Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
JAWS-UG金沢 #76 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディ...
Search
Yasuhiro Matsuda
January 17, 2022
Technology
0
190
JAWS-UG金沢 #76 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション
Yasuhiro Matsuda
January 17, 2022
Tweet
Share
More Decks by Yasuhiro Matsuda
See All by Yasuhiro Matsuda
AI活用ワークショップ
matyuda
0
18
AIを活用した広報と事業計画を一気に学ぶワークショップ
matyuda
0
14
AWSを活用したAIサービス開発(フルバージョン)
matyuda
0
38
AWSを活用したAIサービス開発
matyuda
0
37
マーケティング実践とデジタル活用
matyuda
0
66
カンタンAI活用術
matyuda
0
68
スタートアップ企業の支援のあり方
matyuda
0
42
利益を生まない情報セキュリティとバックアップに投資する重要性
matyuda
0
83
いしかわ暮らしセミナー~移住にまつわるお金の話~
matyuda
0
170
Other Decks in Technology
See All in Technology
Windows の新しい管理者保護モード
murachiakira
0
200
Exadata Database Service on Cloud@Customer セキュリティ、ネットワーク、および管理について
oracle4engineer
PRO
2
1.5k
PHPで印刷所に入稿できる名札データを作る / Generating Print-Ready Name Tag Data with PHP
tomzoh
0
180
AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュリティ対策
umekou
2
140
MIMEと文字コードの闇
hirachan
2
1.4k
LINEギフトにおけるバックエンド開発
lycorptech_jp
PRO
0
270
RemoveだらけのPHPUnit 12に備えよう
cocoeyes02
0
280
日経のデータベース事業とElasticsearch
hinatades
PRO
0
230
設計を積み重ねてシステムを刷新する
sansantech
PRO
0
160
Oracle Database Technology Night #87-1 : Exadata Database Service on Exascale Infrastructure(ExaDB-XS)サービス詳細
oracle4engineer
PRO
1
170
ABWG2024採択者が語るエンジニアとしての自分自身の見つけ方〜発信して、つながって、世界を広げていく〜
maimyyym
1
150
Share my, our lessons from the road to re:Invent
naospon
0
140
Featured
See All Featured
GraphQLとの向き合い方2022年版
quramy
44
14k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Code Reviewing Like a Champion
maltzj
521
39k
BBQ
matthewcrist
87
9.5k
Six Lessons from altMBA
skipperchong
27
3.6k
Music & Morning Musume
bryan
46
6.4k
YesSQL, Process and Tooling at Scale
rocio
172
14k
Adopting Sorbet at Scale
ufuk
74
9.2k
Being A Developer After 40
akosma
89
590k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
30
2.2k
Transcript
JAWS-UG金沢 #76 セキュリティパネルディスカッション JAWS-UG 金沢 × みんなのCSIRT 2022/1/17 認証の必要性と方法
タイムテーブル 21:00〜21:40 パネルディスカッション ・パネリストの紹介 ・今日の本題 21:40〜21:50 質疑応答 21:50〜22:00 クロージング
アンケート 是非アンケートへのご協力をお願いします! https://bit.ly/jawsug_kanazawa76 運営メンバーの励みになりますので、イベント終了後に入力ください。
パネリストの紹介 小西さん ふぁらお加藤 松田 康宏
Copyright© 2021 みんなのCSIRT All Rights Reserved. みんなのCSIRTの紹介
Copyright© 2021 みんなのCSIRT All Rights Reserved. 小西 享 (みんなのCSIRT) 小西 享
(こにし とおる) [所属] アライドテレシス株式会社 ※ここでの発言と、所属会社は関係ありません。 [こんな人です] ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、 北陸を中心としたセキュリティの底上げを目指して活動を行っている。 セキュリティ=技術屋のものという概念を固定しないために、セキュリ ティ経営も啓発している。 T.Konishi
Copyright© 2021 みんなのCSIRT All Rights Reserved. イベントのご紹介 https://www.soumu.go.jp/soutsu/hokuriku/ 日本トップのハッカーたちの話が 聞ける貴重なイベント!
インシデント対応力は実践で鍛 えるのが一番! だけど…被害は受けたくない。 そんな みんなのための MicroHardning! 小西も少し しゃべるかも?
ふぁらお加藤(金沢支部) 金沢市を中心に設計・実装・運用・ 保守をするフリーランスプログラマ 3+7年、リーマン歴は5+3+3年 JAWS-UG金沢(AWS Samurai 2019受 賞)Kanazawa.rbコアメンバー Code for
Kanazawa Civic Hack Night 運営
松田 康宏(金沢支部) 石川県在住。東京のイースト株式会社で フルモートワークで勤務して1年経過。 AWSを利用して辞書検索サービスDONGRIの 提供に携わる。エンジニアを絶賛募集中。 金沢支部には第22回 Alexa Days(2017年)より参加し、フルリ モートワークで業務をする傍ら、コミュニティの運営に携わる。2
級ファイナンシャルプランニング技能士(AFP)としても活躍中。 趣味はランニングとボウリングと家庭菜園。
金沢支部紹介
金沢支部の紹介 石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日 に勉強会 - また飲み会に戻る」を
ローテーションで行っていく予定です。 「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい 方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催し ました!
