Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS-UG金沢 #74 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション

60d4494f2321b322b050ea78acb7b0b1?s=47 Yasuhiro MATSUDA
November 13, 2021
Technology
0
39

JAWS-UG金沢 #74 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション

https://jawsug-kanazawa.doorkeeper.jp/events/128284

60d4494f2321b322b050ea78acb7b0b1?s=128

Yasuhiro MATSUDA

November 13, 2021
Tweet

More Decks by Yasuhiro MATSUDA

See All by Yasuhiro MATSUDA
【Amplify Studio×LIFF×Figma】ローコードで電子チケットアプリを作るハンズオン
60d4494f2321b322b050ea78acb7b0b1?s=48 matyuda
0
240
AWSサービスを利用した認証の実現方法
60d4494f2321b322b050ea78acb7b0b1?s=48 matyuda
0
390
JAWS-UG金沢 #76 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション
60d4494f2321b322b050ea78acb7b0b1?s=48 matyuda
0
54
What I forgot to consider when changing into serverless with Lambda
60d4494f2321b322b050ea78acb7b0b1?s=48 matyuda
0
54
Lambdaでサーバレス化した時に考慮し忘れちゃったこと
60d4494f2321b322b050ea78acb7b0b1?s=48 matyuda
1
240
JAWS-UG金沢 #66 [JAWS-UG 金沢 × 札幌 × 千葉 × 浜松 × 大分] 合同パネルディスカッション
60d4494f2321b322b050ea78acb7b0b1?s=48 matyuda
0
72
JAWS-UG金沢 #66 re:Cap LT 「Security Jamに参加してみた」
60d4494f2321b322b050ea78acb7b0b1?s=48 matyuda
0
80
JAWS-UG支部活動活性化のヒントを得る!
60d4494f2321b322b050ea78acb7b0b1?s=48 matyuda
0
380
oViceコミュニケーションスペースアトラクション説明
60d4494f2321b322b050ea78acb7b0b1?s=48 matyuda
0
98

Other Decks in Technology

See All in Technology
Micro frontends and micro services
Acc7788c2c6d2c4b43b875fcad502cd2?s=48 kashif98
0
160
ぼくらが選んだ次のMySQL 8.0 / MySQL80 Which We Choose
A3966f193f4bef226a0d3e3c1f728d7f?s=48 line_developers
PRO
7
3.3k
20220803投資先CXO候補者向け 会社紹介資料_合同会社BLUEPRINT
08b07f5e5f554c4f4a6a30ef1cca28ad?s=48 hik
0
620
psql, my favorite tool!
18749909c147a9ee98f6b112911943cc?s=48 nuko_yokohama
1
180
データをコネコネ!メール配信用データ生成の仕組み
Cdb7fe48c050935995f8a6a58a5ceba9?s=48 kappezoro
0
130
Life Hacker with LINE Bot and GitHub API
2102a6b8760bd6f57f672805723dd83a?s=48 line_developers_tw
PRO
0
5.7k
プロダクトマネージャーの役割と育成、評価
4ab5447926c5d5cb2c2ff6873b626d2f?s=48 middleokada
18
12k
殺虫剤のパラドックスの真実 / The Truth of The Pesticide Paradox
45b1fa2c7e781175da2a4be78bbfc1f9?s=48 kzsuzuki
1
210
大声で伝えたい!定時に帰る方法
61c616e83bef28a1cd2666439ebf334b?s=48 sbtechnight
0
260
Reactivity Transform
38bee248082f6071230de65e9d74a944?s=48 kazupon
1
420
品質特性のすすめ
95d0e8ddf4a989d9734c25bd6b1af295?s=48 honamin09
0
180
増田亨さんによる 「設計の考え方とやり方」勉強会オープニング
8ccb6288c8b9f34d6917a14d42e66cbe?s=48 tsuyok
0
230

