threats to NIST v5 controls, it solves this dilemma. I wager that you will winder up with 3 or 4 control families and about a dozen specific controls for low baseline – the rest is policy as code.  https://owasp.org/www-project-api-security/
    • Review sections 6.1.5, 6.1.6, 6.1.3.  6.1.3 is a good reference for layout
    • Reminder to reference Chapter 5 when writing Chapter 6 to remain consistent
  • 2021年3月31日(水)06:30pm – 08:00pm(終了)
    ISACA東京支部 2021年3⽉例会オンラインセミナー
    「コンテナ/マイクロサービス/サーバーレスのセキュリティと監査」https://www.slideshare.net/esasahara/ss-245875972

      • EUの接触追跡アプリ越境連携ゲートウェイなど、COVID-19緊急対応下で急速に導⼊が進むコンテナ/マイクロサービス/サーバーレスプラットフォームのセキュリティと監査について、 IT全般統制およびIT業務処理統制双⽅の視点から概説します。
  • 2021年3月12日(金)03:00am – 04:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    Today’s meeting was dedicated to presenting the work instructions for Chapter 6 authors.

      • Security Overlay Work Instruction HOWTO Presentation:
        The primary goal of the work instruction is to provide guidance and standardize the approach to developing the security control overlay for the architectural patterns found in the ACM MAP (Micro-services Application Pattern) paper. Although the content can aid any number of roles, it is tailored to security architecture, the MAP paper specifically, and the architect’s point of view. The secondary work instruction goal is to create a non-statistical decomposition/re-composition approach to security architecture that remains economical and lightweight without sacrificing the basics of control selection in the design process. The method seeks to avoid the abstract and sometimes esoteric risk conversation that occur in control conversations.
  • 2021年2月25日(金)03:00am – 04:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

      • Upcoming Events
      • Open Peer Reviews
      • Recent releases

    [Update for Microservices Architecture Pattern (MAP) ]

  • Chapter 6 Patterns Review
    • Introduction
      • Mark wrote up an introductory paragraph to transition from chapter 5 to 6.
      • Please comment/review
    • Instructions for contributors in the documents under the intro paragraph
      • Mark to build lecture of the  instructions on our next meeting. (we will record)
      • Overlay patterns will be bound to NIST SP 800.53
    • Authors needed for 6.1.8 and 6.2 6.2.2 – just name on document if interested
      • Mark to provide additional details for 6.2.2 author
      • Authors welcome to collaborate on sections!
  • 2021年2月19日(金)03:00am – 04:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [Update for Microservices Architecture Pattern (MAP) ]

  • Today we finalized the review and marked as ‘Complete’ the following patterns:

    • 5.1.6 – Where diagram was updated as suggested on the previous call
    • 5.1.7 – Vani updated the ‘Behavior Description’ with a note for the case that Authorization fails.
    • 5.1.8 – The Cryptography component shown in the diagram here, will be addressed/expanded in Chapter 6 (6.6) later.
    • 5.1.9 – Alex is to add the recommendation he had suggested here in a comment, plus an additional line referring to the work factor mentioned (i.e. the amount of work needed for this pattern)
    • 5.1.10 – Anil added under intro paragraph that this particular pattern applies to the microservices level and not to the system level.
    • 5.1.11 – After specifying that this pattern could be used in 2 different ways, that’s why it includes 2 diagrams, it was marked as Complete.

    Anil to contact Mark Y. in request for a template for Chapter 6 for the group’s next meeting

  • 2021年2月12日(金)03:00am – 04:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

      • Upcoming Events
      • Open Peer Reviews
      • Recent releases

    [Update for Microservices Architecture Pattern (MAP) ]

  • Chapter 5 Patterns Review

    • Patterns finalized

      • Aggregation
      • Cache Pattern – Removed “high availability of the software plane”
      • AuthN – Change arrow direction and alter text slightly and then will be final
    • A bit more work needed
      • AuthZ

    Meeting Next Week! Lock in patterns next Thursday to finalize the remaining bits of Chapter 5 and assign Chapter 6.

