同僚 2 人と一緒に現地参加しました。
(本当は 4 人で参加予定だったのですが 1 人事情でキャンセルになり残念)
今日は遅刻せずに到着・着席。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
Javaな人の公式飲料をいただく。
(わたしはほとんどJavaで書いてないけど)#secjawsdays #secjaws #secjaws30 #jawsug pic.twitter.com/LaQMEiaZU1
配信(期間限定?)
おはようございます!昨日のDay1すでに公開ステータスにしております! #secjawsdays #secjaws #secjaws30 #jawsug https://t.co/o0C5YCmj8e
— 猫を愛するAWSサメグループ担当 (@numaguchi) 2023年8月27日
全体を通しての感想
自社に戻ってからいろいろやらなきゃいけないことがあるのをあらためて実感。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
「とにかくやらなきゃいけないことがたくさんあるな」でした。
利用アカウントの都合で Organizations まわりが足を引っ張っている印象があるので、そこから整理しないとセキュリティに(本格的には)進めない…。
最初のパート(おやつ休憩 1 回目まで)
カミナシ西川さん、Verified Permissionsの話。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
ついVerified Accessと間違えそうになる。#secjawsdays #secjaws #jawsug #secjaws30
Verified Permissions、認可をアプリケーションロジックから切り離すのに使えるサービスっぽいですが、リリースのアナウンスを見たとき、「わかるような、わからないような…?」感じだったんですよね。
(認証や)認可のレスポンスが遅いとアプリケーションの動きを阻害するから重くできない。わかる。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
認可ルールを定義するのに正規表現を使うと、「理論上の正しさ」は OK でも負荷の面で NG なことはよくありますね(正規表現爆弾…)。
認可とビジネスロジックを分離する話。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
DBアクセス負荷を抑えるためにデータの取得と権限チェックを兼ねるコードを書きがちなヘーシャがこれを理解し徹底するには時間がかかりそう。#secjawsdays #secjaws #secjaws30 #jawsug
染みついたやり方はそう簡単に変えられないという…。
千葉支部でハンズオン開催。https://t.co/J9isp8e0JW#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
…予定被ってた。残念。
次はスズケンさんのAWSセキュリティワークショップの話。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
今日までに45から48にワークショップ数が増えた。#secjawsdays #secjaws #secjaws30 #jawsug
油断していると増えるとか新しいシナリオに変わるとかで慌てて発表のために追加で体験しないといけなくなるあるある。
ワークショップのシナリオが古くてうまく進めないあるある(変化が速いから…)。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
こっちのパターンも。
ネットワークが基礎にあってこそのセキュリティ。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
「クラウド以前」を経験していないと、どうしてもネットワークの知識不足がネックになりがち。
あと(直前で触れられていた)IAM まわりも大事。
普通に自分のアカウントで試してうっかりリソース消し忘れると課金死しそうな#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
他の方が触れられていましたが、クレジット(クーポン)の確保、大事ですね。
Network Firewallのワークショップは分散コースじゃなくて集中コースがおすすめとのこと(あとGLBのやつ先にやっておくとイメージがつきやすい)。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
後のセッションに出て来ますが、Network Firewall(といいながらメインは IPS かな?)プロダクト環境に入れるか悩みますね。
(個人的な意見は決まっていますが、なかなか「お気持ち表明」しづらい…)
「お勧めできないワークショップ」一番手は「動かないワークショップ」でした。
もしかしてトラブルシュートしてワークショップできるまで持ってくところがCTFを兼ねてる的な?#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
(なわけない)
そして「お勧めしたいけど候補に入れられないワークショップ」まであるとは。
Security for Developers,超おすすめだけどSecurityタグ付いてない。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
セキュリティにバリバリ絡んでいるのにタグに「Security」が付いていないという…。
クラメソ佐藤さん、ECS Fargateのセキュリティ。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
ちょうどこの構成を使っているので気になります。
DevDay2022で泣く泣く削った資料の供養。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
「ページ数が多すぎた」そうで。
NIST SP800-190 の翻訳版、ちゃんと読んでおこう。
