SlideShare ist ein Scribd-Unternehmen logo

OSS_Security_Sig_20170516_RSA_Conf

S
SecureOSS-Sig

OSSセキュリティ技術の会 第一回勉強会 中村氏 講演資料(RSA)

Software
1 von 13
Downloaden Sie, um offline zu lesen
© Hitachi, Ltd. 2017. All rights reserved. OSSセキュリティ技術の会第一回勉強会 株式会社 日立製作所 OSSソリューションセンタ 2017/5/16 中村 雄一 RSA Conference USA 2017報告
© Hitachi, Ltd. 2017. All rights reserved. 自己紹介 1 名前: 中村 雄一 SELinux徹底ガイド(日経BP社) 2004年3月 ・ SELinux Policy Editorを開発、公開。 現在は飽きてメンテ停止、コンセプトは良かったと思うのですが… 所属企業と全く関係ないところで使われてきた模様 ・ 他組込み向けSELinuxなどを開発、Ottawa Linux Symposium, USENIX LISAなどで論文発表 ・ 2007年頃に一度OSSワールドから引退、別の仕事をやっていました。 ・ その間にSELinux関連開発をまとめて博士号取りました。 ・ 時代が一巡し、OSSセキュリティが再び求められ、復帰しました。 ・ 2001年から旧日立ソフトに入社し、SELinuxの研究開発や布教。 SELinuxユーザ会を立ち上げたり、(たぶん)世界初のSELinux書籍を執筆。
© Hitachi, Ltd. 2017. All rights reserved. ・ 日程:2017年2月13日(月)~17日(金) 場所:Moscone Center, San Francisco, CA, USA ・ 世界最大級の情報セキュリティのイベント、大量のセミナと展示会から成り立つ ・ 今回の参加者は40,000人以上 RSA Conference USA 2017概要 2 基調講演の一つ、10,000人以上出席 展示会場の様子 憧れのNSA(SELinux開発元)ブース
© Hitachi, Ltd. 2017. All rights reserved. OSSセキュリティについての主なトピック 3 普通のセキュリティの話題もいっぱいありましたが (ランサムウェアとかIoTとか) OSSセキュリティに関するトピックのみを紹介します 1. コミュニティのレベルでのセキュリティ強化 - Linux Foundationの取り組み - CVEの新たな動きについて 2. コンテナのセキュリティ 当日のセッションの動画は以下で見れます。 https://www.rsaconference.com/events/us17
© Hitachi, Ltd. 2017. All rights reserved. Linux Foundationの取り組み(1/2) 4 ●Collaborative Security Securing Open Source Software By Nicko van Someren (The Linux FoundationのCTO) ・ OSSのセキュリティは商用ソフト以上でも以下でもない。 ただし商用ソフトとの違いとして、コード重視、たくさんの人間が開発、 プロセス は後付、security firstのプレッシャーが少ない等。 ・ OpenSSLの事件を踏まえ、CII(https://www.coreinfrastructure.org/)を設立。 ・ コミュニティ開発者の意識向上が重要! ・ 脅威モデル作成 Card game(elevation of privilege threat model card game)というOSSツール https://www.microsoft.com/en-us/SDL/adopt/eop.aspx ・ Change controlする ・ テスト必須。重要。テストも一緒に提出させる。 ・ コード分析・ファジングツールを使う。商用製品高いが、OSSもある。 OSSの例としてはSonarCube, FramaC, AFL等。 ・ バグ管理必須 ・ OSSユーザ側へのお願いとして、タダ乗りしないでほしい。 バグレポートやパッチなどの貢献をしてほしいと強く呼び掛け。
© Hitachi, Ltd. 2017. All rights reserved. Linux Foundationの取り組み(2/2) 5 なお認定基準は: https://github.com/linuxfoundation/cii-best-practices-badge/blob/master/doc/criteria.md ・ CII Best Practices Badge Programを設立。 https://bestpractices.coreinfrastructure.org/ 所定のベストプラクティスを守っているOSSコミュニティをCIIが認定するというもの。 https://bestpractices.coreinfrastructure.org/ ページより引用
© Hitachi, Ltd. 2017. All rights reserved. CVEの新たな動き(1/2) 6 ● Saving CVE with Open Source Software by Kent Landfield(Intel), Kurt Seifried(Red Hat) ・ 脆弱性管理のCVEについて。(CVE-yyyy-xxxxのようなよく見るアレです) ・ CVEは、MITREというUSの非営利団体が主導、元々はUS産ソフトが対象。 またOSSのカバレッジは少なかった。 OSSのCVEについてのよくある誤解! ・ ここ2,3年でOSSに関するCVEが激増している。 これは1ソフトウェアあたりの脆弱性が増えているわけではない。 見る人が増えたからである。 ⇒ 関連する取り組みの紹介
© Hitachi, Ltd. 2017. All rights reserved. CVEの新たな動き(2/2) 7 DWFの設立 ・ OSSを扱うCNAとしてDWF(Distributed Weakness Filing: https://github.com/distributedweaknessfiling/)が新たに設立された。 ・ DWFは、基本的にはコミュニティベースで運営される。DWFの下にサブCNAをぶら下げて、 どんどんOSSのカバレッジを増やしたい。CNAやりたい人を大募集中。 ・ DWFでは、OSSのCVEのレビュア―としてMentorという役割を作った。Mentorも大募集中である。 ⇒ Mentorは簡単になれるようです。興味ある方は↓ https://github.com/distributedweaknessfiling/DWF-CVE-Mentor-Registry ・ MITREの下のCNA(CVE Numbering Authorities)という組織が自分の担当範囲のCVEをまとめる ⇒ OSSに関するところが弱かった。 MITRE CNA (forベンダ) CNA for地域 (現状日本のJPCERTのみ) CNA (forX社製品) CNA (forY社製品) CNA for OSS DWF 新設 OSSのジャンル 毎のCNA OSSのジャンル 毎のCNA mentormentor
© Hitachi, Ltd. 2017. All rights reserved. コンテナセキュリティ 8 今年のRSA Conferenceはコンテナセキュリティであるとの声。 (数年前はクラウドセキュリティと言われていたのと一緒) ● セッション: Orchestration Ownage: Exploiting Container-Centric Data center Platforms, by Bryce Kunz@Adove、Mike Mellor @ Adobe 何も考えずにApache Mesosでコンテナベースのデータセンタを組むとひどいことになるというデモ 脆弱な Webアプリがある コンテナ ジョブ管理デーモン (marathon) Mesos Master Mesos DNS 任意コマンド実行を許す脆弱性が ある前提 (例:最近のStruts2の脆弱性) 1: REST API叩いて 各種サービスのIPアドレスと ポート取得 2: REST API叩いて 悪意のあるジョブを投入 3: 悪意あるジョブにてrootシェル 起動 最低限REST APIを認証+TLSしろとの話。 #コンテナ関連のOSSは、デフォルト安全に倒した設定になっていない、 #ベストプラクティスも共有されていない模様。 #なおデモ環境ではSELinuxは入っていたが適切に設定されていなかった。 他のセッションでも、コンテナからホストを破壊のデモもあり # SELinuxが入っていればなぁ。。。。
© Hitachi, Ltd. 2017. All rights reserved. コンテナセキュリティ 9 Red Hatブースにて対策技術展示。 SELinux seccomp OpenSCAP コンテナ同士の分離、コンテナとホストの分離に利用 前提技術とされている システムコールを使えなくするLinuxカーネルの機能、SELinuxと併用 コンテナの検査に利用 OpenSCAPにバグ報告実施 (SELinuxのチェックされていない件)
© Hitachi, Ltd. 2017. All rights reserved. 個人的な感想 10 ・ 脆弱性がどんどん報告され、 「脆弱性突かれてしまった場合の対策」として ・ コンテナ時代の「分離技術」として ⇒ 改めてSELinuxが重要になってきている!! そこで本日のテーマの 「SELinux」
11© Hitachi, Ltd. 2016. All rights reserved. 他社所有商標に関する表示 • RSAはRSA Security Inc.の米国およびその他の国における登録商標です • Linuxは米国及びその他の国におけるLinus Torvaldsの登録商標です。 • SELinuxは米国及びその他の国におけるNational Security Agencyの登録商標です。 • Apache Mesosは米国及びその他の国におけるThe Apache Software Foundationの登録商標です。 • その他記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。
OSS_Security_Sig_20170516_RSA_Conf