  • 2021年1月29日(金)03:00am – 04:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

      • Upcoming Events
      • Open Peer Reviews
      • Recent releases

    [Update for Microservices Architecture Pattern (MAP) ]

  • Review new pattern entries in chapter 5
    • 5.1.5 Proxy – Small fix, but otherwise done
    • 5.1.6 AuthN – changed the image a bit, but has a few questions for Mark before reviewing on next call. John and Michael to pattern with Kevin to polish section up
    • 5.1.7 AuthZ – Adding Michael to team to assist
    • 5.1.3 – Needs some assistance to be ready by next call.  Vani to make a first pass Michael and John to review. Other reviewers and contributors welcome.
    • 5.1.4 – Just needs a quick polish
    • 5.1.8 – Vani and Michael to support
    • 5.1.9 – Alex to assist with polishing up
    • 5.1.10 – Vinod will add work that’s been done offline
    • Etc….
  • Action:
    • Complete patterns by next call so we can move on to Chapter 6: security control overlays. Secondary authors please use Suggestion mode. Primary authors for patterns will accept and make final edits.
  • Next all we’ll review and the next call we’ll assign authors for Chapter 6
  • 2021年1月15日(金)03:00am – 04:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング

[CSA Announcements]

    • Upcoming Events
    • Open Peer Reviews
    • Recent releases

[Update for Microservices Architecture Pattern (MAP) ]

  • Overview of document for new members/authors.  Work instructions for Chapter 5 patterns is on page 16
  • Reviewed Patterns – done
    • Routing Pattern (page 19) – done
      • Added generalized for composite status
      • Move to up stream and down stream of things rather than other abstractions
        • e.g. Repository (down stream) IAM Platform (up stream)
    • AuthN
      • Started and suggestions provided.  Kevin will make adjustments before next meeting.
      • Mark to review further offline
  • Need to review Façade Pattern – page 30
  • New volunteers for sections
    • Aggregation – Mubasher
    • Circuit Breaker Pattern – Vinod B. V.
    • Proxy – Michael H.
    • AuthZ – Vani Murthy / John Jiang
  • 2020年12月18日(金)03:00am – 04:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

    • Upcoming Events
    • Open Peer Reviews
    • Recent releases

[Update for Microservices Architecture Pattern (MAP) ]

  • Authors needed
    • Patterns in need of authors
      • Route (routing) pattern – page 19
      • Aggregation pattern – page 21
      • Proxy pattern – page 25
      • Circuit breaker pattern – page 35
    • Hillary to make announcement to the DevSecOps and Serverless working groups after Jan 1
  • 2020年12月10日(木)(終了)
    【東京・オンライン】ITmedia Security Week 2020冬
    <概要>
    「アーキテクトが主導するコンテナ/マイクロサービス/サーバーレスのセキュリティ」
    https://www.itmedia.co.jp/enterprise/special/et201298/index.html
    デジタルトランスフォーメーション(DX)を契機に、コンテナやマイクロサービス、サーバーレス技術の導入が本格化するとともに、ユーザーとサービスプロバイダーとの間で調整役を担うアーキテクトに注目が集まっています。本講演では、ビジネスニーズに即応するアプリケーション開発(Dev)と、安定的なインフラ運用(Ops)の観点から、アーキテクトがセキュリティ・エコシステムの実装に果たす役割について、事例を交えながら紹介します。
    https://www.slideshare.net/esasahara/ss-239545917
  • 2020年12月8日(火)(終了)
    【東京・オンライン】ZDNet Japan Security Trend 2020 Winter
    <概要>
    「DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティ」
    https://japan.zdnet.com/info/event/security/202012/
    グローバル企業の間では、次世代デジタルトランスフォーメーション(DX)基盤として、アプリケーションコンテナやマイクロサービス、サーバーレスを導入する動きが本格化し、境界防御の枠を超えた「ゼロトラスト」に基づくアーキテクチャ構築や、「Docker」による開発フローの自動化、「Kubernetes」による運用管理の標準化、「FaaS(Function as a Service)」による運用負荷の軽減などが進んでいます。本講演では、海外事例を題材に、エンタープライズユーザーが最新のクラウドネイティブ基盤を利用する場合のリスク/セキュリティ管理について概説します。
    https://www2.slideshare.net/esasahara/dx-239232318
  • 2020年11月18日(水)-20日(金)(終了)
    【横浜・オンライン】ET & IoT Digital 2020
    <概要>
    「エッジコンピューティング環境におけるアプリケーションコンテナ/マイクロサービスのセキュリティ/リスク管理」
    https://www.jasa.or.jp/expo/conference2020/edge_security.html
    IoTデバイスとクラウドサービスの間にあるエッジコンピューティング環境で、アプリケーションコンテナ、マイクロサービス、DevOps/DevSecOpsといったクラウド・ネイティブの技術を利用する場合、ITおよびOT双方の観点から要求される、セキュリティ/リスク管理策について考察します。
    https://www2.slideshare.net/esasahara/ss-239232218
  • 2020年11月6日(金)02:00am – 03:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

      • Upcoming Events
      • Open Peer Reviews
      • Recent releases

    [Update for Microservices Architecture Pattern (MAP) ]

