こんにちは、ひろかずです。
今日は、NW-JAWSとSecurity-JAWSの合同勉強会に行ってきたので、一筆書きます。

例によって、リアルタイムで執筆しているので、表記ゆれ、誤字、脱字等はご容赦ください。

会場は、トレンドマイクロさん（新宿）
大きい部屋並べた椅子120脚がみるみる埋まる状況でした。

今回はOSI7階層になぞらえてのセッションとのことです！

お品書き

L1&L2 日本一AWSに近い場所。独自に進化を遂げたエクイニクス・ジャパンの現状（仮）
L3&L4　AWSにおけるIPv6対応状況
L5&L6&L7　AWS WAF の話とSecurity Automation の紹介
L7+：AWSユーザー向けサイバーリスク保険の概要および活用方法
L0：絶対に覚えておきたい物理的標的型攻撃対策１０＋３のコツ

L1&L2 日本一AWSに近い場所。独自に進化を遂げたエクイニクス・ジャパンの現状（仮

エクイニクス・ジャパン
グローバル・ソリューション・アーキテクト　内田武志さん

エクイニクス・ジャパンとは

国内600名
世界中でデータセンターを保有
データセンターとの相互接続
国内で11か所。東京10、大阪1
ダイレクトコネクトの接続拠点（世界で15か所）
接続状況はまさに小宇宙

今日の試み

DXロケーションに深堀りしていく

L1：光ファイバ、物理IF、DWDM
L2：イーサネット、VLAN

ダイレクトロケーションの構成のうち、ダイレクトコネクトルーターとカスタマーゲートウェイ間の話

LOA-CFAに従って、エクイニクスエンジニアがラック内を配線する

クロスコネクト構内接続：24h以内に提供
キャンパス内接続：24h以内に提供
メトロコネクト:10営業日以内に提供

ケーブルはシングルモードファイバ

ルータなどのネットワーク危機への接続
お客持ち込みから、エクイニクスレンタルまで

TY2の中にAWSDXロケーションがある（檻に入っている）
お客様ラックからTY2基幹配線を通じて接続
プレミアムロケーション（なかなか取れない！）

PeeringDBを見ると、エクイニクス内の利用ユーザーが分かる。

TY2に在庫がないので、ビットアイルを買収（TY678）
地下ケーブルを張ったので、パッチパネルを繋ぐだけで接続できる
１GB、10GB問わず

DWDM（高密度波長分割多重）とは

1波長に80の通信を詰め込む。
波長ごとに帯域を設定
もはやネットワークをスヌーピングするのは不可能
TY2～TY4の間は、機械的に終端しないで光信号のまま通信させる。
光信号のルーティングが、鏡のようなもので行う（！）

ルーターの貸し出しや設定支援もしているよ！

L2

ダイレクトコネクトの価格表は2種類のみ１GB、10GB

サブ１G

レイヤ2を50MB～500MBまで分割するサービス
50MBはお小遣いでDXできるレベル
利用開始、停止は15分以内で行える（使わないときは止められる！）
ただインターネットを迂回したいのであれば50MB
季節変動的なワークロードや、PoC、データ移行なら500MBという使い分けができる

まとめ

エクイニクスは、まじめに基礎的な技術を積み上げてパフォーマンスを提供できるようにしている
ダイレクトコネクトのデフォルトスペックをなるべく妨げないのが、エクイニクスのいいところ
Software制御でクラウド接続を制御していく流れ

QA

エクイニクスがデータセンターを繋ぐときは、自社持ちの伝送路？

複数のダークファイバをっ持つキャリアから借りている
伝送装置は自社

電気通信事業者？

電気通信事業者のライセンスは持っているけど、キャリアサービスをやってしまうとキャリアと仲良くできないので、中立的は接続の場を提供している

データセンターのテロ対策の公開情報は？

ロケーションによる。
米国では、立ち入り禁止の場所に立ち入ったら、武装警官が駆けつける。
データセンターを繋ぐブリッジなので、利用者は一つのロケーションが落ちても大丈夫な構成にしているはず。

よもやま

AWSはデータセンターの場所は公開していない。
TY2は、データが素通りするだけで、データやストレージはそこにはない。

L3&L4　AWSにおけるIPv6対応状況

アマゾンウェブサービスジャパン　
荒木靖宏さん

最新ネタ
VPCのCIDERが編集できるようになったよ！（ipv6は未対応）

IPv6は世界中で使える

冗長化した100GｂEのネットワークが張り巡らされた
ファイバ切られても大丈夫！
中国は除く（大変・・・）

AWSサービス数は諸説あるが、数え方で120とも140とも取れる。
利用者は普通、VPCでv6を使いたい。
パブリック利用するサービスは、大体v6対応している。

v6の歴史

AWSはお客からサービスを考える

CLB

一番先に対応したのはELB（CLB＠VPCクラシックのみ）
CLBのインターネット側をv6で受けて、v4に変換する方式
v6利用はオプトイン（任意利用）
2011年5月から