Empfohlen

OSSセキュリティ技術の会について
OSSセキュリティ技術の会について OSSセキュリティ技術の会について
OSSセキュリティ技術の会について Yuichi Nakamura
 
About secure oss_sig_20190607
About secure oss_sig_20190607About secure oss_sig_20190607
About secure oss_sig_20190607Yuichi Nakamura
 
OSSセキュリティ技術の会について
OSSセキュリティ技術の会についてOSSセキュリティ技術の会について
OSSセキュリティ技術の会についてYuichi Nakamura
 
Jawsdays2017ランチタイムセッション sios technology
Jawsdays2017ランチタイムセッション sios technologyJawsdays2017ランチタイムセッション sios technology
Jawsdays2017ランチタイムセッション sios technologyDaisuke Yoshioka
 
OSSを用いた監視/運用ツールの運用課題について
OSSを用いた監視/運用ツールの運用課題についてOSSを用いた監視/運用ツールの運用課題について
OSSを用いた監視/運用ツールの運用課題について真治 米田
 
OSC ossセキュリティ技術の会について
OSC ossセキュリティ技術の会についてOSC ossセキュリティ技術の会について
OSC ossセキュリティ技術の会についてKazuki Omo
 
さくらのナレッジ 〜ITエンジニアに役立つ情報を全力でシェア!〜
さくらのナレッジ 〜ITエンジニアに役立つ情報を全力でシェア!〜さくらのナレッジ 〜ITエンジニアに役立つ情報を全力でシェア!〜
さくらのナレッジ 〜ITエンジニアに役立つ情報を全力でシェア!〜法林浩之
 
