Security-JAWS 2017納会レポート #secjaws

こんにちは、臼田です。

Security JAWS 2017納会が開催されましたのでレポート致します。

Security-JAWS 2017納会 - Security-JAWS | Doorkeeper

納会ということで、LT大会になっています！

私もお酒を片手にレポートしていますので、諸々ご容赦をｗ

かんぱ〜い！

LTレポート

2017年私の納めたいこと：株式会社クラウドネイティブ 吉田 さん

• 自分のことについて話す
• 誰ですか？
  • Securityエンジニア
  • Security-JAWS
  • DeepSecurity-UG
  • Qiita
• 収まったものといえば
  • cloudpackで作成したDeepSecurity運用ホワイトペーパー
    • DeepSecurityはホスト型のセキュリティ製品
    • ただ、使い始めるのは少し敷居が高いので、ホワイトペーパーを作った
    • 防御モードで誤検知が発生してしまうことがあるので、チューニングが大切
    • 4年間かけて煎じ詰めたナレッジをアウトプットしている！
    • セキュリティの運用サービスでは、どこまでやってどこまでやらないという線引をしていることが少ないが、このホワイトペーパーでしっかりとユーザの役割も分担している
• ホワイトペーパーが収まったのでcloudpackを退職した
• なぜか？
  • 買収の話や組織の変革はあまり関係ない
  • 待遇や職場環境もそんなに関係ない
  • 人間関係も問題ない
  • もとより疎結合組織だったのでどこに所属していてもやることは変わらない
  • ぼちぼちもらえていた
  • プロフェッショナル同士の会話ができるのは心地よかった
• じゃあなんで？
  • みんなが一様に考えるセキュリティの限界
  • でもみんながセキュリティチェーンの一部
  • Clerでできるセキュリティの限界が見えた
    • 実際には責任分界点を明確に設けるだけではだめ
    • ユーザのビジネスなども見ていかないといけない
    • CIerとしては食い込めないセキュリティ部分も見えた
  • セキュリティはビジネスを加速させる存在(のはず)だけど、リーチしきれない歯がゆさ
• セキュリティの本丸は事業の中にあった
  • システムやセキュリティは事業の中にある
• 変化は訪れるもの、変化を受容してグリップするもの
• リーチできない場所にいるなら場所を変えてしまおう
• クラウドネイティブがあった
  • 情シスをベースにクラウド等をコンサルティング
  • すだちくんの家は猫がよく邪魔をしてくるw
  • 情シスならセキュリティで事業に関わることができる
• 俺達のチャレンジは始まったばかりだ！

感想

CIerとセキュリティの付き合い方について考えさせられますね。

これからの吉田先生の活躍にご期待下さい！

2017年私の納めたいこと：俺 X AWS 吉江 さん

• この一年何があったか
  • Security-JAWS #04
    • Infocageなんてなかった
    • Serverless WordPressはすごかった！
  • JAWS DAYS 2017
    • IAMを継ぐ者とかやった
  • Security-JAWS #05
    • Security Automationでセキュリティの自動化の話
    • セキュリティエンジニアがコードを書いて自動化する時代の到来
    • SOC、クラッキング、社内CTFの話
  • AWS Summit 2017
  • FinTech X Secuirty-JAWS #01
    • 金融機関に置けるシステムリスク管理とセキュリティ対策の考え方
    • オファーが大変だった
    • DevSecOpsの話
    • PayPalの話は不正アクセス対策等があった
  • Security-JAWS #06
    • Amazon Macieの話
    • F5でVPCエンドポイント
  • NW X Security-JAWS #01
    • レイヤーの低い所から話していく
    • L7+としてサイバーリスク保険
    • L0として物理セキュリティの話
  • X-Tech JAWS #01
    • Fin以外にもInsureTech(保険)、HealthTech(ヘルスケア)、MediTech(医療)、AdTech(広告)、EdTech(教育)、LegalTech(法律)などの分野を含めたJAWS
  • 吉江さんJAWSメディアに掲載
  • Fin JAWS #01
  • Security-JAWS #07
    • ハニーポットの運用
    • 負荷試験の話
  • AWS re:Invent 2017
    • いっぱいありました
  • Security-JAWS納会！
• 今後
  • 1月: X-Tech JAWS #02
  • 2月: Security-JAWS #08
  • 3月: JAWS DAYS 2018
• 来年もSecurity, X-Tech, Fin JAWSをよろしくおねがいします！