AWS IoT

ローンチ時からv6対応
想定デバイス数は1億とかザラなので、スケールできるように。

対応時全く反響なかった
v6ネットワークは早いのでおススメ

CloudFront

対応してます！

AWS WAF

ローンチ時からv6対応
ALBはv6対応してないので、CFのみで利用可能
ブラックリストIPは10,000書けるけどv6からしたら少ないよね

Route53

NSでv6書ける
v4死んでもサービス継続！

ALB

CLBより早くて安い（ほとんどの場合）
これからのメインストリームなので、CLBから乗り換え推奨

VPC

ヂュアルスタックで利用可能
v4はデフォ、v6はオプトイン
時々は、マネコンで表示してあげて！
グローバルユニキャストアドレスを使う
1:1のNATは存在しない
従来のプライベート安全神話は存在しない。
Egress Only Internet Gateway
外からアクセスできないことを保証
GUAは、ルートテーブル、NACL、SGは自分で別途設定

ダイレクトコネクト

BGPでもv6対応しているので覚えてね

全体として

Amazon保有のv6アドレスだけで、提供している。

セキュリティの話

VPC Flow Logsもv6対応している。
s3料金のみ
kibanaで可視化するのがいいかな

L5&L6&L7　AWS WAF の話とSecurity Automation の紹介

アマゾンウェブサービスジャパン　
桐山隼人さん

AWSは、データ領域のセキュリティはユーザー責任範囲としていたが、その領域のセキュリティを語るのは感慨深い
上司の前でのプレゼン。。。
今日のテーマは、AWS WAF
生まれたばかりのサービス
会場の半数が利用している
今日の回でWAF好きを増やしたい

いいところ

脅威から保護
API連携
簡単デプロイ
トラフィック可視化
従量課金

最近のアップデート

HIPAA準拠
レートベースルール

大量リクエスト送信元IPを検知
5分間隔
CloudWatchやLamdaのカスタム呼び出しも可能

OWASP Top10対応

推奨WebACLとルールを含むCFnテンプレートあり
ホワイトペーパー出てる

AWS WAF Security Automation

つい1-2か月前にアップデートされてる（！）
デプロイ、アナライズ、プロテクトの自動化

デプロイの自動化

CFとALBむけスタックがそれぞれ用意されている。

アナライズの自動化

トラフィックの振る舞いから不正なアクセスの自動解析
ハニーポット的なAPIGatewayを用意して、にアクセスしてきているスクレイバやボットを引き寄せ
ログをLambdaで解析
IPブラックリストをダウンロードしてIPリストに登録するスクリプト（Lambdaで定期実行）

プロテクションの自動化

解析結果に基づいたWAFルールの自動作成と適用

今までのインシデントレスポンス

これまでは、セキュリティエンジニアが手で行っていたことを代替

もう一歩先

Domain Generation Algorithmsによるドメイン名からの通信をブロックしたい

リファラにあるドメイン名から、DGAによるものかを自動判定するアプローチはどうか

機械学習を使う

教師データ：Alexa Top 10,000, 既知のフィッシングサイト
評価データ：CFのログをパース

PoCの結果は、1％の誤検知だったが、まだ進化できる。

QA

DDoS対策はどうなの？

来週ブラックベルトありますよ！
L7向けの対策にはなる

L7+：AWSユーザー向けサイバーリスク保険の概要および活用方法

東京海上日動火災保険
上田哲也さん

商品公開した瞬間に賛否分かれた
否側は、AWSは安全だという論調（リスク商品は営業妨害）
最終的にAWSのお墨付きを貰った。
クラウド推進のための商品

変遷

2016年の販売開始から、クラスメソッド、サーバーワークス、NECと事業者との業務提携

概要

AWSに障害が発生した際、AWSウーザーが被る損害を補償する
損害賠償請求・弁護士費用の他に、調査対応費用（超過人件費、情報漏えい見舞金、お詫び広告費用）も補償範囲

