Calmery.me

みっかぼうずにならないようがんばる

第15回セキュリティさくらに参加してきました

セキュリティさくら

熊本情報セキュリティ勉強会,セキュリティさくらに参加してきました.今回は AWS の松本 照吾さんで「クラウド不安,とか言ってる場合じゃない最近のクラウドセキュリティ」というお話.
もう 10 日も経ってしまってますけど...

手書きのメモが汚すぎてどこまでが前半なのか,というか読めない.

前半

まずクラウドは不安なものなのか.
使ってない人は情報の漏洩が不安といい,使っている人はセキュリティが高くなるという.

米国の CIA の技術主任の方はクラウドの方がセキュアだよと言っているそう.なるほど.このギャップをどうやって埋めてきたのか.ちなみに現在のクラウドの流れは 19 世紀ごろの電気の普及と同じ流れだそう.

CAPEX(設備投資)モデルと OPEX(運用コスト)モデル.クラウドの評価として早く,簡単に安く.仮説,検証,フィードバックを繰り返す方がいい.利用者のニーズに応えられるサービスが強い.この辺りで PCIDSS というクレジットカード情報および取り引き情報を保護するための何かが出てきた.よくは覚えていない.

ここからはこれからの常識が変わってくるというお話.従来の機密,完全,可用というのはクラウドでも取り組まれてきている.さらに恩恵としてビッグデータ,分析,インテリジェンスが手に入る.また社内リソースを可視化できる.

セキュリティ,ROI(投資対効果)は求められるのか.セキュリティだけ分けて,取り出して考えることは難しい.変化への適応を追求し,最適なセキュリティへ.

リスクは常に変化する.脅威,脆弱性,情報資産.適応型セキュリティ.予測,防御,検知,対応.この繰り返し.

この変化適応度に応じてセキュリティの種類分けを行う.要は必要なものだけを追加する.セキュリティベストミックス.かっこいい.

後半

Netflix の例が紹介された.本番環境が落ちても次がすぐに立ち上がるらしい.

常時 SSL は必要かも.だがコストがかかり,個人に負荷がかかる.SEO の判断基準になっている.これを AWS は無料でやってくれる.わーい.運用している人はサービスのセキュリティ,証明書の管理をしたいわけではない.このような無駄を省くためのサービス.本来やるべきことに集中するためのセキュリティ.

AWS で採用されている.

  • Security By Design
    • 設計の各段階への要件の組み込み
  • DevSecOps
    • 開発,運用プロセスにセキュリティ評価を組み込む

見たほうがいいということだった.気がする.

ルールがサービスを殺してしまう.組織でサービスを試験利用してみるのもあり.大元で管理できるから利用者が許可いらずで素早く使える.

クラウドはテンプレート化されているのですぐに立ち上げることができる.リファレンスアーキテクチャをテンプレート化.最低限の要件を定義する.ガバナンスポリシーをスクリプト化.セキュリティ要件を満たす環境を自動化し維持する.

さっき出てきた DevSecOps について.個人ではなくチーム,コミュニティ.管理可能,反復可能.Security at scale.CI/CD プロセスの一部として.

クラウドがセキュリティにもたらす価値.

  • 今まで出来なかったことができるようになる
  • 変化や要求に応じる
  • 本当にやるべきことに集中出来る環境を作ること

よく分かっていないので調べた方がよさそう.

AWS すごいってことがよくわかった.自分も触ってみたい.第15回セキュリティさくらのまとめ - Togetterまとめ につぶやきがまとめられている.

LT

カスペルスキーの前田さん
SGR2016 – Security Groups Roundtable, 2016.9.23 | Web Application Security Forum - WASForum の宣伝ということで.行ってみたい.

政倉さん
開発入門者向けの脆弱性学習サイト「ビギクラ!」の紹介.
結果が簡単に見れるのでとてもよさそう.

CyberForce さん
パスワードの管理ソフト.マスターパスワードさえ強力であればパスワードの使い回しが減っていい.持っているアカウントの把握や同期もできて便利らしい.でもマスターパスワード絶対忘れる自信があるので自分には縁がないだろう.

李 充根さん
学校で事件.ネットワークの環境がとてもとてもまずい構成だった.ここぞとばかり TeslaCrypt によって暗号化される.セキュリティソフトは体験版のまま期限切れで動作しておらず.
GitHub に TeslaCrack というツールがあった.でも TeslaCrypt は普通 vvv という拡張子にするはずでは.なぜか mp3 になっている.調べてみたら TeslaCrypt3 という改良版だったらしい.TeslaCrack が使用していた脆弱性が修正されていて復号できない.なんとそこで TeslaCrypt の作者がマスターキーを公開.終わった.焼肉を勝ち取ったらしい.焼肉食べたい.

橘さん
CSIRTって知ってますか.知りませんでした.
セキュリティインシデントの受付,調査,対応を行っている.組織内にある CSIRT は組織内 CSIRT というらしい.小さなインシデントに対応,大きなインシデントを防ぐ.メールの例があった.開いたけど対策してたけど大丈夫でしたみたいなの.あらかじめ準備を行っておき何かあった時に冷静に対処する.

竹森さん
タイピングチューブの紹介.紹介といっていいのだろうか.タイピングチューブは動画,主に歌の歌詞に合わせてタイピングの練習をすることができるサービス.仮想キーボードがついたらしい.

前半,後半の間のスイーツタイム.最高でした.
f:id:calmery:20160810195636j:plain
f:id:calmery:20160810195638j:plain

懇親会は Grill de gyan で.
f:id:calmery:20160810195914j:plain
f:id:calmery:20160810195917j:plain
美味しかった.