読者です 読者をやめる 読者になる 読者になる

田舎高専生のメモ置き場

技術ブログとかではないです。

第15回セキュリティさくらに参加しました

H28年7月30日に開催されたセキュリティさくらの第15回に参加させていただきました。
第15回セキュリティさくら : ATND
メモや感想を書いていこうと思います。
※間違い、意図と違う等ある場合お手数ですがご連絡ください。

クラウド不安、とか言ってる場合じゃない最近のクラウドセキュリティ」(松本 照悟氏)

【評価の分かれるクラウドセキュリティ】

世間の”クラウドの不安”はセキュリティ
情報漏えいなどセキュリティに不安がある

  • 一方
    • 同じ調査の中で23.7%の利用者は”セキュリティが高くなる”ことを評価
    • クラウドセキュリティの積極的な評価も
    • クラウドは既存のアプローチよりもセキュアである” 米国CIA技術主任
    • クラウドを評価する人、クラウドに不安を持つ人の間に大きなギャップ
      • そのギャップをどう埋める(埋めてきた)のか

【そもそも、クラウドってどんなもの?】

  • そもそも、なんでクラウドなの
    • クラウド・コンピューティングの時代
    • キャパシティ計画の考え方
      • 一時期必要な物を一気に調達 → その後無駄に ⇒ クラウド
    • 環境の考え方
      • 調達時間ゼロ、いつでも好きな環境、停止すればコスト削減
    • コストの考え方
      • CAPEX(設備投資)モデル ↔ CPEX(運用コスト)モデル
    • クラウドの評価
      • 早く、簡単、安く
      • 良しとされてきた価値を無にする(ニューノーマル)
    • ニーズに柔軟に応じられるインフラに価値がある
    • 例) Instagram : 最初は位置情報を使ったサービス、写真共有は機能の一つだった

クラウドセキュリティの不安を除くために】

"認証"はわかりやすいセキュリティの評価基準


スイーツタイム

NOJI さんのケーキ。チョコレートケーキ美味しかったです


クラウドセキュリティの常識が変わる】

  • 従来型の”ノーマル”なセキュリティ
    • セキュリティ=機密性・完全性・可用性の維持
    • アクセスコントロール、暗号化、冗長化などを”当たり前"にすること
  • クラウドがもたらすITの恩恵
    • 改善 : ビッグデータ、分析インテリジェンスが簡単に手に入る
    • 革新 : すべての社内リソースが可視化される
  • セキュリティの「ノーマル」な悩み
    • 今行っているセキュリティ対策は有効なのか
    • どこまでセキュリティへ投資したら良いのか
    • コスト最適なのか
  • 「ROI」から「変化適応」へ
  • クラウドが適応型セキュリティを加速
  • 変化適応度に応じたセキュリティの種類分け
  • セキュリティ・ベストミックス
  • 安全なクラウド利用から、クラウドだからこその変化に応じたセキュリティ、が実現できるようになってきた

クラウドならでは、のセキュリティへ】

  • 固定的なセキュリティ -> 企業米の構成・設定によるセキュリティ -> 利用者毎・状況毎のセキュリティ
  • Netflixの場合
    • 自分たちの本番サービスのサーバを勝手にシャットダウン(Chaos Monkey)したり、地域自体を使用不能(Chaos Kong)にするツール群を開発、実装
      • 止まらない、故障しないシステムなんてない!
      • 止まっても大丈夫な仕組みを作り出す
  • “本来やるげきこと”に集中するためのセキュリティ
    • ビジネスの要求に答えられるサービス構築・運用
    • より深いログ分析やリアルタイムな対応
    • 少人数でも規模を拡大化できる仕組み
  • Security By Design
  • DevSecOps
  • ガバナンスの観点からみた課題
    • 管理をする始点からすると、勝手な利用は好ましいものではない
    • 環境バラバラは監査をする方も大変
  • 利用者側の視点からみた課題
    • 自分たちのニーズにそった環境がすぐに用意できないとビジネスが立ち上げられない
  • 望ましい解決策とは
    • 組織としての管理要件を満たしたサービスを、利用者側がすみやかに立ち上げられる環境を提供すること
  • 今時のクラウドの出来ること
    • 環境をテンプレートにできる - サーバ単体だけでなく、ネットワークの構成なども
    • 実行を自動化 - 手作業のミスや操作のばらつきを排除
    • 実行の証跡を確保できる - 誰が何をやったのか追跡
  • SbDの狙い
    • お客のガバナンスポリシーを技術的にスクリプト
    • 制御を確実に実行できるようにする
    • 継続的でリアルタイムな監査を実現できる
    • 結果としてセキュリティ要件を満たす環境の構築を自動化し維持

【終わりに】

  • クラウドがセキュリティにもたらす価値
    • “出来なかったこと”が出来るようになりつつある
    • “変化や要求”に応じること
    • “本当にやるべきこと”に集中できる環境を作ること

LTタイム

TeslaCryptを焼肉に変えた話(李 充根氏)

  • 状況確認
    • 現場
      • 小規模な塾のような環境、かなりアカンNW構成
      • ファイルがTeslaCryptによって暗号化される
  • 復旧方法
    • GitHub上にTeslaCrackというツール
    • 通常、拡張子が.vvvになり暗号化されるはずが、.mp3になってた
    • TeslaCrypt3という改良版による暗号化
  • 作者が降参しマスターキー公開
  • 原因として考えられるもの
    • FlashJavaのバージョンが古い
    • セキュリティソフトの期限切れ

ビギクラ!開発入門者向け脆弱性学習アプリ(政倉氏)

ビギクラ!
SQLインジェクションとか勉強出来ます

パスワード管理ソフトの有用性と危険性について比較してみた(CyberForce3373氏)

  • 有用性
    • 覚えるパスワードが減る
    • パスワードの使い回しが減る
    • ランダムなパスワードの利用
    • 持っているアカウントの把握
    • パスワード以外の情報も管理
    • 自動入力
    • 同期
    • セキュリティレポート
  • 危険性
    • すべてを一度に盗まれる
    • すべてを一度に失う
  • 考察
    • すべてを一度に盗まれる
    • 2段階認証を併用する
    • 下手な管理よりは圧倒的に安全
      • 数パターン程度を使い回す
      • ブラウザのパスワード保存機能を使うくらいならパスワード管理ソフトを使うべし
    • 使い方を工夫する
      • 何を管理対象にするか : (例)Microsoftアカウントは管理対象にしない
    • データの保存場所・同期方法

CSIRTって知ってますか?(powhei氏)

  • CSIRTとは
  • 機能
    • インシデント検知、対応、教育、外部との連携
  • 必要なわけ
    • 小さなインシデントのうちに対応、大きなインシデントを防ぐ
    • あらかじめ対応を準備することで、発生時に冷静に対応
  • 実装形態の例
    • 独立部署
    • 部署横断
    • 個人
  • 見える化
  • まとめ
    • 組織内CSIRTは必要
    • 名ばかりのCSIRTダメゼッタイ

タイピングチューブの紹介(竹森氏)

Typing Tube (タイピングチューブ)

感想:
クラウド、名前知ってるくらいで自分で使ったことはないんですが、お話聞いてる限りすごく便利で安全ですね(小並感)。
"本当にやるべきこと"に集中できる環境を作ることが出来るクラウドは流行るのも納得です。

懇親会

お酒美味しい!加減しなかったせいで帰りの電車で揺られてめちゃ気持ち悪くなりました。勉強になりました。
じゃんけん大会で勝ったのでHITCONのマスキングテープ頂きました!めっちゃかっこいいです