Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
JAWS-UG金沢 #74 セキュリティパネルディスカッション JAWS-UG 金沢 × みんなのCSIRT 2021/11/13
Slide 2
Slide 2 text
タイムテーブル 15:00〜15:10 オープニング 15:10〜16:10 パネルディスカッション ・パネリストの紹介 ・今日の本題 16:10〜16:40 質疑応答 16:40〜16:50 クロージング
Slide 3
Slide 3 text
アンケート 是非アンケートへのご協力をお願いします! http://bit.ly/jawsug_kanzawa74 運営メンバーの励みになりますので、イベント終了後に入力ください。
Slide 4
Slide 4 text
パネリストの紹介 小西さん ふぁらお加藤 松田 康宏
Slide 5
Slide 5 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. みんなのCSIRTの紹介
Slide 6
Slide 6 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. 小西 享 (みんなのCSIRT) 小西 享 (こにし とおる) [所属] アライドテレシス株式会社 ※ここでの発言と、所属会社は関係ありません。 [こんな人です] 金沢市を中心にインフラエンジニアに従事し、プレ・要件定義・設計・構 築・運用までを経験。 ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、 北陸を中心としたセキュリティの底上げを目指して活動を行っている。 T.Konishi
Slide 7
Slide 7 text
ふぁらお加藤(金沢支部) 金沢市を中心に設計・実装・運用・ 保守をするフリーランスプログラマ 3+7年、リーマン歴は5+3+3年 JAWS-UG金沢(AWS Samurai 2019受 賞)Kanazawa.rbコアメンバー Code for Kanazawa Civic Hack Night 運営
Slide 8
Slide 8 text
松田 康宏(金沢支部) 石川県在住。2020年まで金沢市内の印刷会社 でインフラエンジニアとして、AWSを利用し たインフラの概念実証を実施したのち、 2021年1月よりイースト株式会社に転籍。 金沢支部には第22回 Alexa Days(2017年)より参加し、フルリ モートワークで業務をする傍ら、コミュニティの運営に携わる。2 級ファイナンシャルプランニング技能士(AFP)としても活躍中。 趣味はランニングとボウリングと家庭菜園。
Slide 9
Slide 9 text
金沢支部紹介
Slide 10
Slide 10 text
金沢支部の紹介 石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日 に勉強会 - また飲み会に戻る」を ローテーションで行っていく予定です。 「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい 方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催し ました!
Slide 11
Slide 11 text
No content
Slide 12
Slide 12 text
行動規範 https://github.com/jaws-ug/manifesto/blob/master/for-contributors.md JAWS-UGコミュニティの理念 • JAWS-UGの名のもとに運営されるコミュニティは、Amazon Web Services, Inc. が提供するAWSに愛を持って接することを心がけてくだ さい。 過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用 することは決して許されません。
Slide 13
Slide 13 text
行動規範 期待される行為 • 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してくださ い。 あなたの貢献があってこそのコミュニティです。 • いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れない ようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いもの だ、ということを忘れないで下さい。 • 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参 加できるよう、出来る限りのご配慮をおねがいします。
Slide 14
Slide 14 text
行動規範 期待されない行為 • コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力 を誇示することは、適切ではありません。 • 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で 盛り上がるのは、適切ではありません。 • 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切 ではありません。 • 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教(または無 宗教)などに係る表現は、いかなる場合も適切ではありません。
Slide 15
Slide 15 text
Twitterにつぶやこう! Twitterにつぶやく際は是非ハッシュタグつけて共 有しましょう 同じ考えや興味を持った人とつながる機会になり ます #jawsug #jawsug_kanazawa
Slide 16
Slide 16 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. ● HTTPS化されていないサイトはいけない? ● 電子メールで流行っているPPAPって? ● 管理者アカウントの共有は問題がある? ● 管理者用ログインページは公開しちゃダメ? アジェンダ
Slide 17
Slide 17 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. ● HTTPS化されていないサイトはいけない? ● 電子メールで流行っているPPAPって? ● 管理者アカウントの共有は問題がある? ● 管理者用ログインページは公開しちゃダメ?
Slide 18
Slide 18 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. HTTP = 平文通信 3way ハンドシェイク 平文でのデータ通信 簡単に読める 簡単に情報が盗める =
Slide 19
Slide 19 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. HTTPS = 暗号文通信 3way ハンドシェイク 暗号化されたデータ通信 SSL/TLS ハンドシェイク 暗号文は読めない 通信内容を守れる! =
Slide 20
Slide 20 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. HTTPS暗号化までの流れ 3way ハンドシェイク 暗号化されたデータ通信 SSL/TLS ハンドシェイク ※ TLS1.3の場合 僕は こんな暗号化方式が使えるよ。 OK! じゃあ この暗号化方式を使うね。 この通信から暗号化するよ。 僕の証明書を送るね。 OK!
