積極的にメモっていく姿勢

題名詐欺。更新頻度の低さが売り。

Developers.IO 2019 Security へ行ってきました #cmdevio2019sec

行ってきたんですが,書いていたメモが消滅しまして記憶だけで何とか記録を残します......
 
dev.classmethod.jp

AWS を扱う企業やエンジニアをターゲットにしているのは,イベントを見るだけですぐわかるのですが,自分はとにかくいろんな業界のセキュリティについて学習するつもりで参加をしました.現職のこれからに生かしていけるよう頑張ります.
 
全体を通して言及されていたのは,可視化の重要性についてでした.とにかく怪しいパケットがどのポートから出ているか,すぐにわかるようにしないといけない.この「すぐに」というところがポイントで,マルウェアに感染してから発覚するまでの時間を短縮できないと,被害を小さくすることは難しいということです.いくら感染発覚後の対処が優れていても,マルウェアに活動する時間を十分に与えてしまえば,作りによっては発覚することなく証拠を隠滅されてしまうかもしれません.
 

AWSセキュリティ入門 + 基調講演

そのために GuardDuty というサービスが提供されているので,とにかく使ってほしいとおっしゃっていました.費用は全体の 1 % 程度に過ぎず,2 % になるのは大きな企業でもない限りないだろうということです.

aws.amazon.com

AWS 自体もさすがに客の責任だとはいえ,自分のサービス上で悪さをされてはたまったものではないため,ここでコストがどうのこうの言われて,被害が拡大するのはいただけません.ここについて,責任共有モデルという他の分野でいうところの責任分界点の話がありました.

aws.amazon.com

www.kdh.or.jp

www.ntt-east.co.jp

このあたりをきちんと把握していないと,自分側の不備で感染してしまったなんてことも十分にあり得ます.理想では全体像を把握しておくべきなのでしょうけれども,最低でも責任共有モデル自体を把握しておいて,自分たちの領域はきっちり守らなければ大変なことになるでしょう.

脆弱性とセキュリティの話~ホワイトハッカーが少し喋ります~

部屋を移って今度は脆弱性を探しては指摘する作業をおこなっている,イエラエセキュリティさんのお話を聞きました.

ierae.co.jp

主催から公式レポートが出ているので,そちらでも詳細が読めます.

dev.classmethod.jp

世間一般にはセキュリティの会社というと,まずは警備会社がでてきて,なかなかサイバーセキュリティのイメージはないような気がしています.自分も転職する際に「セキュリティってことは玄関とか守るの」って何回も聞かれたので,きっとそういう世界も少なくないはずです.
 
さらに潜れば,情報系のセキュリティと言っても,アンチウィルスソフトを開発している企業以外は知らないという方もいるでしょうから,脆弱性診断を専門にやっている企業というのは,自分の中では珍しいなと思った次第です.
 
全員がエンジニアという企業だからこそ,技術力を証明するために多くの大会で実績を残されているようです.最新の技術に触れ,多くのパターンを知ることで,いち早く脆弱性を発見する技術と技能を身に着けるということのようです.

DevSecOps と Cloud Security ~ 継続的な脆弱性診断とセキュリティ運用・監視のベストプラクティス

同じ部屋でエフセキュアさんのお話です.Rader という製品の紹介でした.

www.f-secure.com

https://www.f-secure.com/ja_JP/web/business_jp/radarwww.f-secure.com

また,公式レポートがありますので張っておきます.

dev.classmethod.jp

今まで自分の頭にあったのは,実際に製品ができあがってサービスが動き出してから,脆弱性が発覚するという流れでした.しかし,今回のお話の中で開発工程に診断を組み込むことで堅牢にしましょうということでした.どう考えてもそうなのですが,開発時の自分をイメージすると,機能がキチンと実装されているかどうかに気を取られ,テスト項目も正しく動くかどうか,おかしな数値できちんと止まるかぐらいしか考えたことがありませんでした(業務で開発の経験がないからこれくらい呑気なんだとは思いますが......).確かに,開発時から使用しているライブラリなんかの脆弱性も分かれば,いちいち調べながらアンテナ張って頑張らなくてもよいので,それはよいことだと感じました.そのために API インターフェースも用意されているということで,速度の必要なビジネスの世界でもロスなく安全なサービスを作っていけるということのようです.

AWS、可視化出来ていますか?〜Sumo Logicを活用したAWSのセキュリティリスク可視化〜

引き続き同じ部屋でお話をききました.Sumo はお相撲さんから来ているようです.(正確な話を覚えていないのですが,お相撲さんでかいなぁ→Big Data 的な聞いていたときの感情はマジかよって感じのものだった気がします)

www.sumologic.jp

ログの可視化ツールで,大量にやり取りされる API コールのログを目で追っていくなんてことから解放されるということです.実際ログから必要なものを取り出していくために,一生懸命条件を設定しては切り取って,ということを繰り返してテキストベースで情報を得ていく作業の辛さはよくわかります.その絞り込みであったり強調表示であったりをグラフィカルにやってやろうというもののようです.最近では東京リージョンでの利用もお得にできるようになった,ということで日本でも利用が進むといいなあというお話でした.

dev.classmethod.jp

画面の様子はここで見るとわかりやすいです.

AWSを安心・安全に利用する上で知っておきたい最適なセキュリティ対策とその最新動向とは?

最初の部屋に戻りました.最後はトレンドマイクロさんのお話です.

www.trendmicro.com

www.trendmicro.com

ここにもあるように,ちょっと間借りしてマイニングをやるというような手法が広がっていくだろうという話でした.実際,ばれるような明らかな負荷になっていると,すぐにインスタンスを閉じられて,新しくセキュリティ対策を施したインスタンスを立てられるばかりで,何もうまみがありません.そこで,まあ正しい動きをしながらも裏でちょっとマイニングしますよという形で浸食して,細く長く利用していくスタイルを取った方が儲かるなんてこともあるようです.

blog.trendmicro.co.jp

すでに2018年11月に現実のものとなっており,そういった動きを監視して阻止するためのソフトウェアが開発されているようです.

www.trendmicro.com

www.trendmicro.com

Deep Security Smart Check はコンテナイメージをスキャンしておかしな動きをしないか,デプロイ前に確認してくれる機能を持っているようです.これにより,実行してから確認するという危険な流れを組まなくてもよくなるというのは素晴らしいですね.

感想

セキュリティというとどうしても「何もなければ,対策する工数をかけるだけ無駄でしょ.そんなことよりサービスリリースしてよ」とか言われてしまいがちな要素であることは否定できず,苦しい思いをしてきた人も多いのではないでしょうか.ビジネスの世界の高速に価値を提供していかなければならない中で,顧客の安全を第一に考えながら仕事をしていくのはどの業界も同じはずですが,どうしても情報の世界となるとその重要性を認知してもらいにくいものです.
 
実際に人が死んでしまうなど,電気や建築などの世界はわかりやすいからか,都会でも田舎でも説得もしやすいし会社も配慮するのでしょうが,どうしても情報技術になると,専任がいないとかいう話になります.セキュリティ人材が20万人くらい不足するとか言われていますが,育てるのもそうだけれど,誰でも安全に使える仕組みづくりも進まなければ,全業界人材不足で人間絶滅って感じですね.教員も不足とか言っているので,どの業界も変わらない気がします.
 
しかし,これは怠ると痛い目にあう話ですから,大事にしていきたいものです.
 
......記憶だけで記事を書くというのは大変です.何かおかしなところがあれば直したいので,ご指摘願います 🙇