第15回セキュリティさくら参加レポート
ブログはサボるためにあるんだ
セキュリティさくら第15回参加レポート
7/30 に開催されました!
半分くらいポケモンやってるって言っていた。
みんなやりすぎなのでは。
以下まとめです。教科書みたいで眠いので赤いところだけ読んでいただければいいと思います。
『クラウド不安とか言ってる場合じゃない最近のクラウドセキュリティ』
presented by Amazon Web Serviceの松本照語さん
前半
1)評価の分かれるクラウドセキュリティ
最近の話。ITの市場は停滞してきているけどクラウド関連はまだ伸びているよ。と。だがそのクラウドを採用した場合のセキュリティについて世間の見解が二分している。クラウドを採用することでシステムがセキュアでなくなるという考え方とその逆である。アメリカでは既存の手法よりクラウドを使う方がよっぽど安全だよねという風潮がある。このギャップとは。
2)そもそもクラウドとは
そもそもクラウドは何かサービスを作る時に役に立つものである。最近だとゲームをリリースしたが思いの外人気が出てしまって資源を調達しなくてはいけなくなった。などのような何が起こるか分からない場合などに適している。逆も然り。まぁそれだけじゃなくて使いたい分だけリソースを使えるし柔軟に使えるよねといった風に電気のような形で必要な分だけ使うことが可能となっている。これによってビジネスモデルの変化などが行われるんじゃないだろうか。これまでは設計の段階で徹底的に検証してサービスを作り上げていった形式だったがこれからはサービスを成長させていく形に変化するのではないか。ニューノーマルともいう。
3)クラウドセキュリティの不安を除くために
当初クラウドのセキュリティは独自でやっていることを売り出していたがそれでは信用されにくいため、信用されるためにISO27001のような基準に則る方式になった。なお、ISO27001はクラウドのセキュリティの基準である。他にも色々あるよ。
AWSではこの基準に則ってある一定までの構成を作っておき、そこに顧客のニーズに合わせたカスタマイズをしてもらう手法にすることでクラウド側と顧客側の担当する領域を明確化させている。コンプライアンス。
4)クラウドセキュリティの常識が変わる
クラウドにおいてセキュリティ技術を導入し、安全性(こう書いたけどしっくりきてない)を高めることは当然であり、それは日に日に増している。(後で読んでみたらこの文だけ特に翻訳にかけたみたいになった。)アクセスコントロール、暗号化、冗長化などが当てはまる。
お約束だけどセキュリティリスクは掛け算で計算する。だからサービスの規模が日々変化するクラウドだとそのリスクは日々変化し、そのリスクに合わせた柔軟な対応が求められるのではないだろうか。ここで適応型セキュリティという考え方が出現する。予測、防御、検知、対応。これらを継続的に行い、監視と分析を行う手法だ。クラウドではこのような考え方が有効である。コストコントロールで優勝。クラウド有効コストコントロール優勝でラップが出来る。
後半
5)クラウドならでは、のセキュリティへ
クラウドは顧客が本来やるべきことに集中するためのセキュリティを目指す。この場合の本来やるべきこと、とはサービスを作る上で独自であったり新規であるなど特別な部分について考えることを指す。少し遠回しな言い方になってしまったかもしれない。
AWSではSecurity By Design、Dev Opsという仕組みを採用している。(唐突)
・Security By Design:設計の各段階について要件の組み込み
開発・運用プロセスにセキュリティ評価を組み込む。
・DevSecOps:ライフサイクルを高速化させるための取り組み
自分には少し難しかったのでこの辺りで理解してもらえるといいと思う。
DevOps とは何か? – アマゾン ウェブ サービス (AWS)
6)一歩進んだセキュリティのために
よそ見してたら終わってた
7)終わりに
クラウドによって「できなかった」ができるようになりつつある。
変化や要求に応じること。ビジネスも環境も変わる。
