Security-JAWS第3回レポート #secjaws #secjaws03

はじめに

AWSチームのすずきです。

2016-10-28（金）に開催された Security-JAWS 【第3回】に参加する機会がありましたので、 レポートさせて頂きます。

告知ページ

• Security-JAWS 【第3回】2016年10月28日(金) 2016-10-28（金）18:30 - 20:45

会場

新宿駅サザンテラス口からほど近い、新宿マインズタワーのトレンドマイクロセミナールーム、 広い会場の提供ありがとうございました。

なんか広い会場です。#secjaws #secjaws03 pic.twitter.com/87n7cpruC8

— Security-JAWS (@security_jaws) 2016年10月28日

セッションレポート

Session1:「CloudHSMって結局なに？~ハードウェアが必要なわけ~」

AWSJの亀田氏よる、専用ハードウェアを利用した暗号キー管理サービスを提供するAWS CloudHSMについての解説でした。

CloudHSMは2013年にリリースされ、AWS東京リージョンでも利用が可能ですが、 $5,000の初期費用、月額約$2,000の利用費が発生する事もあり敷居の高いサービスでした。

また、暗号キー管理サービスとして、同等の機能を月額1$からの費用で利用できる、 AWS Key Management Service (KMS) が存在しますが、

• 高度なセキュリティ認証要件、ハードウェアによる証跡管理などのセキュリティを必須とする
• PKCS#11を利用したDB暗号化などを利用する
• 100ops以上の頻繁な暗号処理が発生する

これらKMSでは要件を満たせないシステムをAWSで構築する場合、AWS CloudHSM。 検証環境もあるとの事で是非検討くださいとの事でした。

参考リンク

• 公式ページ: AWS CloudHSM
• 2013年Amazon Web Services ブログ: 【AWS発表】 AWS CloudHSM - 安全な鍵の保管と暗号化操作

Session2:「AWS IAMとOpenAMを連携してアカウント管理を効率化してみた」

オージス総研 氏縄氏による、AWSマネジメントコンソールのログインに利用するIAM管理の改善を実現されたお話でした。

LDAP(ActiveDirectory)と連携したOpenAMと、 AWS Security Token Service (STS)を、カスタムフェデレーションブローカを利用して実現されたとの事。

以下のブログサイトで、フェデレーションブローカの実装やソースコードも公開されています。 カスタムフェデレーションブローカーの導入を検討される際には、参考になる内容と思われます。

参考リンク

• 第四回 AWS IAMとOpenAMを連携してアカウント管理を効率化してみた

Session3: Integrate Vuls with OWASP Dependency Check

セキュリティ診断ツール Vuls を開発、Githubで公開されている フューチャーアーキテクト 神戸(かんべ)氏によるセッションでした。

Vuls 主な機能と特徴(抜粋)

• Linuxサーバに存在する脆弱性をスキャン
  • Ubuntu, Debian, CentOS, Amazon Linux, RHELに対応
• OSパッケージ管理対象外のミドルウェアをスキャン
  • プログラミング言語のライブラリやフレームワーク、ミドルウェアの脆弱性スキャン
• エージェントレスアーキテクチャ
  • スキャン対象サーバにSSH接続可能なマシン1台にセットアップするだけで動作
• 非破壊スキャン(SSHでコマンド発行するだけ)
• AWSでの脆弱性/侵入テスト事前申請は必要なし

• 設定ファイルのテンプレート自動生成

  • CIDRを指定してサーバを自動検出、設定ファイルのテンプレートを生成
• EmailやSlackで通知可能（日本語でのレポートも可能）

診断対象のサーバや基盤に優しいだけでなく、サーバ管理者にとっても少ない負担で有効な情報が収集できるVuls。 近いうちに試してみたいと思います。

• 発表資料: Security-JAWS#3 Integrate Vuls with OWASP Dependency Check. To enable automatic update of vuls config when the programming language libraries are update.

参考リンク

• Valus Github公式ページ : 異常なほど詳しい日本語README

• 弊社ブログ:セキュリティテストツールvulsをインストールしてみた

LT#1 :「EnigmaによるPersonal Data Storeの実現可能性について」

宮本 丈氏による、秘密分散されたデータ、ブロックチェーンの技術の応用で、復号する事なく分散先での計算を実現する研究が進んでいる事。 新しい分散アプリケーションやデータ利用の芽が育ちつつあるとの興味深い内容のLTでした。

LT#2「AWSのセキュリティホワイトペーパーまとめ」

AWSJ 松本氏による、AWS リスクおよびコンプライアンス の日本語ホワイトペーパーの紹介でした。

• AWS リスクおよびコンプライアンスホワイトペーパー（日本語）

特に上記、2015年8月版のホワイトペーパーは、付録が充実、参考になる内容となっているとの事です。

• 付録 B: アメリカ映画協会 (MPAA) のコンテンツセキュリティモデルへの AWS の準拠状況 (P65〜134)

新サービス、新機能のリリースなどにより、一部ベストプラクティスが更新されている箇所もありますが、 多くは引き続き参考になる内容となっています。AWSのセキュリティに関わるなら、一読の価値ありと思います。

LT#3

AWSJ 亀田氏による、11/7 JAWS-UG CLI専門支部の紹介がありました。

テーマはAWSが提供する証明書サービスのACM(AWS Certificate Manager)との事です。

• JAWS-UG CLI専門支部 #68 AWS Certificate Manager (ACM)入門

まとめ

暗号キー管理サービス、認証フェデレーション、脆弱性診断ツールの紹介に加え、LTでも興味深い話を聞く機会が得られました。 主催および、登壇頂いた関係者の方々に感謝です。

尚、次回のSecurity-JAWS 第4回は年明け予定との事でした。SNSなどでの告知を待ちたいと思います。

追記

スライドなどは、追って公開されたものから追記予定です。