TECH COMPASSのイベントに参加してきたのでメモです。
概要
『開発エンジニアのためのセキュリティ★ナイトフィーバー!!』~セキュリティインシデントと向き合うためのTIPSを達人たちから学ぶ夕べ
- Twitterまとめ : http://togetter.com/li/700064
内容について
セキュリティ関連で活躍されている方4名が登壇し、ディスカッションするという内容でした。
前半はセキュリティ関連の情報収集のしかたについて、
後半は実例から読み解く技術トレンド
をテーマにした話でした。
討議内容メモ
セキュリティ関連の情報収集のしかたについて
- RSSリーダーやTwitterから収集
- 1~1.5万件/日 くらい見るが、色分けしたりキーワードでフィルターしたりしている
- 忙しいときは優先度をつける(セキュインコさん)
- PocketやEvernoteに蓄積
- 通勤中にストックして会社で読む など
- 蓄積したものをあとでまとめて公開したりする
- 情報を見るポイント
- reddit?などでサマリーをチェックし、Twitterのトレンドを確認したりする(新井さん)
- ソース情報に注意する。脆弱性が公開されているものか、ベンダーが発表しているかなど(セキュインコさん)
- 攻撃データが公開されたかをチェックし環境(言語・バージョン)ごとに動くかどうかを確認する(辻さん)
- 影響度・緊急度の判断は以下の点をチェックしている(セキュインコさん)
- 悪用(攻撃)の有無
- 情報の展開状況 どこまで広がっているか:マスメディアが報じているか
- 悪用されるとできること
- 攻撃方法の公開有無
- 攻撃の容易性
- 評価環境での検証
- 信用できる専門家のTwitterから判断する
- わからないときは発信元に直接問い合わせる
- セキュメモ:情報が早く、まとまっている(セキュインコさん)
- 情報の開示・拡散について
- ベンダーによって情報の粒度が異なるので、公開する情報も一定の基準になるような風潮にしていきたい(辻さん)
- 誤報のあとの訂正情報が拡散されないことが多いので、訂正情報も積極的に拡散すべき(辻さん)
実例から読み解く技術トレンド
- マルウェアについて
- 感染したらアウトだと思っている人が多いが、感染した後の対策を準備しておくことも重要
- 不正送金マルウェアが増えてきていて、最近は法人をターゲットにする例も多い
- ターゲットについて
- 不正送金が最終目標だとしても、システム開発者が狙われることも多い。 →一見無関係でも油断できない
- 中で使っているプラグインから攻撃される場合も
→プラグインを把握していなかったり、プラグイン自身が脆弱性を放置している場合もある
- 更新について設計段階で考慮されていない場合が多い(セキュインコさん)
- パスワードについて
- パスワードの強化が叫ばれているが、パスワード仕様に制限がある場合も多い(文字数上限、記号使用不可など)
- パスワード仕様が脆弱でも顧客が減らないことも影響しているのでは
- 強力なパスワードを作れるサービスをもっと賞賛すべき
- インシデントへの対応について
- 脆弱性指摘への対応も重要(いろいろな人に見られている)
- 想定した窓口へ連絡が来るとは限らないので、その場合にもキャッチできるか、体制の準備も重要
そのほか(ひとこと・質疑など)
- 正規ソフトのアップデートでマルウェア感染することもあるので、出所をチェックする習慣があったほうがよい(根岸さん)
- コミュニケーションツールを使った成りすましは今後も類似のツールで発生する可能性があるので要注意(セキュインコさん)
- ネイティブアプリ開発ではOS側のセキュリティ機構を利用するのも有効(新井さん)
- セキュリティ攻撃も多様化しているので、自分の守備範囲以外にも手を広げることが重要
- また、情報を拡散するなど、みんなで解決していくアプローチも重要(辻さん)