9/25(金) に行われた以下オンラインイベントの参加速報です。
- Twitter HashTag : #InfraStudy
今回は前半の話は まるでついていけない いい勉強になりました、な感じだったけど後半になるにつれて自分の中に眠っていた何かが目覚めてきたような感覚でした。
これからどういう心持ちで、どういった基準を見てセキュリティに臨むのが良いのか、再確認できたような気がします。いい機会でした。
目次
My Tweet Pickup
前半の、情報ストック。
#InfraStudy CIS Benchmark (MSのドキュメント)https://t.co/US2veM48ve
— 央 (@sogaoh) September 25, 2020
#Infrastudy NIST SP 800-190 (PDF)https://t.co/Y0PfaJjvTm
— 央 (@sogaoh) September 25, 2020
#InfraStudy CNCF STRIDE 脅威モデル [検索]
— 央 (@sogaoh) September 25, 2020
-> いちばん上に出てきた情報↓https://t.co/NWyK5LLdJX
#InfraStudy 3省3ガイドライン (Google Cloud)https://t.co/Wv8Xbn1fPy
— 央 (@sogaoh) September 25, 2020
ささった。
#InfraStudy Co3
— 央 (@sogaoh) September 25, 2020
- Communication
- Completeness
- Continuous
Q & A 全部拾った。
#InfraStudy
— 央 (@sogaoh) September 25, 2020
Q. コンテナ環境(CI/CD)におけるクレデンシャルの扱いは?
A. 環境変数で渡すのがベストでは。SecretsやKMSのような外部を利用するのもアリかと。
#InfraStudy
— 央 (@sogaoh) September 25, 2020
Q. 自社サービスのセキュリティポリシーはどうやって決めているのか?(許容の根拠や考え方)
A. 自分の会社に合うポリシーで。リスクマトリクスで算出して運用している。WAFは有効にするのが望ましい。ステージング環境の利用、モニタリングの活用も適宜。
#InfraStudy
— 央 (@sogaoh) September 25, 2020
Q. セキュリティの勉強、普段何を?
A. そういった人をTwitterでフォロー、メーリングリストの参照をするなどしているが、手を動かすのも大事。
#InfraStudy
— 央 (@sogaoh) September 25, 2020
Q. Co3 で意識していることは?
A. セキュリティチームと開発チームは対立になりがち。脆弱性の情報を渡すときCVE番号だけじゃなくどういう問題なのかを添えるようにしている。
#InfraStudy
— 央 (@sogaoh) September 25, 2020
Q. DevSecOps を制度としてどう運用しているか?
A. ガイドラインを作る。年に1回は研修して底上げをする、インシデント発生時に関係者にどのレベルを共有する、など。
Bastion はこれが大事、と思いました。
#InfraStudy "Attack Surface を減らす"
— 央 (@sogaoh) September 25, 2020
ゼロトラスト、これを参照してくださいトノコト
#InfraStudy AWS上でどのようにゼロトラストアーキテクチャを考えていくかhttps://t.co/HeuHCnckAw
— 央 (@sogaoh) September 25, 2020
これも難しい
#InfraStudy "セキュリティにどのくらい比重を置くかは難しいが、どのプロダクトにも必要"
— 央 (@sogaoh) September 25, 2020
資料のまとめ
(司会: @matsumotory さん)
基調講演「インフラ基盤技術のセキュリティとこれから」
@mrtc0 さん
#Infrastudy の資料をアップロードしました。使ったコマンド等は https://t.co/X1aGr0aYqf にあります。 https://t.co/S5yKVqg9JD
— Kohei MORITA (@mrtc0) 2020年9月25日
LTs
LT1「AWS SSO vs IAM Roleベース ID Federation」
@ken5scal さん
LT2「Bastion〜AWS Fargateで実現するサーバーレスな踏み台設計」
@msy78 さん
LT3「正拳突き教えてほしい」
@fujiihda さん
LT4「はじめてのゼロトラスト 実践への第一歩」
@hiromaaa03 さん
LT5「クラウド時代のセキュリティをふりかえる」
@tomoyamachi さん
その他
送り迎えや家事があって、そのあとの懇親会に遅れて入ったんですが、喋る間もなく終わりました。。 聴いてて、拾ったことを書いておきます。
このへん話てるあたりから入りました。
Wazuh これです
#InfraStudy Wazuh https://t.co/nrFInU9IJM
— 央 (@sogaoh) September 25, 2020
あと、脆弱性診断のレポートどううまくまとめてますか?って話あったんですが、某診断機関は「IPAのウェブ健康診断」を参考にしてるって何年か前に言ってました。今はどうなんでしょうね。