http://jawsdays2017.jaws-ug.jp/

AWS User Group Japan の年に一度の大イベント。
昨年に続き今年も参加しました。
やはりこの熱気はすごい。
スライド見るだけではなく、現地で感じることが大事だと思う。

■赤ドクロ Presents 『AWSで開発するならこれやっときゃいいよ的な話』

EFSの話でてたけど、東京リージョンまだきてないんだよね・・・AWSさん、お願いします。

The Twelve Factor App の話。
https://12factor.net/ja/
本来はクラウドとは関係ないが、クラウドではより重要になってくるプラクティス。

DevOps はCultureが大事で、続いてPractice, Tool。

■AWS SECURITY DEATH \m/ ～セキュ鮫様からのお告げ～ by Security-JAWS

Security Groupはステートフルなので戻り通信の設定は不要
Network ACLはステートレスなのでin/out両方設定が必要

Shield（DDos対策)
　CloudFrontでオプションを有効化すれば使える
　CloudFront, ELB/ALB、Route53に有効
　コスト：Basicは無料 Advancedは 300$/月
　　※DDosに該当する通信の転送量はかからない

AWS WAF
　CloudFront, ELB, ALBに仕込める
　デメリット
　　正規表現でルール書けない、細かいカスタマイズが難しい
　　POST通信の中身がみれない（遮断はできる）

設計段階でのセキュリティ考慮が大事

AWS Config　構成管理
　ELBはALBのみ対応。Classic ELBは非対応
　監査・コンプライアンス、トラブルシュート用途に
　コストはお安め
　AWS Config Rules
　　構成管理設設定をチェックするツール
　　AWSが用意するマネージドルールとLambdaで定義するカスタムルールがある
EC2 Systems Manager
　→OSの中の情報をマネージメントコンソールで確認

■コミュニティで拓く、パラレルキャリアへの道

5社で働くってすごい。。。
関係者への「期待値コントロール」大事

■知らない間に使われていませんか？ ～AWSの利用監査対策～

CloudWatch Logs
CloudTrail→CloudWatch Logs連携
AWS CIS・・・不正操作の代表的なものを挙げている
「オオカミ少年」にならないよう、バランスが必要

カスタム通知
CloudTrail→CloudWatch Logs→Lambda→SNS
Lambdaでメール本文を日本語化してSNSでメール送信してる

ログの集約、検索、レポート
「sumologic」を利用（AWSのパートナーになっている）
　無料枠あり
　CloudTrail、S3、ELB、Inspector等と連携
　Deep Securityのログも見れる

Bastion監査も似たような仕組みで実施
（誰がSSH接続したか、失敗形跡など）

■武闘派CIO３人が、ホンネで語るITの現実

去年も長谷川さんのトークセッション聞いたけどほんと面白い。

AmazonGoすごい。
「学び方を学ぶ」
「忍者の草飛び」
　…最初は低い草を飛ぶ、草が成長してだんだん高くなるやつ
　　なんか忍者ハットリくんだか、藤子不二雄系の漫画で見た記憶ある
「客を捕まえてから新規事業提案」が鉄則
CIOはゴールキーパー的役割
同じ過ちを３回した場合と自分ごとにしない人には叱る

■AWSデータベースアップデート 2017

Redis
　オリジナルではなく、Amazonが改修いれたものを使っている
　海外ではRedisに永続データを入れるケースが増えている

Aurora
　r3.xlarge以上になると、MySQLとのパフォーマンス差が顕著に
　PostgreSQL Aurora
　　Performance Insight
　　　クエリパフォーマンスをマネージメントコンソールで見れる
　　　他のエンジンにも展開予定あり
　オンラインDDLが爆速（NULL許可でカラム追加の場合）
　今後のアップデート
　　Online Point in Time Restore
　　Database cloning
　　　コピーしてもボリュームコスト２倍にならない。差分分のみ増える
　Aurora Auditing
　　MySQLのAuditプラグインよりパフォーマンス劣化が小さい
　Index構築も速い
　空間Indexも速い

DMS
　fan in（複数DBを１つに）、fan out（1つのDBを複数DBに）も可能
　オンプレ→AWSだけでなく、AWS→オンプレもできる
　評価レポート・・・移行のしやすさを評価したもの

Athena
　S3のファイルをSQLで直接検索
　LTSV,CSV,JSON等対応。gz圧縮対応
　裏はPrestoで動いている
　Amazon QuickSight
　　S3、RDSにつないでグラフ生成。13種類

今後のリリース予定
　Amazon Glue・・・マネージドなETL

security-testing.doorkeeper.jp

前回に引き続き参加。
今回はOWASP TOP10の2番目、「認証とセッション管理の不備」

今回は本題よりも余談でちょいちょい出ていた、ほんまかいな！？的なネタが面白かった。
（いや、本題もためになったんですけどね）

プリペアードステートメントのPREPAREに外部由来の変数まるっと渡して（当然インジェクションできる）それで「プリペアードステートメント使ってるから安全」なんて言い張る輩なんているのか…根本的にエンジニアに向いてないよな、その人…

— 林 正紀 (のりぃ) (@m_norii) 2017年2月28日

Cookieの有効期限20年!？

— 林 正紀 (のりぃ) (@m_norii) 2017年2月28日

eval() に外部由来変数そのまま渡すとか、狂気の沙汰すぎる…

— 林 正紀 (のりぃ) (@m_norii) 2017年2月28日

今日の脆弱性の勉強会、本題よりアンチパターン集のほうが趣がありすぎる…

— 林 正紀 (のりぃ) (@m_norii) 2017年2月28日

その他、以下はセミナー中に取ったメモ。
あまり体系的にまとめてないけど。

～～～～～

検索キーワード
　Let’s know owasp
　工程別活用可能な資料
　OWASPの歩き方

■認証とセッション管理の不備

ASVS要件
https://jpcertcc.github.io/OWASPdocuments/ASVS/OWASPApplicationSecurityVerificationStandard3.0.pdf

無線LANが普及した結果、一般ユーザは無線LAN接続に抵抗なくなった
→キャリアや有名企業になりすましたアクセスポイントをしかけて通信を盗める
→ネットワークの盗聴、セッションIDの奪取はリスクが高まっている
　※有線LAN前提ではネットワーク盗聴はその敷地内に侵入する必要があるので
　　リスクは高くなかった

・セッションの寿命はできるだけ短く。ブラウザ閉じたら終了が望ましい

・オレオレセッションID生成はダメ、絶対。

md5ハッシュは元文字列が辞書由来の単語であれば、Googleなどで検索できてしまう

セキュリティ業界の常識として、暗号化/復号方式は公開されなければいけない
（オレオレ暗号化は遠くない先に破られる）
※狙われなければ破られないけど…

・ログイン成功したらでセッションIDを再生成する
　→攻撃者はログイン前のセッションIDを把握できる（している）ので

■LT
サイバー攻撃の被害にあった場合
・被害が明確なら、拡大防止のためサーバ隔離（クラウドなら停止）
・「情報セキュリティ事故対応ガイドブック」（IPA）
・相談可能な組織
　・ラック（緊急対応サービス「サイバー119」）
　・三井物産セキュアディレクション
　・アクティブディフェンス研究所
　・オレンジセキュアサービス（トラブルレスキュー）

AWS WAFは現時点では正規表現対応してない（id=[0-9A-Za-z]+ とか）