感想

今年もいろんなイベントが有りました！

来年もSecurity-JAWSを始め様々なイベントをよろしくおねがいします！

2017年私の納めたいこと：「クラウドでセキュリティを育てるお父さん、お母さんを募集中」アマゾンウェブサービスジャパン株式会社 桐山さん

• 2017もAWSをユーザ側から盛り上げてくれてありがとうございます！
• 約4ヶ月前のSecurity-JAWSで何があったか
  • ASCIIにWAFの話が乗った
  • Inspectorも成長した
    • 地域一致
    • 正規表現
    • Partner Managed Rule
  • かわいがってあげて下さい
• 認知してほしいものもある
  • お客さまのデータを守るAWSセキュリティは色んな分野がある
  • AWS Single Sigh-On
  • Shield
  • Macie
  • GuardDuty
• 詳細はAWS re:Invent 2017 Security re:Capのレポートで(乞うご期待
• クラウドセキュリティの種類
  • of: クラウド環境自体のセキュリティ
  • in: クラウド内にあるアプリやデータのセキュリティ
  • by: クラウドネイティブ技術によるセキュリティ
• クラウドセキュリティの特徴
  • 可用性: 事業継続の要
  • 可視性: 事業計画の要
  • 監査性; 事業責任の要
• 今日は監査性を詳しく
  • FinTechリファレンスアーキテクチャ日本語版が出た！
  • 金融業界はAPIの公開が求められている
  • スタートアップの企業などが利用しやすい
  • FISC、PCIDSS、ISO 27000をまとめている
  • リファレンスガイドとテンプレートがある
  • エクセルとCloudFormationテンプレートでできている
  • サンプルケース - 内部統制の対策: 認証
    • AWSのドキュメントなのでゴリゴリに攻めている
      • SSMのパラメータを使いなさい
      • Lambdaでキックしなさい
      • Run Command使いなさい
      • GuardDuty使いなさい
      • 等など
  • ガイドには構成図もある
  • Well-Archに基づいたCloudFormationテンプレート
  • ガイドとテンプレートが紐付いているので、どちらからでも追うことができる
• フィードバックをお待ちしています！
• まとめ
  • AWSには可愛い子いっぱい
  • 自由にのびのびな育成方針
  • みんなでクラウドセキュリティ育てよう
• 本当に育てたくなったらAWSのセキュリティのソリューションアーキテクトがありますよ！

感想

AWSのセキュリティサービスはすごく進化していますね！

まだまだマイナーなサービスもいっぱいありますが、どんどん使っていきましょう！

2017年私の納めたいこと：「AWSのセキュリティサービスの説明は全部桐山に持っていかれるので、やっぱりみんな大好きな『あれ』の話をします」アマゾンウェブサービスジャパン株式会社 亀田さん

• サービスの説明はSAがやるのでマーケっぽい話をしてくれと言われました
• クラウドの採用理由でセキュリティと言われることが多くなっている
• 日本ではクラウドの中のセキュリティの順位はまだ高くない
• 責任共有モデル、Security by Design、シフトレフト、DevSecOps等いろいろセキュリティの話は出ている
• CloudHSMの話
  • AWSのハードウェアセキュリティモジュール(HSM)
  • v2が出ている
  • v1とは
    • ハードウェア
    • 物理的に鍵にアクセスできない
    • セキュリティ標準の監査を受けている
    • マスターキーには誰もアクセスできない
    • KMSの統制は第三者認証を取得している
    • FIPS140-2に準拠している
    • PKCS#11を理解しないといけなかった
  • FIPS140-2
    • レベル1から3まである
    • CloudHSMではレベル3相当と言っていた
  • version 2で詳しく出た
    • まだまだ整理が業界的にされていない分野ではある
    • 暗号モジュールは大きく2方式
      • 対タンパ領域について別れている
      • ストレージは有限の方式
        • 全体が対タンパ
      • ストレージは実質無限の方式
        • ストレージ毎保護する
        • AdminとOpsの権限分掌がしっかりしている
        • ユーザは1社でAdminとOpsを行うことを考えることもある
        • v2ではAdminとOpsを分離しない

感想

用途が限られるサービスですが、大規模なセキュリティ要件にも耐えうるサービスですので、業界の動向含めて今後も注目したいですね！

2017年私の納めたいこと：Shigeru Numaguchiさん

• 自己紹介メイン
• AWSのコミュニティはいろいろある
  • E-JAWSは通常のJAWSよりはAWSも関わる
  • ユーザさんとAWSが一緒になって進めている
  • AWS COMMUNITY HEROなどもある
• 入社してすぐに各地を回った
• 毎週何処かに行っているレベル
• 3月のJAWS DASY 2018にはJeff Barrが来る！
• もともとMSでMVP Programを立ち上げた
• VSUGやPASSJ等のコミュニティ活動も行なっていた
• IBMにもいた
• NIFTYサーブとかパソコン通信の時代
• JAWS DAYS 2018もよろしくおねがいします！
• まとめ
  • 業界は狭いので気をつけよう！

感想

いろいろ前職の個人的な話も多かったですが、今後のコミュニティ活動に期待が持てるお話でした！

前職の個人的な話の詳細は、Numaguchiさんに個別に伺いましょう！

2017年私の納めたいこと：洲崎さん

• 過去2回登壇している
• 第一回でAWSで脆弱性診断をする時の話をした
• VAddyさんもまとめていた
• 2017年9月に新しいサービスにも対応した
  • LambdaやAPI Gateway等も申請できるようになった
• ただ、NDAがNDSとなっている誤記があった
• 早く直してほしいなぁ

2017年私の納めたいこと：トレンドマイクロ株式会社 南原さん

• DevSecOpsの話
• 資料は後悔しないよ！
• Config, Inspector, WAF大好き
• DevSecOpsとは
  • DevOpsからDevSecOpsへ
  • Security Automationの話
  • モード1, モード2の話
• DevSecOpsのイメージ

• DevOpsの後処理をSecが行う
• SecをDevOpsの中に組み込まないといけない
• TrendMicroもSecurity Automationを頑張っている
• Vulsとの連係もできる
• まとめ
  • SecOpsを頑張って、DevSecOpsを盛り上げていきましょう

感想

DevSecOpsはまだまだ普及する必要性があるテーマですね。

Securityが後処理にならないように、全体でSecurityを考えて行きたいですね！

さいごに

今年も様々なSecurityのアップデートがありました。

セキュリティベンダーとの付き合い方も少し変わってきていて、今後も目が離せませんね！

2017年もお疲れ様でした！