エフスタ!!&東北情報セキュリティ勉強会 レポート
エフスタ Vol.4 は 東北情報セキュリティ勉強会と合同開催でした。
http://www.efsta.com/events/efsta004.html
地方エンジニアから見たセキュリティ
CISSP:セキュリティ プロフェッショナル認定資格制度
- アメリカの資格
- 物理セキュリティ:人命を守る
- 例えばフェンスの高さ:2.5メートルの高さが求められる。高すぎてもしょうがない。
セキュリティのリスク
- 4、5年前は個人情報を直接取得する攻撃が主流
- 最近はアカウント情報をねらうケースが。
- 主婦、シニア世代に加え、中高生が狙われやすい。
- ゲームアカウント等からも、レアアイテムなど換金できる情報が存在する
地方企業のセキュリティの認識
- 開発者
- セキュリティ的な問題は認識している。
- でも対応法方わかってない。
- 予算もない。
- スケジュールにも計上されない。
- 機能要件にも入らない。
- プロマネ、営業
- 何かあったらバグ。
- 金にならない。
- 枯れた技術だから安心。いままで何もないから大丈夫。
- お客様
- より安く早く作ってほしい。なんなら明日からでも使いたい。
- セキュリティのためにスケジュールは延ばせない。
- 何かあったらシステム屋が対応するんでしょ。
- ↓
- 負のスパイラル
インシデントの発生時
- ■ーソン事例
- 100万人の個人情報流出し、全員に500円の商品券。
- これだけで5億の損失、さらにシステム改修の費用。
- ユーザが増えれば…でも地方企業はそこまで大規模なサービスは少ない。
- サウンドハウスの報告書が身近。
- さくら観光で17万人の顧客情報流出…明日は我が身。
- セキュリティ監視の上で、ログの確認は重要!
まとめ
- 入出力の全項目チェックとエンコード
- レビュー大事
- スキルトランスファー
質疑応答
- ログのチェックにiLogScanner
- AppScan、地方では事例なさげ。お金をかけない対策が求められている。
SUPER STREET FIGHTER IV (ランチセッション)
格ゲーは 1/60 フレームを奪い合うゲーム
SUPER STREET FIGHTER IV
- ネットゲーム
- 1秒間に60フレームフレームを実現しているのか?
- tcpdump による調査
- 結果、毎秒 60フレームが実現できている!
- 世界の Sony 恐るべし!
15分の高速セッションでは、ワタシの脳がついていけませんでしたT_T
結果だけをつまんで、その発想に感動!
今夜わかるセキュアWebアプリケーション
最小の投資で最大の効果
- セキュリティ対策はトレードオフ。
- 運用コストがかからない
- そこそこ守れる
- 自社より上位にある企業の要求を満たす
なぜ攻撃される?
- 技術力誇示
- 政治的メッセージ
- 金銭的なもの
インシデント傾向
- HTTPサーバが70パーセントを占める。
- カカ■コムの事例:SQLインジェクション
- サウンドハウスの事例:セキュリティ対策にン千万かけていたのに
セキュリティ対策
- 要件定義と設計が重要。フェーズが進むごとに費用は高くなる。
安全でないウェブサイトの作り方(プリキュア)
セキュリティ対策
- インフラの脆弱性:最新のアップデート
- 設定不備:ネットワークスキャナー等の活用で対策。
- 運用面の脆弱性:コンテンツ更新方法、ログの管理、大丈夫?
ウェブアプリセキュリティ要件
- 要件定義にセキュリティ要件を含める
- 瑕疵担保契約(かしたんぽけいやく)、セキュリティ問題の責任分解点
新しい攻撃手法はここ数年産まれていない。
- セキュリティ対策は事前にとれる。
- 参考:トライコーダ 発注者のための要件書
安全なウェブアプリの構築
- ガイドライン講座うければよい
脆弱性診断
- 攻撃者視点で問題を見つける
- ペネトレーションテスト(いわゆるハッカー)との違い、テストケースに基づくテスト
脆弱性スキャナーによる診断。
- 診断の可能性と限界を理解する。
- 手動診断には限界。
- 誤検出の問題。
- 自社診断は顧客の信頼を得にくい。
- テスト方法が不明
- テスト仕様書をどう作ればよい?
- どこを診断すればいい?
- どう報告書をまとめればよい?
