#nakanoshima_dev 「セキュリティLT大会」 参加メモ

nakanoshima.dev 37 セキュリティLT大会　～そもそもみんな何をしてる？～

nakanoshima-dev.connpass.com

お菓子配ってましたが写真撮影禁止なので写真は取ってません。

セッション

eslint-plugin-securityを導入して、 低労力で堅牢なコードを作る(Short)

Kanonさん

speakerdeck.com

• 脆弱性診断はフィードバックループが悪い
• linter でチェックできる方が良い
  • ESLint に eslint-security-plugin を導入

ESLintだとJS/TSの対応ですね。

IAMのユーザ権限を楽に最小化する方法(Short)

miyuki_samitaniさん

• 内部不正での情報漏洩は毎年多くある
• ジョブ機能の管理ポリシー
  • 特定のジョブ向けのポリシー例が準備されている
• IAM Access Advisor で正しい権限の設定ができる
  • アクセスしたサービス一覧が見れる

ジョブ機能管理ポリシーも IAM Access Advisor も知らなかった。
権限は小さく作って育てていくのは基本。

サイバーセキュリティは経営課題を踏まえた経営課題(Short)

chocopurinさん

• 各部門長がセキュリティの責任者とした
  • 末端まで自分ごととして捉えるため組織体制から変革した

セキュリティ周りはお金もかかるからトップダウンで予算もないと難しそう。
KPIを定めるのはもっと大変そう。

初心者がセキュリティの勉強をするために(Short)

西橋奈央さん (えかてりーな)

• GuardDuty はサービス量によって価格が変わる
  • 費用対効果を伝えるのが大変

自社だと当たり前にGuardDutyオンにするけど、提案する側になるとハードルが高いのはわかる。
「そもそも堅牢に作ってるし大丈夫よね？それいらないよね？」とか思いそうだし。

ModSecurityのすゝめ

かわいさん (株式会社ビヨンド)

• ModSecurity
  • OWASPのOSSなWAF
  • CRSのルールごとに閾値がありそのスコアで判断して遮断

EC2とかをそのまま公開するなら入れるとちょっと安心できる？

eBPF for セキュリティ　クラウドで手軽に試す

コウノさん (nakanoshima.dev 運営)

• eBPF：Berkeley Packet Filter（パケットキャプチャしてフィルターする）に加えて、カーネル空間で動作するプログラムを実行できる
  • つまりシステムコールイベントを契機にカーネルで実行できるプログラム

k8s でFalco使うとサイドカーが撲滅できるとかできないとか

Okta Customer Identity Cloudの簡単な紹介とAWSとの連携

辻 義一さん (Okta Japan株式会社ソリューションズエンジニア)

• CIC(Auth0)：OpenID Connect(OIDC) IdP として動作
  • アーキテクチャにあわせてSDK提供して簡単に使える
  • Cognito IdPool と併用して IAM Role ベースの認可も行える

Cognito は User Pool は使っても Id Pool は使ったこと無いですね。
もう Id Pool の役目は概ね限定的になったっぽいので、Auth0 と併用して使いたいケースは自分は無さそうかな。

EC2の脆弱性対応で何が使える？Inspector や SSM あたりを整理する

川原さん (クラスメソッド株式会社)

speakerdeck.com

• AWS
  • EC2 なら SSM Inventory 使って一括収集できる
  • Amazon Inspector で Lambda/ECS/EC2 の脆弱性スキャン
    • EC2エージェントなしでスキャンできる（EBSをスキャンする）ようにアップデートされた
• EC2 のパッチ適用
  • ssh -> SSM Session Manger -> SSM RunCommand -> SSM Patch Manger と順にステップアップしていこう

パッチ適用は自動化できてもアプリの動作検証とか事前にステージ環境とかでやっておく必要はありそう。