      • Refine 5.2 to make less prescriptive and repeatable.  Talk with Mark.
      • 5.7 still needs more time to work on the controls
      • Integrate with regulations in multiple chapters
  • 2020年10月23日(金)01:00am – 02:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

      • Upcoming Events
      • Open Peer Reviews
      • Recent releases

    [Update for Microservices Architecture Pattern (MAP) ]

      • Integration with Implementation Example (from Tasos, Vrettos, and Marina)
        • See comments in the intro for proposed integration
        • Comments were accepted and will be added to the intro
      • Reviewed 5.7- Caching, 5.1 Proxy Diagram, 5.6 – Inter-mediation updates
      • Next steps:
        • Need volunteers for the unassigned patterns in Chapter 5 – reach out to Mark Y.
        • Next call – Nov 5 (in 2 weeks)
  • 2020年10月7日(水)04:20pm – 05:00pm(終了)【東京・ハイブリッド】Security Days Fall 2020
    <概要>
    「APIエコノミーを支えるマイクロサービスのセキュリティ」
    https://f2ff.jp/introduction/4002?event_id=secd-2020-02-tokyo
    APIエコノミーを軸とするFintechやモバイルヘルスでは、アプリケーションコンテナやマイクロサービスを導入する動きが本格化し、「Docker」による開発フローの自動化や、「Kubernetes」による運用管理の標準化が進んでいます。本講演では、海外事例を題材に、マイクロサービスやAPIのセキュリティについて概説します。
    https://www.slideshare.net/esasahara/api-238482036
  • 2020年9月25日(金)01:00am – 02:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

      • Upcoming Events
      • Open Peer Reviews
      • Recent releases

    [Microservices Architecture Pattern (MAP) Updates and Discussion]

      • Contact Mark with any questions
      • Aligned overlap and reference architecture
        • Craig has updated his portion and ready to review with Mark
          • Anil will reach out to Mark
        • Other volunteers still need to align their sections still
      • Waiting for Chapter 5 to finish before Chapter 6 starts
      • New volunteers/contributors –
        • Send email to Anil or comment on the meeting minutes to get started
        • Look through the document
        • Utilize guide to contribute to Chapter 5
        • No comments wanted at this time
      • Need to create a way to link this MAP document with the MAP document Tasos and Vrettos have been working on
        • Anil will reach out to Mark
        • Set up meeting between Mark, Tasos, and Vrettos to develop plan.
  • 2020年9月24日(木)01:45pm – 02:00pm(終了)【インド・オンライン】CSA India Virtual Summit 2020
    <概要>
    Panel Discussion : Impact of COVID-19 on Cloud Adoption & Security
    https://www.csaapac.org/indiavsummit2020.html
    The lockdown has been an inflexion point in the adoption of cloud computing; we have observed increased usage and adoption. The increased usage as well as new cloud adoption during the current crisis is a positive outcome of the lockdown. The distinguished panel from APAC & India will offer their views and perspectives.
    -Moderator: Vandana VERMA (Global Board of Directors at OWASP and President at InfosecGirls)
    -Panelists:
    Satyavathi DIVADRI (Chairman, CSA Bangalore Chapter)
    Dr. Eiji SASAHARA (ED, CSA Japan Chapter)
    Dr. Hing-Yan LEE (EVP APAC, CSA)
  • 2020年9月11日(金)01:00am – 02:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

      • Upcoming Events
      • Open Peer Reviews
      • Recent releases

    [Microservices Architecture Pattern (MAP) Updates and Discussion]

      • Added some instructions for patterns in Chapter 5
        • If you have questions about the instructions reach out to Mark
      • Careful not to mistake controls for configurations in the patterns
      • Refer to other patterns to ensure consistent look and feel
      • Anyone welcome to fill out the form on a pattern in Chapter 5 that hasn’t already been claimed
      • Struggling to link MAPs documents together leads of the documents may need to meet and discuss how this can best be done
  • 2020年8月28日(金)01:00am – 02:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

      • Upcoming Events
      • Open Peer Reviews
      • Recent releases

    [Review changes to the MAPs document made]

      • Mark provided an update on Chapters 5 reworks
      • Discussed gaps in the content flow and changes to improve document further
      • Holding off on development of Chapter 6 temporarily, current developments to be annexed
      • Current comments to be addressed before next meeting
  • 2020年7月18日(金)02:00am – 03:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [MAP Document Discussion]

