Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
JAWS-UG金沢 #76 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション
Search
Yasuhiro Matsuda
January 17, 2022
Technology
0
170
JAWS-UG金沢 #76 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション
Yasuhiro Matsuda
January 17, 2022
Tweet
Share
More Decks by Yasuhiro Matsuda
See All by Yasuhiro Matsuda
情報処理安全確保支援士の視点で考える中小企業におけるセキュリティ対策
matyuda
0
75
5年ぶりに自費で行ったre:Invent
matyuda
0
47
石川県のスタートアップ施策について
matyuda
0
72
ISICOのスタートアップ支援について
matyuda
0
29
ライトニングトーク(Startup支援関連)
matyuda
0
24
エンジニアの視点で考えるコード自動生成のメリットとデメリット
matyuda
0
56
20231016_WeeklyAWSCatch-up
matyuda
0
13
20231004_WeeklyAWSCatch-up
matyuda
0
58
JAWS-UG金沢 #93 AWS Cloudformaion ハンズオン
matyuda
0
34
Other Decks in Technology
See All in Technology
理想の組織も自分たちで作ろう! ―LayerXの「全員採用」を支える文化 / How to create our own ideal team
ar_tama
6
2.2k
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
4
34k
プロダクト開発ゼロイチの分類とロジックス事業がイチに至るまで
niwatakeru
0
100
スプリント内で試験を完了させるには?アジャイル・スクラム開発に参加したQAエンジニアの悩みと対策
cybozuinsideout
PRO
1
120
自己完結な開発者組織を支える プラットフォーム作り
recruitengineers
PRO
2
230
小さく始めるAnsible
stopendy
0
210
【Cyber-sec+】ログの森で出会ったCloudTrail との奇妙な旅
hssh2_bin
1
230
Skaffoldを用いたGKEアプリケーションの CD(Continuous Development)
kojake_300
1
130
Automate your changelogs! Release Drafter
onenashev
PRO
2
410
Simplifying Data Analysis & Visualization with Developer Tools & AI
nitya
1
220
ECS on FargateへのSeekable OCI導入レポート
iwamot
0
260
プレイヤーとしてのチームのテスト力UP/Improving team skills for testing
goyoki
2
230
Featured
See All Featured
Keith and Marios Guide to Fast Websites
keithpitt
407
22k
Build your cross-platform service in a week with App Engine
jlugia
223
17k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
11
1.4k
Ruby is Unlike a Banana
tanoku
95
10k
[RailsConf 2023] Rails as a piece of cake
palkan
21
3.8k
Bootstrapping a Software Product
garrettdimon
PRO
302
110k
Art, The Web, and Tiny UX
lynnandtonic
288
19k
Fontdeck: Realign not Redesign
paulrobertlloyd
75
4.8k
Designing the Hi-DPI Web
ddemaree
275
33k
Testing 201, or: Great Expectations
jmmastey
27
6.3k
How To Stay Up To Date on Web Technology
chriscoyier
781
250k
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
Transcript
JAWS-UG金沢 #76 セキュリティパネルディスカッション JAWS-UG 金沢 × みんなのCSIRT 2022/1/17 認証の必要性と方法
タイムテーブル 21:00〜21:40 パネルディスカッション ・パネリストの紹介 ・今日の本題 21:40〜21:50 質疑応答 21:50〜22:00 クロージング
アンケート 是非アンケートへのご協力をお願いします! https://bit.ly/jawsug_kanazawa76 運営メンバーの励みになりますので、イベント終了後に入力ください。
パネリストの紹介 小西さん ふぁらお加藤 松田 康宏
Copyright© 2021 みんなのCSIRT All Rights Reserved. みんなのCSIRTの紹介
Copyright© 2021 みんなのCSIRT All Rights Reserved. 小西 享 (みんなのCSIRT) 小西 享
(こにし とおる) [所属] アライドテレシス株式会社 ※ここでの発言と、所属会社は関係ありません。 [こんな人です] ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、 北陸を中心としたセキュリティの底上げを目指して活動を行っている。 セキュリティ=技術屋のものという概念を固定しないために、セキュリ ティ経営も啓発している。 T.Konishi
Copyright© 2021 みんなのCSIRT All Rights Reserved. イベントのご紹介 https://www.soumu.go.jp/soutsu/hokuriku/ 日本トップのハッカーたちの話が 聞ける貴重なイベント!
インシデント対応力は実践で鍛 えるのが一番! だけど…被害は受けたくない。 そんな みんなのための MicroHardning! 小西も少し しゃべるかも?
