2016-09-17

対ガイル

どうすればいいんだ

2016-08-03

第15回セキュリティさくらに参加しました。

以下書きなぐりメモ

・第15回セキュリティさくら

NOJI(下通)

[クラウドの不安、とか言ってる場合じゃない　最近のクラウドセキュリティ」

・評価のわかれるクラウドセキュリティ
AWS・Azure(Microsoft)がリード
クラウドサービス利用しない理由ｰ>情報漏えいなどのセキュリティに不安がある
クラウドサービスを利用する理由->情報漏えいに対するセキュリティが高くなる
NASA,CIA等がクラウドを積極的に利用・銀行のサービスをクラウドの上に置く
クラウドを評価する人、クラウドに不安を持つ人の間に大きなギャップ->ギャップをどうやって埋めてきたのか.

・そもそも、クラウドってどんなもの？
そもそも、なんでクラウドなの
必要な分だけ使う
キャパシティ計画
クラウドハードウェアの調達の必要性がない・柔軟に対応出来る
CAPEXモデル->OPEXモデル
・より早く、簡単に、安くできる
・今までできなかったことができる
・良いとされてきた価値を無にする
クラウド導入が加速している理由->ニューノーマル
（アジャイルみたいな）
現実解は、仮説と検証をフィードバックにより繰り返すこと
フィードバックで良かったものを活かす
Odeo,Instagram
ISMS,ISO27001,PCI DSS,
"認証"は分かりやすいセキュリティの評価基準
お客さんにもある程度の責任を

クラウドのための基準->ISO27017

・クラウドのセキュリティの不安をのぞくために
・クラウドセキュリティの常識が変わる
セキュリティ=機密性・完全性・可用性の維持
ビッグデータ、分析インテリジェンスが簡単に手に入る
どれくらい投資すればいいのか、コストに見合うだけの効果がでるのか
ROI(Return On Investment)ROIとは、投資した資本に対して得られる利益の割合。
(http://e-words.jp/w/ROI.html)
脅威×脆弱性×情報資産
リスクは常に変化する.
適応型セキュリティ
予測->防御->検知->対応->予測...

セキュリティにゴールが無くなった
変化適応度に応じたセキュリティを考える

安全なクラウド利用から、クラウドだからこその変化に応じたセキュリティ、が実現できるようになってきた

・クラウドならでは　のセキュリティ
サービスの可用性

SEO(検索エンジン最適化）
"本来やるべきこと”に集中するためのセキュリティ

一歩進んだセキュリティのために
Security By Design
設計の各段階への要件の組み込み
DevSecOps
開発・運用プロセスにおけるセキュリティ評価の組み込み
監査可能・反復可能
開発、運用プロセスにおけるセキュリティ評価
自分たちのニーズに合ったサービスがすぐに利用できないとビジネスが進まない
今どきのクラウドのできること
環境をテンプレ　実行がうんたら
DevOps
開発チームと運用チームの協同

クラウドがセキュリティにおたらす価値
”できなかったこと”が出来るようになりつつある
”変化や要求”に応じること
”本当にやるべきこと”に集中できる環境をつくること

クラウドの環境下での解析

https://thinkit.co.jp/story/2015/08/11/6285
ゲーム系で利用されやすい（どれくらい成長するか分からない）
特定の業種に限られている訳ではない

LTｙ
前田さん
SGR2016の紹介
政倉
ビギクラ！
プログラミング入門者が簡単に攻撃を試せるアプリの紹介
https://begicra.arukascloud.io/
DockerImage

CyberForceさん
パスワード管理ソフトの有用性と危険性について
・有用性
マスターパスワードのみでOK
持っているアカウントの把握
パスワード以外の情報も管理
・危険性
すべてを一度に盗まれる
トレンドマイクロのパスワードマネージャーに脆弱性
 LastPassへのハッキング

李さん
TeslaCrypt
TeslaCrypt RSA4096

橘さん
CSIRT
セキュリティインシデントの受付、調査、対応を行う組織
小さなインシデントのうちに対応する

竹森さん
タイピングチューブ
歌詞の使用料等について

ヴァイツェン・ペールエール・スタウト

マティーニ・マルガリータ・XYZ・ドラゴンフライ・カンパリ・ぺルノ（メモ）

苦くないビールもあるとしった素晴らしい一日でした。