    • Vinay updated on 5.5 Strangler Application Pattern
    • Craig updated on the material he had added on the 5.6 Intermediation Pattern
    • Namrata gave an update and description on the content she had added on 5.7 Cache
    • Anil underlined the need to have 2 planes: From the Software perspective and from the Platform perspective.
    • Gustavo reviewed his section he had added under 6.1 Information Control.
    • Action points:
      • The working group will review Craig’s section 5.8 Utility on the next meeting
      • Craig and Alex to address the comments they have received on this section.
      • Namrata is to create a separate platform from a template and describe the plane software and platform plane from the Cache perspective,
      • Namrata to follow up with Anil in order to get editor rights on the document.
      • Alex and Craig are to communicate offline regarding the comments their section has.
      • The leads are to provide a template for Control Overlay
      • Marinato circulate an email bringing all 4 leads in touch.
  • 2020年7月3日(金)02:00am – 03:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

    • Upcoming Events
    • Open Peer Reviews
    • Open Survey: QSS Awareness Survey 2020
    • Recent releases

[MAP Document Discussion]

    • Guidelines for contribution will be written up shortly for authors to reference
    • Chapter 5 contributions
      • Use NIST control families
      • Important to understand what you’re attempting to solve for independent of the technology that will potentially solve the issue.
    • Will start recording meetings with the permission of everyone on the call.
    • Action items:
      • Offline conversation to develop a guideline paper for Chapters 5 and 6
      • Continue contributing to Chapter 5 and 6 (for finished patterns) after guideline paper has been developed
  • 2020年6月19日(金)02:00am – 03:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [Discussion on the Microservices Architecture Pattern document.]

    • Chapter 5 is going to be the pattern itself.
    • The outline of Chapter 5 is for providing directions to contributors on what to work
    • Craig Ellrod went through his latest contribution to the document. He has “laid” a pattern for an inner API.
    • The ‘Major Dependencies’ featured in chapter 5, will be linked to one another in Chapter 6.

[Action Points]

    • Mark pointed out to use the 53 NIST controls family for starters
    • Anil would like to first lock contributors for chapter 5 and reach it to a level where work on chapter 6 can begin.
    • Kevin Keane will make a tentative for 5.2 and if he confronts any difficulties or concerns, can reach out to Mark or M. Roza.
  • 2020年6月5日(金)02:00am – 03:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]
  • Open peer reviews
  • Open Survey:
    • Quantum-Safe Security Awareness Survey
    • Cloud IAM Survey  – Looking for architects from large organizations in particular! Lots of prizes
  • Recent releases
  • Upcoming events –
    • CFP for SECtemer open until June 26th

[Discussion of MAP document] –

  • Mark presented background Chapter 1-4
  • Contribution template in Chapter 5, reviewed examples
    • Quantum-Looking for contributors for this section!
      Reach out to Hillary via email
  • 2020年度 (2020年6月~2021年5月) 活動計画
  • 国内活動
    アプリケーションコンテナ&マイクロサービス(ACM)ワーキンググループは、アプリケーションコンテナおよびマイクロサービスのセキュリティに関する基本的な調査研究を行い、セキュアなアプリケーションコンテナおよびマイクロサービス利用のためのガイダンスやベストプラクティスを発行するとともに、アプリケーションコンテナおよびマイクロサービスのセキュリティに関する啓発活動を行うことを目的とする。

    1. 本ワーキンググループは、日本クラウドセキュリティアライアンスのインディビジュアル/コーポレート/アフィリエートメンバーからのボランティアによって構成される。
    2. 本ワーキンググループは、運営委員会および共同座長の下で、主要なプロジェクトマネジメント、オンラインワークプレイス、テクニカルライティング支援、日本クラウドセキュリティアライアンス理事会への報告をコーディネートする。
    3. これらに関連する周知、認知、研究の機会を計画/実行するために、関東分科会および関西分科会を設置する。
  • グローバル活動
    1. CSA ACM-WGのグローバル活動への積極的コミットメント
    2. Health Information Management WG、IoT EG、DevOps WG等、コンテナ/マイクロサービスを共通基盤とする他のWGとの連携活動強化
    3. CSA海外チャプターとの連携活動強化(例:中国、東南アジア、インド、EMEA)

[Discussion of Current Papers]

      • Mark presented latest additions to the document in section 1-4. This structure will set up the main part of the document (section 5).
      • Will be moving onto section 5 shortly
  • 2020年4月29日(水)01:00am – 02:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

    [Discussion]

      • Began discussion surrounding the introduction of the document
      • Section 2. – Make sure there are appropriate tie ins to make the two paragraphs flow into each other.
      • Place diagram images within section 3. Offer explanation to push into mappings.
      • ICCS group to include certain alignments into this document for application security. Reach out for additional guidance to compare.
  • 2020年4月10日(金)01:00am – 02:00am(終了)
    Cloud Security Alliance ACM-WGグローバルミーティング
    [CSA Announcements]

[Discussion of Current Papers]