Slide 21
Slide 21 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. 機会損失を防ぐ Google 検索結果の順位判定にHTTPS化の有無を考慮する HTTPS混合コンテンツをブロックする Apple 有効期限が398日を超える証明書を信頼しない
Slide 22
Slide 22 text
AWSでの解決アプローチ https://jp.globalsign.com/ssl-pki-info/ssl_beginner/types-of-ssl.html より
Slide 23
Slide 23 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. ● HTTPS化されていないサイトはいけない? ● 電子メールで流行っているPPAPって? ● 管理者アカウントの共有は問題がある? ● 管理者用ログインページは公開しちゃダメ?
Slide 24
Slide 24 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAP メールでzipファイルを送付 ファイルを 作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付 P:Password付きZIP暗号化ファイルを送る P:Passwordを送る A:Angoka(暗号化)する P:Protocol(プロトコル=手順)
Slide 25
Slide 25 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAP メールでzipファイルを送付 ファイルを 作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付 メールが盗聴されれば zipだけでなく Passも盗まれる
Slide 26
Slide 26 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAP メールでzipファイルを送付 ファイルを 作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付 Passがついているので セキュリティ対策製品での チェックができない
Slide 27
Slide 27 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAP メールでzipファイルを送付 ファイルを 作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付 誤送信先に ファイルとPassを送ってしま う
Slide 28
Slide 28 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAPをやめよう! 日本政府 セキュリティ対策や受け取り手の利便性の観点から 適切ではない PPAPやめます! だけど 次の手はありません!
Slide 29
Slide 29 text
AWSでの解決アプローチ
Slide 30
Slide 30 text
AWSでの解決アプローチ S3よりファイルをダウンロード(HTTPS) ファイルを 作成 ファイルを Pass無zip化 メールで 署名付きURLを送付 Passがついていないので セキュリティ対策製品での チェックができる S3にアップロードして 署名付きURL発行
Slide 31
Slide 31 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. ● HTTPS化されていないサイトはいけない? ● 電子メールで流行っているPPAPって? ● 管理者アカウントの共有は問題がある? ● 管理者用ログインページは公開しちゃダメ?
Slide 32
Slide 32 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. 管理者アカウントって何ができる 管理者アカウントは 何でもできる
Slide 33
Slide 33 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. なんでもできる OS・ファイル データベース ログ インストール アップデート 参照・追加 更新・削除 破壊 マルウェア設置 窃取・改ざん 破壊 削除・改ざん 参照・更新
Slide 34
Slide 34 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. もし同じアカウントで操作していたら OS・ファイル データベース ログ インストール アップデート 参照・追加 更新・削除 破壊 マルウェア設置 窃取・改ざん 破壊 削除・改ざん 参照・更新 誰が操作したか分からない あらぬ疑いがかかるかも ⇒
Slide 35
Slide 35 text
AWSでの解決アプローチ
Slide 36
Slide 36 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. ● HTTPS化されていないサイトはいけない? ● 電子メールで流行っているPPAPって? ● 管理者アカウントの共有は問題がある? ● 管理者用ログインページは公開しちゃダメ?
Slide 37
Slide 37 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. 見えるものは攻撃される 調査 攻撃 DoS/DDoS ブルートフォース SQLインジェクション たとえば 沢山の人にきてほしい! 便利に使いたい! 攻撃者もやってきます ⇒
Slide 38
Slide 38 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. 公開サーバへの攻撃 (リバースブルートフォース攻撃) konishi matsuda matsumoto hamada tanaka endou Housei Yamamoto saito password 11/13 15:01 konishi login failed 11/13 15:01 ***** login successful 11/13 15:02 matsuda login failed 11/13 15:02 ***** login failed 11/13 15:02 ***** login successful 11/13 15:03 ***** login failed 11/13 15:03 matsumoto login failed 11/13 15:04 ***** login successful 11/13 15:04 hamada login failed 11/13 15:05 tanakalogin failed 11/13 15:05 ***** login successful 11/13 15:06 ***** login failed 11/13 15:06 endou login failed 11/13 15:07 ***** login successful 11/13 15:07 housei login successful ログを見ても気づきにくい パスワードは固定し、アカウントを順に変更しながらアク セスを試みる
Slide 39
Slide 39 text
AWSでの解決アプローチ 皆さんで考えてみましょう ・予防的な統制 (どのようにしたらリバースブルートフォース攻撃を発生させないようにできるか?) ・発見的な統制 (どのようにしたらリバースブルートフォース攻撃に気づけるか?)
Slide 40
Slide 40 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. おしまい
Slide 41
Slide 41 text
アンケート 是非アンケートへのご協力をお願いします! http://bit.ly/jawsug_kanzawa74 運営メンバーの励みになりますので、イベント終了後に入力ください。
Slide 42
Slide 42 text
ここからの時間は… DEVREL/JAPAN 2021