Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
JAWS-UG金沢 #76 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディ...
Search
Yasuhiro Matsuda
January 17, 2022
Technology
0
190
JAWS-UG金沢 #76 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション
Yasuhiro Matsuda
January 17, 2022
Tweet
Share
More Decks by Yasuhiro Matsuda
See All by Yasuhiro Matsuda
AI活用ワークショップ
matyuda
0
18
AIを活用した広報と事業計画を一気に学ぶワークショップ
matyuda
0
14
AWSを活用したAIサービス開発(フルバージョン)
matyuda
0
40
AWSを活用したAIサービス開発
matyuda
0
37
マーケティング実践とデジタル活用
matyuda
0
66
カンタンAI活用術
matyuda
0
68
スタートアップ企業の支援のあり方
matyuda
0
42
利益を生まない情報セキュリティとバックアップに投資する重要性
matyuda
0
83
いしかわ暮らしセミナー~移住にまつわるお金の話~
matyuda
0
180
Other Decks in Technology
See All in Technology
20250304_赤煉瓦倉庫_DeepSeek_Deep_Dive
hiouchiy
2
110
"TEAM"を導入したら最高のエンジニア"Team"を実現できた / Deploying "TEAM" and Building the Best Engineering "Team"
yuj1osm
1
230
[OpsJAWS Meetup33 AIOps] Amazon Bedrockガードレールで守る安全なAI運用
akiratameto
1
120
MIMEと文字コードの闇
hirachan
2
1.4k
AWSではじめる Web APIテスト実践ガイド / A practical guide to testing Web APIs on AWS
yokawasa
8
750
サバイバルモード下でのエンジニアリングマネジメント
konifar
3
440
事業モメンタムを生み出すプロダクト開発
macchiitaka
0
100
開発者のための FinOps/FinOps for Engineers
oracle4engineer
PRO
2
200
30→150人のエンジニア組織拡大に伴うアジャイル文化を醸成する役割と取り組みの変化
nagata03
0
200
エンジニア主導の企画立案を可能にする組織とは?
recruitengineers
PRO
1
270
Two Blades, One Journey: Engineering While Managing
ohbarye
4
2.3k
急成長する企業で作った、エンジニアが輝ける制度/ 20250227 Rinto Ikenoue
shift_evolve
0
180
Featured
See All Featured
GraphQLの誤解/rethinking-graphql
sonatard
69
10k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Typedesign – Prime Four
hannesfritz
41
2.5k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.7k
How STYLIGHT went responsive
nonsquared
99
5.4k
The World Runs on Bad Software
bkeepers
PRO
67
11k
The Cost Of JavaScript in 2023
addyosmani
47
7.4k
A Philosophy of Restraint
colly
203
16k
Become a Pro
speakerdeck
PRO
26
5.2k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.5k
Building an army of robots
kneath
303
45k
Transcript
JAWS-UG金沢 #76 セキュリティパネルディスカッション JAWS-UG 金沢 × みんなのCSIRT 2022/1/17 認証の必要性と方法
タイムテーブル 21:00〜21:40 パネルディスカッション ・パネリストの紹介 ・今日の本題 21:40〜21:50 質疑応答 21:50〜22:00 クロージング
アンケート 是非アンケートへのご協力をお願いします! https://bit.ly/jawsug_kanazawa76 運営メンバーの励みになりますので、イベント終了後に入力ください。
パネリストの紹介 小西さん ふぁらお加藤 松田 康宏
Copyright© 2021 みんなのCSIRT All Rights Reserved. みんなのCSIRTの紹介
Copyright© 2021 みんなのCSIRT All Rights Reserved. 小西 享 (みんなのCSIRT) 小西 享
(こにし とおる) [所属] アライドテレシス株式会社 ※ここでの発言と、所属会社は関係ありません。 [こんな人です] ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、 北陸を中心としたセキュリティの底上げを目指して活動を行っている。 セキュリティ=技術屋のものという概念を固定しないために、セキュリ ティ経営も啓発している。 T.Konishi
Copyright© 2021 みんなのCSIRT All Rights Reserved. イベントのご紹介 https://www.soumu.go.jp/soutsu/hokuriku/ 日本トップのハッカーたちの話が 聞ける貴重なイベント!
インシデント対応力は実践で鍛 えるのが一番! だけど…被害は受けたくない。 そんな みんなのための MicroHardning! 小西も少し しゃべるかも?
ふぁらお加藤(金沢支部) 金沢市を中心に設計・実装・運用・ 保守をするフリーランスプログラマ 3+7年、リーマン歴は5+3+3年 JAWS-UG金沢(AWS Samurai 2019受 賞)Kanazawa.rbコアメンバー Code for
Kanazawa Civic Hack Night 運営
松田 康宏(金沢支部) 石川県在住。東京のイースト株式会社で フルモートワークで勤務して1年経過。 AWSを利用して辞書検索サービスDONGRIの 提供に携わる。エンジニアを絶賛募集中。 金沢支部には第22回 Alexa Days(2017年)より参加し、フルリ モートワークで業務をする傍ら、コミュニティの運営に携わる。2
級ファイナンシャルプランニング技能士(AFP)としても活躍中。 趣味はランニングとボウリングと家庭菜園。
金沢支部紹介
金沢支部の紹介 石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日 に勉強会 - また飲み会に戻る」を
ローテーションで行っていく予定です。 「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい 方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催し ました!