OpenStack Summit Sydney OpenStackの運用や安定性に関する動向
OpenStack Summit Sydney OpenStackの運用や安定性に関する動向OpenStack Summit Sydney OpenStackの運用や安定性に関する動向
OpenStack Summit Sydney OpenStackの運用や安定性に関する動向kimura50
 

Empfohlen

OSSセキュリティ技術の会について
OSSセキュリティ技術の会について OSSセキュリティ技術の会について
OSSセキュリティ技術の会について Yuichi Nakamura
 
About secure oss_sig_20190607
About secure oss_sig_20190607About secure oss_sig_20190607
About secure oss_sig_20190607Yuichi Nakamura
 
OSSセキュリティ技術の会について
OSSセキュリティ技術の会についてOSSセキュリティ技術の会について
OSSセキュリティ技術の会についてYuichi Nakamura
 
Jawsdays2017ランチタイムセッション sios technology
Jawsdays2017ランチタイムセッション sios technologyJawsdays2017ランチタイムセッション sios technology
Jawsdays2017ランチタイムセッション sios technologyDaisuke Yoshioka
 
OSSを用いた監視/運用ツールの運用課題について
OSSを用いた監視/運用ツールの運用課題についてOSSを用いた監視/運用ツールの運用課題について
OSSを用いた監視/運用ツールの運用課題について真治 米田
 
OSC ossセキュリティ技術の会について
OSC ossセキュリティ技術の会についてOSC ossセキュリティ技術の会について
OSC ossセキュリティ技術の会についてKazuki Omo
 
さくらのナレッジ 〜ITエンジニアに役立つ情報を全力でシェア!〜
さくらのナレッジ 〜ITエンジニアに役立つ情報を全力でシェア!〜さくらのナレッジ 〜ITエンジニアに役立つ情報を全力でシェア!〜
さくらのナレッジ 〜ITエンジニアに役立つ情報を全力でシェア!〜法林浩之
 
OpenStack Summit Sydney OpenStackの運用や安定性に関する動向
OpenStack Summit Sydney OpenStackの運用や安定性に関する動向OpenStack Summit Sydney OpenStackの運用や安定性に関する動向
OpenStack Summit Sydney OpenStackの運用や安定性に関する動向kimura50
 
ネットワーク7不思議
ネットワーク7不思議ネットワーク7不思議
ネットワーク7不思議Wataru NOGUCHI
 
オープンソースのeラーニングシステム「iroha Board」~開発の背景とシステムの特徴~
オープンソースのeラーニングシステム「iroha Board」~開発の背景とシステムの特徴~オープンソースのeラーニングシステム「iroha Board」~開発の背景とシステムの特徴~
オープンソースのeラーニングシステム「iroha Board」~開発の背景とシステムの特徴~Kotaro Miura
 
オイシックス事例発表・顧客属性推定とレコメンド
オイシックス事例発表・顧客属性推定とレコメンドオイシックス事例発表・顧客属性推定とレコメンド
オイシックス事例発表・顧客属性推定とレコメンドKeisho Suzuki
 
みんなの知らないネットワークの話
みんなの知らないネットワークの話みんなの知らないネットワークの話
みんなの知らないネットワークの話Wataru NOGUCHI
 
Alfresco勉強会#26 alfresco community 5.0でssoを設定する
Alfresco勉強会#26 alfresco community 5.0でssoを設定するAlfresco勉強会#26 alfresco community 5.0でssoを設定する
Alfresco勉強会#26 alfresco community 5.0でssoを設定するTasuku Otani
 
iroha Board 説明資料
iroha Board 説明資料iroha Board 説明資料
iroha Board 説明資料Kotaro Miura
 
OpenStackを使用するメリット
OpenStackを使用するメリットOpenStackを使用するメリット
OpenStackを使用するメリットミランティスジャパン株式会社
 
JAWS FESTA 中四国 2017 懇親会LT
JAWS FESTA 中四国 2017 懇親会LTJAWS FESTA 中四国 2017 懇親会LT
JAWS FESTA 中四国 2017 懇親会LTAkira Shibata
 
SELinux_Status_PoC_20170516
SELinux_Status_PoC_20170516SELinux_Status_PoC_20170516
SELinux_Status_PoC_20170516SecureOSS-Sig
 
JAWS-UG in Cloud Roadshow 2017 大阪 LT
JAWS-UG in Cloud Roadshow 2017 大阪 LTJAWS-UG in Cloud Roadshow 2017 大阪 LT
JAWS-UG in Cloud Roadshow 2017 大阪 LTAkira Shibata
 
英語が苦手な人もre:Inventを乗り切れるか?
英語が苦手な人もre:Inventを乗り切れるか?英語が苦手な人もre:Inventを乗り切れるか?
英語が苦手な人もre:Inventを乗り切れるか?友香 木村
 
RHEL, CentOS 7 に移行しよう! LT
RHEL, CentOS 7 に移行しよう! LTRHEL, CentOS 7 に移行しよう! LT
RHEL, CentOS 7 に移行しよう! LTEmma Haruka Iwao
 