    • Paper 2
      “Microservices Architecture Pattern – A Proposed Architectural Pattern to Engineer Trustworthy Secure Systems”

      • Added note for a footnote about threat modeling
      • Alex – To start glossary portion of document
      • Mark and Anil – Writing end editing Chapters 1
      • Volunteers needed for writing Chapter 2 and 3
        -Reach out to Anil to be added to lists
      • Discussed outline and scope of the document written by Mark
      • Outline finalized!
      • Action Items
    • Paper 3
      • Split into Guide and Framework
      • Want to work off of CCM v4 coming out later this year
      • Michael – Post links to Circle
      • Reviewed approach proposed by Michael
      • Action Items:
    • Paper 1
      “Microservices Architecture Pattern”

      • Needs inputs and revisions from the working group
      • Move away from JSON specific to make a bit higher level
      • Reviewed proposed approach
      • Action Items
  • 2020年3月10日(火)(公開)
    Cloud Security Alliance ACM-WG
    米国NISTのガイドライン類とCSA発行ドキュメントの概要について整理しました。
    「アプリケーションコンテナのセキュリティ概説」
    https://www.slideshare.net/esasahara/ss-229725299
    「マイクロサービスのセキュリティ概説」
    https://www.slideshare.net/esasahara/ss-229982514
  • 2020年2月27日(金)(公開)
    Cloud Security Alliance ACM-WG
    Best Practices for Implementing a Secure Application Container Architecture – Japanese Translation
    https://cloudsecurityalliance.org/artifacts/best-practices-for-implementing-a-secure-application-container-architecture-japanese-translation/
  • 2020年2月24日(月)(公開)
    Cloud Security Alliance ACM-WG
    Best Practices in Implementing a Secure Microservices Architecture
    https://cloudsecurityalliance.org/artifacts/best-practices-in-implementing-a-secure-microservices-architecture/
  • 2020年1月10日(金)(終了)
    【大阪・梅田(GVH Osaka)】Kansai Cloud DevSec Meetup #4
    世界のコンテナ/マイクロサービス技術動向から俯瞰する関西の2025年
    https://20200110-cloud-devsec-gvh-osaka-umeda.peatix.com/
    <概要 Overview>
    経済産業省のDX(デジタルトランスフォーメーション)レポートは「2025年の壁」を警告していますが、一方、関西エリアでは、2021年のワールドマスターズゲームズ、2023年の中之島未来医療拠点、2024年のうめきた2期みどりとイノベーションの融合拠点、2025年の大阪・関西万国博覧会とビッグイベントが続きます。主要クラウドサービス事業者のリージョンセンターが関西に出揃った2020年、クラウドネイティブ基盤の中核を担うアプリケーションコンテナ/マイクロサービスが、2025年に向けてどのように進化していくのか、主要技術別・産業分野別に俯瞰します。
    <技術別>
    ・アプリケーション・ライフサイクル管理の技術動向
    ・アプリケーションコンテナ/マイクロサービスの技術動向
    ・クラウドネイティブAIの技術動向
    ・クラウドネイティブIoTの技術動向
    <産業分野別>
    ・金融・決済サービスICT市場動向とコンテナ/マイクロサービス
    ・ホスピタリティ・ダイニング・旅行ICT市場とコンテナ/マイクロサービス
    ・製造業ICT市場動向とコンテナ/マイクロサービス
    ・ライフサイエンス・健康医療ICT市場動向とコンテナ/マイクロサービス<スケジュール Timetable>
    18:30 受付開始
    19:00 スタート・開会のご挨拶
    19:05-19:30 「2020-2025年アプリケーションコンテナ/マイクロサービスおよび関連技術の展望」
    19:30-20:00 「2020-2025年産業分野別ICT市場とアプリケーションコンテナ/マイクロサービスの展望」
    20:00-20:10 休憩(10分間)
    20:10-20:30 「CSAジャパン関西支部の2020年活動計画ご紹介」
    20:30-21:00 フリートーク&ネットワーキングの時間
    https://www.slideshare.net/esasahara/2025-218028551/1
    <主催者 Organizer>
    一般社団法人日本クラウドセキュリティアライアンス
    アプリケーションコンテナ/マイクロサービス・ワーキンググループ
    <共催 Cosponsored>
    GVH Osaka(グローバルベンチャーハビタット大阪)
    公益財団法人都市活力研究所<コーディネーター Coordinator>
    一般社団法人日本クラウドセキュリティアライアンス
    アプリケーションコンテナ/マイクロサービス・ワーキンググループリーダー 笹原 英司