Featured

See All Featured
GitHub's CSS Performance
64827b31aef81498662e8af4bd6d5157?s=48 jonrohan
1020
420k
StorybookのUI Testing Handbookを読んだ
50fc0fdc2327ecbe7350645812de52e3?s=48 zakiyama
6
2.5k
Making the Leap to Tech Lead
32de0bd2ba869609d26fd052a4622778?s=48 cromwellryan
113
7.4k
Web development in the modern age
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
197
9.4k
Done Done
282d599b414022eba5096510f675b6e2?s=48 chrislema
174
14k
Become a Pro
828ace851b606e1206900f26459f55ad?s=48 speakerdeck
PRO
3
910
How to train your dragon (web standard)
053e75a5b48b44d6dd0612795dfb326d?s=48 notwaldorf
60
3.9k
10 Git Anti Patterns You Should be Aware of
Dafc4723e9a1c067796c0fec6f509774?s=48 lemiorhan
638
53k
Art, The Web, and Tiny UX
D67fff74178013024d833b3eec6cf27f?s=48 lynnandtonic
280
18k
Learning to Love Humans: Emotional Interface Design
5f50f94346fbcb23706f0707169317a4?s=48 aarron
261
37k
Building Applications with DynamoDB
39488f9d172ab92fd352f2cd7b73258d?s=48 mza
84
4.8k
How GitHub (no longer) Works
78b475797a14c84799063c7cd073962f?s=48 holman
297
140k

Transcript

  1. JAWS-UG金沢 #74  セキュリティパネルディスカッション JAWS-UG 金沢 × みんなのCSIRT 2021/11/13

  2. タイムテーブル 15:00〜15:10 オープニング 15:10〜16:10 パネルディスカッション ・パネリストの紹介 ・今日の本題 16:10〜16:40 質疑応答 16:40〜16:50

    クロージング

  3. アンケート 是非アンケートへのご協力をお願いします! http://bit.ly/jawsug_kanzawa74 運営メンバーの励みになりますので、イベント終了後に入力ください。

  4. パネリストの紹介 小西さん ふぁらお加藤 松田 康宏

  5. Copyright© 2021 みんなのCSIRT All Rights Reserved.  みんなのCSIRTの紹介


  6. Copyright© 2021 みんなのCSIRT All Rights Reserved.  小西 享 (みんなのCSIRT)
 小西 享

    (こにし とおる)
 [所属]  アライドテレシス株式会社
  ※ここでの発言と、所属会社は関係ありません。 
 
 [こんな人です]  金沢市を中心にインフラエンジニアに従事し、プレ・要件定義・設計・構 築・運用までを経験。
  ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、 北陸を中心としたセキュリティの底上げを目指して活動を行っている。
 T.Konishi

  7. ふぁらお加藤(金沢支部) 金沢市を中心に設計・実装・運用・ 保守をするフリーランスプログラマ 3+7年、リーマン歴は5+3+3年 JAWS-UG金沢(AWS Samurai 2019受 賞)Kanazawa.rbコアメンバー Code for

    Kanazawa Civic Hack Night 運営

  8. 松田 康宏(金沢支部) 石川県在住。2020年まで金沢市内の印刷会社 でインフラエンジニアとして、AWSを利用し たインフラの概念実証を実施したのち、 2021年1月よりイースト株式会社に転籍。 金沢支部には第22回 Alexa Days(2017年)より参加し、フルリ モートワークで業務をする傍ら、コミュニティの運営に携わる。2

    級ファイナンシャルプランニング技能士(AFP)としても活躍中。 趣味はランニングとボウリングと家庭菜園。

  9. 金沢支部紹介

  10. 金沢支部の紹介 石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日 に勉強会 - また飲み会に戻る」を

    ローテーションで行っていく予定です。 「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい 方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催し ました!
  11. None

  12. 行動規範 https://github.com/jaws-ug/manifesto/blob/master/for-contributors.md JAWS-UGコミュニティの理念 • JAWS-UGの名のもとに運営されるコミュニティは、Amazon Web Services, Inc. が提供するAWSに愛を持って接することを心がけてくだ さい。