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017Carol Smith
 
[社内セッション]DevOps時代の僕の生き方、働き方
[社内セッション]DevOps時代の僕の生き方、働き方[社内セッション]DevOps時代の僕の生き方、働き方
[社内セッション]DevOps時代の僕の生き方、働き方Shigeki Morizane
 
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~apkiban
 
MixedRealityでUI/UXが変わる! SIer視点で考えるHoloLensの活用術!
MixedRealityでUI/UXが変わる! SIer視点で考えるHoloLensの活用術!MixedRealityでUI/UXが変わる! SIer視点で考えるHoloLensの活用術!
MixedRealityでUI/UXが変わる! SIer視点で考えるHoloLensの活用術!Shingo Mori
 
今年のOss業界10大ニュース
今年のOss業界10大ニュース今年のOss業界10大ニュース
今年のOss業界10大ニュースYukio Yoshida
 
TISにおける、研究開発の方針とメソッド 2018
TISにおける、研究開発の方針とメソッド 2018TISにおける、研究開発の方針とメソッド 2018
TISにおける、研究開発の方針とメソッド 2018Takahiro Kubo
 
フルリモート2ヶ月 やって編み出した コミュニケーションのコツ
フルリモート2ヶ月 やって編み出した コミュニケーションのコツフルリモート2ヶ月 やって編み出した コミュニケーションのコツ
フルリモート2ヶ月 やって編み出した コミュニケーションのコツTomoyuki Sugita
 
民産学官で地域課題解決を目指す オープンデータ浜名湖について(20150522)
民産学官で地域課題解決を目指す オープンデータ浜名湖について(20150522)民産学官で地域課題解決を目指す オープンデータ浜名湖について(20150522)
民産学官で地域課題解決を目指す オープンデータ浜名湖について(20150522)Hitoshi Sugimoto
 
IoT キットハンズオン解説 (Azure ML Studio 編) Part4 グループ化
IoT キットハンズオン解説 (Azure ML Studio 編) Part4 グループ化IoT キットハンズオン解説 (Azure ML Studio 編) Part4 グループ化
IoT キットハンズオン解説 (Azure ML Studio 編) Part4 グループ化Yoshitaka Seo
 
connpassの戦略決定〜チームで取り組んだ価値のデザイン
connpassの戦略決定〜チームで取り組んだ価値のデザイン connpassの戦略決定〜チームで取り組んだ価値のデザイン
connpassの戦略決定〜チームで取り組んだ価値のデザイン Haruo Sato
 

Weitere ähnliche Inhalte

Was ist angesagt?

ネットワーク7不思議
ネットワーク7不思議ネットワーク7不思議
ネットワーク7不思議Wataru NOGUCHI
 
オープンソースのeラーニングシステム「iroha Board」~開発の背景とシステムの特徴~
オープンソースのeラーニングシステム「iroha Board」~開発の背景とシステムの特徴~オープンソースのeラーニングシステム「iroha Board」~開発の背景とシステムの特徴~
オープンソースのeラーニングシステム「iroha Board」~開発の背景とシステムの特徴~Kotaro Miura
 
オイシックス事例発表・顧客属性推定とレコメンド
オイシックス事例発表・顧客属性推定とレコメンドオイシックス事例発表・顧客属性推定とレコメンド
オイシックス事例発表・顧客属性推定とレコメンドKeisho Suzuki
 
みんなの知らないネットワークの話
みんなの知らないネットワークの話みんなの知らないネットワークの話
みんなの知らないネットワークの話Wataru NOGUCHI
 
Alfresco勉強会#26 alfresco community 5.0でssoを設定する
Alfresco勉強会#26 alfresco community 5.0でssoを設定するAlfresco勉強会#26 alfresco community 5.0でssoを設定する
Alfresco勉強会#26 alfresco community 5.0でssoを設定するTasuku Otani
 
iroha Board 説明資料
iroha Board 説明資料iroha Board 説明資料
iroha Board 説明資料Kotaro Miura
 

Was ist angesagt? (7)

ネットワーク7不思議
ネットワーク7不思議ネットワーク7不思議
ネットワーク7不思議
 
オープンソースのeラーニングシステム「iroha Board」~開発の背景とシステムの特徴~
オープンソースのeラーニングシステム「iroha Board」~開発の背景とシステムの特徴~オープンソースのeラーニングシステム「iroha Board」~開発の背景とシステムの特徴~
オープンソースのeラーニングシステム「iroha Board」~開発の背景とシステムの特徴~
 
オイシックス事例発表・顧客属性推定とレコメンド
オイシックス事例発表・顧客属性推定とレコメンドオイシックス事例発表・顧客属性推定とレコメンド
オイシックス事例発表・顧客属性推定とレコメンド
 
