Security-JAWS第3回レポート #secjaws #secjaws03
はじめに
AWSチームのすずきです。
2016-10-28(金)に開催された Security-JAWS 【第3回】に参加する機会がありましたので、 レポートさせて頂きます。
告知ページ
会場
新宿駅サザンテラス口からほど近い、新宿マインズタワーのトレンドマイクロセミナールーム、 広い会場の提供ありがとうございました。
なんか広い会場です。#secjaws #secjaws03 pic.twitter.com/87n7cpruC8
— Security-JAWS (@security_jaws) 2016年10月28日
セッションレポート
Session1:「CloudHSMって結局なに?~ハードウェアが必要なわけ~」
AWSJの亀田氏よる、専用ハードウェアを利用した暗号キー管理サービスを提供するAWS CloudHSMについての解説でした。
CloudHSMは2013年にリリースされ、AWS東京リージョンでも利用が可能ですが、 $5,000の初期費用、月額約$2,000の利用費が発生する事もあり敷居の高いサービスでした。
また、暗号キー管理サービスとして、同等の機能を月額1$からの費用で利用できる、 AWS Key Management Service (KMS) が存在しますが、
- 高度なセキュリティ認証要件、ハードウェアによる証跡管理などのセキュリティを必須とする
- PKCS#11を利用したDB暗号化などを利用する
- 100ops以上の頻繁な暗号処理が発生する
これらKMSでは要件を満たせないシステムをAWSで構築する場合、AWS CloudHSM。 検証環境もあるとの事で是非検討くださいとの事でした。
参考リンク
- 公式ページ: AWS CloudHSM
- 2013年Amazon Web Services ブログ: 【AWS発表】 AWS CloudHSM - 安全な鍵の保管と暗号化操作
Session2:「AWS IAMとOpenAMを連携してアカウント管理を効率化してみた」
オージス総研 氏縄氏による、AWSマネジメントコンソールのログインに利用するIAM管理の改善を実現されたお話でした。
LDAP(ActiveDirectory)と連携したOpenAMと、 AWS Security Token Service (STS)を、カスタムフェデレーションブローカを利用して実現されたとの事。
以下のブログサイトで、フェデレーションブローカの実装やソースコードも公開されています。 カスタムフェデレーションブローカーの導入を検討される際には、参考になる内容と思われます。
参考リンク
Session3: Integrate Vuls with OWASP Dependency Check
セキュリティ診断ツール Vuls を開発、Githubで公開されている フューチャーアーキテクト 神戸(かんべ)氏によるセッションでした。
Vuls 主な機能と特徴(抜粋)
- Linuxサーバに存在する脆弱性をスキャン
- Ubuntu, Debian, CentOS, Amazon Linux, RHELに対応
- OSパッケージ管理対象外のミドルウェアをスキャン
- プログラミング言語のライブラリやフレームワーク、ミドルウェアの脆弱性スキャン
- エージェントレスアーキテクチャ
- スキャン対象サーバにSSH接続可能なマシン1台にセットアップするだけで動作
- 非破壊スキャン(SSHでコマンド発行するだけ)
- AWSでの脆弱性/侵入テスト事前申請は必要なし
-
設定ファイルのテンプレート自動生成
- CIDRを指定してサーバを自動検出、設定ファイルのテンプレートを生成
- EmailやSlackで通知可能(日本語でのレポートも可能)
診断対象のサーバや基盤に優しいだけでなく、サーバ管理者にとっても少ない負担で有効な情報が収集できるVuls。 近いうちに試してみたいと思います。
参考リンク
- Valus Github公式ページ : 異常なほど詳しい日本語README
LT#1 :「EnigmaによるPersonal Data Storeの実現可能性について」
宮本 丈氏による、秘密分散されたデータ、ブロックチェーンの技術の応用で、復号する事なく分散先での計算を実現する研究が進んでいる事。 新しい分散アプリケーションやデータ利用の芽が育ちつつあるとの興味深い内容のLTでした。
LT#2「AWSのセキュリティホワイトペーパーまとめ」
AWSJ 松本氏による、AWS リスクおよびコンプライアンス の日本語ホワイトペーパーの紹介でした。
特に上記、2015年8月版のホワイトペーパーは、付録が充実、参考になる内容となっているとの事です。
- 付録 B: アメリカ映画協会 (MPAA) のコンテンツセキュリティモデルへの AWS の準拠状況 (P65〜134)
新サービス、新機能のリリースなどにより、一部ベストプラクティスが更新されている箇所もありますが、 多くは引き続き参考になる内容となっています。AWSのセキュリティに関わるなら、一読の価値ありと思います。
LT#3
AWSJ 亀田氏による、11/7 JAWS-UG CLI専門支部の紹介がありました。
テーマはAWSが提供する証明書サービスのACM(AWS Certificate Manager)との事です。
まとめ
暗号キー管理サービス、認証フェデレーション、脆弱性診断ツールの紹介に加え、LTでも興味深い話を聞く機会が得られました。 主催および、登壇頂いた関係者の方々に感謝です。
尚、次回のSecurity-JAWS 第4回は年明け予定との事でした。SNSなどでの告知を待ちたいと思います。
追記
スライドなどは、追って公開されたものから追記予定です。