ふぁらお加藤(金沢支部) 金沢市を中心に設計・実装・運用・ 保守をするフリーランスプログラマ 3+7年、リーマン歴は5+3+3年 JAWS-UG金沢(AWS Samurai 2019受 賞)Kanazawa.rbコアメンバー Code for
Kanazawa Civic Hack Night 運営
松田 康宏(金沢支部) 石川県在住。東京のイースト株式会社で フルモートワークで勤務して1年経過。 AWSを利用して辞書検索サービスDONGRIの 提供に携わる。エンジニアを絶賛募集中。 金沢支部には第22回 Alexa Days(2017年)より参加し、フルリ モートワークで業務をする傍ら、コミュニティの運営に携わる。2
級ファイナンシャルプランニング技能士(AFP)としても活躍中。 趣味はランニングとボウリングと家庭菜園。
金沢支部紹介
金沢支部の紹介 石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日 に勉強会 - また飲み会に戻る」を
ローテーションで行っていく予定です。 「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい 方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催し ました!
次回イベントのご紹介
行動規範 https://github.com/jaws-ug/manifesto/blob/master/for-contributors.md JAWS-UGコミュニティの理念 • JAWS-UGの名のもとに運営されるコミュニティは、Amazon Web Services, Inc. が提供するAWSに愛を持って接することを心がけてくだ さい。
過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用 することは決して許されません。
行動規範 期待される行為 • 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してくださ い。 あなたの貢献があってこそのコミュニティです。 • いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れない ようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いもの だ、ということを忘れないで下さい。
• 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参 加できるよう、出来る限りのご配慮をおねがいします。
行動規範 期待されない行為 • コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力 を誇示することは、適切ではありません。 • 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で 盛り上がるのは、適切ではありません。 • 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切
ではありません。 • 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教(または無 宗教)などに係る表現は、いかなる場合も適切ではありません。
Twitterにつぶやこう! Twitterにつぶやく際は是非ハッシュタグつけて共 有しましょう 同じ考えや興味を持った人とつながる機会になり ます #jawsug #jawsug_kanazawa
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? アジェンダ
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? 認証って何のためのもの?
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証は何のためのもの? -> 直接会えば確認できる こんにちは
ボブ だよ 判断できる ↓ ボブに間違いない ボブだわ
Copyright© 2021 みんなのCSIRT All Rights Reserved. 君の友だち 認証は何のためのもの? -> ネット経由では分からない
コンニチハ ボブ ダヨ 僕はボブ I’m bob. I’m bob. 僕はボブ 僕はボブ 僕はボブ I’m bob. I’m bob. 僕はボブ 判断できない ↓ ボブなの? 君の友だち ボブ…なの?
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証は何のためのもの? -> 利用者を識別する サービスにアクセス
アカウント・パスワードを要求 アカウント・パスワードを入力 アクセスを許可 サービスを利用 誰? Bob だよ Ok. いいよ
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? 認証の方法
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 認証の方法 知識認証
所有物認証 生体認証
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 知識認証 アカウント・パスワードなどの知識での認証
アカウントとパスワード 幼いころの記憶 経験 合言葉 秘密
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 所有物認証 デバイス・証明書などの持ち物での認証
SMS スマホ・SMS デバイス 証明書
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 生体認証 指紋・静脈などの人の固有情報での認証
光彩認証 静脈認証 指紋認証 顔認証
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> その他 ->
画像認証(CAPTCHA認証) 画像から情報を読み取れるか 読める! ヨメマセン
FIDO認証 https://www.dds.co.jp/ja/topics/9736/ より引用
AWSでの認証といえば(アカウント自体の認証)
AWSでの認証といえば(サービスとしての認証)
AWS Community Day Kanazawaでハンズオンやっていただいていました https://github.com/harunobukameda/Amazon-Cognito-Handson
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? その認証は安全か?
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> パスワードの管理 password
account password password Is this operation correct? パスワードが 保存されたファイル アカウント・パスワード を書いた付箋
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> パスワードの管理 Is
this operation correct? アカウント・パスワード を手帳にメモする password account password
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> 脆弱なパスワード https://nordpass.com/most-common-passwords-list/
Top 200 most common passwords of the year 2020
AWSサービスを利用した緩和策について Webサーバを触れないとしたら、クライアントとサーバのエンド ポイント間は少なくとも暗号化しておきたい。 ・ALB ・CloudFront HTTPS HTTP HTTPSに対応 できないサーバ
事前アンケートでいただいたご意見 ・大企業を含むユーザのOSSフリーライド問題に絡むセキュリ ティリスクの話などなど、ざっくばらんにお願いしたいです。(最 近だとLog4j2とかcolor.jsとかのあたり) ・実際のところ、log4jの件、どれくらいの速度感や体勢で対応し ましたか?
Copyright© 2021 みんなのCSIRT All Rights Reserved. イベントのご紹介 https://www.soumu.go.jp/soutsu/hokuriku/ 日本トップのハッカーたちの話が 聞ける貴重なイベント!
インシデント対応力は実践で鍛 えるのが一番! だけど…被害は受けたくない。 そんな みんなのための MicroHardning! 小西も少し しゃべるかも?
次回イベントのご紹介
アンケート 是非アンケートへのご協力をお願いします! https://bit.ly/jawsug_kanazawa76 運営メンバーの励みになりますので、イベント終了後に入力ください。
Copyright© 2021 みんなのCSIRT All Rights Reserved. おしまい