みんなの知らないネットワークの話
みんなの知らないネットワークの話みんなの知らないネットワークの話
みんなの知らないネットワークの話
 
Alfresco勉強会#26 alfresco community 5.0でssoを設定する
Alfresco勉強会#26 alfresco community 5.0でssoを設定するAlfresco勉強会#26 alfresco community 5.0でssoを設定する
Alfresco勉強会#26 alfresco community 5.0でssoを設定する
 
iroha Board 説明資料
iroha Board 説明資料iroha Board 説明資料
iroha Board 説明資料
 
OpenStackを使用するメリット
OpenStackを使用するメリットOpenStackを使用するメリット
OpenStackを使用するメリット
 

Andere mochten auch

JAWS FESTA 中四国 2017 懇親会LT
JAWS FESTA 中四国 2017 懇親会LTJAWS FESTA 中四国 2017 懇親会LT
JAWS FESTA 中四国 2017 懇親会LTAkira Shibata
 
SELinux_Status_PoC_20170516
SELinux_Status_PoC_20170516SELinux_Status_PoC_20170516
SELinux_Status_PoC_20170516SecureOSS-Sig
 
JAWS-UG in Cloud Roadshow 2017 大阪 LT
JAWS-UG in Cloud Roadshow 2017 大阪 LTJAWS-UG in Cloud Roadshow 2017 大阪 LT
JAWS-UG in Cloud Roadshow 2017 大阪 LTAkira Shibata
 
英語が苦手な人もre:Inventを乗り切れるか?
英語が苦手な人もre:Inventを乗り切れるか?英語が苦手な人もre:Inventを乗り切れるか?
英語が苦手な人もre:Inventを乗り切れるか?友香 木村
 
RHEL, CentOS 7 に移行しよう! LT
RHEL, CentOS 7 に移行しよう! LTRHEL, CentOS 7 に移行しよう! LT
RHEL, CentOS 7 に移行しよう! LTEmma Haruka Iwao
 
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017Carol Smith
 

Andere mochten auch (6)

JAWS FESTA 中四国 2017 懇親会LT
JAWS FESTA 中四国 2017 懇親会LTJAWS FESTA 中四国 2017 懇親会LT
JAWS FESTA 中四国 2017 懇親会LT
 
SELinux_Status_PoC_20170516
SELinux_Status_PoC_20170516SELinux_Status_PoC_20170516
SELinux_Status_PoC_20170516
 
JAWS-UG in Cloud Roadshow 2017 大阪 LT
JAWS-UG in Cloud Roadshow 2017 大阪 LTJAWS-UG in Cloud Roadshow 2017 大阪 LT
JAWS-UG in Cloud Roadshow 2017 大阪 LT
 
英語が苦手な人もre:Inventを乗り切れるか?
英語が苦手な人もre:Inventを乗り切れるか?英語が苦手な人もre:Inventを乗り切れるか?
英語が苦手な人もre:Inventを乗り切れるか?
 
RHEL, CentOS 7 に移行しよう! LT
RHEL, CentOS 7 に移行しよう! LTRHEL, CentOS 7 に移行しよう! LT
RHEL, CentOS 7 に移行しよう! LT
 
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
 

Ähnlich wie OSS_Security_Sig_20170516_RSA_Conf

[社内セッション]DevOps時代の僕の生き方、働き方
[社内セッション]DevOps時代の僕の生き方、働き方[社内セッション]DevOps時代の僕の生き方、働き方
[社内セッション]DevOps時代の僕の生き方、働き方Shigeki Morizane
 
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~apkiban
 
MixedRealityでUI/UXが変わる! SIer視点で考えるHoloLensの活用術!
MixedRealityでUI/UXが変わる! SIer視点で考えるHoloLensの活用術!MixedRealityでUI/UXが変わる! SIer視点で考えるHoloLensの活用術!
MixedRealityでUI/UXが変わる! SIer視点で考えるHoloLensの活用術!Shingo Mori
 
今年のOss業界10大ニュース
今年のOss業界10大ニュース今年のOss業界10大ニュース
今年のOss業界10大ニュースYukio Yoshida
 
TISにおける、研究開発の方針とメソッド 2018
TISにおける、研究開発の方針とメソッド 2018TISにおける、研究開発の方針とメソッド 2018
TISにおける、研究開発の方針とメソッド 2018Takahiro Kubo
 
フルリモート2ヶ月 やって編み出した コミュニケーションのコツ
フルリモート2ヶ月 やって編み出した コミュニケーションのコツフルリモート2ヶ月 やって編み出した コミュニケーションのコツ
フルリモート2ヶ月 やって編み出した コミュニケーションのコツTomoyuki Sugita
 
民産学官で地域課題解決を目指す オープンデータ浜名湖について(20150522)
民産学官で地域課題解決を目指す オープンデータ浜名湖について(20150522)民産学官で地域課題解決を目指す オープンデータ浜名湖について(20150522)
民産学官で地域課題解決を目指す オープンデータ浜名湖について(20150522)Hitoshi Sugimoto
 
IoT キットハンズオン解説 (Azure ML Studio 編) Part4 グループ化
IoT キットハンズオン解説 (Azure ML Studio 編) Part4 グループ化IoT キットハンズオン解説 (Azure ML Studio 編) Part4 グループ化
IoT キットハンズオン解説 (Azure ML Studio 編) Part4 グループ化Yoshitaka Seo
 
connpassの戦略決定〜チームで取り組んだ価値のデザイン
connpassの戦略決定〜チームで取り組んだ価値のデザイン connpassの戦略決定〜チームで取り組んだ価値のデザイン
connpassの戦略決定〜チームで取り組んだ価値のデザイン Haruo Sato
 
