(レポート) Deep Security User Nightに行ってきた #trendmicro

はじめに

本記事は2015年12月7日(月)に開催されたDeep Security User Nightのレポートです。場所は千駄ヶ谷のGOBLIN.千駄ヶ谷。

隠れ家ぽい、面白いスペースです。以下の写真は開店後すぐに撮影したので人が少なく見えますが、開始時点ではほぼ満席でした。

レポート

私のDeepな〇〇について by トレンドマイクロ株式会社 朴さん

プロダクトマネージャとして
　10月からアサイン。今勉強中
　DeepSecurityの話をしたいがネタがない
　Deepな趣味のマラソンの話をする
きっかけは「第1回東京マラソン」
　学生の頃は何もしていなかった
　当選したので走ってみた。完走！
その後4回も当選。これだけ走ると飽きた。
　知人に勧められたのがメドックマラソン。
　フランスのボルドーで開催されるマラソン。
　給ワインのポイントを通過しながら走る。
　日本からも300人ほど参加。
日本でメドックマラソンを走る人がよく集まるお店。
　パクチーハウス東京。店長を中心にして集まる。
　ちょっと変わった、いろんな人がいる。
　練習→呑みながら走る、呑みながら話す。
もう普通なマラソンは走れない。もっとディープな世界に。
　東北ウルトラシャルソン。呑んだり人と出会って話したり。
さらにDeepな世界に。サハラマラソン。
　人間パリダカール。
　装備と食料を背負って、6ステージ、7日間、250kmを走行。
　普通死ぬよね。正直ポチってから迷った。
調べてみたところ...
　世界で最も過酷なマラソン。
　フランス人のパトリックバウワーが単独で350kmを走破
　すごく良かったからイベントにしちゃった。
　今年は30回目。今年は1200人の参加者。特にヨーロッパで人気。
　今のところ死者は出ていない。
持ってきてねと言われているもの。
　1日最低2000kcalの食料。
　毒抽出用のスネークポンプ(サソリに刺された時に使うもの)
　行方不明になったときに助けを求める鏡。
　最低6.5kg、15.0kgまで。
さすがに強くて走り込んだ。
　出れそうなウルトラ、フル、ハーフをどんどん出た。
　砂漠で1日だけ長いコースがある。90km。新大阪から有馬温泉まで夜中に走る練習をした。
食料
　フリーズドライに詳しくなった。軽くするため。
走行
　ワルザザードからスタート。走ったのはモロッコ。以降はテント生活。
　レースは6日間。足慣らしで36km。一番の山がオーバーナイト、90km越え。
　4割くらいが砂地、あとは岩場。ゴツゴツしてて足が取られる。
　日中は40度オーバー、朝は10度以下。風が吹くと寒い。
　もちろん完走しました！
　日本チームも2名以外は完走。
　かかった費用。100万円。思い出プライスレス。
結果
　持ちネタができた
　体脂肪9%切った。
　ワクワクしたらやってみる、ブレーキはかけない、年齢は気にしない。
　8年あれば東京マラソンからサハラまで走れる。
　今後...DeepSecurity担当として頑張ります！

ゆるっとDS by 株式会社エイチ・アイ・エス 山崎さん

3月にJAWS DAYS 2016やります！
DeepSecurity導入の経緯
　AWS利用の本格化
　セキュリティ...大事なのはよくわかってるけど難しい、責任重大。
　オンプレミス環境。ファイアウォールの裏にIPSアプライアンス。その下にサーバー。
　ベンダさんにお任せサポート、運用としてはそれほどタッチしていなかった。
　AWSだと、共有責任モデル。AWSとユーザーの責任範囲が分かれる。
　　→IPSどうする？
　検討したもの。
　　IPSインスタンスをサーバー前に構築。
　　IPSインスタンスを別VPCに構築。
　どちらも採用しなかった。見送った理由。
　　IPSを別に入れると管理が増える。
　　ネットワーク経路が複雑になる。
　　VPCのネットワーク範囲を大きく切っており、IPアドレス体系として別VPCを作る余裕がない。
　DeepSecurityがあるよ！
おおまかな構成
　WebサーバにDeepSecurityAgentを導入。
　管理サーバを別に導入。
DeepSecurityの嬉しいポイント。
　何かあればメールでお知らせ。メールの中に手順が載っていてわかりやすい。
　セキュリティに詳しくない人でも、推奨設定がある。推奨設定ありがたい。
　攻撃の予兆の検出→サポートが調査、アドバイスをしてくれる。
　詳しくない人でもちょっとセキュリティに詳しくなった気になれるソリューション。
要望
　アラート通知時にメール以外の手段が欲しい。ScriptとかWebhookとか。
　　メールは大量に来るし追いづらい。BacklogとかSlackに連携させたい。
　ログ上の送信元IPがELBになる。X-Forwarded-For使いたい。
まとめ
　DeepSecurityをもっと使い倒して、セキュリティ技術を楽しみたい。

