JAWS-UG金沢 #76 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション

Transcript

1. JAWS-UG金沢 #76　 セキュリティパネルディスカッション JAWS-UG 金沢 × みんなのCSIRT 2022/1/17 認証の必要性と方法

2. タイムテーブル 21:00〜21:40 パネルディスカッション ・パネリストの紹介 ・今日の本題 21:40〜21:50 質疑応答 21:50〜22:00 クロージング

3. アンケート 是非アンケートへのご協力をお願いします！ https://bit.ly/jawsug_kanazawa76 運営メンバーの励みになりますので、イベント終了後に入力ください。

4. パネリストの紹介 小西さん ふぁらお加藤 松田 康宏

5. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　みんなのCSIRTの紹介


6. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　小西 享 (みんなのCSIRT)
 小西　享

   (こにし　とおる)
 [所属] 　アライドテレシス株式会社
 　※ここでの発言と、所属会社は関係ありません。 
 
 [こんな人です] 　ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、 北陸を中心としたセキュリティの底上げを目指して活動を行っている。
 　セキュリティ＝技術屋のものという概念を固定しないために、セキュリ ティ経営も啓発している。
 T.Konishi

7. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　イベントのご紹介
 https://www.soumu.go.jp/soutsu/hokuriku/ 日本トップのハッカーたちの話が 聞ける貴重なイベント！


   インシデント対応力は実践で鍛 えるのが一番！
 だけど…被害は受けたくない。
 
 そんな みんなのための MicroHardning！
 小西も少し
 しゃべるかも？
 


8. ふぁらお加藤（金沢支部） 金沢市を中心に設計・実装・運用・ 保守をするフリーランスプログラマ 3+7年、リーマン歴は5+3+3年 JAWS-UG金沢(AWS Samurai 2019受 賞)Kanazawa.rbコアメンバー Code for

   Kanazawa Civic Hack Night 運営

9. 松田 康宏（金沢支部） 石川県在住。東京のイースト株式会社で フルモートワークで勤務して１年経過。 AWSを利用して辞書検索サービスDONGRIの 提供に携わる。エンジニアを絶賛募集中。 金沢支部には第22回 Alexa Days(2017年)より参加し、フルリ モートワークで業務をする傍ら、コミュニティの運営に携わる。２

   級ファイナンシャルプランニング技能士（AFP）としても活躍中。 趣味はランニングとボウリングと家庭菜園。

10. 金沢支部紹介

11. 金沢支部の紹介 石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日 に勉強会 - また飲み会に戻る」を

    ローテーションで行っていく予定です。 「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい 方」ぜひともご参加ください！ 2019年にAWS Community Day Kanazawaを開催し ました！

12. 次回イベントのご紹介

13. 行動規範 https://github.com/jaws-ug/manifesto/blob/master/for-contributors.md JAWS-UGコミュニティの理念 • JAWS-UGの名のもとに運営されるコミュニティは、Amazon Web Services, Inc. が提供するAWSに愛を持って接することを心がけてくだ さい。

    過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用 することは決して許されません。

14. 行動規範 期待される行為 • 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してくださ い。 あなたの貢献があってこそのコミュニティです。 • いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れない ようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いもの だ、ということを忘れないで下さい。

    • 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参 加できるよう、出来る限りのご配慮をおねがいします。

15. 行動規範 期待されない行為 • コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力 を誇示することは、適切ではありません。 • 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で 盛り上がるのは、適切ではありません。 • 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切

    ではありません。 • 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教（または無 宗教）などに係る表現は、いかなる場合も適切ではありません。

16. Twitterにつぶやこう！ Twitterにつぶやく際は是非ハッシュタグつけて共 有しましょう 同じ考えや興味を持った人とつながる機会になり ます #jawsug #jawsug_kanazawa

17. Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの？
 • 認証の方法


    • その認証は安全か？
 　アジェンダ


18. Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの？
 • 認証の方法


    • その認証は安全か？
 　認証って何のためのもの？


19. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　認証は何のためのもの？ -> 直接会えば確認できる
 こんにちは