企業のオープンソース活動を支える Open Source Program Office (OSPO)
企業のオープンソース活動を支える Open Source Program Office (OSPO)企業のオープンソース活動を支える Open Source Program Office (OSPO)
企業のオープンソース活動を支える Open Source Program Office (OSPO)takanori suzuki
 
Pmaj産学連携pmセミナー 171216
Pmaj産学連携pmセミナー 171216Pmaj産学連携pmセミナー 171216
Pmaj産学連携pmセミナー 171216Miki Yutani
 
DevLove(20140124)
DevLove(20140124)DevLove(20140124)
DevLove(20140124)Haruo Sato
 
IoT キットハンズオン解説 (Azure ML Studio 編) Part3 分類分析
IoT キットハンズオン解説 (Azure ML Studio 編) Part3 分類分析IoT キットハンズオン解説 (Azure ML Studio 編) Part3 分類分析
IoT キットハンズオン解説 (Azure ML Studio 編) Part3 分類分析Yoshitaka Seo
 
Oll osc2014浜名湖(20140322)
Oll osc2014浜名湖(20140322)Oll osc2014浜名湖(20140322)
Oll osc2014浜名湖(20140322)Hitoshi Sugimoto
 
kintone knowledge summary for jait
kintone knowledge summary for jaitkintone knowledge summary for jait
kintone knowledge summary for jaitkintone papers
 
アプリエンジニアでもできる閉域網構築のススメ!
アプリエンジニアでもできる閉域網構築のススメ!アプリエンジニアでもできる閉域網構築のススメ!
アプリエンジニアでもできる閉域網構築のススメ!Tosihiyuki Hirai
 
JUIZ DLK 組込み向けDeep Learningコンパイラ
JUIZ DLK 組込み向けDeep LearningコンパイラJUIZ DLK 組込み向けDeep Learningコンパイラ
JUIZ DLK 組込み向けDeep LearningコンパイラLeapMind Inc
 

Ähnlich wie OSS_Security_Sig_20170516_RSA_Conf (20)

[社内セッション]DevOps時代の僕の生き方、働き方
[社内セッション]DevOps時代の僕の生き方、働き方[社内セッション]DevOps時代の僕の生き方、働き方
[社内セッション]DevOps時代の僕の生き方、働き方
 
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
 
MixedRealityでUI/UXが変わる! SIer視点で考えるHoloLensの活用術!
MixedRealityでUI/UXが変わる! SIer視点で考えるHoloLensの活用術!MixedRealityでUI/UXが変わる! SIer視点で考えるHoloLensの活用術!
MixedRealityでUI/UXが変わる! SIer視点で考えるHoloLensの活用術!
 
今年のOss業界10大ニュース
今年のOss業界10大ニュース今年のOss業界10大ニュース
今年のOss業界10大ニュース
 
TISにおける、研究開発の方針とメソッド 2018
TISにおける、研究開発の方針とメソッド 2018TISにおける、研究開発の方針とメソッド 2018
TISにおける、研究開発の方針とメソッド 2018
 
フルリモート2ヶ月 やって編み出した コミュニケーションのコツ
フルリモート2ヶ月 やって編み出した コミュニケーションのコツフルリモート2ヶ月 やって編み出した コミュニケーションのコツ
フルリモート2ヶ月 やって編み出した コミュニケーションのコツ
 
民産学官で地域課題解決を目指す オープンデータ浜名湖について(20150522)
民産学官で地域課題解決を目指す オープンデータ浜名湖について(20150522)民産学官で地域課題解決を目指す オープンデータ浜名湖について(20150522)
民産学官で地域課題解決を目指す オープンデータ浜名湖について(20150522)
 
IoT キットハンズオン解説 (Azure ML Studio 編) Part4 グループ化
IoT キットハンズオン解説 (Azure ML Studio 編) Part4 グループ化IoT キットハンズオン解説 (Azure ML Studio 編) Part4 グループ化
IoT キットハンズオン解説 (Azure ML Studio 編) Part4 グループ化
 
connpassの戦略決定〜チームで取り組んだ価値のデザイン
connpassの戦略決定〜チームで取り組んだ価値のデザイン connpassの戦略決定〜チームで取り組んだ価値のデザイン
connpassの戦略決定〜チームで取り組んだ価値のデザイン
 
企業のオープンソース活動を支える Open Source Program Office (OSPO)
企業のオープンソース活動を支える Open Source Program Office (OSPO)企業のオープンソース活動を支える Open Source Program Office (OSPO)
企業のオープンソース活動を支える Open Source Program Office (OSPO)
 
Pmaj産学連携pmセミナー 171216
Pmaj産学連携pmセミナー 171216Pmaj産学連携pmセミナー 171216
Pmaj産学連携pmセミナー 171216
 
WWDC2017 レポート & Quick Look Preview Extension について
WWDC2017 レポート & Quick Look Preview Extension についてWWDC2017 レポート & Quick Look Preview Extension について
WWDC2017 レポート & Quick Look Preview Extension について
 