    過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用 することは決して許されません。

  13. 行動規範 期待される行為 • 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してくださ い。 あなたの貢献があってこそのコミュニティです。 • いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れない ようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いもの だ、ということを忘れないで下さい。

    • 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参 加できるよう、出来る限りのご配慮をおねがいします。

  14. 行動規範 期待されない行為 • コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力 を誇示することは、適切ではありません。 • 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で 盛り上がるのは、適切ではありません。 • 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切

    ではありません。 • 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教(または無 宗教)などに係る表現は、いかなる場合も適切ではありません。

  15. Twitterにつぶやこう! Twitterにつぶやく際は是非ハッシュタグつけて共 有しましょう 同じ考えや興味を持った人とつながる機会になり ます #jawsug #jawsug_kanazawa

  16. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない?
 • 電子メールで流行っているPPAPって?


    • 管理者アカウントの共有は問題がある?
 • 管理者用ログインページは公開しちゃダメ?
  アジェンダ


  17. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない?
 • 電子メールで流行っているPPAPって?


    • 管理者アカウントの共有は問題がある?
 • 管理者用ログインページは公開しちゃダメ?
 
  


  18. Copyright© 2021 みんなのCSIRT All Rights Reserved.  HTTP = 平文通信
 3way

    ハンドシェイク 平文でのデータ通信 簡単に読める
 簡単に情報が盗める
 =

  19. Copyright© 2021 みんなのCSIRT All Rights Reserved.  HTTPS = 暗号文通信
 3way

    ハンドシェイク 暗号化されたデータ通信 SSL/TLS ハンドシェイク 暗号文は読めない
 通信内容を守れる!
 =

  20. Copyright© 2021 みんなのCSIRT All Rights Reserved.  HTTPS暗号化までの流れ
 3way ハンドシェイク 暗号化されたデータ通信

    SSL/TLS ハンドシェイク ※ TLS1.3の場合 僕は こんな暗号化方式が使えるよ。 OK! じゃあ この暗号化方式を使うね。 この通信から暗号化するよ。 僕の証明書を送るね。 OK!

  21. Copyright© 2021 みんなのCSIRT All Rights Reserved.  機会損失を防ぐ
 Google  検索結果の順位判定にHTTPS化の有無を考慮する
  HTTPS混合コンテンツをブロックする


    
Apple  有効期限が398日を超える証明書を信頼しない


  22. AWSでの解決アプローチ https://jp.globalsign.com/ssl-pki-info/ssl_beginner/types-of-ssl.html より

  23. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない?
 • 電子メールで流行っているPPAPって?


    • 管理者アカウントの共有は問題がある?
 • 管理者用ログインページは公開しちゃダメ?
 
  


  24. Copyright© 2021 みんなのCSIRT All Rights Reserved.  PPAP メールでzipファイルを送付     ファイルを


         作成
     ファイルを
    Pass付zip化
 メールで zipファイルのPassを送付 P:Password付きZIP暗号化ファイルを送る P:Passwordを送る A:Angoka(暗号化)する P:Protocol(プロトコル=手順)

  25. Copyright© 2021 みんなのCSIRT All Rights Reserved.  PPAP メールでzipファイルを送付     ファイルを


         作成
     ファイルを
    Pass付zip化
 メールで zipファイルのPassを送付 メールが盗聴されれば zipだけでなく Passも盗まれる

  26. Copyright© 2021 みんなのCSIRT All Rights Reserved.  PPAP メールでzipファイルを送付     ファイルを


         作成
     ファイルを
    Pass付zip化
 メールで zipファイルのPassを送付 Passがついているので セキュリティ対策製品での チェックができない

  27. Copyright© 2021 みんなのCSIRT All Rights Reserved.  PPAP メールでzipファイルを送付     ファイルを


         作成
     ファイルを
    Pass付zip化
 メールで zipファイルのPassを送付 誤送信先に ファイルとPassを送ってしま う

  28. Copyright© 2021 みんなのCSIRT All Rights Reserved.  PPAPをやめよう!
 日本政府
  セキュリティ対策や受け取り手の利便性の観点から
  適切ではない


    PPAPやめます!
 だけど 次の手はありません!