ECS関連のロールがややこしいのわかる。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
別のポリシーを混同して思い切りハマりました。
その他、Inspector v2 でのイメージ脆弱性調査やそれ以前の段階でのチェックについての話が。
最初に話した(資料に書いた)ものから重要度が高い、とのこと。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
SysdigのKawabataさんによるCNAPPの話。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
Sysdig さんの話は 1 〜 2 年前にオンライン勉強会か何かで聞いていたのですが、うっかり忘れていました。
JAWSでWiresharkの話。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
創業者が過去に Wireshark を作っていた話も思い出しました。
「何やってても基本やられる」
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
(セキュリティの話)
わかる。#secjawsdays #secjaws #secjaws30 #jawsug
なので、やられた後が大事、と。
CIEMとSIEMでぜんぜん違うものを指すやつセキュリティヨクワカラナイマンにとって罠。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
この業界、略語が多すぎて紛らわしいのなんとかなりませんかね…。
2 つ目のパート(おやつ休憩 2 回目まで)
休憩明け、再開。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
Network FirewallとDNS Firewallの話、積田さん。#secjawsdays #secjaws #secjaws30 #jawsug
密かに気になっていたセッションです。
Network Firewall入れれば後は要らない、とはならないのはわかるとして、Network Firewallを入れる優先度をどう考えるのか悩ましい(オンプレからの移行では特に)。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
みなさん反応されていましたが、IPS だと WAF よりシグネチャ更新は高頻度ですね(守る対象が多いから当然か)。
あとみなさん IPv6 対応も気にされていましたが、思いがけず空前の IPv6 学習ブーム到来?
(弊社はわたしと SRE チームリーダー以外無反応…)
むしろ使ってないからこそ話す意味がある気がしますね。#secjawsdays #secjaws #secjaws30 #jawsug https://t.co/LrTB3Hvc0o
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
たとえ使わなくても、「使う理由」と同じくらい「使わない理由」が大事な気がしますし。
次は徳丸先生のCapital Oneの話。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
タイトルはCfP対策?#secjawsdays #secjaws #secjaws30 #jawsug
話を聞いていて「あー、あれの件だったか」と思い出しました。
先駆的な取り組みをしてるとかセキュリティ企業とかがかえって狙われるケースはまあまあよく見る気がする。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
目立ちますからね。
「脆弱性を生んだメンタルモデル」として「新技術こそが優れているという思い込み」と「AWS に対する過度な信頼と責任共有モデルの理解不足」が挙げられていましたが、個人的にはもっと単純(?)に、対象のシステムを開発していた時期は
この時代、「アクセスキー&シークレットキーは使うな、IAMロール使っとけ」で思考停止していた面はありそうな気がする。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
(与える権限が広すぎればダメなのは当たり前だけど)#secjawsdays #secjaws #secjaws30 #jawsug
世の中の多くがこの程度の認識だったのでは?という気がしなくもないです。
その後、2019 年までの間に「そうじゃない」という雰囲気は出て来たものの、サイバーセキュリティ・チームの人たちの定着性の悪さも相まって、過去に作られた部分が放置されたままに…?
(「エンジニアファースト」実現のためにエンジニア扱いされない情シスとかが酷使される世界を想像してしまう)#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
この話の中では「情シス」ではなくてサイバーセキュリティ・チームの人たち(すごい勢いで離職)でしたが。
暗号化については復号権限(または権限の付与を操作できる)を持つロールを奪取されていればサーバーサイドで鍵を管理してるKMSでは無意味、という話。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
反応を見ていると、透過的暗号化とか鍵管理(の重要性)とか理解が難しいのかな、と思いました。
あと、IDMS の件に絡んで「169.254.169.254 にアクセスさせたくない場合、169.254.169.254
という文字列をフィルタで落とすだけではダメ」というのも思い出しました。
Snyk古山さん。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
そういえば🐶の名前はパッチだった(すぐ忘れる)。#secjawsdays #secjaws #secjaws30 #jawsug
Snyk(サービス)は利用を検討していたのですが事情で止まっていたりします。
SnykさんじゃなくてCodeGuruさん、Java 17(以降)でまともに使えるようになるのはいつなんだろう?
