Skip to content
Permalink
Branch: master
Find file Copy path
Fetching contributors…
Cannot retrieve contributors at this time
63 lines (49 sloc) 3.61 KB

20171113-Security-JAWS-7.md

概要

  • Security-JAWS 【第7回】
  • 2017年11月13日(月)
  • 会場: フューチャーアーキテクト株式会社
  • TW: https://twitter.com/security_jaws
  • ハッシュタグは #secjaws #secjaws07

Session2:合同会社パロンゴ 近藤学さん「What you see is what you get 〜 インシデント対応するのに、まだログ分析で消耗してるの?」

  • https://www.parongo.com/
  • AWSだけならログ機能しっかりしているけどネットワークレイヤーから管理ならやっぱりnetflow。
  • 必ずしも受け付けた全部のログを保管するのでは無く、予算に応じてパケットの先頭だけ保管などを考えると良い。
  • 自分が管理するLANだけで無く、インターネット遅延もマップに表示できる(海底ケーブル切断など)
  • ただ今、カッコイイ新GUI開発中?!

Session3:日本電気株式会社 釜山公徳さん「Infocage SiteShell on AWS」

  • http://jpn.nec.com/infocage/siteshell/index.html
  • ウェブサーバ上に設置するWAF
  • IPブラックリスト・シグネチャによる防御だけで無く、バッファオーバーフロー防止など大量接続制御もできる

デモ

  • サンプルの通販サイトを表示、SQLインジェクションにより顧客データが読める。
  • 20時10分より構築RealTimeAttack!(実クラウド上でデモ)
  • 20時13分インストール完了、及び再び攻撃をして弾けていることを確認

Session4:Auth0 Inc. 古田秀哉さん「Auth0でAWSの認証認可を強化」

  • https://auth0.com/jp/
  • シングルサインオンのためのミドルウェア
  • 自作ソフト(特に社内用など)でFacebook・Google・Twitter・独自DBなどのアカウントでログイン(多要素認証・リスクベースによる制限も可)し、多数のソーシャルアカウント(もちろんAWSも!)に接続できる。
  • 月額課金なので新しい接続サイトも積極的にサポートするよ。
  • 今のところ北米とEUリージョンの2つ、アジア(日本)もユーザーが増えれば?!

Session5:株式会社ゆめみ 仲川樽八さん「失敗事例で学ぶ負荷試験」

  • 失敗事例1 GWのゴールデンタイムにCM打ってアプリリリース → 負荷試験を行っていなかったらしく秒で落下した
  • 失敗事例2 「社長のために一番大きいDBインスタンス用意しておいたのね」→ 試していないスケールアップは本番で動く事は少ない
  • HTTPSサイトでも負荷試験は非暗号化で行った方が良い → SSLの暗号化はデコードよりコストが高いので攻撃サーバが追いつかない (実環境だと攻撃は多数から来るので暗号化コストは分散される)

Session6: 株式会社クラウドネイティブ 齊藤愼仁さん「AUTOMOXで俺たちのVulsが殺されるのか」

  • 最近のシリコンバレーの会社なので当然英語のみ
  • カッコイイGUIがある
  • 監視対象にはエージェントが必要 (Vulsより若干面倒)
  • サーバだけで無くクライアントOS(WinやMac)も対応可能
  • 単に脆弱性検知だけでなく「どのバージョンに上げれば良いか」を表示する
  • Slackに「このサーバ対応どうする? 無視・強制アップデート」みたいな感じでボタンが出る
  • 個人で遊ぶ分には面白い(1台あたり月額$2)

FAQ?

  • Vulsちょんまげより紹介コーナー!
  • vuls.biz サイト作ったよ!
  • 料金は要相談! (月$2より高い)
You can’t perform that action at this time.