Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
JAWS-UG金沢 #76 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディ...
Search
Yasuhiro Matsuda
January 17, 2022
Technology
0
200
JAWS-UG金沢 #76 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション
Yasuhiro Matsuda
January 17, 2022
Tweet
Share
More Decks by Yasuhiro Matsuda
See All by Yasuhiro Matsuda
いしかわ暮らしセミナー~知って安心!移住とお金講座~
matyuda
0
39
AI活用ワークショップ
matyuda
0
48
AIを活用した広報と事業計画を一気に学ぶワークショップ
matyuda
0
46
AWSを活用したAIサービス開発(フルバージョン)
matyuda
0
61
AWSを活用したAIサービス開発
matyuda
0
55
マーケティング実践とデジタル活用
matyuda
0
110
カンタンAI活用術
matyuda
0
100
スタートアップ企業の支援のあり方
matyuda
0
52
利益を生まない情報セキュリティとバックアップに投資する重要性
matyuda
0
110
Other Decks in Technology
See All in Technology
GeminiとNotebookLMによる金融実務の業務革新
abenben
0
240
2025-06-26 GitHub CopilotとAI駆動開発:実践と導入のリアル
fl_kawachi
1
140
Github Copilot エージェントモードで試してみた
ochtum
0
110
BrainPadプログラミングコンテスト記念LT会2025_社内イベント&問題解説
brainpadpr
1
170
SpringBoot x TestContainerで実現するポータブル自動結合テスト
demaecan
0
110
Prox Industries株式会社 会社紹介資料
proxindustries
0
330
2025-06-26_Lightning_Talk_for_Lightning_Talks
_hashimo2
2
100
監視のこれまでとこれから/sakura monitoring seminar 2025
fujiwara3
11
4k
A2Aのクライアントを自作する
rynsuke
1
220
AIのAIによるAIのための出力評価と改善
chocoyama
2
580
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
3
920
Tech-Verse 2025 Global CTO Session
lycorptech_jp
PRO
0
800
Featured
See All Featured
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
48
5.4k
Producing Creativity
orderedlist
PRO
346
40k
Speed Design
sergeychernyshev
32
1k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Code Review Best Practice
trishagee
68
18k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
657
60k
Documentation Writing (for coders)
carmenintech
72
4.9k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Balancing Empowerment & Direction
lara
1
380
A better future with KSS
kneath
239
17k
Writing Fast Ruby
sferik
628
62k
Transcript
JAWS-UG金沢 #76 セキュリティパネルディスカッション JAWS-UG 金沢 × みんなのCSIRT 2022/1/17 認証の必要性と方法
タイムテーブル 21:00〜21:40 パネルディスカッション ・パネリストの紹介 ・今日の本題 21:40〜21:50 質疑応答 21:50〜22:00 クロージング
アンケート 是非アンケートへのご協力をお願いします! https://bit.ly/jawsug_kanazawa76 運営メンバーの励みになりますので、イベント終了後に入力ください。
パネリストの紹介 小西さん ふぁらお加藤 松田 康宏
Copyright© 2021 みんなのCSIRT All Rights Reserved. みんなのCSIRTの紹介
Copyright© 2021 みんなのCSIRT All Rights Reserved. 小西 享 (みんなのCSIRT) 小西 享
(こにし とおる) [所属] アライドテレシス株式会社 ※ここでの発言と、所属会社は関係ありません。 [こんな人です] ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、 北陸を中心としたセキュリティの底上げを目指して活動を行っている。 セキュリティ=技術屋のものという概念を固定しないために、セキュリ ティ経営も啓発している。 T.Konishi
Copyright© 2021 みんなのCSIRT All Rights Reserved. イベントのご紹介 https://www.soumu.go.jp/soutsu/hokuriku/ 日本トップのハッカーたちの話が 聞ける貴重なイベント!
インシデント対応力は実践で鍛 えるのが一番! だけど…被害は受けたくない。 そんな みんなのための MicroHardning! 小西も少し しゃべるかも?
ふぁらお加藤(金沢支部) 金沢市を中心に設計・実装・運用・ 保守をするフリーランスプログラマ 3+7年、リーマン歴は5+3+3年 JAWS-UG金沢(AWS Samurai 2019受 賞)Kanazawa.rbコアメンバー Code for
Kanazawa Civic Hack Night 運営
松田 康宏(金沢支部) 石川県在住。東京のイースト株式会社で フルモートワークで勤務して1年経過。 AWSを利用して辞書検索サービスDONGRIの 提供に携わる。エンジニアを絶賛募集中。 金沢支部には第22回 Alexa Days(2017年)より参加し、フルリ モートワークで業務をする傍ら、コミュニティの運営に携わる。2
級ファイナンシャルプランニング技能士(AFP)としても活躍中。 趣味はランニングとボウリングと家庭菜園。
金沢支部紹介
金沢支部の紹介 石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日 に勉強会 - また飲み会に戻る」を
ローテーションで行っていく予定です。 「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい 方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催し ました!
