$30 off During Our Annual Pro Sale. View Details »

JAWS-UG金沢 #76 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション

JAWS-UG金沢 #76 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション

Yasuhiro Matsuda

January 17, 2022
Tweet

More Decks by Yasuhiro Matsuda

Other Decks in Technology

Transcript

  1. JAWS-UG金沢 #76  セキュリティパネルディスカッション
    JAWS-UG 金沢 × みんなのCSIRT
    2022/1/17
    認証の必要性と方法

    View Slide

  2. タイムテーブル
    21:00〜21:40 パネルディスカッション
    ・パネリストの紹介
    ・今日の本題
    21:40〜21:50 質疑応答
    21:50〜22:00 クロージング

    View Slide

  3. アンケート
    是非アンケートへのご協力をお願いします!
    https://bit.ly/jawsug_kanazawa76
    運営メンバーの励みになりますので、イベント終了後に入力ください。

    View Slide

  4. パネリストの紹介
    小西さん ふぁらお加藤 松田 康宏

    View Slide

  5. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     みんなのCSIRTの紹介


    View Slide

  6. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     小西 享 (みんなのCSIRT)

    小西 享 (こにし とおる)

    [所属]
     アライドテレシス株式会社

     ※ここでの発言と、所属会社は関係ありません。


    [こんな人です]
     ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、
    北陸を中心としたセキュリティの底上げを目指して活動を行っている。

     セキュリティ=技術屋のものという概念を固定しないために、セキュリ
    ティ経営も啓発している。

    T.Konishi

    View Slide

  7. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     イベントのご紹介

    https://www.soumu.go.jp/soutsu/hokuriku/
    日本トップのハッカーたちの話が
    聞ける貴重なイベント!

    インシデント対応力は実践で鍛
    えるのが一番!

    だけど…被害は受けたくない。


    そんな みんなのための
    MicroHardning!

    小西も少し

    しゃべるかも?


    View Slide

  8. ふぁらお加藤(金沢支部)
    金沢市を中心に設計・実装・運用・
    保守をするフリーランスプログラマ
    3+7年、リーマン歴は5+3+3年
    JAWS-UG金沢(AWS Samurai 2019受
    賞)Kanazawa.rbコアメンバー
    Code for Kanazawa Civic Hack Night 運営

    View Slide

  9. 松田 康宏(金沢支部)
    石川県在住。東京のイースト株式会社で
    フルモートワークで勤務して1年経過。
    AWSを利用して辞書検索サービスDONGRIの
    提供に携わる。エンジニアを絶賛募集中。
    金沢支部には第22回 Alexa Days(2017年)より参加し、フルリ
    モートワークで業務をする傍ら、コミュニティの運営に携わる。2
    級ファイナンシャルプランニング技能士(AFP)としても活躍中。
    趣味はランニングとボウリングと家庭菜園。

    View Slide

  10. 金沢支部紹介

    View Slide

  11. 金沢支部の紹介
    石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日
    に勉強会 - また飲み会に戻る」を ローテーションで行っていく予定です。
    「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい
    方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催し
    ました!

    View Slide

  12. 次回イベントのご紹介

    View Slide

  13. 行動規範
    https://github.com/jaws-ug/manifesto/blob/master/for-contributors.md
    JAWS-UGコミュニティの理念
    • JAWS-UGの名のもとに運営されるコミュニティは、Amazon Web
    Services, Inc. が提供するAWSに愛を持って接することを心がけてくだ
    さい。
    過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用
    することは決して許されません。

    View Slide

  14. 行動規範
    期待される行為
    • 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してくださ
    い。
    あなたの貢献があってこそのコミュニティです。
    • いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れない
    ようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いもの
    だ、ということを忘れないで下さい。
    • 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参
    加できるよう、出来る限りのご配慮をおねがいします。

    View Slide

  15. 行動規範
    期待されない行為
    • コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力
    を誇示することは、適切ではありません。
    • 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で
    盛り上がるのは、適切ではありません。
    • 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切
    ではありません。
    • 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教(または無
    宗教)などに係る表現は、いかなる場合も適切ではありません。

    View Slide

  16. Twitterにつぶやこう!
    Twitterにつぶやく際は是非ハッシュタグつけて共
    有しましょう
    同じ考えや興味を持った人とつながる機会になり
    ます
    #jawsug
    #jawsug_kanazawa

    View Slide

  17. Copyright© 2021 みんなのCSIRT All Rights Reserved.
    ● 認証って何のためのもの?

    ● 認証の方法

    ● その認証は安全か?

     アジェンダ


    View Slide

  18. Copyright© 2021 みんなのCSIRT All Rights Reserved.
    ● 認証って何のためのもの?

    ● 認証の方法

    ● その認証は安全か?

