Security-JAWSに参加してみました。
JAWS自体の参加が今回初めてでした。徳丸先生のありがたいお話目当てだったところもありましたが、徐々にAWSに踏み込む必要性が出てきたので(遅い)、ちょうど良いなとも思いつつ。控えめに言って、AWS使う人は一度は参加すべきですね。無料で、これだけ情報が貰えるなんて願ったり叶ったりというか。AWS使い始める前に一回は聞いておかなければいけない話だと感じました。
森永さんありがとうございます!!#secjaws #secjaws16 pic.twitter.com/6Ionqg6y2X
— 聖@100日後に令和スタンダードな箸の持ち方で逆転敗訴するおじさん (@hijili2) 2020年2月14日
そしてまさかマウントレーニアまで貰えるって言うね。素晴らしい、森永さんありがとうございます(二回目)
ということで、いつものごとく、聞いた話についてサラッと感想など書いておきます。
もし、内容を把握したくてこんなブログ見てしまった方は、以下のレポート読んだほうがいいと思います。
Amazon DetectiveなどAWS re:Inventで発表されたセキュリティサービス紹介
アマゾンウェブサービスジャパン株式会社 桐山 隼人さん
スライド:公開されてないっぽい
タイトルどおり、re:Inventで話されてたセキュリティ系サービスのお話。クローズドな環境でのEC2とLightSailくらいしか本気で使っておらず、GuardDutyすら知らんという人にとっては雲の上の話感はありましたが、クラウドだけに。
メイントピックとしては、Amazon Detective。このへんの説明も以下レポートがほぼそのままかなと(丸投げばかり)
AWS環境の異常調査が捗る! Amazon Detectiveの概要 [レポート] #SEC312 #reinvent | Developers.IO
要は、これまで怪しい振る舞いを検知してくれてたけど、その先の詳細調査までやってくれるようになると。まだ限定公開なので全員使えるわけではないみたいです。なかなか簡単ではなさそうな機能なので、どこまで確度があるのか非常に気になります… でも、知見が溜まっていけば、徐々に進化していくんだろうなあと。で、
GuardDutyとかの検知に対してInvestigate選択肢が出てくる。押すと、人がやってたようなことを諸々調べて可視化してくれる。しゅごそう…
— 聖@100日後に令和スタンダードな箸の持ち方で逆転敗訴するおじさん (@hijili2) 2020年2月14日
進化したら
「あれれ~ここのAPI増加量がおかしいぞ~」
「Amazon Detective... 探偵さ…」
とか言い出すんじゃね。#secjaws #secjaws16 #jawsug
アドバイザーキャラとかも出てくるんだろなあと。コ○ン君的にもできたりして… 進化しきったら監視チーム要らなくなるのかなあ、、、などと未来に想いを馳せてしまいました。(本当はre:Inventを聞いて想いを馳せるべきなんだろうけど…)
様々なAWS Securityベストプラクティスのまとめ
トヨタ・リサーチ・インスティテュート・アドバンスト・デベロップメント株式会社 Cyber&Vehicle Security シニアディレクター 高橋威裕さん
スライド:公開されてないっぽい
TRI-ADの紹介もなにげに興味深い。CESでチラッと聞いたWovenCityとか、AreneとかをやってるのがTRI-ADさんなのね。早く運転しなくていい世界来てほしいから応援したい。自分が入れる気はしない。。。
で、AWSを使うにあたり…というか、一般的に考えるべきセキュリティの話から入り、AWSでどうすればいいかの情報はここだ!ってお話。
AWS セキュリティのベストプラクティス とかあるけど、量が多いから大変。そして少し古いので最新の情報を得ることが肝要。
AWS Security Maturity Roadmap は短いのでとにかく読むべし(まだ読んでない…)。この中に出てくる ScoutSuite も有用。AWSのYoutubeもいいらしい(どれ見ればいいかパッとみ分からんけど…)
という感じで、途中の重要な話を端折っても情報が濃い。サービスで使うならまずこの辺を一読が必須みたいです。うーむ、セキュリティムズカシイネ。
事業会社情シスとしてのセキュリティの取り組み(CCoE立ち上げと今後の展望)
森永乳業株式会社 経営戦略本部 IT改革推進部 アシスタントマネージャー 石井 俊光さん
スライド:きっと公開されないだろうと感じる貴重なお話やった
「このままではITシステムが事業全般の足を引っ張りかねない!」からスタートする何とも耳が痛いお話。なんとか銀行さんもそういう感じだったという噂ですしね(まだあの本読んでないけど…)。
まさにIT改革をすすめる苦労話というか、体制面から進め方まで貴重なお話でした。もっと泥臭い部分が沢山あったんだろうと思いますが、きれいにまとめてお話されてたんだろうなあと。最後はついついアカンことを叫んでしまいました…
うちの経営層のひと見てるー!?#secjaws #secjaws16 #jawsug https://t.co/neeqPkR2A9
— 聖@100日後に令和スタンダードな箸の持ち方で逆転敗訴するおじさん (@hijili2) 2020年2月14日
やっぱり、自分たちで手を動かして把握して、その上で手を借りるところを選定すべきなんだよね…クラウド云々でなく、なんでもね。丸投げする部分を選定すること自体を丸投げしてるからなあ… このままじゃ本当に会社潰れると思う… 見習わせたい…
(仮) IAMどんな感じでやりましょか
株式会社FOLIO 鈴木研吾 (ken5scal)さん
スライド:AWS IAMどうしましょ - Speaker Deck
slido: https://app.sli.do/event/qz36o81v
『IAMなにも分からん』と言いつつ、かなり深い情報がバンバン出てたように思いました。そもそもIAMそんなちゃんと使ってない僕にはチンプンカンプンでしたねw 色々あるってことはよく分かりました。。。 IAMとかに悩んだらスライド見返させてもらいます、投影したら消えてたやつも含めてw
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
EGセキュアソリューションズ株式会社 徳丸 浩さん
スライド: SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
IMDSから知らなかったし、SSRFもなんやそれだったので聞く資格無かったw と思ったことは置いておいて。SSRFは一応予習していったのでスッと聞けてよかった。派手なブックマーク大好きです。
しかし、Capital Oneの事例を聞くとまさか~って思ってしまう感じですが、それが現実に起こっていて、類似レベルの事件もたくさんあって、セキュリティ知らないって恐ろしいなあと改めて感じた次第です。コピペって、時間無いとやりがちだけど、本当にこの勉強会のような知識をしっかり身につけないとダメだよなあ…と総括させるようなお話ですごく締まった印象がありました(コピペは仮説だけどね)。
徳丸先生の話はおもしろくてタメになるなあ…
— 聖@100日後に令和スタンダードな箸の持ち方で逆転敗訴するおじさん (@hijili2) 2020年2月14日
コピペ文化からクソセキュリティができあがるってのはたしかにそうなんだろうなあ。。。#secjaws #secjaws16 #jawsug
まとめ
聞けてよかった。JAWSよい。また来たいです。登壇者とスタッフの皆様ありがとうございました。
日本のAWSユーザ会を "JAWS"って名付けたところがすごくいいですよね、とずっと思ってました。その意味でも(?)これからも参加していきたいっす。(ってかAWSもっと使えと)