DevLove(20140124)
DevLove(20140124)DevLove(20140124)
DevLove(20140124)
 
IoT キットハンズオン解説 (Azure ML Studio 編) Part3 分類分析
IoT キットハンズオン解説 (Azure ML Studio 編) Part3 分類分析IoT キットハンズオン解説 (Azure ML Studio 編) Part3 分類分析
IoT キットハンズオン解説 (Azure ML Studio 編) Part3 分類分析
 
Oll osc2014浜名湖(20140322)
Oll osc2014浜名湖(20140322)Oll osc2014浜名湖(20140322)
Oll osc2014浜名湖(20140322)
 
kintone knowledge summary for jait
kintone knowledge summary for jaitkintone knowledge summary for jait
kintone knowledge summary for jait
 
アプリエンジニアでもできる閉域網構築のススメ!
アプリエンジニアでもできる閉域網構築のススメ!アプリエンジニアでもできる閉域網構築のススメ!
アプリエンジニアでもできる閉域網構築のススメ!
 
LibreOfficeサポートビジネスを1年やってみました
LibreOfficeサポートビジネスを1年やってみましたLibreOfficeサポートビジネスを1年やってみました
LibreOfficeサポートビジネスを1年やってみました
 
#ibis2017 Description: IBIS2017の企画セッションでの発表資料
#ibis2017 Description: IBIS2017の企画セッションでの発表資料#ibis2017 Description: IBIS2017の企画セッションでの発表資料
#ibis2017 Description: IBIS2017の企画セッションでの発表資料
 
JUIZ DLK 組込み向けDeep Learningコンパイラ
JUIZ DLK 組込み向けDeep LearningコンパイラJUIZ DLK 組込み向けDeep Learningコンパイラ
JUIZ DLK 組込み向けDeep Learningコンパイラ
 

