LOCAL Developer Day Online ’21 /Security に参加してきたよ
Developer-First Securityという考え方
LOCAL Developer Day Online ’21 /Security
— LOCAL (@local_hokkaido) September 4, 2021
はじまりました〜
Session 1.
Developer-First Security という考え方
講師: 米内 貴志 (株式会社Flatt Security 執行役員 CTO)#ldd21sec pic.twitter.com/aJpdm7gsF4
- Developer-First Security の背景
- 設計・開発者が安全にものを作れるとセキュリティってよくなるんじゃない?
- セキュリティの範囲は広い
- 人によって「セキュリティ」が指すものは違う
- セキュリティに関わる人も多い
- 設計・開発者が安全にものを作れる環境が大事では?
- 安全にものを作れるよいプラクティスはあまりないのではないか
- うまくいっているセキュリティプロダクトにはDeveloper-Firstという共通点がある
- これまでのセキュリティプロダクトに課題があった
- すぐ使えない、コストが高い
- UXが常人向けではない
- 開発者の環境になじまない
- セキュリティプロダクトでうまくいっているスタートアップの共通点としてDeveloper-Firstという考え方があるようだ
- Developer-First Securityとは
- 1. 開発者の活動圏にとけこんでいく
- 開発フローに組み込める製品にすることで開発者のセキュリティへの関心や行動を自然に引き出すようになっている。ツールに密結合したりしている。
- ex.) Snyk:GitHubと連携して改善のアクションまでをサポートしている
- ex.) GitHub:数多くのセキュリティ機能を展開している。
- 2. 開発者の技術スタックにとけこんでいく
- 例えば認証処理なんかは要件が複雑になりがち。ここをサービスとして提供することで技術スタックに押し込む。認可のサービス化もあったりする
- ex.) Auth0
- ex.) build.security
- 3. 開発者の手元にとけこんでいく
- 例えばDevOpsは開発者と運用者の間を埋めるものだった。DevとOpsが一緒のもの"コード"を見ることができるようにした。
- セキュリティチームの扱っていたものを"コード"で保湯元可能なものに変化するとDevSecOpsとして進化するのではないか。いくつか取り組みがある
- Policy as Code
- Open Policy Agent(この考え方をもとにした実装としてGatekeeperがある)
- InSpec
- "セキュリティ専門家"への期待が変化してきている
- 開発者の外側でセキュリティの専門家として君臨する存在から、開発者と協働して知識をプロダクトの形で民主化する存在へ
情報セキュリティ勉強会(SC4Y)のご紹介と技術を学び続ける価値について考える
LOCAL Developer Day Online ’21 /Security
— LOCAL (@local_hokkaido) September 4, 2021
Session.2: 情報セキュリティ勉強会(SC4Y)のご紹介と技術を学び続ける価値について考える
講師: 砂原 悟 (公立千歳科学技術大学 助教)#ldd21sec pic.twitter.com/oaxtKQpsYe
- 困難な状況をなんとかやっていく
- 困難とは?自己実現
- 自分自身のストーリーの中での自己実現の困難さがある
- それって情報セキュリティとどういう関係が?
- これまでセキュリティに関わる法律が1980年代から施行されてきた
- 情報モラル教育は2008年から開始
- サービスを開発するときは違法じゃないことでも時代の変化と要請に対応していく必要がある
- 若者がセキュリティを学んでいく場としてSC4Yを立ち上げた
- 情報セキュリティを1人の力ではまかないきれない
- 技術を学び続けることが時代をサバイブする手段では?
