概要

記念すべき1回目の SPIFFE Meetup Tokyo を開催します！ このミートアップは SPIFFE/SPIREを中心とした Zero Trust Network、Secure Introduction 関連の技術について共有する会です。

SPIFFEとは?

SPIFFEはZero Trust Networkの考え方にもとづくサービス間認証の仕様です。2002年に発表されたPlan9 security design、2005年に発表されたGoogleのLOASの流れを汲んで作られています。

近年のMicroservice化されたシステムのようなworkload間の通信において、「送信元が信頼できるか」 、「メッセージの正当性を信じられるか」というような課題を、どのような環境(cloud/on-prem, container/VM)であっても、各workloadは 同一インタフェースで確認できるフレームワークの仕様です。また、SPIFFEは異なるドメイン間で利用する場合においても中央管理を必要しないという特徴があります。

より詳細な説明は、今回のMeetupの発表者でもある @hiyosi の資料からご覧いただけます。

• SPIFFEで何が解決できるのか
• SPIFFEとその実装であるSPIREについて

タイムテーブル

19:05~19:35 Intro SPIFFE (30min)

by 宇佐美 友也 (@hiyosi), ゼットラボ株式会社

Cloud Nativeな環境ではNetwork Identity(IPアドレス)による認証とFirewallなどによるACLでは十分ではありません。 Zero Trust Networkの考え方を取り入れたスケーラブルで強固なセキュリティをSPIFFEにより実現できます。例えばAWSやGCPなどのIaaSやKubernetes、Docker、Unixカーネルと連携して各アプリケーションとインスタンスに検証可能な識別子を割り当ててすべてのアプリケーション間の接続の暗号化を実現できます。この発表ではSPIFFEとは何か、なぜ必要なのかについて解説します。

Bio: 某ISPにてシステム運用基盤の開発、IDaaSサービスの立ち上げなどに関わった後、2016年9月にゼットラボ株式会社に入社し現在はインフラ基盤の研究開発を行っている。Zero Trust Networkや認証技術に興味がある。

19:35~20:05 SPIFFE in Action (30min)

by 相野谷直樹 (@naokiainoya), ゼットラボ株式会社

SPIFFEは、あくまで仕様(Standard)を表すもので、その実装としてSPIREが同プロジェクト内で開発されています。ゼットラボでは現在、このSPIREを用いてZero Trust Networkを実現する仕組みをOpenStack上に構築しようと試みています。今回の発表では、SPIREをベースにしてワークロード(コンテナ・VM)のアイデンティティを検証するプロセスや、Vaultでのシークレット管理との連携について、実装例を交えて現状の課題感とともに解説します。

Bio: mixiで大規模webサービスの運用を経験したのち、リクルートで基盤開発や新規事業開発、SRE組織のエンジニアリングマネージャなどに従事。2018年10月よりゼットラボ株式会社でインフラ基盤の研究開発を行っている。

20:05~20:35 Athenz + SPIFFE によるアクセス制御 (30min)

by 矢野 達也 (GitHub: tatyano), ヤフー株式会社

昨今のクラウド環境（Kubernetes, OpenStack, Cloud Foundry等）ではIPアドレスによるアクセス制御では不十分であり、Zero Trust Modelが必要不可欠です。 SPIFFEにより、X.509やJWTといったIdentityを用いて、各アプリケーションや各インスタンスの間でアクセス制御を行う事が可能になります。 さらに、大規模または複雑なクラウド環境においては、より細かなアクセス制御を行うためにFine-grained Authorizationの考え方が重要になります。 SPIFFE準拠の実装としてはSPIREが存在しますが、Yahoo Inc.（現Verizon Media）によって開発されたOSSであるAthenzは、SPIFFE IDに準拠したIdentityの自動配布とRBAC（ロールベースアクセス制御）によって、Fine-grained Authorizationを実現します。

この発表では、AthenzにおけるSPIFFEとの連携方法を始め、アクセス制御をどのように実現するのか、どのようなメリットがあるのか、デモを交えてご紹介します。

Bio: Web ServiceやSmartphone Appの開発/運用に従事した後、現在はAthenzのDevOpsを行うチームでProduct Ownerを担当しています。AthenzのContributorとしても活動しており、KubeCon等のカンファレンスでの発表も行なっています。

20:35~21:00 懇親タイム sponsored by ゼットラボ株式会社

食べながらの懇親タイムです。軽食、ドリンクを提供予定です。未成年および自動車などの車両を運転する予定方は絶対に飲酒しないでください。

21:00~21:25 LT大会x5 (各5分)

「参加枠 > LT枠」に注意事項の記載があります。LT希望者は必ず確認してください。

• vs Istio Security - nwiizo
• Using Kubernetes as a datastore for SPIRE server - summerwind
• TBD
• TBD
• TBD

参加枠

一般枠（抽選）

抽選枠です。当日補欠で来場されても参加をお断りさせていただきます。予めご了承ください。

LT枠（抽選）

LTは5分厳守です。参加申込み時に LT タイトルの登録をお願いします。

取材、その他

取材などで参加を希望される方は、右カラム中央のリンクから事前に主催者宛に用件をご連絡ください。保安上の理由から、事前連絡なしの参加はお断りさせていただきます。また当日提供されるピザ、ビールなどの飲食物は一般参加者向けになります。予めご了承ください。

参加費

無料

当日の受付について

• 時間：18:30 開場です。19:30 以降は入場できなくなります。
• 場所：東京ガーデンテラス紀尾井町 紀尾井タワー ヤフー株式会社 オープンコラボレーションスペース「LODGE」(https://lodge.yahoo.co.jp/) 18階階段横イベント専用受付

受付の際に「受付票」をスマートフォン等で提示をお願います。

中継

• 中継はありません

会場設備について

• プロジェクタの解像度は 1920x1080/60p です。
• 入力端子は HDMI, D-Sub 15ピン, USB-C, Mini DisplayPort です。
• 無線 LAN が利用可能です。電源タップは数に限りがあります。

注意事項など

• 受付票に記載の本人のみが参加できます。受付票をお持ちでない方は入場できません。受付票はスマートフォンでの提示で入場できます。
• 18:30 開場です。19:30 以降は入場できなくなります。
• 会場は禁煙です。

免責事項

• 貴重品の管理は各自でお願いいたします。万一盗難・紛失等の事故が発生しても、主催者側では一切責任を負えません。