こちらのイベントにおじゃましていました。
https://owasp-kansai.doorkeeper.jp/events/172199
会場は大阪京橋にあるQUINTBRIDGEというNTT西日本さんのイベントスペース。
https://www.quintbridge.jp/
めちゃんこきれい&豪勢なところであわあわしていました。
内容は前半に基調講演的なものが4本。
休憩と歓談タイムを挟んだ後、後半はLTと複数のBoFの同時開催で、
参加者各人は見たいものを見に行くというものです。
おうち帰ってレポるまでがイベントの考え方のもと、以下、わからんなりの殴り書きメモです。
講演によっては後ほど資料が公開されるようなので、詳細はそちらを参照ください。
1. オープニング
- OWASPとは
- Open Worldwide Application Security Project(みんなの力で世界中でつくられたもんのセキュリティを何とかする活動)
- 一昔前は「みんなの力で ウェブで できたもんの セキュリティを 何とかする活動」だったけど、変わったっぽいですね
- 双方向コミュニケーションを大事にしている
- Open Worldwide Application Security Project(みんなの力で世界中でつくられたもんのセキュリティを何とかする活動)
- OWASP Kansai 10年の歩み
- 2014年3月スタート
- 参加回数ランキング出てきてビビった
- 2022年2月時点で6位だったのに、いつのまにか4位に上がってた^^;
- 記録が残っている限りでは、自分の初参加は2014年6月のLocal Chapter Meeting 2ndだったようです
- OWASP Kansaiといえば卓球バーですよね!
- 某氏の次のステージ公開
2. OWARAI Top 10
セキュリティネタを題材に活躍されているお笑い芸人さんによるステージ。
めっちゃおもろかった。普段は脆弱エンジニアの日常という動画を公開されているそうです
3. 子供と保護者とセキュリティ意識
- 2000年以降の各種サービスと子供の年齢/学年
- 21世紀初頭に生まれた人が既に成人
- LINEってサービス開始から10年以上経ってたのか・・・
- 2020年以降GIGAスクール構想による1人1台端末の実現
- 某市の学校提供の端末のルールに苦笑(そして、ルールの抜け道探すやつは必ずいる)
- その他オフレコネタあり
4. OWASP Top 10 Proactive Controls 2024で始めるセキュリティ
- 景気づけに朝から自転車で六甲山登ってから来たので既にHPは2
- OWASP Top 10とOWASP Top 10 Proactive Controlsの違い
- Top 10
- リスクを示したもの
- Proactive Controls
- Top 10のリスクが起こらないようにするための実装リスト(前回更新は2018年)。このリストはすべてのアーキテクトと開発者が知っておくべき
- SSRFが切り出されてるのね・・・
- 触りしか書かれていないので必ず参考文献を読むこと
- Top 10
- Proactive Controls C1の説明
- 事前にアクセス制御を徹底的に設計する
- OWASP Top 10 Proactive Controlsは、包括的な技術や実践の集合ではなく出発点
5. EPSS(Exploit Prediction Scoring System)モニタリングツールの開発
- デモとFAQは撮影禁止
- CVSS4.0を用いた脆弱性評価
- EPSS
6. BoF「AWSのセキュリティインシデントへの準備と対応」
- アクセスキーが漏れたことによる影響の事例
- 設定不備によりS3から情報が漏れたシナリオを題材に、AWSの各種サービスを使って確認するデモ
- CloudTrail
- Athena
- 取得したデータ量で課金されるため、クエリの書き方をしくったら、あっという間に費用に跳ね返る(Athenaって、これがあるので試しづらいのよね・・・)
- GuardDuty
- 過検知と検出漏れがちょこちょこある
- 最近のS3はデフォルトで非常に厳しい制限がかかっているが、7年前に構築したS3は結構ガバガバなので、それが今になってインシデントにつながるケースがある