Deep Security ができないこと by クックパッド株式会社 星さん

DISではないです
　DeepSecurityでカバーできないところの話をしたい
　DeepSecurity好きです
Cookpad
　レシピサービス以外のサービスもやっている
Cookpadで使っているもの
　OSSEC(IDS、ログ解析)
　mod_security(WAF)
　Deep Security(IDS、WAF)
　graylog(ログ解析)
CookpadとDS
　2014年に一部サービスで導入
　リバースプロキシレイヤーで使っている
　DeepSecurityは単体でほとんどのセキュリティに必要な部分をカバーしている
　オールインワンセキュリティぽい、けど今日はその幻想をぶち壊す
AWSができることとできないことを理解してちゃんとやってる？
AWSアカウント管理
　DeepSecurityを入れたところでAWSアカウントを管理してくれるわけじゃない
　AWSアクセスキーをgitにアップして事故った例は多数
　データセンターでやるべきファシリティの管理や権限管理はAWSでも必要
　クックパッドの場合、300以上のIAM user、一部Roleも使用
　winebarrel/miamで管理
　CloudTrailとgraylogでログを確認
Webアプリのバグ対策
　DSのWAF機能。シグネチャ寄り、見てわかる攻撃は防げる。かもしれない。
　防ぎにくい攻撃もある。アプリケーションコンテキストを必要とする場合。
　　CSRF。リクエストの発行者をちゃんと検証していない。
　　　DSのWAF機能は検証をやってくれるわけじゃない。
　　　本来はアプリが持つべき。
　　認可不備。ログインしてURL書き換えたら他のページが見れる。便利。
　　　AjaxのエンドポイントでユーザーIDを書き換えるとか。
　　　処理前に、それを実行して良いユーザーかどうかを検証していない。
　　　ユーザーが誰で何を実行していいのかを、DSでチェックするのは難しい。
　　　DSがそこをフォーカスしていないだけ。適材適所の選択の話。
　　　そういう機能を持つWAFを使う。そもそも開発時でカバーする。
ログの監視
　入れて放置では意味がない。
　セキュリティもインフラも、大事なのは導入より運用。運用サイクルを回す。
　どういう攻撃がどこから来ているのか、定期的に分析して動向を知る。
　日頃の運用設計をちゃんとする。
　クックパッドの場合。
　　DeepSecurity以外のものはES+Kibana、graylog、BigQuery。
　　DSはレポートとアラートとして使う。
DSを使っている主なポイント。
　攻撃をがっつり監視したいポイント。
　ミドルウェア周りの脆弱性対応。Apache、BashのScanがすごく多い。
　Web側のDPIぽい使い方。
DSでこれが欲しいポイント
　アラートのJSONアウトプット。分析がやりやすくなる。
　MySQL対応。OSSのDBに対応して欲しい。
　WAFに寄った機能。フィルタ、リセットの挙動。
　　誤検知の場合でもTCPコネクションを落として欲しくない。
まとめ
　銀の弾丸は無い。それぞれの武器の向き不向きを把握して対策する。

Deep SecurityのAWS WAF連携を試してみた by クラスメソッド株式会社 森永

AWS WAFとは
　AWSが提供するマネージドWAF。簡易的なもの。
　CloudFrontに配置して使用。
　IPリストを作成して許可・拒否できる。
IPリストはどうやって作るか？
　AWSは提供していない。
　DeepSecurityはIPリストを作成できる。
　AWS WAFとDeepSecurityが連携できれば夢が広がりんぐ。
TM南原さんからメッセージもらった
　GithubのURLを教えてもらった。
　PythonのScriptが置いてあった。
何をしてくれるのか。
　DeepSecurityのIPリストを吐き出して、AWS WAF用のIPアドレスリストを作ってくれる。
試してみた。
　準備。boto3のupgradeが必要。
　Script実行。DeepSecurityマネージャのユーザ名とパスワードを指定。
　　エラー発生。解決チャレンジ。解決できなかった...TM社員の人教えてください。
おまけ
　deep-securityのgithub階層。たくさんある。
　便利ツールが揃っていた。
　Deep Security APIのPython SDK。
　DSMのCloudFormationテンプレート。
　Chefのレシピ、AnsibleのPlaybook。
Deep Security API。絶賛開発中。
CloudFormation。DSMをマーケットプレイス版かRHEL版が選べる。
ip-lists。AWSで使用されているIPアドレスのリスト。
宣伝。Developers.IO 2016開催予定。2016年2月20日。お越し下さい。

死んで覚えるDeep Security（意識高いポート編） by アイレット株式会社 吉田さん

普段Portって意識していますか
　よく使われるポート。80とか443とか...
　332。DeepSecurityが管理しているアプリケーションの数。
　　DSの管理画面で見ると大量に登録されている。
　侵入防御ルール。アプリケーションの種類ごとでソートするとポートが見れる。
侵入防御ルールはアプリケーションにぶら下がっている。
　アプリケーションはポートに紐付いている。
　DeepSecurityは予め設定されたポートを見る。
デフォルトポートを変更するポリシーだとDS入れても意味無いの？
　対応は可能。初期構築時に対象ポートを追加。
　運用時に変更があった場合は変更する。
面倒臭い。
　面倒臭いけど、これをやらないとDeepSecurityの検査が空振りする。
　デフォルトをベースに調査しちゃうと発見が遅れがち。効率悪い。
じゃあデフォルトポート以外は使わない方がいいのか？
　そんなことは無い。デフォルトポート以外の使い所。
　インターネットに露出している部分。サーバ資源の節約。アプリケーションの節約。
　簡単な理想形。ELBで別のポートに受けてバックエンドのデフォルトポートに振り分け。
　避けたいケース。ELBでデフォルトポート、バックエンドで別ポート。意味が無い。
まとめ
　設計段階からセキュリティ製品をちゃんと使って、デフォルトポートをなるべく使う。
　デフォルトポートをやむなく変える場合は、運用上の注意としてちゃんと周知する。

さいごに

会場ではアルコール類が出て、和気藹々とした雰囲気の勉強会でした。僕もビールを楽しみました！次回もUser Nightも楽しみにしてます！