ユーザー責任部分に起因して発生した損害の補償は、個別設計が必要
アプリケーションの種類でりすくが全く異なるので個別になる。

QA

加入単位は？

アカウント単位で加入可能
アカウントごとに明確に業務を区分できる場合に限る

発生時手続き

利用者による原因の証明が必要

支払い

一括でも分割でも

購入方法

個別契約モデル

ユーザーが代理店を通じて契約

パートナー連携モデル

パートナーのサービスに入ってもらえると、自動適用されるモデル

活用方法

リスクの移転手段としての活用が有効

発生時の影響が大きいリスクには移転という考え方が有効（地震や火災）

社内調整時の活用

クラウド使いたいけど心配対策
情報漏えいなどセキュリティに不安、ネットワーク安定性に不安など
利用開始前の法務、上席対策に活用

付加価値として既存サービスに組み込む

サービスに入ったら、無料でついてくるよ！という見せ方
無料で保険を配る場合は、免許は不要（保険募集的な説明をパートナーが行うことも可能）

プロジェクトごとに個別付保

保険が必要なプロジェクトやユーザーごとに付保する。
無料配布はできない。
保険販売の資格を持っている人が説明しないといけない。

宣伝

プロジェクトリスク保険

自社の業海洲等によって発生する損害をカバー
事故が多いので、保険料が高くなってきている
TeamSpiritさんのサービスでは、サービス料に混ぜ込むものもある

QA

AWS障害を証明するのはユーザーだが、証明は調査料は支払われるのか？

支払われる

証明できなければ？

支払われない

支払いの実績はあるの？

守秘義務に抵触。。。

DNS障害でAPIを引けないことに起因する障害では、保険料請求はあったか？

なかった
損害賠償請求と調査対応費用がかからないと支払われない
日本はリスクが低い

対応費用の上限は？

デフォルト：損害賠償は1億～10億、自社対応費用は1億限定
使った額が支払われる

Azure、GCPは？

対応しました。
名称は別で用意してます

L0：絶対に覚えておきたい物理的標的型攻撃対策１０＋３のコツ

Works Mobile Japan
伊藤成幸さん

全員起立でセッション参加！
スライドの1/3が自己紹介
元陸自、海自
きりしまでソナー担当
20ミリ機関砲　アンチウェポンシステム（AWS）

呼ばれた経緯

怖いお兄さんからLT依頼

レイヤ0

金曜夜に起きること

酔っ払いとコリジョン
同による標的型攻撃
同DoS

今日は標的型

都内犯罪について

東京は日中と夜間の人口の差が激しい
無事に帰るための心構え

脅威の発見：監視振る舞い検知

脅威はいきなり現れない
だんだん近づいてくる
歩きスマホは危ない！
周りをよく見て、違う動きをしている人を検出

脅威の評価：見た目、距離、火力、つよそう

銃を持っている人は、時間と距離をゼロにする

脅威への対処：落ち着く、排除、離隔

大声を出す（声を出して落ち着く）

通報

正当防衛でも、警察は先に110番されると通報者を被害者として扱う
倒したらすぐに110番！

準備

時計を外す、ヒールを脱ぐ
準備体操
元気よく！

想定シチュエーション：金曜夜に新宿駅で酔っ払いに絡まれたら

足を一歩前にして、押されても倒れないように
重心を少し下げる（少し腰を落とす）
ちょっと頭を下げる（顔を守る：ディフェンス重視）
ファイティングポーズを構えると開戦するので、ごめんなさい（手を前に）
重心がある足を意識して、ピボット（どこでも正面にできるように）

腕をつかまれたら

手を開く
腕が少し太くなるので、指の隙間から抜けやすくなる
重心が低くないと、腕が抜けない。重心を意識！
抜けたら逃げる！

抜けなかったら小手返し

利き手で相手の手首を取る
相手の親指の付け根を取って、そのまま捻る（手の甲にもう片方の手を添えるだけで極まる）

胸ぐらをつかまれたら

半身ごめんなさいの体勢から（とにかく顔は守る）
距離を詰めて、相手の顎を掌底で突きあげて、そのまま倒す

羽交い締めされたら

左足を相手の足の間に入れながら、体ごと捻りかえる。
相手の重心が崩れるので、後はやり放題

モノ（女性向け）

防犯ブザー
催涙スプレー

最近のは麻薬中毒者にも効く
護身で持っていても大丈夫との最高裁判決

ライト

200ルーメンの強力なやつ
押し付ければ痛い
暗い場所なら、めくらましに使える。
フラッシュモードで相手の距離感を殺す
車内では天井にバウンスさせれば書類も見える
ハイボールに入れればキレイ（バーで使えば女子ウケ抜群！）

素晴らしいライフハックでした！

今日はここまでです。
お疲れさまでした！

NW X Security JAWS勉強会 #1レポート