第2回社内セキュリティ共有勉強会に参加した。テーマは「メール」
その際のメモ
メールとZIPと他人の秘密
添付メールを利用せずに、クラウドを利用しましょう
デメリット
・誤送信した際に覗かれる
→例えばUSBを拾った人の45%は中身を覗くらしい
http://ascii.jp/elem/000/001/213/1213231/
・暗号化が弱い可能性
メリット
・クラウドはサービス管理者に守られている
・守りが破られたときに、共有を解除できる
・環境依存が少ない
参考
パスワードが脆弱かどうかわかるサイト
https://howsecureismypassword.net/
社会人による衛生開発の実情と情報リスクの共有
ライフワーク:誰もが宇宙目指せる世界を作る
リーマンサットスペーシス:民間で人工衛星を制作している
民間が宇宙に行けるような法整備がされているとのこと
→キャノンが小さなロケット制作?など
CSIRTでなくても回る仕組みづくり(仮題)
ポイントは
・できるところから
・解決することを優先する
セキュリティはhowto(どうすればよいか)を聞かれることが多い
守るものは何か?
→情報資産(売上、顧客情報…)
そのためにどう守るか?
コンピューターを守る
ある程度の決め事を作る
→実はCSIRTではなくても当たり前にできること
正しく運用するためには?
当事者文化をつくる
ダメなルールはさっさと直していく
セキュリティ投資の必要性を経営層に納得してもらった方法
セキュリティ予算を勝ち取る方法
経営陣がセキュリティを経営課題として認識していない
現状認識→可視化。ウィルス対策ソフトがインストールされていなかったため、無料のウィルススキャンを実施
セキュリティの事例を共有→ZMPの上場延期
経営陣のプロトコルを合わせる→経営陣に伝わる言葉を。DDoS攻撃、ではなくその結果事業が停止されることを伝える
リスク対応の優先度は、頻度と影響度(インシデントが事業に与えるダメージ)を考慮して算出している
脆弱性スキャナVulsを使ってDevSecOpsを実践!-牛田さん
脆弱性スキャナVulsのビューアVulsRepo
2016年だけでCVE-IDは約6600件。人で判断するのは不可能
→脆弱性チェックの自動化が必要
1.脆弱性情報収集→2.対象マシン調査→3.対策、パッチ適用→4.本番適用
1,2を自動で可視化してくれるツール
メリットとして
・エージェントモード可能、モジュールを配置するのみ
→SSHがないようなサーバでも利用可能、fluentdについて
・rubyのライブラリなども拾うことが可能(設定を変更する必要がある)
・日本語、レポート手段が豊富
Email、Slack通知に対応している
閲覧方法も様々
小規模→TUI,Web,Excel
大規模→QuickSight(クラウド),ElasticSearch+kibana
Zabbixで登録されたホストをVulsでチェックするなども可能
(Zabbixに登録されたホスト情報を脆弱性スキャナVulsへ自動連携する)
Vulsのスキャンの負荷はどれくらいあるのか?
→実施していることは yum であれば update と changelog だけであるため、そんなに負荷はかからない