前回から約三か月ぶり。OWASP Kansaiのイベントにおじゃましてきました。
https://owasp-kansai.doorkeeper.jp/events/179740

会場は京都産業大学。おうちからだと、どんぶり勘定で片道2時間半以上。 それなりに早目に出かけたのですが、道中に立ち寄った京都駅がトラップ。
年末年始休暇初日ということで、買い物客や観光客が多いだろうなというのは予想していましたが、今日はこれに加えて新幹線のトラブルが直撃。
https://www.nikkei.com/nkd/company/article/?DisplayType=1&ng=DGXZQOUE2809O0Y4A221C2000000&scode=9021
奮発して八条口の駅ナカで豪勢な昼食を取ろうとしたのですが、駅構内は改札周りを中心に、コミケ会場に匹敵するくらい人があふれかえっていました。インフル大流行下でのこの場所は身の危険を感じるレベル。一旦アバンティ方面に逃げてました。おかげさまで、現地には大遅刻ですよ。

　

今回のお品書きは下記。

1. KDL-Hardening
2. 社会人の講演
3. 学生さんのLT

いつも通り「おうち帰ってレポるまでがイベント」「アウトプットしないのは知的な便秘」の精神のもと、忘れないうちにメモを残しておきます。
可能な限りスライドのリンクを貼ってみましたが、最新版は上記公式サイトに全部載ると思いますので、そちらに任せます。

1. KDL-Hardening

神戸デジタル・ラボさんが運営しているAWSのハードニングメニューです。
本来は45分の競技→ネタバレ解説→45分の競技（やり直し）という流れだそうですが、タイムテーブルの都合で今回は45分の競技とプチ解説のみ。
フルスペックで体験したい場合はKDLさんのイベントをウォッチしておいたらよさそうです。ちなみに、次回は1月24日だそうです。
https://kdl-hardening.connpass.com/event/336462/

内容はネタバレ禁止とのことで、公開されている範囲のみで書くと、AWS Foundational Security Best Practices v1.0.0に沿った脆弱なAWS環境＋αを直していくといったところでしょうか。
最初は危険度高そうなものから優先して直した方がいいかなと思ったのですが、途中からそうも言ってられなくなり、とにかく簡単に直せそうなものをつぶすという形になってしまってました（実業務ではよろしくない進め方かもしれませんが・・・）。
大遅刻で環境はもちろん接続方法もおぼつかない状態で臨みましたが、終わってみたら自分が所属してたチームがいいスコア取れたようで何かもらえちゃいました。

　

2. 社会人講演：生成AIを活用したSlack Appではじめるスケーラブルなセキュリティインシデント対応訓練

• スライド
• 実効性があってかつ運用負荷のないインシデント対応訓練を、生成AIとSlack Appを使ったチャットボット「Phonenix Bot」で実現した
  
  • インシデントの対応訓練と訓練記録を行う
• リスクへの対応（軽減、受容、移転、回避を考えながら、いかに安全に物事を進めるか）
• NIST Cyber Security Framework(CSF) 2.0
• インシデントは起こってほしくないときに起こる
  • PagerDuty社のセキュリティインシデント対応マニュアル（Incident Response Documentation）
• Phonenix Bot
  • システム基本構成の考え方：とにかく維持費を押さえる
  • プログラム本体
    • 訓練の内容はソースコードにない
    • プロンプトインジェクションがんばってる
  • MIXIがGPT4使ってインシデントハンドリング訓練をやっているのを参考にした
• その他
  • HACK THE NIKKEIでAdvent Calendar 2024をやっている
• 質疑応答
  • 日経さんにおけるエンジニアとしての醍醐味は何か？
    →登壇のような発信は、手を上げればいくらでも出ていいという文化があること