     認証って何のためのもの?


    View Slide

  19. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     認証は何のためのもの? -> 直接会えば確認できる

    こんにちは ボブ だよ
    判断できる

    ↓

    ボブに間違いない

    ボブだわ


    View Slide

  20. Copyright© 2021 みんなのCSIRT All Rights Reserved.
    君の友だち

     認証は何のためのもの? -> ネット経由では分からない

    コンニチハ ボブ ダヨ
    僕はボブ

         I’m bob.
    I’m bob.
    僕はボブ

    僕はボブ

    僕はボブ

    I’m bob.
    I’m bob.
    僕はボブ

    判断できない

    ↓

    ボブなの?

    君の友だち

    ボブ…なの?


    View Slide

  21. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     認証は何のためのもの? -> 利用者を識別する

    サービスにアクセス
    アカウント・パスワードを要求
    アカウント・パスワードを入力
    アクセスを許可
    サービスを利用
    誰?
    Bob
    だよ
    Ok.
    いいよ

    View Slide

  22. Copyright© 2021 みんなのCSIRT All Rights Reserved.
    ● 認証って何のためのもの?

    ● 認証の方法

    ● その認証は安全か?

     認証の方法


    View Slide

  23. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     認証の方法 -> 認証の方法

    知識認証

    所有物認証

    生体認証


    View Slide

  24. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     認証の方法 -> 知識認証

    アカウント・パスワードなどの知識での認証

    アカウントとパスワード

    幼いころの記憶

    経験

    合言葉

    秘密


    View Slide

  25. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     認証の方法 -> 所有物認証

    デバイス・証明書などの持ち物での認証

    SMS
    スマホ・SMS
    デバイス
    証明書

    View Slide

  26. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     認証の方法 -> 生体認証

    指紋・静脈などの人の固有情報での認証

    光彩認証
    静脈認証
    指紋認証
    顔認証

    View Slide

  27. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     認証の方法 -> その他 -> 画像認証(CAPTCHA認証)

    画像から情報を読み取れるか

    読める!

    ヨメマセン


    View Slide

  28. FIDO認証
    https://www.dds.co.jp/ja/topics/9736/ より引用

    View Slide

  29. AWSでの認証といえば(アカウント自体の認証)

    View Slide

  30. AWSでの認証といえば(サービスとしての認証)

    View Slide

  31. AWS Community Day Kanazawaでハンズオンやっていただいていました
    https://github.com/harunobukameda/Amazon-Cognito-Handson

    View Slide

  32. Copyright© 2021 みんなのCSIRT All Rights Reserved.
    ● 認証って何のためのもの?

    ● 認証の方法

    ● その認証は安全か?

     その認証は安全か?


    View Slide

  33. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     その認証は安全か? -> パスワードの管理

    password
    account
    password
    password
    Is this operation correct?
    パスワードが
    保存されたファイル
    アカウント・パスワード
    を書いた付箋

    View Slide

  34. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     その認証は安全か? -> パスワードの管理

    Is this operation correct?
    アカウント・パスワード
    を手帳にメモする
    password
    account
    password

    View Slide

  35. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     その認証は安全か? -> 脆弱なパスワード

    https://nordpass.com/most-common-passwords-list/
    Top 200 most common passwords of the year 2020

    View Slide

  36. AWSサービスを利用した緩和策について
    Webサーバを触れないとしたら、クライアントとサーバのエンド
    ポイント間は少なくとも暗号化しておきたい。
    ・ALB
    ・CloudFront HTTPS HTTP
    HTTPSに対応
    できないサーバ

    View Slide

  37. 事前アンケートでいただいたご意見
    ・大企業を含むユーザのOSSフリーライド問題に絡むセキュリ
    ティリスクの話などなど、ざっくばらんにお願いしたいです。(最
    近だとLog4j2とかcolor.jsとかのあたり)
    ・実際のところ、log4jの件、どれくらいの速度感や体勢で対応し
    ましたか?

    View Slide

  38. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     イベントのご紹介

    https://www.soumu.go.jp/soutsu/hokuriku/
    日本トップのハッカーたちの話が
    聞ける貴重なイベント!

    インシデント対応力は実践で鍛
    えるのが一番!

    だけど…被害は受けたくない。


    そんな みんなのための
    MicroHardning!

    小西も少し

    しゃべるかも?


    View Slide

  39. 次回イベントのご紹介

    View Slide

  40. アンケート
    是非アンケートへのご協力をお願いします!
    https://bit.ly/jawsug_kanazawa76
    運営メンバーの励みになりますので、イベント終了後に入力ください。

    View Slide

  41. Copyright© 2021 みんなのCSIRT All Rights Reserved.
    おしまい


    View Slide