OSS_Security_Sig_20170516_RSA_Conf

  • 1. © Hitachi, Ltd. 2017. All rights reserved. OSSセキュリティ技術の会第一回勉強会 株式会社 日立製作所 OSSソリューションセンタ 2017/5/16 中村 雄一 RSA Conference USA 2017報告
  • 2. © Hitachi, Ltd. 2017. All rights reserved. 自己紹介 1 名前: 中村 雄一 SELinux徹底ガイド(日経BP社) 2004年3月 ・ SELinux Policy Editorを開発、公開。 現在は飽きてメンテ停止、コンセプトは良かったと思うのですが… 所属企業と全く関係ないところで使われてきた模様 ・ 他組込み向けSELinuxなどを開発、Ottawa Linux Symposium, USENIX LISAなどで論文発表 ・ 2007年頃に一度OSSワールドから引退、別の仕事をやっていました。 ・ その間にSELinux関連開発をまとめて博士号取りました。 ・ 時代が一巡し、OSSセキュリティが再び求められ、復帰しました。 ・ 2001年から旧日立ソフトに入社し、SELinuxの研究開発や布教。 SELinuxユーザ会を立ち上げたり、(たぶん)世界初のSELinux書籍を執筆。
  • 3. © Hitachi, Ltd. 2017. All rights reserved. ・ 日程:2017年2月13日(月)~17日(金) 場所:Moscone Center, San Francisco, CA, USA ・ 世界最大級の情報セキュリティのイベント、大量のセミナと展示会から成り立つ ・ 今回の参加者は40,000人以上 RSA Conference USA 2017概要 2 基調講演の一つ、10,000人以上出席 展示会場の様子 憧れのNSA(SELinux開発元)ブース
  • 4. © Hitachi, Ltd. 2017. All rights reserved. OSSセキュリティについての主なトピック 3 普通のセキュリティの話題もいっぱいありましたが (ランサムウェアとかIoTとか) OSSセキュリティに関するトピックのみを紹介します 1. コミュニティのレベルでのセキュリティ強化 - Linux Foundationの取り組み - CVEの新たな動きについて 2. コンテナのセキュリティ 当日のセッションの動画は以下で見れます。 https://www.rsaconference.com/events/us17
  • 5. © Hitachi, Ltd. 2017. All rights reserved. Linux Foundationの取り組み(1/2) 4 ●Collaborative Security Securing Open Source Software By Nicko van Someren (The Linux FoundationのCTO) ・ OSSのセキュリティは商用ソフト以上でも以下でもない。 ただし商用ソフトとの違いとして、コード重視、たくさんの人間が開発、 プロセス は後付、security firstのプレッシャーが少ない等。 ・ OpenSSLの事件を踏まえ、CII(https://www.coreinfrastructure.org/)を設立。 ・ コミュニティ開発者の意識向上が重要! ・ 脅威モデル作成 Card game(elevation of privilege threat model card game)というOSSツール https://www.microsoft.com/en-us/SDL/adopt/eop.aspx ・ Change controlする ・ テスト必須。重要。テストも一緒に提出させる。 ・ コード分析・ファジングツールを使う。商用製品高いが、OSSもある。 OSSの例としてはSonarCube, FramaC, AFL等。 ・ バグ管理必須 ・ OSSユーザ側へのお願いとして、タダ乗りしないでほしい。 バグレポートやパッチなどの貢献をしてほしいと強く呼び掛け。
  • 6. © Hitachi, Ltd. 2017. All rights reserved. Linux Foundationの取り組み(2/2) 5 なお認定基準は: https://github.com/linuxfoundation/cii-best-practices-badge/blob/master/doc/criteria.md ・ CII Best Practices Badge Programを設立。 https://bestpractices.coreinfrastructure.org/ 所定のベストプラクティスを守っているOSSコミュニティをCIIが認定するというもの。 https://bestpractices.coreinfrastructure.org/ ページより引用
  • 7. © Hitachi, Ltd. 2017. All rights reserved. CVEの新たな動き(1/2) 6 ● Saving CVE with Open Source Software by Kent Landfield(Intel), Kurt Seifried(Red Hat) ・ 脆弱性管理のCVEについて。(CVE-yyyy-xxxxのようなよく見るアレです) ・ CVEは、MITREというUSの非営利団体が主導、元々はUS産ソフトが対象。 またOSSのカバレッジは少なかった。 OSSのCVEについてのよくある誤解! ・ ここ2,3年でOSSに関するCVEが激増している。 これは1ソフトウェアあたりの脆弱性が増えているわけではない。 見る人が増えたからである。 ⇒ 関連する取り組みの紹介
  • 8. © Hitachi, Ltd. 2017. All rights reserved. CVEの新たな動き(2/2) 7 DWFの設立 ・ OSSを扱うCNAとしてDWF(Distributed Weakness Filing: https://github.com/distributedweaknessfiling/)が新たに設立された。 ・ DWFは、基本的にはコミュニティベースで運営される。DWFの下にサブCNAをぶら下げて、 どんどんOSSのカバレッジを増やしたい。CNAやりたい人を大募集中。 ・ DWFでは、OSSのCVEのレビュア―としてMentorという役割を作った。Mentorも大募集中である。 ⇒ Mentorは簡単になれるようです。興味ある方は↓ https://github.com/distributedweaknessfiling/DWF-CVE-Mentor-Registry ・ MITREの下のCNA(CVE Numbering Authorities)という組織が自分の担当範囲のCVEをまとめる ⇒ OSSに関するところが弱かった。 MITRE CNA (forベンダ) CNA for地域 (現状日本のJPCERTのみ) CNA (forX社製品) CNA (forY社製品) CNA for OSS DWF 新設 OSSのジャンル 毎のCNA OSSのジャンル 毎のCNA mentormentor
  • 9. © Hitachi, Ltd. 2017. All rights reserved. コンテナセキュリティ 8 今年のRSA Conferenceはコンテナセキュリティであるとの声。 (数年前はクラウドセキュリティと言われていたのと一緒) ● セッション: Orchestration Ownage: Exploiting Container-Centric Data center Platforms, by Bryce Kunz@Adove、Mike Mellor @ Adobe 何も考えずにApache Mesosでコンテナベースのデータセンタを組むとひどいことになるというデモ 脆弱な Webアプリがある コンテナ ジョブ管理デーモン (marathon) Mesos Master Mesos DNS 任意コマンド実行を許す脆弱性が ある前提 (例:最近のStruts2の脆弱性) 1: REST API叩いて 各種サービスのIPアドレスと ポート取得 2: REST API叩いて 悪意のあるジョブを投入 3: 悪意あるジョブにてrootシェル 起動 最低限REST APIを認証+TLSしろとの話。 #コンテナ関連のOSSは、デフォルト安全に倒した設定になっていない、 #ベストプラクティスも共有されていない模様。 #なおデモ環境ではSELinuxは入っていたが適切に設定されていなかった。 他のセッションでも、コンテナからホストを破壊のデモもあり # SELinuxが入っていればなぁ。。。。
  • 10. © Hitachi, Ltd. 2017. All rights reserved. コンテナセキュリティ 9 Red Hatブースにて対策技術展示。 SELinux seccomp OpenSCAP コンテナ同士の分離、コンテナとホストの分離に利用 前提技術とされている システムコールを使えなくするLinuxカーネルの機能、SELinuxと併用 コンテナの検査に利用 OpenSCAPにバグ報告実施 (SELinuxのチェックされていない件)
  • 11. © Hitachi, Ltd. 2017. All rights reserved. 個人的な感想 10 ・ 脆弱性がどんどん報告され、 「脆弱性突かれてしまった場合の対策」として ・ コンテナ時代の「分離技術」として ⇒ 改めてSELinuxが重要になってきている!! そこで本日のテーマの 「SELinux」
  • 12. 11© Hitachi, Ltd. 2016. All rights reserved. 他社所有商標に関する表示 • RSAはRSA Security Inc.の米国およびその他の国における登録商標です • Linuxは米国及びその他の国におけるLinus Torvaldsの登録商標です。 • SELinuxは米国及びその他の国におけるNational Security Agencyの登録商標です。 • Apache Mesosは米国及びその他の国におけるThe Apache Software Foundationの登録商標です。 • その他記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。