次回イベントのご紹介
行動規範 https://github.com/jaws-ug/manifesto/blob/master/for-contributors.md JAWS-UGコミュニティの理念 • JAWS-UGの名のもとに運営されるコミュニティは、Amazon Web Services, Inc. が提供するAWSに愛を持って接することを心がけてくだ さい。
過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用 することは決して許されません。
行動規範 期待される行為 • 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してくださ い。 あなたの貢献があってこそのコミュニティです。 • いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れない ようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いもの だ、ということを忘れないで下さい。
• 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参 加できるよう、出来る限りのご配慮をおねがいします。
行動規範 期待されない行為 • コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力 を誇示することは、適切ではありません。 • 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で 盛り上がるのは、適切ではありません。 • 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切
ではありません。 • 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教(または無 宗教)などに係る表現は、いかなる場合も適切ではありません。
Twitterにつぶやこう! Twitterにつぶやく際は是非ハッシュタグつけて共 有しましょう 同じ考えや興味を持った人とつながる機会になり ます #jawsug #jawsug_kanazawa
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? アジェンダ
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? 認証って何のためのもの?
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証は何のためのもの? -> 直接会えば確認できる こんにちは
ボブ だよ 判断できる ↓ ボブに間違いない ボブだわ
Copyright© 2021 みんなのCSIRT All Rights Reserved. 君の友だち 認証は何のためのもの? -> ネット経由では分からない
コンニチハ ボブ ダヨ 僕はボブ I’m bob. I’m bob. 僕はボブ 僕はボブ 僕はボブ I’m bob. I’m bob. 僕はボブ 判断できない ↓ ボブなの? 君の友だち ボブ…なの?
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証は何のためのもの? -> 利用者を識別する サービスにアクセス
アカウント・パスワードを要求 アカウント・パスワードを入力 アクセスを許可 サービスを利用 誰? Bob だよ Ok. いいよ
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? 認証の方法
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 認証の方法 知識認証
所有物認証 生体認証
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 知識認証 アカウント・パスワードなどの知識での認証
アカウントとパスワード 幼いころの記憶 経験 合言葉 秘密
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 所有物認証 デバイス・証明書などの持ち物での認証
SMS スマホ・SMS デバイス 証明書
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 生体認証 指紋・静脈などの人の固有情報での認証
光彩認証 静脈認証 指紋認証 顔認証
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> その他 ->
画像認証(CAPTCHA認証) 画像から情報を読み取れるか 読める! ヨメマセン
FIDO認証 https://www.dds.co.jp/ja/topics/9736/ より引用
AWSでの認証といえば(アカウント自体の認証)
AWSでの認証といえば(サービスとしての認証)
AWS Community Day Kanazawaでハンズオンやっていただいていました https://github.com/harunobukameda/Amazon-Cognito-Handson
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? その認証は安全か?
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> パスワードの管理 password
account password password Is this operation correct? パスワードが 保存されたファイル アカウント・パスワード を書いた付箋
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> パスワードの管理 Is
this operation correct? アカウント・パスワード を手帳にメモする password account password
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> 脆弱なパスワード https://nordpass.com/most-common-passwords-list/
Top 200 most common passwords of the year 2020
AWSサービスを利用した緩和策について Webサーバを触れないとしたら、クライアントとサーバのエンド ポイント間は少なくとも暗号化しておきたい。 ・ALB ・CloudFront HTTPS HTTP HTTPSに対応 できないサーバ
事前アンケートでいただいたご意見 ・大企業を含むユーザのOSSフリーライド問題に絡むセキュリ ティリスクの話などなど、ざっくばらんにお願いしたいです。(最 近だとLog4j2とかcolor.jsとかのあたり) ・実際のところ、log4jの件、どれくらいの速度感や体勢で対応し ましたか?
Copyright© 2021 みんなのCSIRT All Rights Reserved. イベントのご紹介 https://www.soumu.go.jp/soutsu/hokuriku/ 日本トップのハッカーたちの話が 聞ける貴重なイベント!
インシデント対応力は実践で鍛 えるのが一番! だけど…被害は受けたくない。 そんな みんなのための MicroHardning! 小西も少し しゃべるかも?
次回イベントのご紹介
アンケート 是非アンケートへのご協力をお願いします! https://bit.ly/jawsug_kanazawa76 運営メンバーの励みになりますので、イベント終了後に入力ください。
Copyright© 2021 みんなのCSIRT All Rights Reserved. おしまい