第15回セキュリティさくらに参加しました
H28年7月30日に開催されたセキュリティさくらの第15回に参加させていただきました。
第15回セキュリティさくら : ATND
メモや感想を書いていこうと思います。
※間違い、意図と違う等ある場合お手数ですがご連絡ください。
「クラウド不安、とか言ってる場合じゃない最近のクラウドセキュリティ」(松本 照悟氏)
【評価の分かれるクラウドセキュリティ】
世間の”クラウドの不安”はセキュリティ
情報漏えいなどセキュリティに不安がある
- 一方
【そもそも、クラウドってどんなもの?】
- そもそも、なんでクラウドなの
- クラウド・コンピューティングの時代
- キャパシティ計画の考え方
- 一時期必要な物を一気に調達 → その後無駄に ⇒ クラウド
- 環境の考え方
- 調達時間ゼロ、いつでも好きな環境、停止すればコスト削減
- コストの考え方
- CAPEX(設備投資)モデル ↔ CPEX(運用コスト)モデル
- クラウドの評価
- 早く、簡単、安く
- 良しとされてきた価値を無にする(ニューノーマル)
- ニーズに柔軟に応じられるインフラに価値がある
- 例) Instagram : 最初は位置情報を使ったサービス、写真共有は機能の一つだった
【クラウドセキュリティの不安を除くために】
"認証"はわかりやすいセキュリティの評価基準
スイーツタイム
NOJI さんのケーキ。チョコレートケーキ美味しかったです
【クラウドセキュリティの常識が変わる】
- 従来型の”ノーマル”なセキュリティ
- クラウドがもたらすITの恩恵
- 改善 : ビッグデータ、分析インテリジェンスが簡単に手に入る
- 革新 : すべての社内リソースが可視化される
- セキュリティの「ノーマル」な悩み
- 今行っているセキュリティ対策は有効なのか
- どこまでセキュリティへ投資したら良いのか
- コスト最適なのか
- 「ROI」から「変化適応」へ
- クラウドが適応型セキュリティを加速
- 変化適応度に応じたセキュリティの種類分け
- セキュリティ・ベストミックス
- 安全なクラウド利用から、クラウドだからこその変化に応じたセキュリティ、が実現できるようになってきた
【クラウドならでは、のセキュリティへ】
- 固定的なセキュリティ -> 企業米の構成・設定によるセキュリティ -> 利用者毎・状況毎のセキュリティ
- Netflixの場合
- 自分たちの本番サービスのサーバを勝手にシャットダウン(Chaos Monkey)したり、地域自体を使用不能(Chaos Kong)にするツール群を開発、実装
- 止まらない、故障しないシステムなんてない!
- 止まっても大丈夫な仕組みを作り出す
- 自分たちの本番サービスのサーバを勝手にシャットダウン(Chaos Monkey)したり、地域自体を使用不能(Chaos Kong)にするツール群を開発、実装
- “本来やるげきこと”に集中するためのセキュリティ
- ビジネスの要求に答えられるサービス構築・運用
- より深いログ分析やリアルタイムな対応
- 少人数でも規模を拡大化できる仕組み
- Security By Design
- DevSecOps
- ガバナンスの観点からみた課題
- 管理をする始点からすると、勝手な利用は好ましいものではない
- 環境バラバラは監査をする方も大変
- 利用者側の視点からみた課題
- 自分たちのニーズにそった環境がすぐに用意できないとビジネスが立ち上げられない
- 望ましい解決策とは
- 組織としての管理要件を満たしたサービスを、利用者側がすみやかに立ち上げられる環境を提供すること
- 今時のクラウドの出来ること
- 環境をテンプレートにできる - サーバ単体だけでなく、ネットワークの構成なども
- 実行を自動化 - 手作業のミスや操作のばらつきを排除
- 実行の証跡を確保できる - 誰が何をやったのか追跡
- SbDの狙い
- お客のガバナンスポリシーを技術的にスクリプト化
- 制御を確実に実行できるようにする
- 継続的でリアルタイムな監査を実現できる
- 結果としてセキュリティ要件を満たす環境の構築を自動化し維持
【終わりに】
- クラウドがセキュリティにもたらす価値
- “出来なかったこと”が出来るようになりつつある
- “変化や要求”に応じること
- “本当にやるべきこと”に集中できる環境を作ること
LTタイム
SGR2016のご案内(前田氏)
TeslaCryptを焼肉に変えた話(李 充根氏)
- 状況確認
- 現場
- 小規模な塾のような環境、かなりアカンNW構成
- ファイルがTeslaCryptによって暗号化される
- 現場
- 復旧方法
- GitHub上にTeslaCrackというツール
- 通常、拡張子が.vvvになり暗号化されるはずが、.mp3になってた
- TeslaCrypt3という改良版による暗号化
- 作者が降参しマスターキー公開
- さらば、TeslaCrypt:最終ラウンド | Kaspersky Daily - カスペルスキー公式ブログ
- 有志がGUIソフト公開 → それ使って勝った → 焼肉
- 原因として考えられるもの
ビギクラ!開発入門者向け脆弱性学習アプリ(政倉氏)
ビギクラ!
SQLインジェクションとか勉強出来ます
パスワード管理ソフトの有用性と危険性について比較してみた(CyberForce3373氏)
- 有用性
- 危険性
- 考察
CSIRTって知ってますか?(powhei氏)
- CSIRTとは
- セキュリティインシデントの受け付け、調査、対応を行う組織
- 機能
- インシデント検知、対応、教育、外部との連携
- 必要なわけ
- 小さなインシデントのうちに対応、大きなインシデントを防ぐ
- あらかじめ対応を準備することで、発生時に冷静に対応
- 実装形態の例
- 独立部署
- 部署横断
- 個人
- 見える化
- トラフィック監視
- まとめ
- 組織内CSIRTは必要
- 名ばかりのCSIRTダメゼッタイ
タイピングチューブの紹介(竹森氏)
感想:
クラウド、名前知ってるくらいで自分で使ったことはないんですが、お話聞いてる限りすごく便利で安全ですね(小並感)。
"本当にやるべきこと"に集中できる環境を作ることが出来るクラウドは流行るのも納得です。
懇親会
お酒美味しい!加減しなかったせいで帰りの電車で揺られてめちゃ気持ち悪くなりました。勉強になりました。
じゃんけん大会で勝ったのでHITCONのマスキングテープ頂きました!めっちゃかっこいいです