第2回社内セキュリティ共有勉強会に参加した。テーマは「メール」
その際のメモ

メールとZIPと他人の秘密

添付メールを利用せずに、クラウドを利用しましょう

デメリット

・誤送信した際に覗かれる
→例えばUSBを拾った人の45%は中身を覗くらしい
　http://ascii.jp/elem/000/001/213/1213231/
・暗号化が弱い可能性

メリット

・クラウドはサービス管理者に守られている
・守りが破られたときに、共有を解除できる
・環境依存が少ない

参考

パスワードが脆弱かどうかわかるサイト
https://howsecureismypassword.net/

社会人による衛生開発の実情と情報リスクの共有

ライフワーク：誰もが宇宙目指せる世界を作る
リーマンサットスペーシス：民間で人工衛星を制作している
民間が宇宙に行けるような法整備がされているとのこと
→キャノンが小さなロケット制作？など

CSIRTでなくても回る仕組みづくり（仮題）

ポイントは
・できるところから
・解決することを優先する

セキュリティはhowto(どうすればよいか)を聞かれることが多い
守るものは何か？
→情報資産(売上、顧客情報…)

そのためにどう守るか？
　コンピューターを守る
　ある程度の決め事を作る
　→実はCSIRTではなくても当たり前にできること

正しく運用するためには？
　当事者文化をつくる
　ダメなルールはさっさと直していく

セキュリティ投資の必要性を経営層に納得してもらった方法

セキュリティ予算を勝ち取る方法

経営陣がセキュリティを経営課題として認識していない
　現状認識→可視化。ウィルス対策ソフトがインストールされていなかったため、無料のウィルススキャンを実施
　セキュリティの事例を共有→ZMPの上場延期
　経営陣のプロトコルを合わせる→経営陣に伝わる言葉を。DDoS攻撃、ではなくその結果事業が停止されることを伝える

リスク対応の優先度は、頻度と影響度(インシデントが事業に与えるダメージ)を考慮して算出している

脆弱性スキャナVulsを使ってDevSecOpsを実践！-牛田さん

脆弱性スキャナVulsのビューアVulsRepo
2016年だけでCVE-IDは約6600件。人で判断するのは不可能
→脆弱性チェックの自動化が必要

1.脆弱性情報収集→2.対象マシン調査→3.対策、パッチ適用→4.本番適用
1,2を自動で可視化してくれるツール

メリットとして
・エージェントモード可能、モジュールを配置するのみ
→SSHがないようなサーバでも利用可能、fluentdについて
・rubyのライブラリなども拾うことが可能(設定を変更する必要がある)
・日本語、レポート手段が豊富

Email、Slack通知に対応している

閲覧方法も様々
　小規模→TUI,Web,Excel
　大規模→QuickSight(クラウド),ElasticSearch+kibana

Zabbixで登録されたホストをVulsでチェックするなども可能
(Zabbixに登録されたホスト情報を脆弱性スキャナVulsへ自動連携する)

Vulsのスキャンの負荷はどれくらいあるのか？
→実施していることは yum であれば update と changelog だけであるため、そんなに負荷はかからない