Security-JAWS第3回レポート #secjaws #secjaws03

Security-JAWS第3回レポート #secjaws #secjaws03

Clock Icon2016.10.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

AWSチームのすずきです。

2016-10-28(金)に開催された Security-JAWS 【第3回】に参加する機会がありましたので、 レポートさせて頂きます。

告知ページ

会場

新宿駅サザンテラス口からほど近い、新宿マインズタワーのトレンドマイクロセミナールーム、 広い会場の提供ありがとうございました。

なんか広い会場です。#secjaws #secjaws03 pic.twitter.com/87n7cpruC8

— Security-JAWS (@security_jaws) 2016年10月28日

セッションレポート

Session1:「CloudHSMって結局なに?~ハードウェアが必要なわけ~」

AWSJの亀田氏よる、専用ハードウェアを利用した暗号キー管理サービスを提供するAWS CloudHSMについての解説でした。

CloudHSMは2013年にリリースされ、AWS東京リージョンでも利用が可能ですが、 $5,000の初期費用、月額約$2,000の利用費が発生する事もあり敷居の高いサービスでした。

また、暗号キー管理サービスとして、同等の機能を月額1$からの費用で利用できる、 AWS Key Management Service (KMS) が存在しますが、

  • 高度なセキュリティ認証要件、ハードウェアによる証跡管理などのセキュリティを必須とする
  • PKCS#11を利用したDB暗号化などを利用する
  • 100ops以上の頻繁な暗号処理が発生する

これらKMSでは要件を満たせないシステムをAWSで構築する場合、AWS CloudHSM。 検証環境もあるとの事で是非検討くださいとの事でした。

参考リンク

Session2:「AWS IAMとOpenAMを連携してアカウント管理を効率化してみた」

オージス総研 氏縄氏による、AWSマネジメントコンソールのログインに利用するIAM管理の改善を実現されたお話でした。

LDAP(ActiveDirectory)と連携したOpenAMと、 AWS Security Token Service (STS)を、カスタムフェデレーションブローカを利用して実現されたとの事。

以下のブログサイトで、フェデレーションブローカの実装やソースコードも公開されています。 カスタムフェデレーションブローカーの導入を検討される際には、参考になる内容と思われます。

参考リンク

Session3: Integrate Vuls with OWASP Dependency Check

セキュリティ診断ツール Vuls を開発、Githubで公開されている フューチャーアーキテクト 神戸(かんべ)氏によるセッションでした。

Vuls 主な機能と特徴(抜粋)

  • Linuxサーバに存在する脆弱性をスキャン
    • Ubuntu, Debian, CentOS, Amazon Linux, RHELに対応
  • OSパッケージ管理対象外のミドルウェアをスキャン
    • プログラミング言語のライブラリやフレームワーク、ミドルウェアの脆弱性スキャン
  • エージェントレスアーキテクチャ
    • スキャン対象サーバにSSH接続可能なマシン1台にセットアップするだけで動作
  • 非破壊スキャン(SSHでコマンド発行するだけ)
  • AWSでの脆弱性/侵入テスト事前申請は必要なし
  • 設定ファイルのテンプレート自動生成

    • CIDRを指定してサーバを自動検出、設定ファイルのテンプレートを生成
  • EmailやSlackで通知可能(日本語でのレポートも可能)

診断対象のサーバや基盤に優しいだけでなく、サーバ管理者にとっても少ない負担で有効な情報が収集できるVuls。 近いうちに試してみたいと思います。

参考リンク

LT#1 :「EnigmaによるPersonal Data Storeの実現可能性について」

宮本 丈氏による、秘密分散されたデータ、ブロックチェーンの技術の応用で、復号する事なく分散先での計算を実現する研究が進んでいる事。 新しい分散アプリケーションやデータ利用の芽が育ちつつあるとの興味深い内容のLTでした。

LT#2「AWSのセキュリティホワイトペーパーまとめ」

AWSJ 松本氏による、AWS リスクおよびコンプライアンス の日本語ホワイトペーパーの紹介でした。

特に上記、2015年8月版のホワイトペーパーは、付録が充実、参考になる内容となっているとの事です。

  • 付録 B: アメリカ映画協会 (MPAA) のコンテンツセキュリティモデルへの AWS の準拠状況 (P65〜134)

新サービス、新機能のリリースなどにより、一部ベストプラクティスが更新されている箇所もありますが、 多くは引き続き参考になる内容となっています。AWSのセキュリティに関わるなら、一読の価値ありと思います。

LT#3

AWSJ 亀田氏による、11/7 JAWS-UG CLI専門支部の紹介がありました。

テーマはAWSが提供する証明書サービスのACM(AWS Certificate Manager)との事です。

まとめ

暗号キー管理サービス、認証フェデレーション、脆弱性診断ツールの紹介に加え、LTでも興味深い話を聞く機会が得られました。 主催および、登壇頂いた関係者の方々に感謝です。

尚、次回のSecurity-JAWS 第4回は年明け予定との事でした。SNSなどでの告知を待ちたいと思います。

追記

スライドなどは、追って公開されたものから追記予定です。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.