  29. AWSでの解決アプローチ

  30. AWSでの解決アプローチ S3よりファイルをダウンロード(HTTPS)     ファイルを
      作成
     ファイルを
    Pass無zip化
 メールで 署名付きURLを送付

    Passがついていないので セキュリティ対策製品での チェックができる S3にアップロードして 署名付きURL発行


  31. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない?
 • 電子メールで流行っているPPAPって?


    • 管理者アカウントの共有は問題がある?
 • 管理者用ログインページは公開しちゃダメ?
 
  


  32. Copyright© 2021 みんなのCSIRT All Rights Reserved.  管理者アカウントって何ができる
 
 管理者アカウントは
 何でもできる


  33. Copyright© 2021 みんなのCSIRT All Rights Reserved.  なんでもできる
 OS・ファイル
 データベース
 ログ


    インストール
 アップデート
 参照・追加
 更新・削除
 破壊
 マルウェア設置
 窃取・改ざん
 破壊
 削除・改ざん
 参照・更新


  34. Copyright© 2021 みんなのCSIRT All Rights Reserved.  もし同じアカウントで操作していたら
 OS・ファイル
 データベース
 ログ


    インストール
 アップデート
 参照・追加
 更新・削除
 破壊
 マルウェア設置
 窃取・改ざん
 破壊
 削除・改ざん
 参照・更新
 誰が操作したか分からない
 
 あらぬ疑いがかかるかも
 ⇒


  35. AWSでの解決アプローチ

  36. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない?
 • 電子メールで流行っているPPAPって?


    • 管理者アカウントの共有は問題がある?
 • 管理者用ログインページは公開しちゃダメ?
 
  


  37. Copyright© 2021 みんなのCSIRT All Rights Reserved.  見えるものは攻撃される
 調査
 攻撃
 DoS/DDoS

    ブルートフォース SQLインジェクション たとえば 沢山の人にきてほしい!
 便利に使いたい!
 
 攻撃者もやってきます
 ⇒


  38. Copyright© 2021 みんなのCSIRT All Rights Reserved.  公開サーバへの攻撃 (リバースブルートフォース攻撃)
 konishi matsuda


    matsumoto
 hamada tanaka
 endou
 Housei
 Yamamoto saito
 password 11/13 15:01 konishi login failed 11/13 15:01 ***** login successful 11/13 15:02 matsuda login failed 11/13 15:02 ***** login failed 11/13 15:02 ***** login successful 11/13 15:03 ***** login failed 11/13 15:03 matsumoto login failed 11/13 15:04 ***** login successful 11/13 15:04 hamada login failed 11/13 15:05 tanakalogin failed 11/13 15:05 ***** login successful 11/13 15:06 ***** login failed 11/13 15:06 endou login failed 11/13 15:07 ***** login successful 11/13 15:07 housei login successful ログを見ても気づきにくい
 パスワードは固定し、アカウントを順に変更しながらアク セスを試みる


  39. AWSでの解決アプローチ 皆さんで考えてみましょう ・予防的な統制 (どのようにしたらリバースブルートフォース攻撃を発生させないようにできるか?) ・発見的な統制 (どのようにしたらリバースブルートフォース攻撃に気づけるか?)

  40. Copyright© 2021 みんなのCSIRT All Rights Reserved. おしまい


  41. アンケート 是非アンケートへのご協力をお願いします! http://bit.ly/jawsug_kanzawa74 運営メンバーの励みになりますので、イベント終了後に入力ください。

  42. ここからの時間は… DEVREL/JAPAN 2021