本当にやるべきことに集中できる環境を作ること。
感想
ちょっと宣伝が入っていた気がするがクラウドの持つ強みを聞いてこれからはクラウドの時代。となった。ただ、現状の日本ではやはり導入に違和感を感じる人が抵抗してくると思うのでその辺りとの折り合いを付けながらやっていくのは大変だろうなとも思った。中小が使い始めてどんどん結果を出せば流れが変わっていっていいのではないかと思った。
最後にLTの紹介
『イベント(SGR2016)のご案内』前田さん
・カンファレンスをやります(東京・御茶ノ水)
・9/23
・SGRはSecurity Groups Roundtableの略
・テーマはサイバーリスク×サイバー法のように複数のテーマの融合
・1万円で参加できる
『ビギクラ! 開発入門者向け脆弱性学習アプリ』政倉さん
・プログラミング入門者が簡単に攻撃を試せるアプリ
・脆弱性の理解が進む(多分)
・デモをしてくれた(すごく配慮されて作られていると思った)
・アプリで実行されたSQL文とその実行結果が見られる
・遊んでみてくれよな
・授業とかで使ってもいいぞ
『パスワード管理ソフトの有用性と危険性について比較してみた』Cyberforceさん
・有用性
- マスターさえ覚えておけばよい。これを強力にしておけばよい。
- パスワードの使い回しが減る。
- 持っているアカウントの把握が出来る。
- パスワード以外の情報を管理することもできるよね。クレカとかライセンスキーとか免許証の番号とか
- 自動入力
- 同期(クラウドなどを通じてあらゆるデバイスで管理が簡単)
- セキュリティレポートとかもある
・危険性
- 全てを一度に盗まれる(実例がある。トレンドマイクロの脆弱性とかLastPassへのハッキングとか。)
- 全てを一度に失う。ファイルとして持っておくタイプだとそれがなくなるとマズい。
・考察
- 盗まれるのはマスターパスで(業界最高水準で)暗号化されたデータ
- 脆弱なパスワードにしない
- マスターパスの変更
- 二段階認証にしよう
・結論
- 下手な管理より圧倒的に安全
- 預けるデータを選ぶという発想
- クラウド同期機能を使わないという作戦
- 有用性 > 危険性
・個人的にダッシュレーンがおすすめとのこと(有料)
『TeslaCryptを焼肉に変えた話』李さん
・ウイルスに感染したので助けてと相談→TeslaCrypt(通称VVVウイルス)だった。
- 全部.vvvにしちゃうという由来
・有志によるTeslaCrackというツールがある
・よく見たら.vvvじゃなくて.mp3じゃねーか→TeslaCrypt3と呼ばれている脆弱性がない強力なやつだった
・対処方法がない!RSA4048
・諦めてたらTeslaCryptの作者がマスターキーを公開???
・あっけなく復号完了
・焼肉を奢ってもらえるらしい
原因と考察
・セキュリティソフトってノートンがプリインストールされてるけどこれ期限切れたらなにも守ってないことになるよね、デフォルトでMicrosoftのやつがあるのにね
『CSIRTって知ってますか』橘さん
・セキュリティインシデントの受付、調査、対応を行う組織。組織の中にあるCSIRTを組織内CSIRTという。
・インシデント検知、対応、教育、外部との連携などが業務
・CSIRTが必要なわけ
- 小さなインシデントに対応することで大きなインシデントを防ぐ。
- あらかじめ対応を準備することでインシデント発生時に冷静に対応出来る。
・インシデントレスポンスとはインシデントマネージメントの一部。CSIRTはインシデントが起こらないと動かないわけではない。
・日本シーサート競技会の加盟数が上がっている。
・CSIRTの実装形態がある。
- 独立部署
- 部署横断
- 個人
・最近は「見える化」もやってる
・組織内CSIRTは必要
・日本シーサート協会は拡大してきている。
・キャラがシーサーだった。
『タイピングチューブ』竹森さん
・動画の歌の歌詞に合わせてタイピング練習できるサービス
・早いぞ
・仮想キーボードもあるぞ
・やってみてくれよな
おわり
ところで僕のゴルバット倒したの誰ですかね