最近北九州が熱いなと感じている小室@福岡です。
先日JAWS-UG北九州・福岡合同主催-1から学ぶクラウドのセキュリティ勉強会@北九州が開催されてたので参加&登壇してきました!
1から学ぶクラウドのセキュリティ勉強会@北九州
- http://jaws-kitaq.doorkeeper.jp/events/13701
- 日時: 2014-08-23(土)13:00 - 18:00
- 場所: fabbit http://fabbit.in/
まとめ
アジェンダ
今回はクラウドに限定せず、セキュリティ一般幅広くお話し頂く事にし、以下の方々にお話し頂きました。
サイバートラスト株式会社 坂本様
高まる「認証」の必要性~SSLサーバー証明書の基礎、最近の話題~
- SSL証明書に求められてきているものが、通信の暗号化だけではなくウェブサイトの認証という部分が増えてきている
- フィッシングサイトが増えて(フィッシングサイトもSSL証明書を設置するので)全く同じ様に見えた場合、ユーザーはサイトの妥当性を判断する手がかりがSSL証明書の認証部分しかない
- SSL証明書にはDomain Validated(DV), Organization Validation(OV), Extended Validation(EV)があり、EVの取得が一番難しく安全性が高いとされている。
https://www.cybertrust.ne.jp/whitepaper/EV_SSL.pdf - Microsoft SHA1 Deprecation Policyについて。2016年1月1日にSHA1のSSL証明書発行停止、2017年1月1日からMSからセキュリティパッチが適応されて、MS製品はSHA1のSSL証明書が扱えなくなる。
http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx - AWSなどに特化した個別マニュアルを公開している
https://www.cybertrust.ne.jp/ssl/support/tec_download.html
トレンドマイクロ株式会社 南原様
利用者責任範囲におけるセキュリティ実装の方法について~ユースケースから考えてみる~
- トレンドマイクロは日本の会社!!(外資ではない)
- 今までオンプレであれば全部を面倒みなければいけなく、セキュリティも丸ごと考える必要があったが、クラウドを使う事で担当する箇所(共有責任モデル)が明確になり、セキュリティを考え易くなっている
- セキュリティについてのお勧めブログ: http://d.hatena.ne.jp/Kango/archive
- 最近の攻撃方法はOSではなく、その上に乗っているミドルウェアや言語、CMSなどの脆弱性をついた攻撃が多いとの事。また改ざんされても分からないように長い間潜伏出来るような形が多いとの事
- アカウント攻撃も、辞書攻撃でなくアカウントリストを購入して、それを元にアカウントリスト攻撃をするパターンが増えてきている(ヒット率は0.3%)
- Code Spacesの事例はAWSを使うユーザーであれば知っておくべき事例だろう。AWSのマネージメントコンソールのログインID/PWが盗まれて、脅しを受けたのだがCode Spacesはそれを拒否し、犯人はAWSにあるサービスが動いているリソース全削除をしたとの事。おそろしや....
http://www.networkcomputing.com/cloud-infrastructure/code-spaces-a-lesson-in-cloud-backup/a/d-id/1279116 - ウィルスを作る人は、大手のアンチウィルスソフトに一度かけて検知されない事を確認してから世の中に流すらしい
株式会社セキュアスカイ・テクノロジー 前平様
クラウド環境で利用されるWebアプリケーションファイアウォール
- セキュリティを考える時に、何を守りたいのかをまず考える必要がある。個人情報か?サイトの信用性か?自分が攻撃者にならない事か?など。セキュリティ対策はトレードオフである事を認識する(vs コスト、利便性、スピードなど)
- WAF 【Scutum】スキュータム - SaaS型Webアプリケーションファイアウォール - scutum.jp
- 人間が考える異常と、コンピューターが見る異常は違う事を理解する(例えばアカウントが乗っ取られてもアプリ側から見たら正しいID/PWでログインをしていれば特に異常とは検知しない等)
- SaaS側のWAFはDNSの設定を書き換えて導入する
- ScutumのSMS認証機能というのがあり、WAF側でTwillioを使ってログイン連携を行う事が出来る
http://www.scutum.jp/information/technical_articles/two_factor_authentication.html
株式会社サーバーワークス 小室
AWSが取得している第三者認証について
- AWSが取得している第三者認証が何なのかの話をしました。
- 感想としては沢山取っているから安心!じゃなくて自分が必要とする基準は何なのか?を考えて、それに合致する、それを証明しうる認証がありそれを取っているかどうかを調べるのがよいかと思いました。
株式会社ハウインターナショナル 安土様
AWSに組み込まれてるセキュリティ機能の紹介
- 安土さんからはAWSが提供しているセキュリティに特化したものをまとめてご紹介
- 何はともあれMFA。MFA。大事な事なので二回言いました。後日ブログも上がってました。
http://haws.haw.co.jp/tech/mfa-must-require/
それではこの後は写真で本勉強会をお楽しみください。
スイーツ
今回スイーツを作ってくださったパティシエの皆さま
これで1000円とか(しろめ
fabbit
セキュリティxスイーツx北九州という組み合わせでしたが、得る物も多かった勉強会だったと思います。定期的にセキュリティに関しての知識は増やしていかないとなぁと思った次第でした。
登壇者の皆さま、参加者の皆さま、運営の皆さま、スイーツを用意してくださった皆さま、会場を貸してくださったfabbitの皆さま、その他多くの協力頂いた皆さま、本当に有り難うございました。