    ボブ だよ 判断できる
 ↓
 ボブに間違いない
 ボブだわ


20. Copyright© 2021 みんなのCSIRT All Rights Reserved. 君の友だち
 　認証は何のためのもの？ -> ネット経由では分からない


    コンニチハ ボブ ダヨ 僕はボブ
 　　　　　I’ｍ bob. I’ｍ bob. 僕はボブ
 僕はボブ
 僕はボブ
 I’ｍ bob. I’ｍ bob. 僕はボブ
 判断できない
 ↓
 ボブなの？
 君の友だち
 ボブ…なの？


21. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　認証は何のためのもの？ -> 利用者を識別する
 サービスにアクセス

    アカウント・パスワードを要求 アカウント・パスワードを入力 アクセスを許可 サービスを利用 誰？ Bob だよ Ok. いいよ

22. Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの？
 • 認証の方法


    • その認証は安全か？
 　認証の方法


23. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　認証の方法 -> 認証の方法
 知識認証


    所有物認証
 生体認証


24. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　認証の方法 -> 知識認証
 アカウント・パスワードなどの知識での認証


    アカウントとパスワード
 幼いころの記憶
 経験
 合言葉
 秘密


25. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　認証の方法 -> 所有物認証
 デバイス・証明書などの持ち物での認証


    SMS スマホ・SMS デバイス 証明書

26. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　認証の方法 -> 生体認証
 指紋・静脈などの人の固有情報での認証


    光彩認証 静脈認証 指紋認証 顔認証

27. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　認証の方法 -> その他 ->

    画像認証(CAPTCHA認証)
 画像から情報を読み取れるか
 読める！
 ヨメマセン


28. FIDO認証 https://www.dds.co.jp/ja/topics/9736/ より引用

29. AWSでの認証といえば（アカウント自体の認証）

30. AWSでの認証といえば（サービスとしての認証）

31. AWS Community Day Kanazawaでハンズオンやっていただいていました https://github.com/harunobukameda/Amazon-Cognito-Handson

32. Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの？
 • 認証の方法


    • その認証は安全か？
 　その認証は安全か？


33. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　その認証は安全か？ -> パスワードの管理
 password

    account password password Is this operation correct? パスワードが 保存されたファイル アカウント・パスワード を書いた付箋

34. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　その認証は安全か？ -> パスワードの管理
 Is

    this operation correct? アカウント・パスワード を手帳にメモする password account password

35. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　その認証は安全か？ -> 脆弱なパスワード
 https://nordpass.com/most-common-passwords-list/

    Top 200 most common passwords of the year 2020

36. AWSサービスを利用した緩和策について Webサーバを触れないとしたら、クライアントとサーバのエンド ポイント間は少なくとも暗号化しておきたい。 ・ALB ・CloudFront HTTPS HTTP HTTPSに対応 できないサーバ

37. 事前アンケートでいただいたご意見 ・大企業を含むユーザのOSSフリーライド問題に絡むセキュリ ティリスクの話などなど、ざっくばらんにお願いしたいです。（最 近だとLog4j2とかcolor.jsとかのあたり） ・実際のところ、log4jの件、どれくらいの速度感や体勢で対応し ましたか？

38. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　イベントのご紹介
 https://www.soumu.go.jp/soutsu/hokuriku/ 日本トップのハッカーたちの話が 聞ける貴重なイベント！


    インシデント対応力は実践で鍛 えるのが一番！
 だけど…被害は受けたくない。
 
 そんな みんなのための MicroHardning！
 小西も少し
 しゃべるかも？
 


39. 次回イベントのご紹介

40. アンケート 是非アンケートへのご協力をお願いします！ https://bit.ly/jawsug_kanazawa76 運営メンバーの励みになりますので、イベント終了後に入力ください。

41. Copyright© 2021 みんなのCSIRT All Rights Reserved. おしまい