    <会場 Place>
    GVH Osaka(グローバルベンチャーハビタット大阪)
    大阪府大阪市北区大深町3番1号 グランフロント大阪北館タワーC 7階
    ・JR大阪駅より徒歩7分
    ・地下鉄御堂筋線梅田駅より徒歩10分
    ・阪急梅田駅より徒歩10分
  • 2019年11月12日(火)(終了)
    【大阪・梅田(GVH Osaka)】Kansai Cloud DevSec Meetup #3
    https://gvh-osaka-tech-lab.connpass.com/event/151984/
    本ミートアップでは、北米、欧州、オーストラリアなど、特に関西と関係の深い海外都市のスマートシティ事例を、ICTとビジネスの両面から紹介しながら、・クラウドネイティブな技術の導入によって、スマートシティの何が変わる?
    ・スマートシティにおける中小スタートアップ企業ならではの強みとは?
    ・スマートシティを支えるITとOTの関係
    ・スマートシティのクラウドインフラ・セキュリティと責任分界点
    ・スマートシティのクラウドアプリケーション・セキュリティとまちづくりデザイン
    ・社会インフラを支えるスマートシティの倫理とエンジニアの責任
    といったサブテーマについて考え、機会とリスクに対する視点を共有する場を提供することを目標としています。[スケジュール]
    18:30 受付開始
    19:00 スタート・開会のご挨拶
    19:05-19:30 「北欧のリビングラボから俯瞰するスマートシティICTの現状と課題」
    19:30-20:00 「スマート・モビリティに学ぶアプリケーションコンテナ/マイクロサービス利活用」
    20:00-20:10 休憩(10分間)
    20:10-20:35 「スマートシティの倫理とプライバシー/サイバーセキュリティ」
    20:30 フリートーク&ネットワーキングの時間
    https://www.slideshare.net/esasahara/ss-192484055
  •  2019年11月1日(金)01:00am – 02:00am(終了)
    • Cloud Security Alliance ACM-WGグローバルミーティング
      [Best Practices for Secure Microservices Implementation – Status Update]
      -Current status: Peer Review has concluded. The leads are addressing the comments.
      -Next steps: Send the document for copy edit, graphic design, and PR
      -Anticipated release is at CSA EMEA Congress 2018 in mid Nov
      -ALL CONTRIBUTORS – Please check that your name is included in the acknowledgements section of this document if you have contributed. We want to make sure everyone gets credit for their hard work especially the authors!
      [ Next Meeting ]
      We will resume meeting sometime after Jan 1st, 2020. Calendar invites will be sent out later in the year.
  • 2019年9月14日(土)(終了)
    【インド・ハイデラバード】
    Cloud Security Alliance Hyderabad Summit 2019
    https://www.csaapac.org/csahyderabadsummit2019.html
    <スケジュール Timetable>
    1540 – 1600
    Opportunities of Cross-Asia Collaboration on Secure Containers & Microservices
    <演者 Speaker> Dr. Eiji SASAHARA
    Executive Director, CSA Japan Chapter ​
    <会場 Place>Lemon Tree Premier, HITEC City
    Plot No. 2, Survey No. 64, HITEC City, Madhapur, Hyderabad – 500081, Telangana, India
  • 2019年9月17日(火)(終了)
    【大阪・梅田(GVH Osaka)】Kansai Cloud DevSec Meetup #2
    https://20190917-cloud-devsec-gvh-osaka-umeda.peatix.com/
    <概要 Overview>
    今、データを生成するIoTデバイスと高速処理を担うクラウドコンピューティングの間のレイヤで、フォグコンピューティング/エッジコンピューティング技術が注目されています。それに合わせて、データ・マネタイゼーション、サブスクリプション、APIエコノミーといった新しいビジネスモデルを実現するために、アプリケーションコンテナ(例.Docker、Kubernetesなど)、マイクロサービス(例.APIゲートウェイ、サービス・メッシュなど)、DevOps/DevSecOps(例.CI/CDパイプラインなど)といったクラウド・ネイティブの技術をどう活用するかが、大きな課題となっています。米国ワシントン州シアトルに本部を置く非営利団体クラウドセキュリティアライアンス(CSA)では、アプリケーションコンテナ/マイクロサービス・ワーキンググループ(ACM-WG)が、米国立標準技術研究所(NIST)などと連携しながら、新技術を取り巻くセキュリティ対策に関する国際標準化・啓発活動を行っています。
    本ミートアップは、関西の開発者やクラウドユーザーを対象に、産業分野における具体的なユースケースを紹介しながら、
    ・IoTとクラウドの間に位置するフォグ/エッジコンピューティング環境で、コンテナやマイクロサービスを利用したサービスを新規開発・運用する場合、セキュリティ対策をどう講じたらいいのか
    ・クラウドユーザーと、IoTデバイスやフォグ/エッジコンピューティングサービス、クラウドサービスの間における責任分界点をどう設定したらいいのか
    ・IoTの制御技術(OT)を担うクラウドユーザー向けに、フォグ/エッジコンピューティング環境における新たなセキュリティの課題と対策をどう説明したらいいか