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
(サポートから「未定」という返事が)#secjawsdays #secjaws #secjaws30 #jawsug
一方、CodeGuru はこの問題の解消の見通しがないので採用できず。
CDKについては今もまだこの状態か(CFn経由)。https://t.co/ZuTFOj8Zsa#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
アプリケーションではなくて IaC のコードのほうは、CDK がこの状態でちょっと残念。
次は別の🐶、Datadog木村さん。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
(🐶6頭目?)#secjawsdays #secjaws #secjaws30 #jawsug
Datadog のブースには後ほど挨拶に行き、骨に見立てた T シャツをいただきました。
(Small Size 以外は骨に見えなかったのは内緒)
今日は略語が多いけどDB屋さんにとってのASMはこの話のASMとは違う…。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
などと言いつつわたしは Oracle 屋さんじゃないのであっちの ASM には縁がないんですけどね。
多層防御は良いけれど、どの層でブロックしたのか管理者が容易に判別できないとオペレーションが大変になりそうな感はある。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
多層防御が正常に動いている分には良いのですが、いざ誤検知の疑いが出てくると、この問題が…。
3 つ目のパート(最後まで)
おやつ休憩その2が終わって再開。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
アイレット本間さんのIoT Coreのポリシーの話。#secjawsdays #secjaws #secjaws30 #jawsug
この分野は(リアルに)素人なのですが…。
なにかの障害でクラウド側での初期設定を失敗したときにどうリカバリーするのか気になる。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
(この辺のサービスは完全に素人なのでよくわかってない)#secjawsdays #secjaws #secjaws30 #jawsug
「初期設定、途中でコケたのが運の尽きで進めず・戻れず」で文鎮化したりしないのかな…?
トンネルの中とか(申請とか必要だろうけど)電波を中継したりはしないのかな?#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
ドローン、「直接電波が届かない(から通信できない)」ところでは使えない・使わない」んでしょうか…?
(リアルに素人なのでよくわかっていない)
つぎはシンプレクス岸野さん。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
IAM Identity Centerの話。#secjawsdays #secjaws #secjaws30 #jawsug
ここもちょっと気になっていました。
Black Beltの資料がまだSSOの頃のものしかない、とのこと。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
これから調べる身にとってこれはちょっと辛そう、かと思いきや、導入自体は簡単、との声が。
(簡単だからこそ資料が更新されないのかな?)
あと「IdP 死んだときの対策は別途必要」というのはシングルサインオンするときは大事なことですよね。
次、Flatt Security米内さん。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
Policy as Codeの話。#secjawsdays #secjaws #secjaws30 #jawsug
Policy as Code についてはノーマークだったので、まず話を聞いて存在を知ったことが収穫でした。
🐶が続いたけどラスト前は🐼が来た。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
(このセッションではまともなことをポストしてなかった…)
ラストはアカツキ駒井さん、Configの話。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
Config は一度しっかり確認しておかないといけないなー、と思いながらつい後回しにしていました。
(Organizations 絡みの問題もあり)
アカウント削除後 90 日間内部的なリソースが残る点は注意が必要ですね。
ゲートキーパーからガードレールへ、の話。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
最後に自作自演の拍手w#secjawsdays #secjaws #secjaws30 #jawsug
クロージング→帰路
アンケート、帰りの🚄で書く。#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
個人的に新幹線の無料 Wi-Fi サービスに繋ぐのがあまり好きじゃないので、トンネルを意識しつつ、数セッションごとに区切って複数の回答に分けて書いて送信しました(読みづらかったと思います。ごめんなさい)。
Rのキーの持ち主、誰w#secjawsdays #secjaws #secjaws30 #jawsug
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
みつかりました!
— Security-JAWS✴︎0826-0827secjawsdays (@security_jaws) 2023年8月26日
良かった!
新幹線で帰還。
— hmatsu47(まつ) (@hmatsu47) 2023年8月26日
地元は雷雨⛈⚡🌧
ちょうど地元私鉄の電車の運行が再開して落ち着いた頃に帰ることができました。
(でもいま家の外はまだ雷雨⛈)
ありがとうございました!#secjawsdays #secjaws #secjaws30 #jawsug
非常に運良く絶妙のタイミングで帰ることができました。
みなさま、ありがとうございました&おつかれさまでした!