Embed Size (px)
Citation preview
セキュリティ・キャンプ参加してみた
@nekoruri
2015-08-25 #ssmjp
そもそもの発端
•去年本書いた
•クラウドセキュリティクラウド活用のためのリスクマネージメント入門
•翔泳社より2014年05月16日発売
• http://amzn.to/1ESJJzd (Kindle AA)
2
ニフクラ本だけどお題目さえ書いてあれば関係ないよねっ
•ケース4 スマートフォンアプリ
• スマホアプリの捏造話
• VagrantとかDockerとか
• リクエストをミラーして負荷試験
• The Twelve-Factor Apps
•ケース5 ECサイト
• TLSというかCAの品質話
• Heartbleed
• CloudHSM
3
突然Facebookのメッセージが来た
『クラウドセキュリティの本を拝読いたしまして、クラウドのサーバ管理のセキュリティといったテーマで講義をお願いできないかと』
「セキュリティ担当、と言うわけじゃ無いんですが、だ、大丈夫でしょうか……」
こんな流れで講師になることに……
4
試練の数々
•講師キックオフ
• なんか名前知ってる有名人がたくさん居る……(((( ;゚Д゚))))
•選定会議
• 10+ページ×228枚のPDFを熟読して投票する簡単なお仕事
•テキスト作成
• 印刷締切を落とした
•受講者用PCの準備
• Vagrantのイメージ作成(夜中の変なテンションでPacker試してみた)
5
最終的な講義内容
•「クラウドセキュリティ基礎」 2時間
• http://www.slideshare.net/nekoruri/seccamp2015-cloudsecurity
•「クラウドセキュリティ実習」 2時間
• AWSのIAM Userを渡して遊んでもらう
• クラウドをAPIで操作してみる
• IAM+CloudTrailsでの監査ログを眺めてみる
• LBを挟んで無停止でパッチあててみる
6
ポイント
•受講者は学生(中学生~大学生)
•とにかく「考え方」「キーワード」を印象づけて覚えてかえってもらうことを目的に
•印象付けの道具=何が刺さるか分からない
• 「アメーバ」「社畜めう」「サンパウロ」
•能動的に考えて欲しい⇒2カ所でディスカッション
• 「家畜」であるクラウド環境のサーバならではのリスク
• 「キー」があればAPIでなんでもできることのリスク
•セキュリティ・マネジメントの観点で〆る
7
オチ
•クラウドセキュリティ実習2時間
•うち40分はネットワーク障害\(^o^)/
8
まとめ
•アウトプットがあるとどこで誰に刺さるか分からない
•『アウトプットしないのは知的な便秘』
9