    ・フォグ/エッジコンピューティング環境のアプリケーションコンテナ/マイクロサービスをセキュアに構築・運用できるエンジニアをどう育てていけばよいか
    といった共通のセキュリティ課題の解決策について考え、共有する場を提供することを目標としています。また最後に、中国やインドにおけるCSAの活動状況を紹介させていただきます。<スケジュール Timetable>
    18:30 受付開始
    19:00 スタート・開会のご挨拶
    19:05-20:00 「エッジ/フォグコンピューティング環境におけるコンテナ/マイクロサービスのメリットとリスク」
    ・ユースケースに学ぶエッジ/フォグコンピューティングの利点と脅威
    ~エッジ層 Vs. ネットワーク層 Vs. クラウド層~
    ・ユースケースに学ぶアプリケーションコンテナの利点と脅威
    ~インフラストラクチャ層 Vs. アプリケーション層~
    ・ユースケースに学ぶマイクロサービスの利点と脅威
    ~APIゲートウェイ Vs. サービス・メッシュ~
    ・エッジ/フォグコンピューティング × コンテナ/マイクロサービスで求められるセキュリティと人材像
    ~情報通信技術(IT) Vs. 電子制御技術(OT)~
    ・Q&A
    https://www.slideshare.net/esasahara/ss-168275894
    20:00-20:10 休憩(10分間)
    20:10-20:30 「中国・インドにおけるCSAの活動のご紹介」
    20:30-21:00 フリートーク&ネットワーキングの時間<主催者 Organizer>
    一般社団法人日本クラウドセキュリティアライアンス
    アプリケーションコンテナ/マイクロサービス・ワーキンググループ
    <共催 Cosponsored>
    GVH Osaka(グローバルベンチャーハビタット大阪)
    公益財団法人都市活力研究所<コーディネーター Coordinator>
    一般社団法人日本クラウドセキュリティアライアンス
    アプリケーションコンテナ/マイクロサービス・ワーキンググループリーダー 笹原 英司<会場 Place>
    GVH Osaka(グローバルベンチャーハビタット大阪)
    大阪府大阪市北区大深町3番1号 グランフロント大阪北館タワーC 7階
    ・JR大阪駅より徒歩7分
    ・地下鉄御堂筋線梅田駅より徒歩10分
    ・阪急梅田駅より徒歩10分
  •  2019年8月23日(金)01:00am – 02:00am(終了)
    • Cloud Security Alliance ACM-WGグローバルミーティング
      [CSA Announcements]
      New website! – cloudsecurityalliance.org/
      Current open peer reviews – https://cloudsecurityalliance.org/research/contribute/
      Recent releases – cloudsecurityalliance.org/research/artifacts/
      Upcoming events – https://csacongress.org/
      [ Best Practices for Microservices Part 1 ]
      Current Status – Finalizing content
      -Authors addressing the current comments
      -No authors, content, or comments needed
      Next Steps – Peer review
      -Going to peer review in 2 weeks time
      -Everyone is welcome to participate
      -Focus should be on the content and not grammar, syntax, etc.
      [Microservices Architectural Pattern (Part 2 – Best Practice for Microservices)]
      -Current status
      Addressing the current comments
      Focus comments on improving content.
      -If you are an contributor or would like to contribute, please add your name and email to the contributor list.
      -Predicted release is March 2020
    • NO MEETING IN SEPT. Next meeting will be Oct 31st at 9am PT/5pm CET
  •  2019年7月26日(金)01:00am – 02:00am(終了)
    • Cloud Security Alliance ACM-WGグローバルミーティング
      [CSA Announcements]
      -New website! – cloudsecurityalliance.org/
      -Current open peer review – CAIQ v3.1
      -Recent releases
      -Upcoming events – https://csacongress.org/
      [First set of documents have been published. Congratulations!]
      -Challenges in Securing Application Containers and Microservices – out now!
      -Best Practices for Application Containers – coming soon!
      [Current initiatives]
      -Best Practices for Microservices Part 1
      *Work on editing and revising Chapters 1, 2, and 3
      -Best Practices for Microservices Part 2 – Unified Standard
      *Currently reviewing and addressing comments
  • 2019年7月16日(火)(終了)
    【大阪・梅田(GVH Osaka)】Kansai Cloud DevSec Meetup #1
