Atelier λ

セキュリティさくら15th

クラウド不安、とか言ってる場合じゃない最近のクラウドセキュリティ(前編)

  • by 松本 照吾 氏

評価のわかれるクラウドセキュリティ

  • プレゼンで使われた図
  • クラウドを使わない理由上位に「セキュリティに不安がある」(情報通信白書)
  • 一方でクラウドを使う理由上位に「セキュリティが高くなる」(同上)
  • 海外は特に顕著

そもそもクラウドってどんなもの?

  • キャパシティ計画
  • 従来は過剰投資やキャパシティ不足が発生(需要に対して見合わない投資)
  • クラウドにすることで需要と同じだけ使えるようにする
  • クラウドならすぐに拡張/削除が容易
  • 所有(従来) <-> 利用(クラウド)
  • 最初から完成系を作らず、フィードバックさせて臨機応変にしていく考え方になっている
  • インスタグラムもそんな感じ

クラウドセキュリティの不安をのぞくために

  • サービスに対する第三者評価
  • ISOとかの話
  • お客様の声、事例
  • サービス自体が新しくなっていく

クラウドセキュリティの常識が変わる

  • 従来の常識は以下の維持
  • 機密性
  • 可用性
  • 完全性
  • クラウドは
  • ビッグデータ、分析のための情報が容易に入手可能に
  • 全ての社内リソースが可視化される
  • セキュリティはITに織り込まれているから、その投資だけ取り出すことは不可能
  • ROI -> 変化適応
  • 脅威 x 脆弱性 x 情報資産 (従来の方程式)
  • クラウドが「適応型セキュリティ」を加速させる
  • 臨機応変に対応していく
  • 変化適応が少ないほどサービス側(提供側)に、高いほど自分達でやっていくようなセキュリティ
  • クラウドだからこその変化に応じたセキュリティ

sweets time

クラウド不安、とか言ってる場合じゃない最近のクラウドセキュリティ(後編)

クラウドならでは、のセキュリティへ

  • Netflixの場合
  • 可用性が命のサービス
  • でも止まらないサービスなんてない
  • じゃあ、止まってもいいサービスにしよう!
  • 本番環境に勝手にシャットダウンするようなスクリプトを配置(故障のシミュレーション?)
  • それでも動く仕組みを開発した
  • 例えば常時SSLという課題
  • AWSでは色々なサービスを提供
  • ユーザーは本来やるべき業務のみに集中
  • 「本来やるべきこと」に集中するためのセキュリティ

一歩進んだセキュリティのために

  • Security by Design
  • 結果としてセキュリティ要件を見たす環境構築を自動化して守る
  • DevSecOps
  • セキュリティにDevOpsを生かしていく
  • 表記揺れあり DevOps, DevOps + Securtiy など
  • AWSではこれも、そういう仕組みが用意されている
  • 今のクラウドの出来ること
  • 環境をテンプレートに出来る
  • 実行を自動化できる
  • 実行の証跡を確保できる
  • PCI DSS
  • AWSにはクイックスタートがある

おわりに

  • 出来なかったことが出来るようになりつつある
  • 変化や要求に応じる
  • 本当にやるべきことに集中できる環境をつくる

LT

SGR2016のご案内

  • by 前田 氏
  • SGR2016というカンファレンスの告知
  • 2016/09/23開催

ビギクラ! 開発入門者向け脆弱性学習アプリ

  • by 政倉 氏
  • 入門者がWebに対して「簡単に」攻撃できるアプリ
  • 学習支援
  • SQL injectionできるフォームに対して内部のSQLが見えたりする

パスワード管理ソフトの有用性と危険性について比較してみた

  • by @CyberForce3373
  • 有用性
  • マスターパスワードで一括管理
  • 本当にランダムなパスワードで登録できる
  • 自動入力や同期機能
  • 危険性
  • 全てを一度で奪われる
  • ハッキング、マスターパスワードを忘れる
  • 盗まれるのはマスターパスワードであって、盗まれても暗号化されたパスワード
  • これが正しく機能していれば、危険性は少ない(?)
  • 下手な管理よりは圧倒的に安全
  • 使い方を工夫する
  • 最強なのは複雑で強力な複数パスワードを自分の頭で覚える

TeslaCryptを焼き肉に変えた話

  • by 李 充根 氏
  • Teslacryptにひっかかったのを直す話
  • 通称vvvウイルス
  • ファイルの拡張子をvvvに変えて暗号化
  • 身代金を払って復号……
  • TeslaCrackというツールがこのウイルスの脆弱性をついて復号してくれる
  • しかし、今回は拡張子がmp3に
  • 脆弱性が潰された進化版!
  • 解決方法はない><
  • 突然TeslaCryptの作者が降参し、復号キーを公開 ???
  • あっさり解決 -> そして焼き肉へ
  • 原因は不明。生徒が何かしたかも?
  • 遠因はネットワーク構成がおかしい
  • セキュリティソフトが更新されてなかった

CSIRTって知ってますか?

  • by 橘 氏
  • セキュリティ対策などについて監視したり対応する組織
  • 日本シーサート協議会
  • CSIRTの横の繋がり
  • 加盟数がどんどん増えている
  • ネットワーク等を監視してヒューマンエラーとかも検知

運営してるサイトの紹介

  • by 竹森 氏
  • まさかのエディタでプレゼン
  • タイピングチューブ
  • youtubeの動画に合わせて歌詞をタイピングするゲーム

懇親会

  • 誕生日がまだなのでアルコールはまだでした(キレ気味)
  • でも誕生日プレゼントもらったので嬉しかったです(小並感)

感想

  • 懇親会はいつも以上にお話できたと思います
  • 受験も頑張って、次回か次々回にはまたLTしたいなあ
  • あと、受験終わったらこのサイト一新します