[レポート]Security JAWS 第11回へ参加し、「SANS SEC545」の話を聞いてきた #secjaws #secjaws11

こんにちは、芳賀です。

毎日、AWSをガリガリ使う会社へ入社したため、安全で信頼性の高いAWSの使い方を学ぶ必要があると思い、Security JAWSへ初めて参加してきました。
Security-JAWSとは、AWS＋Securityをコンセプトに立ち上げられた勉強会 です。今回で11回目だそうです。今回の開催場所や日時、セッションテーブルについては、下記のリンクを参照してください。
- Security JAWS 第11回

全体のまとめブログが弊社 臼田から投稿されていますので、そちらもご覧ください。
- Security-JAWS 第11回レポート #secjaws #secjaws11 #jawsug

Participation record SANS SEC545: Cloud Security Architecture and Operations Presented by Security-JAWS 吉江 瞬さん ( @typhon666_death )

[slideshare id=122405098&doc=20181108securityjaws-181108112544]

レポート

会場で「みなさんは SANS をご存知でしょうか？」とWebでアンケートがあり、半分ぐらいの方が知らないという回答でした。また、SANS主催のトレーニングの受講や資格のホルダーさんは数人でした。（参加者は７０名前後）
今回の吉江さんのお話は、SANSのSCE545トレーニングを受けてきたお話で、SANSにもしっかり許可ととられているとの事でした。そもそも SANSとは？、情報セキュリティ分野に特化した教育機関となっています。セキュリティトレーニングはもちろん、GIAC試験もおこなっています。

• SANS SEC545とは
  • クラウド制御向けのクラウドセキュリティアライアンスフレームワークを学習
  • ACLやWAF、インシデントハンドリングやフォレンジックについても学習
  • あわせて、DevSecOps や オーケストレーションも学習
• 今年の開催では・・・
  • Dave Shacklefordさんが講師
  • 40名の枠が満席
  • 日本人の参加は半分以下
  • コースは５日間
  • 毎日、Hands-Onがあった
• Day1 Cloud Security Foundations
  • 利用契約の話
  • クラウドを利用する際に契約書読んでますか？ > 普通してない
  • 事例として、某G社が出している契約書で米国某州で訴訟されると負ける事がある
• Day2 Core Security Controls for Cloud Computing
  • クラウドのリスクアセスメント
  • クラウド上のネットワークセキュリティ等の入門
• Day3 Cloud Security Architecture and Design
  • データベースやデータ保護に関する話だったはず。(苦笑)
• Day4 Cloud security - Offense and Defense
  • 脆弱性の管理
  • インシデントレスポンス
  • Metasploitによる攻撃
• Day5 Cloud Security Automation and Orchestration
  • DevSecOps
  • オーケストレーション
• Hands-Onでは
  Dockerの使い方とか入門的な内容からZen Hypervisorを立てて別PCから攻撃する方法というものあり、かなり実践的なトレーニングが多かった。 flAWS というクラウドCTFもおこなわれた。これはFlagを争うというよりも質問に答えるようなサービスで、常にサーバが立っているのでいつでも実施できる答えていいモノだそうだ。
  また、Hands-On環境はAWS。Azureを使いこともあった。たまにsalesforceといった感じ。ただ、Kubernetes(K8s)の話が無かったのでDevSecOpsして行くうえでは取り上げてほしい。

• Core NetWars Experience

  • 攻撃できる環境が提供されて二日間にわたって実施
  • 手法はUSBメモリでログなどの証跡が提供されて、それを解析
• SEC545で学べてよかったこと
  • 契約書を読むようになった
  • Hands-Onで活用したツールが役立っている
• おすすめしたい人
  • 手を動かすクラウドセキュリティの人（テック寄りな人）
• お申込みはこちら
  • SANS Japan
  • ただし、料金は60万
  • 研修予算を確保するための「Justify Your SANS」を作ってみたw
• SEC545 Day.4で紹介されたツール
  • AWS-IR
    • アクセスキーの失効したり、スナップショットを取得
    • プラグインの機能でinstanceのメモリを取得したり、ログをS3バケットに入れたり、感染されたホストのセキュリティグループを隔離されたモノに変更できたりする
  • Margarita Shotgun
    • 実行中のLinux instanceからメモリダンプを作成するツール
    • 上記のツールでinstanceを隔離された環境として、その状態でメモリをダンプ
  • この２つのツールでマルウェア感染した端末を隔離して、外部からメモリを取得したりしてフォレンジックする。
  • メモリダンプを自分たちでメンテしても良いが、そこから専門業者へ依頼する事もアリだと思う

感想

SANS が提供するトレーニングや資格の存在は知っていたいが、今回のセッションでトレーニングの内容が非常にテック寄りで手を動かす事が多くあるということを知り、基礎から学べそうな感じであることも知った。クラウドでセキュリティを扱う人にとって、かなり有益だと感じました。今回の Justify Your SANS をぜひとも活用したいと思います。