次回イベントのご紹介
行動規範 https://github.com/jaws-ug/manifesto/blob/master/for-contributors.md JAWS-UGコミュニティの理念 • JAWS-UGの名のもとに運営されるコミュニティは、Amazon Web Services, Inc. が提供するAWSに愛を持って接することを心がけてくだ さい。
過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用 することは決して許されません。
行動規範 期待される行為 • 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してくださ い。 あなたの貢献があってこそのコミュニティです。 • いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れない ようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いもの だ、ということを忘れないで下さい。
• 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参 加できるよう、出来る限りのご配慮をおねがいします。
行動規範 期待されない行為 • コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力 を誇示することは、適切ではありません。 • 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で 盛り上がるのは、適切ではありません。 • 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切
ではありません。 • 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教(または無 宗教)などに係る表現は、いかなる場合も適切ではありません。
Twitterにつぶやこう! Twitterにつぶやく際は是非ハッシュタグつけて共 有しましょう 同じ考えや興味を持った人とつながる機会になり ます #jawsug #jawsug_kanazawa
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? アジェンダ
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? 認証って何のためのもの?
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証は何のためのもの? -> 直接会えば確認できる こんにちは
ボブ だよ 判断できる ↓ ボブに間違いない ボブだわ
Copyright© 2021 みんなのCSIRT All Rights Reserved. 君の友だち 認証は何のためのもの? -> ネット経由では分からない
コンニチハ ボブ ダヨ 僕はボブ I’m bob. I’m bob. 僕はボブ 僕はボブ 僕はボブ I’m bob. I’m bob. 僕はボブ 判断できない ↓ ボブなの? 君の友だち ボブ…なの?
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証は何のためのもの? -> 利用者を識別する サービスにアクセス
アカウント・パスワードを要求 アカウント・パスワードを入力 アクセスを許可 サービスを利用 誰? Bob だよ Ok. いいよ
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? 認証の方法
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 認証の方法 知識認証
所有物認証 生体認証
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 知識認証 アカウント・パスワードなどの知識での認証
アカウントとパスワード 幼いころの記憶 経験 合言葉 秘密
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 所有物認証 デバイス・証明書などの持ち物での認証
SMS スマホ・SMS デバイス 証明書
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 生体認証 指紋・静脈などの人の固有情報での認証
光彩認証 静脈認証 指紋認証 顔認証
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> その他 ->
画像認証(CAPTCHA認証) 画像から情報を読み取れるか 読める! ヨメマセン
FIDO認証 https://www.dds.co.jp/ja/topics/9736/ より引用
AWSでの認証といえば(アカウント自体の認証)
AWSでの認証といえば(サービスとしての認証)
AWS Community Day Kanazawaでハンズオンやっていただいていました https://github.com/harunobukameda/Amazon-Cognito-Handson
Copyright© 2021 みんなのCSIRT All Rights Reserved. • 認証って何のためのもの? • 認証の方法
• その認証は安全か? その認証は安全か?
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> パスワードの管理 password
account password password Is this operation correct? パスワードが 保存されたファイル アカウント・パスワード を書いた付箋
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> パスワードの管理 Is
this operation correct? アカウント・パスワード を手帳にメモする password account password
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> 脆弱なパスワード https://nordpass.com/most-common-passwords-list/
Top 200 most common passwords of the year 2020
AWSサービスを利用した緩和策について Webサーバを触れないとしたら、クライアントとサーバのエンド ポイント間は少なくとも暗号化しておきたい。 ・ALB ・CloudFront HTTPS HTTP HTTPSに対応 できないサーバ
事前アンケートでいただいたご意見 ・大企業を含むユーザのOSSフリーライド問題に絡むセキュリ ティリスクの話などなど、ざっくばらんにお願いしたいです。(最 近だとLog4j2とかcolor.jsとかのあたり) ・実際のところ、log4jの件、どれくらいの速度感や体勢で対応し ましたか?
Copyright© 2021 みんなのCSIRT All Rights Reserved. イベントのご紹介 https://www.soumu.go.jp/soutsu/hokuriku/ 日本トップのハッカーたちの話が 聞ける貴重なイベント!
インシデント対応力は実践で鍛 えるのが一番! だけど…被害は受けたくない。 そんな みんなのための MicroHardning! 小西も少し しゃべるかも?
次回イベントのご紹介
アンケート 是非アンケートへのご協力をお願いします! https://bit.ly/jawsug_kanazawa76 運営メンバーの励みになりますので、イベント終了後に入力ください。
Copyright© 2021 みんなのCSIRT All Rights Reserved. おしまい