3. 社会人講演：これからの脆弱性管理　〜SBOMだけじゃないサプライチェーンセキュリティに求められるものとは〜

• 本日時点で資料は会社の許可をもらってないらしい（苦笑）
• サプライチェーンとインシデント
  • Lineヤフー（買収先がやられた）
  • Log4j/Log4shell
  • SolarWinds（アップデート先が侵害された） etc
• 文脈による、サプライチェーンセキュリティの意味合い
  • 企業活動におけるサプライチェーン
  • 製品/サービスにおけるサプライチェーン（本件はこっち）
• サプライチェーン攻撃の概要
• 製造業とソフトウェア産業での、感覚の違い
  • 製造業：法的に必要
  • IT/WEB/ソフトウェア産業：セキュリティ対策で必要
• 最近のサプライチェーンセキュリティ
  • 外部のコンポーネントを使って作っているので、それらも大丈夫かを確認する必要がある
    →SBOMによる情報の透明性（トランスペアレンシー）が求められている
• 求められているサプライチェーンセキュリティ
  • 諸外国での法制化の動きをみると、3～4年後には運用本格化されると見込まれる
    • 米国（SBOM）
    • 英国
    • EU
  • 国内での動向
    • 経済産業省「サイバー・フィジカル・セキュリティ確保に向けたソフトウェアの管理手法等検討タスクフォース」
    • 全体像：SBOM作成のほか、開発から運用までフレームワークを整える必要がある(SBOMだけあればいいという単純な話ではない)
      • SBOM
      • SLSA
      • Secure Software Development Framework（SSDF）：NIST SP800-218
      • Vulnerability Disclosure Program（VDP）
    • 日本ではできるだけ法的拘束/罰則を設けずに取り組めるような形にしたいという動きがある
      • 補助金
      • 政府調達案件での入札における加点要素
    • 結論
      • システム開発/運用するときは、今のうちに上記を見越して作っといた方がいいよ
• Appendix
  • リスクの定義
    • 一般論
      • リスク＝脆弱性（それ自体の影響CVSS Scoreなど）×発生可能性（脆弱性を使われる可能性KEVC,EPSS、校正など）×影響（保有データなど）
    • OWASP Risk Rating Methodology（リスク格付け手法）
      • リスク＝可能性×インパクト
  • リスク対応の考え方の変化
    • これまで：アップデート行うか否か
    • これから：リスクに対する対応
• 質疑応答
  • 政府調達案件でISMAP取得が必要とかあるが、これが講演の内容に置き換わると思ったらよいか？
    →経産省の動きがなかなか見えてこない
  • SBOMはバイデン大統領が宣言したけど、トランプさんになって変わるのではないか？
    →たぶん大枠は変わらないと思われる
• 所感
  • SBOM界隈、SBOMを取ること自体が目的化してしまってる感・・・

4. 学生LT：情報モラル皆無からモラルを得る話

• 情報処理暗線確保支援士に合格して費用や倫理綱領を考えるようになった
• どうやって技術者倫理を身に付けたか
  • 情報倫理がなかったとき
    • 匿名だった
      • 幼少期から性格がいたずら好きだった→好奇心から相手が驚きそうなことをしていた→匿名性が影響？
  • 実名を公開することが増えて、インターネットで悪いことをするとマズイという意識が芽生えた
    • ネットで悪いことをする＝リアルで犯罪をしている
    • SNSを実名化することで意識できるようになった
• 質疑応答/コメント
  • 情報倫理を意識するようになったとは？
    →みんなから注目される（村八分を気にするようになった）
  • 情報倫理の講演にリバースエンジニアリングを出したのはいい考え
  • 破産者マップで実名が公開されたのでまずいのではないかというのがあるがどうか？
    →必ず親とつながっておく（講演者は親の監視下にあるが、高校生卒業したらいいんじゃない？と思っている）
    
    • 韓国は実名制になっている（弊害もある）

5. 学生LT：rootful, rootless, privilegedコンテナの違い

• スライド
• Namespaceの解説
• rootlessコンテナの仕組み
  • rootlessコンテナの利点
    • コンテナランタイムの脆弱性によりコンテナブレイクアウトされてもホスト側には影響が出ない
  • rootlessコンテナの制限
• Kubernetesはrootlessコンテナをサポートしていないが、User Namespacesをサポートする動きがある
• 特権コンテナ（privilegedコンテナ）
  • ホストのrootと同じ権限持つ
    →要は何でもできるので本番では使わない方がよい
• Container Security Book

6. 生成AIの書いたコードを見破れるか

• 競技プログラミングのサイトでは生成AIの利用は禁止もしくは制限がある
• プログラムコードをAIが書いたかどうかを見破る
  • 論文やテキストだとAIチェッカーがあるが、プログラミングコードを見破る方法についての研究はない（講演者の観測範囲）
• 実施方法
  • 人間ががんばって見破る
  • ChatGPTに見てもらう
• 結果
  • 生成AIの作成したコードを見破る方法はない
  • プログラムコードには特徴などが出ることがある
• 質疑応答
  • AI作ったものに対する著作権に困っている。人が作ったっぽいものの特徴ってどんなものでしょうか？
    →間違ったものをコメントアウトで残しているケースかなあ（人間味ありそう）
    →その類のものに著作性はない
  • 競技プログラミングにおけるAIの回答の正解率は？
    →最新であるほど高い。GPT4だと基礎的な問題のコンテストだとほぼ当たる。ある程度思考必要なものは50％も行かないと思う（感覚的に2～3割程度とみている）
  • 学生のレポートでAI使ってるのはわかるものか？
    • 突然格調高い文章が出てくると追える。過去の系譜を追えばある程度はわかる。授業の枠をはるかに超えたのはわかる。そういう答えを出せる課題を出す人間が悪い。
    • 「AIが書いたと思われる論文」についての論文があった。普段使わないと思われる表現が出てきた。プログラムの場合は特徴的なところがなくなる可能性がある。