次回イベントのご紹介
行動規範 https://github.com/jaws-ug/manifesto/blob/master/for-contributors.md JAWS-UGコミュニティの理念 • JAWS-UGの名のもとに運営されるコミュニティは、Amazon Web Services, Inc. が提供するAWSに愛を持って接することを心がけてくだ さい。
過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用 することは決して許されません。
行動規範 期待される行為 • 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してくださ い。 あなたの貢献があってこそのコミュニティです。 • いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れない ようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いもの だ、ということを忘れないで下さい。
• 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参 加できるよう、出来る限りのご配慮をおねがいします。
行動規範 期待されない行為 • コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力 を誇示することは、適切ではありません。 • 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で 盛り上がるのは、適切ではありません。 • 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切
ではありません。 • 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教(または無 宗教)などに係る表現は、いかなる場合も適切ではありません。
Twitterにつぶやこう! Twitterにつぶやく際は是非ハッシュタグつけて共 有しましょう 同じ考えや興味を持った人とつながる機会になり ます #jawsug #jawsug_kanazawa
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? アジェンダ
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? 認証って何のためのもの?
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証は何のためのもの? -> 直接会えば確認できる こんにちは
ボブ だよ 判断できる ↓ ボブに間違いない ボブだわ
Copyright© 2021 みんなのCSIRT All Rights Reserved. 君の友だち 認証は何のためのもの? -> ネット経由では分からない
コンニチハ ボブ ダヨ 僕はボブ I’m bob. I’m bob. 僕はボブ 僕はボブ 僕はボブ I’m bob. I’m bob. 僕はボブ 判断できない ↓ ボブなの? 君の友だち ボブ…なの?
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証は何のためのもの? -> 利用者を識別する サービスにアクセス
アカウント・パスワードを要求 アカウント・パスワードを入力 アクセスを許可 サービスを利用 誰? Bob だよ Ok. いいよ
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? 認証の方法
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 認証の方法 知識認証
所有物認証 生体認証
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 知識認証 アカウント・パスワードなどの知識での認証
アカウントとパスワード 幼いころの記憶 経験 合言葉 秘密
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 所有物認証 デバイス・証明書などの持ち物での認証
SMS スマホ・SMS デバイス 証明書
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 生体認証 指紋・静脈などの人の固有情報での認証
光彩認証 静脈認証 指紋認証 顔認証
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> その他 ->
画像認証(CAPTCHA認証) 画像から情報を読み取れるか 読める! ヨメマセン
FIDO認証 https://www.dds.co.jp/ja/topics/9736/ より引用
AWSでの認証といえば(アカウント自体の認証)
AWSでの認証といえば(サービスとしての認証)
AWS Community Day Kanazawaでハンズオンやっていただいていました https://github.com/harunobukameda/Amazon-Cognito-Handson
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? その認証は安全か?
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> パスワードの管理 password
account password password Is this operation correct? パスワードが 保存されたファイル アカウント・パスワード を書いた付箋
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> パスワードの管理 Is
this operation correct? アカウント・パスワード を手帳にメモする password account password
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> 脆弱なパスワード https://nordpass.com/most-common-passwords-list/
Top 200 most common passwords of the year 2020
AWSサービスを利用した緩和策について Webサーバを触れないとしたら、クライアントとサーバのエンド ポイント間は少なくとも暗号化しておきたい。 ・ALB ・CloudFront HTTPS HTTP HTTPSに対応 できないサーバ
事前アンケートでいただいたご意見 ・大企業を含むユーザのOSSフリーライド問題に絡むセキュリ ティリスクの話などなど、ざっくばらんにお願いしたいです。(最 近だとLog4j2とかcolor.jsとかのあたり) ・実際のところ、log4jの件、どれくらいの速度感や体勢で対応し ましたか?
Copyright© 2021 みんなのCSIRT All Rights Reserved. イベントのご紹介 https://www.soumu.go.jp/soutsu/hokuriku/ 日本トップのハッカーたちの話が 聞ける貴重なイベント!
インシデント対応力は実践で鍛 えるのが一番! だけど…被害は受けたくない。 そんな みんなのための MicroHardning! 小西も少し しゃべるかも?
次回イベントのご紹介
アンケート 是非アンケートへのご協力をお願いします! https://bit.ly/jawsug_kanazawa76 運営メンバーの励みになりますので、イベント終了後に入力ください。
Copyright© 2021 みんなのCSIRT All Rights Reserved. おしまい