JAWS-UG金沢 #76 セキュリティパネルディスカッションJAWS-UG 金沢 × みんなのCSIRT2022/1/17認証の必要性と方法
View Slide
タイムテーブル21:00〜21:40 パネルディスカッション・パネリストの紹介・今日の本題21:40〜21:50 質疑応答21:50〜22:00 クロージング
アンケート是非アンケートへのご協力をお願いします!https://bit.ly/jawsug_kanazawa76運営メンバーの励みになりますので、イベント終了後に入力ください。
パネリストの紹介小西さん ふぁらお加藤 松田 康宏
Copyright© 2021 みんなのCSIRT All Rights Reserved. みんなのCSIRTの紹介
Copyright© 2021 みんなのCSIRT All Rights Reserved. 小西 享 (みんなのCSIRT) 小西 享 (こにし とおる) [所属] アライドテレシス株式会社 ※ここでの発言と、所属会社は関係ありません。 [こんな人です] ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、北陸を中心としたセキュリティの底上げを目指して活動を行っている。 セキュリティ=技術屋のものという概念を固定しないために、セキュリティ経営も啓発している。 T.Konishi
Copyright© 2021 みんなのCSIRT All Rights Reserved. イベントのご紹介 https://www.soumu.go.jp/soutsu/hokuriku/日本トップのハッカーたちの話が聞ける貴重なイベント! インシデント対応力は実践で鍛えるのが一番! だけど…被害は受けたくない。 そんな みんなのためのMicroHardning! 小西も少し しゃべるかも?
ふぁらお加藤(金沢支部)金沢市を中心に設計・実装・運用・保守をするフリーランスプログラマ3+7年、リーマン歴は5+3+3年JAWS-UG金沢(AWS Samurai 2019受賞)Kanazawa.rbコアメンバーCode for Kanazawa Civic Hack Night 運営
松田 康宏(金沢支部)石川県在住。東京のイースト株式会社でフルモートワークで勤務して1年経過。AWSを利用して辞書検索サービスDONGRIの提供に携わる。エンジニアを絶賛募集中。金沢支部には第22回 Alexa Days(2017年)より参加し、フルリモートワークで業務をする傍ら、コミュニティの運営に携わる。2級ファイナンシャルプランニング技能士(AFP)としても活躍中。趣味はランニングとボウリングと家庭菜園。
金沢支部紹介
金沢支部の紹介石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日に勉強会 - また飲み会に戻る」を ローテーションで行っていく予定です。「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催しました!
次回イベントのご紹介
行動規範https://github.com/jaws-ug/manifesto/blob/master/for-contributors.mdJAWS-UGコミュニティの理念• JAWS-UGの名のもとに運営されるコミュニティは、Amazon WebServices, Inc. が提供するAWSに愛を持って接することを心がけてください。過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用することは決して許されません。
行動規範期待される行為• 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してください。あなたの貢献があってこそのコミュニティです。• いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れないようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いものだ、ということを忘れないで下さい。• 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参加できるよう、出来る限りのご配慮をおねがいします。
行動規範期待されない行為• コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力を誇示することは、適切ではありません。• 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で盛り上がるのは、適切ではありません。• 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切ではありません。• 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教(または無宗教)などに係る表現は、いかなる場合も適切ではありません。
Twitterにつぶやこう!Twitterにつぶやく際は是非ハッシュタグつけて共有しましょう同じ考えや興味を持った人とつながる機会になります#jawsug#jawsug_kanazawa
Copyright© 2021 みんなのCSIRT All Rights Reserved.● 認証って何のためのもの? ● 認証の方法 ● その認証は安全か? アジェンダ
Copyright© 2021 みんなのCSIRT All Rights Reserved.● 認証って何のためのもの? ● 認証の方法 ● その認証は安全か? 認証って何のためのもの?
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証は何のためのもの? -> 直接会えば確認できる こんにちは ボブ だよ判断できる ↓ ボブに間違いない ボブだわ
Copyright© 2021 みんなのCSIRT All Rights Reserved.君の友だち 認証は何のためのもの? -> ネット経由では分からない コンニチハ ボブ ダヨ僕はボブ I’m bob.I’m bob.僕はボブ 僕はボブ 僕はボブ I’m bob.I’m bob.僕はボブ 判断できない ↓ ボブなの? 君の友だち ボブ…なの?
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証は何のためのもの? -> 利用者を識別する サービスにアクセスアカウント・パスワードを要求アカウント・パスワードを入力アクセスを許可サービスを利用誰?BobだよOk.いいよ
Copyright© 2021 みんなのCSIRT All Rights Reserved.● 認証って何のためのもの? ● 認証の方法 ● その認証は安全か? 認証の方法
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 認証の方法 知識認証 所有物認証 生体認証
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 知識認証 アカウント・パスワードなどの知識での認証 アカウントとパスワード 幼いころの記憶 経験 合言葉 秘密
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 所有物認証 デバイス・証明書などの持ち物での認証 SMSスマホ・SMSデバイス証明書
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 生体認証 指紋・静脈などの人の固有情報での認証 光彩認証静脈認証指紋認証顔認証
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> その他 -> 画像認証(CAPTCHA認証) 画像から情報を読み取れるか 読める! ヨメマセン
FIDO認証https://www.dds.co.jp/ja/topics/9736/ より引用
AWSでの認証といえば(アカウント自体の認証)
AWSでの認証といえば(サービスとしての認証)
AWS Community Day Kanazawaでハンズオンやっていただいていましたhttps://github.com/harunobukameda/Amazon-Cognito-Handson
Copyright© 2021 みんなのCSIRT All Rights Reserved.● 認証って何のためのもの? ● 認証の方法 ● その認証は安全か? その認証は安全か?
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> パスワードの管理 passwordaccountpasswordpasswordIs this operation correct?パスワードが保存されたファイルアカウント・パスワードを書いた付箋
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> パスワードの管理 Is this operation correct?アカウント・パスワードを手帳にメモするpasswordaccountpassword
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> 脆弱なパスワード https://nordpass.com/most-common-passwords-list/Top 200 most common passwords of the year 2020
AWSサービスを利用した緩和策についてWebサーバを触れないとしたら、クライアントとサーバのエンドポイント間は少なくとも暗号化しておきたい。・ALB・CloudFront HTTPS HTTPHTTPSに対応できないサーバ
事前アンケートでいただいたご意見・大企業を含むユーザのOSSフリーライド問題に絡むセキュリティリスクの話などなど、ざっくばらんにお願いしたいです。(最近だとLog4j2とかcolor.jsとかのあたり)・実際のところ、log4jの件、どれくらいの速度感や体勢で対応しましたか?
Copyright© 2021 みんなのCSIRT All Rights Reserved.おしまい