- LASDEC ウェブ健康診断
- 自治体向けの診断
- 精密検査でなく定期検診みたいなもの。
- 定額でできるが、官公庁向けのため、一般企業は使えない
- 診断仕様はたかぎせんせい、この内容を企業が流用しても申し分ない
- 診断仕様
- 診断項目、危険度基準、総合判定基準、検出パターン…
- リスクが高いものから抜き打ち型検査
- 診断の実施
- 診断対象リストの作成、仕様通りの診断、レポートの作成
- 最低限実施する項目は意外と少ない
- インジェクション関係のテストは補助ツールを使うと良い。hiddenパラメータや繰り返し入力のチェックに対応するため、proxy系のものがおすすめ。Burp Suite
- 「わざと脆弱性を持たせたWebアプリ」で練習
- 診断レポートの書き方も公開されている
- 事故前提社会。セキュアジャパン2009。インシデントレスポンスを。エスカレーションフロー、事前訓練。
- 事前に検討:準備が重要。インシデントレスポンス
- 少なくともログを残そう。iLogScanner を活用
ライトニングトーク
5分間1本勝負。
一、使えないPCをLinux化するTips by ねも
手前味噌。お時間いただきありがとうございました!終わった風に見せかけたけど、実は最後のスライドを出してないorz
ちなみにワタシの発表時間はハッシュタグ #efsta4 が流れてなくてちょっと凹。でも高橋メソッドでガンガン流してたらコメントする暇もないか…高橋メソッドでやる限り方針は変えない。
三、CSMA/CD by こいじ氏
前回のLT覇者。時間取り馬杉、発表落ち着き杉で感動しました。
内容のレベルが高くて若干置いてきぼりを喰いましたorz勉強しまつ。。
四、くるま!クルマ!!車!!! by たけぼー氏
37都道府県を制覇。LT資料からも行き先への到着が目的でなく、運転自体が目的だと伝わってきましたw弊社の道の駅マスターを紹介したい。。
五、今そこにある危機 by エフスタ君
boolean ⇒ ぼーれん、いいまつがいの話。指摘されるまでわからないモノです。
かく言う私も perl ⇒ ぺりる、dual ⇒ でゅらる、ラップトップPC ⇒ ラックトップPC etc etc。
六、グレープシティーも乗るしかないこのビックウェーブに by Yamaki 氏
このスライド、見たことある!
そして現在提供されていない技術を使ったLT、Yamakiさん パネェッス!
http://tools.grapecity.com/demo/c1/iphoneux/ 先ほどのLTで発表したASP.NETで実現するiPhoneアプリ開発のデモはこちらです。ぜひiPhone、iPadでアクセスしてみてください。 #efsta4
パネェッス!
七、エコドライブのすすめ by カッキー氏
アリストでリッター+1キロを実現!スライドの右下が気になりましたw
低燃費ドライブの極意はアクセルとブレーキを(極力)踏まないこと。
八、Trac Lightning リベンジ(仮) by コージ氏
高橋メソッドの使い手、コージ氏のLT、楽しかったですw高橋メソッドのスピードだとつぶやく暇がないと実感。次回以降も勝手に期待してます☆
発表後、Yamaki氏の名言が誕生w『LTは終わらせることが目的ではない』激しく同感です!
九、意外と知らない福島の食文化 by カスマス氏
他県では冷やし中華にマヨネーズを乗せないなんて!!まさに驚愕でした。
福島の円盤餃子はマジうまいのでぜひお試しいただきたい。
エフスタ芋煮会は9月18日。http://kokucheese.com/event/index/3748
十、通報しますた by まっちゃだいふく氏
圧巻…っ!!著作権グレーゾーンの取り扱いについてサービスの問い合わせ窓口やプロバイダに問い合わせた結果をやるおシリーズでまとめるなんて…っ!
某サービスの運用に携わってましたが、曇マークでした(汗
最後のスライドが意味するものとは…
十一、セキュリティ&プログラミングキャンプについて by sonodam氏
ITによる、ITのための、IT合宿。『主催者もダウンする過酷な内容』『キャンプに参加すると結婚できる』こんなのがあるなんて!ぜひ参加したい!!
『22歳以下の学生』あ、アウトだったorz
奇しくもIT業界に進もうと思い立った年齢、そこから7年も経過しているなんて…後悔とは先に立たないものなのかと。。。
こっそり追記
グループディスカッション
- 13〜15名のグループを4つ
- 『明日からできるセキュリティ対策』についてディスカッション
- 現場SEの方が多数を占め、実務を踏まえた討論がステキ。
- 結論
- PHPを使わないw
- ネットアンドセキュリティ総研のメールマガジンを購読する
- 無料版と有料版があるが、内容的には無料版でも十分活用できる
- 有料版には個人向けと法人向けがある
- https://www.netsecurity.ne.jp/