Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
JAWS-UG金沢 #76 セキュリティパネルディスカッション JAWS-UG 金沢 × みんなのCSIRT 2022/1/17 認証の必要性と方法
Slide 2
Slide 2 text
タイムテーブル 21:00〜21:40 パネルディスカッション ・パネリストの紹介 ・今日の本題 21:40〜21:50 質疑応答 21:50〜22:00 クロージング
Slide 3
Slide 3 text
アンケート 是非アンケートへのご協力をお願いします! https://bit.ly/jawsug_kanazawa76 運営メンバーの励みになりますので、イベント終了後に入力ください。
Slide 4
Slide 4 text
パネリストの紹介 小西さん ふぁらお加藤 松田 康宏
Slide 5
Slide 5 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. みんなのCSIRTの紹介
Slide 6
Slide 6 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. 小西 享 (みんなのCSIRT) 小西 享 (こにし とおる) [所属] アライドテレシス株式会社 ※ここでの発言と、所属会社は関係ありません。 [こんな人です] ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、 北陸を中心としたセキュリティの底上げを目指して活動を行っている。 セキュリティ=技術屋のものという概念を固定しないために、セキュリ ティ経営も啓発している。 T.Konishi
Slide 7
Slide 7 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. イベントのご紹介 https://www.soumu.go.jp/soutsu/hokuriku/ 日本トップのハッカーたちの話が 聞ける貴重なイベント! インシデント対応力は実践で鍛 えるのが一番! だけど…被害は受けたくない。 そんな みんなのための MicroHardning! 小西も少し しゃべるかも?
Slide 8
Slide 8 text
ふぁらお加藤(金沢支部) 金沢市を中心に設計・実装・運用・ 保守をするフリーランスプログラマ 3+7年、リーマン歴は5+3+3年 JAWS-UG金沢(AWS Samurai 2019受 賞)Kanazawa.rbコアメンバー Code for Kanazawa Civic Hack Night 運営
Slide 9
Slide 9 text
松田 康宏(金沢支部) 石川県在住。東京のイースト株式会社で フルモートワークで勤務して1年経過。 AWSを利用して辞書検索サービスDONGRIの 提供に携わる。エンジニアを絶賛募集中。 金沢支部には第22回 Alexa Days(2017年)より参加し、フルリ モートワークで業務をする傍ら、コミュニティの運営に携わる。2 級ファイナンシャルプランニング技能士(AFP)としても活躍中。 趣味はランニングとボウリングと家庭菜園。
Slide 10
Slide 10 text
金沢支部紹介
Slide 11
Slide 11 text
金沢支部の紹介 石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日 に勉強会 - また飲み会に戻る」を ローテーションで行っていく予定です。 「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい 方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催し ました!
Slide 12
Slide 12 text
次回イベントのご紹介
Slide 13
Slide 13 text
行動規範 https://github.com/jaws-ug/manifesto/blob/master/for-contributors.md JAWS-UGコミュニティの理念 • JAWS-UGの名のもとに運営されるコミュニティは、Amazon Web Services, Inc. が提供するAWSに愛を持って接することを心がけてくだ さい。 過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用 することは決して許されません。
Slide 14
Slide 14 text
行動規範 期待される行為 • 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してくださ い。 あなたの貢献があってこそのコミュニティです。 • いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れない ようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いもの だ、ということを忘れないで下さい。 • 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参 加できるよう、出来る限りのご配慮をおねがいします。
Slide 15
Slide 15 text
行動規範 期待されない行為 • コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力 を誇示することは、適切ではありません。 • 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で 盛り上がるのは、適切ではありません。 • 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切 ではありません。 • 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教(または無 宗教)などに係る表現は、いかなる場合も適切ではありません。
Slide 16
Slide 16 text
Twitterにつぶやこう! Twitterにつぶやく際は是非ハッシュタグつけて共 有しましょう 同じ考えや興味を持った人とつながる機会になり ます #jawsug #jawsug_kanazawa
Slide 17
Slide 17 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. ● 認証って何のためのもの? ● 認証の方法 ● その認証は安全か? アジェンダ
Slide 18
Slide 18 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. ● 認証って何のためのもの? ● 認証の方法 ● その認証は安全か? 認証って何のためのもの?