    https://20190716-cloud-devsec-gvh-osaka-umeda.peatix.com/
    <概要 Overview>
    2025年万博に向けて、関西では、メガ・プラットフォーム事業者のクラウドデータセンター設置・増強が本格化しています。それに合わせて、クラウド・ネイティブのオープンソース環境をベースとするアプリケーションコンテナ、マイクロサービス、オープンAPI、DevOps/DevSecOpsといった新技術の導入が進み、システム開発・運用の現場を大きく変えようとしています。米国ワシントン州シアトルに本部を置く非営利団体クラウドセキュリティアライアンス(CSA)では、アプリケーションコンテナ/マイクロサービス・ワーキンググループ(ACM-WG)が、米国立標準技術研究所(NIST)などと連携しながら、新技術を取り巻くセキュリティ対策に関する国際標準化・啓発活動を行っています。本ミートアップは、関西の開発者やクラウドユーザーを対象に、「Fintech」などの具体的導入事例を紹介しながら、
    ・クラウドとオンプレミスが混在するハイブリッド環境で、コンテナやマイクロサービスを利用したサービスを新規開発・運用する場合、セキュリティ対策をどう講じたらいいのか
    ・クラウドサービス事業者とクラウドユーザーの責任分界点をどう設定したらいいのか
    ・専門知識のない経営層向けに、新たなセキュリティの課題と対策をどう説明したらいいか
    ・セキュアなアプリケーションコンテナ/マイクロサービスを構築・運用できるエンジニアをどう育てていけばよいか
    といった共通のセキュリティ課題の解決策について考え、共有する場を提供することを目標としています。<スケジュール Timetable>
    18:30 受付開始
    19:00 スタート・開会のご挨拶
    19:05-20:00 「アプリケーションコンテナ/マイクロサービスのセキュリティ概説」
    ・「Fintech」事例に学ぶアプリケーションコンテナ/マイクロサービス
    ・アプリケーションコンテナのセキュリティ脅威とインフラセキュリティ
    ・マイクロサービスのセキュリティ脅威とAPIセキュリティ
    ・主要クラウドサービスのシフトレフト支援策
    ・Q&A
    https://www.slideshare.net/esasahara/ss-154569626
    20:00-20:10 休憩(10分間)
    20:10-20:30 CSAジャパン関西支部の活動のご紹介
    20:30-21:00 フリートーク&ネットワーキングの時間<主催者 Organizer>
    一般社団法人日本クラウドセキュリティアライアンス
    アプリケーションコンテナ/マイクロサービス・ワーキンググループ<共催 Cosponsored>
    GVH Osaka(グローバルベンチャーハビタット大阪)
    公益財団法人都市活力研究所<コーディネーター Coordinator>
    一般社団法人日本クラウドセキュリティアライアンス
    アプリケーションコンテナ/マイクロサービス・ワーキンググループリーダー 笹原 英司<会場 Place>
    GVH Osaka(グローバルベンチャーハビタット大阪)
    大阪府大阪市北区大深町3番1号 グランフロント大阪北館タワーC 7階
    ・JR大阪駅より徒歩7分
    ・地下鉄御堂筋線梅田駅より徒歩10分
    ・阪急梅田駅より徒歩10分
  •  2019年6月28日(金)01:00am – 02:00am(終了)
    • Cloud Security Alliance ACM-WGグローバルミーティング
      [概要]
      -First two documents (Challenges and Best Practices for Best Practices) will be release in mid July (July 10th and the following week)
      -Anil and Andrew to review Part 1 of the Microservices Best Practice document. They will follow up with the leads regarding their feedback/suggestions
      -New version of chapter 5 doc/a unified standard / part 2 – link has been replaced in the docs and files section
      -Next calls will be on July 25th and Aug 22nd – Be on the look out for those invites
  •  2019年6月4日(火)
    • CSAジャパンに、アプリケーションコンテナ/マイクロサービス・ワーキンググループ(ACM-WG)を設立いたしました。
  •  2019年5月17日(金) 01:00am – 02:00am (終了)
    • Cloud Security Alliance ACM-WGグローバルミーティング
      [Action Items]
      -Anil Karmel – address tech edits for Challenges for Implementing Application Containers and Microservices and the Best Practices for Containers document by beginning of June
      -Authors for Microservices Best Practices – document to close comments and revise down their sections
      [Meeting Minutes]
      -Anil is finalizing the edits that have been made, looking to publish first set of documents in June.
      -Best Practices Document is closed for content/comments – authors should now focus on pruning down and finalizing all of sections.
      -Partitioning the work to different working group members.
      -Vrettos will continuing to write the Unified Standard for Microservices document upon the finalization of the Best Practices for Microservices document.