製品セキュリティのお仕事
- PSIRTとは(Product Security Incident Response Team)
- 自分たちの製品のセキュリティに注目して活動するチーム
- CSIRTは組織が対象、PSIRTはプロダクトが対象
- やっていること
- 脆弱性の検出・評価
- 脆弱性情報の公開(第三者機関での脆弱性診断を受けている)
- 製品セキュリティに関する相談窓口
- 開発者をセキュリティの視点で支援しているよ
LOCAL Developer Day Online ’21 /Security
— LOCAL (@local_hokkaido) September 4, 2021
スポンサーセッション:
製品セキュリティのお仕事
講師: 長友 比登美 (サイボウズ株式会社 開発本部Cy-PSIRT)
PSIRTについて、バグバウンティについてご紹介いただいています
LOCAL プラチナ法人会員 サイボウズさま
ありがとうございます#ldd21sec pic.twitter.com/0tXJYiNzXz
タイでの生活やセキュリティ教育について
LOCAL Developer Day Online ’21 /Security
— LOCAL (@local_hokkaido) September 4, 2021
Session.3: タイでの生活やセキュリティ教育について
講師: 土居 茂雄 (国立高等専門学校機構)
今日は録画でご登壇いただいています。
懇親会にはいらっしゃいますので、ご質問があればハッシュタグをつけてお願いします!!#ldd21sec pic.twitter.com/yybqEDPbAn
- タイ:飛行機で6-7時間、GMT+7、道民的には常夏、乾季と雨季がある
- 高専:道内に4つある
- タイ高専
- 「タイに高専を輸出する」プロジェクトで2校設立
- KOSEN-KMITL
- KOSEN-KMUTT
- オンライン授業
- すべてのFace to Face イベント中止、オンライン授業に
- 宿題回収:Google Classroom
- オンライン中継、ホームルーム:Microsoft Teams
- PythonとかPMBOKとか教えている、後期は実習もある
IoTとセキュリティ
LOCAL Developer Day Online ’21 /Security
— LOCAL (@local_hokkaido) September 4, 2021
Session.4: IoTとセキュリティ
講師: 湯村 翼 (北海道情報大学 情報メディア学部 情報メディア学科 准教授)
15年ぶりに北海道に帰ってらした湯村先生です!#ldd21sec pic.twitter.com/uxqo470g8C
- セキュリティあんまり専門じゃないんで、話題提供として聞いてね
- スマートスピーカーのセキュリティリスク
- 子供がドールハウスを注文しちゃった事件
- バーガーキングのCMで「OK, Google, What's wapper」
- 動画配信のコメント読み上げで「私の住所は?」
- 録音されている?
- いまは改善されていると思われる
- Audio Adversarial Examples
- 人間にばれないようにスマートスピーカーへ命令できちゃう
- (デモがあったけど、まったく判別不能だった)
- 行動認識
- 音とか電力消費とか、トイレットペーパーの巻き取り方(!)とか
- 漏れても問題ないと思ったら思わぬ情報が漏れることもあるんで、よりプライバシーへの配慮が必要そう
- IoT機器をターゲットとしたマルウェア
- Mirai(2016):ネットワークカメラ、家庭用ルータ等のLinux機器をターゲット
- 最近はIoT機器を模したハニーポットが研究されていたりもする
- IoTセキュリティ大事
ライトニングトーク大会
- レゴプログラミングで学ぶ、7歳からのセキュリティ(再演版)
- 作例に金庫があった。ルパンレンジャーvsパトレンジャーで興味を持った
- 作ったあとに改造してきた。ダイヤルを回す回数を増やしたらセキュリティが頑丈になる!...と思う
- 同じキットで二要素認証の体験ができるのでは?と思ったけど、まったく別のものに組み変わっていたw
- 七年半ぶりに本で人をつなぐ企画をやりました
- 2013年のLOCAL学生部でやった企画の焼き直しをやった
- 本プレゼント企画
- Amazon経由だと住所等の個人情報を一切受け取らずに自宅に発送可能だった
- 参加者15人に対して40冊以上の推薦が集まった。送りきらん
- 即効性はなくとも長い人生のどこかで聞いてくるはず。新しいなにかにふれること大事
- SecHack365で思索する
- (SecHack365とはー、と思っていたら終わっていた...)
コメント
コメントを投稿