Slide 19
Slide 19 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証は何のためのもの? -> 直接会えば確認できる こんにちは ボブ だよ 判断できる ↓ ボブに間違いない ボブだわ
Slide 20
Slide 20 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. 君の友だち 認証は何のためのもの? -> ネット経由では分からない コンニチハ ボブ ダヨ 僕はボブ I’m bob. I’m bob. 僕はボブ 僕はボブ 僕はボブ I’m bob. I’m bob. 僕はボブ 判断できない ↓ ボブなの? 君の友だち ボブ…なの?
Slide 21
Slide 21 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証は何のためのもの? -> 利用者を識別する サービスにアクセス アカウント・パスワードを要求 アカウント・パスワードを入力 アクセスを許可 サービスを利用 誰? Bob だよ Ok. いいよ
Slide 22
Slide 22 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. ● 認証って何のためのもの? ● 認証の方法 ● その認証は安全か? 認証の方法
Slide 23
Slide 23 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 認証の方法 知識認証 所有物認証 生体認証
Slide 24
Slide 24 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 知識認証 アカウント・パスワードなどの知識での認証 アカウントとパスワード 幼いころの記憶 経験 合言葉 秘密
Slide 25
Slide 25 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 所有物認証 デバイス・証明書などの持ち物での認証 SMS スマホ・SMS デバイス 証明書
Slide 26
Slide 26 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> 生体認証 指紋・静脈などの人の固有情報での認証 光彩認証 静脈認証 指紋認証 顔認証
Slide 27
Slide 27 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. 認証の方法 -> その他 -> 画像認証(CAPTCHA認証) 画像から情報を読み取れるか 読める! ヨメマセン
Slide 28
Slide 28 text
FIDO認証 https://www.dds.co.jp/ja/topics/9736/ より引用
Slide 29
Slide 29 text
AWSでの認証といえば(アカウント自体の認証)
Slide 30
Slide 30 text
AWSでの認証といえば(サービスとしての認証)
Slide 31
Slide 31 text
AWS Community Day Kanazawaでハンズオンやっていただいていました https://github.com/harunobukameda/Amazon-Cognito-Handson
Slide 32
Slide 32 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. ● 認証って何のためのもの? ● 認証の方法 ● その認証は安全か? その認証は安全か?
Slide 33
Slide 33 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> パスワードの管理 password account password password Is this operation correct? パスワードが 保存されたファイル アカウント・パスワード を書いた付箋
Slide 34
Slide 34 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> パスワードの管理 Is this operation correct? アカウント・パスワード を手帳にメモする password account password
Slide 35
Slide 35 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. その認証は安全か? -> 脆弱なパスワード https://nordpass.com/most-common-passwords-list/ Top 200 most common passwords of the year 2020
Slide 36
Slide 36 text
AWSサービスを利用した緩和策について Webサーバを触れないとしたら、クライアントとサーバのエンド ポイント間は少なくとも暗号化しておきたい。 ・ALB ・CloudFront HTTPS HTTP HTTPSに対応 できないサーバ
Slide 37
Slide 37 text
事前アンケートでいただいたご意見 ・大企業を含むユーザのOSSフリーライド問題に絡むセキュリ ティリスクの話などなど、ざっくばらんにお願いしたいです。(最 近だとLog4j2とかcolor.jsとかのあたり) ・実際のところ、log4jの件、どれくらいの速度感や体勢で対応し ましたか?
Slide 38
Slide 38 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. イベントのご紹介 https://www.soumu.go.jp/soutsu/hokuriku/ 日本トップのハッカーたちの話が 聞ける貴重なイベント! インシデント対応力は実践で鍛 えるのが一番! だけど…被害は受けたくない。 そんな みんなのための MicroHardning! 小西も少し しゃべるかも?
Slide 39
Slide 39 text
次回イベントのご紹介
Slide 40
Slide 40 text
アンケート 是非アンケートへのご協力をお願いします! https://bit.ly/jawsug_kanazawa76 運営メンバーの励みになりますので、イベント終了後に入力ください。
Slide 41
Slide 41 text
Copyright© 2021 みんなのCSIRT All Rights Reserved. おしまい