Developers.IO 2019 Securityに参加した
Developers.IO 2019 Securityとは
クラスメソッドさんが主催する勉強会です。今回はSecurityというテーマで、AWSのセキュリティを中心に開催していただきました。僕は諸事情で途中からの参加でした。
セッション
脆弱性とセキュリティの話~ホワイトハッカーが少し喋ります~
株式会社イエラエセキュリティ
株式会社イエラエセキュリティについて
- 脆弱性診断しかやってない!ずっとやってたい!みたいな集団。
- FUDやめましょうみたいな考えがある。
- CTFの実績もある。
- Android、iOS(これは強い)、Windowsアプリ重視。バイナリ解析得意。
脆弱性診断について
日本は諸外国と比べ、セキュリティレベルが低いとされている。また、IoTの発達と迎えるオリンピックが攻撃対象になりうる。以下は例に挙げていただいた脆弱性。
- Webで出る脆弱性
クラスメソッドさんのレポートはこちら dev.classmethod.jp
セッション管理不備・アクセス制御不備を見つけてこそセキュリティ診断erだ!というお話しは非常にぐっと来たところです。優秀なツールがある中で、最終的には人間が手動でやるという意義を再認識。淘汰されないようにがんばります。
DevSecOps と Cloud Security ~ 継続的な脆弱性診断とセキュリティ運用・監視のベストプラクティス
F-Secureについて
antivirusを主とする事業をしている会社。ミッコ・ヒッポネン氏がいる(CODEBLUEの基調講演聴講しました)。
Radarについて
クラスメソッドさんのレポートはこちら dev.classmethod.jp
開発者の方はセキュリティ要件に対するリソースや工数割きに苦しんでいるイメージがあるので(勝手なイメージ)、開発のプロセス内に組み込むセキュリティ診断を自動化できるツールってとてもいいと思いました。
AWS、可視化出来ていますか?〜Sumo Logicを活用したAWSのセキュリティリスク可視化〜
Sumo=相撲=ビッグだけど素早い=ビッグデータ使える!という意味らしいです。ちなみに日本支社は12時からビールが飲めるそう笑
Sumo Logic
クラスメソッドさんの過去記事で詳細に書かれています。 dev.classmethod.jp
AWSのログを目で追って手で解析してというのは大変です。ましてや開発中ならなおのことです。単に楽だからという面だけでなく、開発スピードと質が両方上がるのは強味だと思います。
クラウドネイティブ時代に必要なコンテナセキュリティの考え方と対応策
クリエーションライン株式会社、クラスメソッド株式会社 昨今ではコンテナ技術を利用したアプリケーション提供することがあるが、セキュリティはどうするんだ??という講演でした。そしてクリエーションライン株式会社のAqua Container Securityについての説明がありました。
それについてはクラスメソッドさんのレポートが詳しいです。スライドも含まれています。 dev.classmethod.jp
コンテナは本格的に運用したことはありませんでしたが、Aquaについては、なんでもできるじゃねえか!という印象でした。さらに、稼働中のコンテナにも設定が即反映されるなど、会場内が沸くような仕様がたくさんでした。
まとめ
開発者目線では、機能要件を満たしてさっさとリリースしたいはずですが、セキュリティをおろそかにできない…という苦悩。それらを開発スピードを保ったままサポートするというのが全体の共通事項でした。まだまだサイバーセキュリティ人材やリテラシが少ないまま、IoTの発達や大規模イベントが開催されうる現状、なにか起きたら対応では遅いということを改めて思うのでした。