SSL/TLSの脆弱性を学びなおそう!プラットフォーム企業のエンジニアがセキュアな未来を考える【勉強会レポート】

昨今、IoTやAIなど新しい技術が誕生・注目されているように、日々技術は進歩しています。それに伴いセキュリティの技術も進歩しながら、重要度を増しています。そのセキュリティに関する勉強会「Security Night」の記念すべき第一回目が21cafeで開催されました。その様子をレポートします。

20160517_ec

 

4名のエンジニアが安全な通信について考える

■PCI DSS v 3.2に対する対応

発表者:岡村 純一 氏(PayPal Pte. Ltd)

岡村氏からは、クレジット業界におけるグローバルセキュリティ基準PCI DSSについてと、その最新バージョンアップの対応についてお話いただきました。PCI DSSとは「クレジットカードを扱う業者が取得すべきセキュリティ規格」であり、安全なネットワークの構築・維持や、脆弱性を管理するプログラムの維持など複数項目が定義づけられています。

そのPCI DSSの最新バージョン3.2では主に、①TLS1.1以上の通信のサポート、②SSL/TLS1.0の通信の無効化のふたつの変更点があります。今回のバージョンアップは、昨今Heartbleed,POODLEなどOSSの脆弱性が発覚したことが原因とされています。

これに対しFinTech企業であるPayPal社では、v3.2の対応はもちろんそれ以外も含み、セキュリティ計画としてグローバルで対応を実施しているそうです。

■通信の安全を守るためにエンジニアができること

発表者:藤倉 和明 氏(株式会社シャノン)


SSLとはインターネット上で通信を暗号化する技術で、「盗聴」「改ざん」「なりすまし」といったリスクを防ぎます。つまりインターネット上で大切な情報を守るために必要な仕組みです。

藤倉氏からは、ここ10年のSSLの脆弱性の問題を振り返った上で、この先安全に通信が出来る未来を迎えるためのエンジニアの心構えを語っていただきました。藤倉氏いわく、この10年のSSLの脆弱性の問題は2011年を区切りに分けることができます。

2010年までは、ムーアの法則から予測されるCPUパワーの向上に対して、暗号強度を向上させ対抗していました。そのため、対応期限は猶予があるものでした。

しかし、2011年以降はSSLの仕組み自体に指摘がはいるような脆弱性が発見されるようになります。(具体的な脆弱性とその対策についてはスライドを参照)その脆弱性は、SSLに相互接続性を優先する考え方があり、レガシーなプロトコル・弱い暗号もサポートできてしまうことによるものです。

「こうした状況を変えるミッションがエンジニアにはある」と、藤倉氏は言います。レガシーなものは捨て、より安全性を高めるためには、セキュリティに関する研究結果を現場のエンジニアが正しく営業や顧客に伝達していくことがとても重要です。藤倉氏自身、顧客に根気強く説明を繰り返してきたと過去を振り返っていました。その経験をもとに「ビジネス上すぐに対応できない場合もありますが、バランスよく地道な啓蒙活動をおこないながら、より安全な通信を目指す」とエンジニアの心構えを語っていました。

■AWSのセキュリティアプローチとTLS

発表者:桐山 隼人 氏、塚田 朗弘 氏(アマゾンウェブサービスジャパン株式会社)


桐山氏、塚田氏からは、数多くの企業で活用されているクラウドサービスAWSのセキュリティの対策・考え方、また関連サービスについてお話いただきました。

今回桐山氏がお話してくださったAWSのセキュリティの考え方は2つあります。まずは「AWS責任共有モデル」。セキュリティの管理において、AWSはクラウドを、AWSの利用者はクラウドの中のアプリケーションを、それぞれ責任を持ち合おうというものです。
それにのっとりAWSはあらゆる側面で業界トップクラスレベルのセキュリティ対策をおこなっています。また、AWS利用者のセキュリティ統制をサポートするサービスの提供もおこなっています。

続いて、「クラウドセキュリティはAWSの最優先事項」とするアプローチです。リスクの度合いを「蓋然性」×「影響度」の積と考え、ケースによっていずれかを現象させることでリスクを軽減します。新たな脆弱性の報告があれば影響度を下げることが重要になりますが、AWSでは即日など最速で対応し、最大限にリスクを押さえます。

このようにAWSがサーバー側のセキュリティを徹底して管理することで、利用者は「サービスを作る」という本来の価値にリソースを集中させることが出来ます。

桐山氏は、「変わりゆく法令に遵守し続け、危殆化し続けるITシステムに対応し、レピュテーションリスクを管理することがシステム責任者の責任。それを実行するひとつの手段として、クラウドの活用があるのではないか」と提案していました。

20160517_1

Security Nightとは

20160517_3

APIによるエコシステムやIoT、AIの発達と共にセキュリティはより重要なものになり、内容も進化しています。 一方でセキュリティ対策自体は機能を生み出すものではないため、エンジニアの学習の優先度は下がる傾向にあり、専門職以外では学習の時間を割くのも難しい状況です。 こうしたギャップを埋めるため、セキュリティの基礎を有識者を招いて楽しく学び直すのが「Security Night」です!

▼コミュニティ主催者
岡村 純一氏

▼ハッシュタグ
#secnight

▼Connpassグループ
Security Night

今後も随時イベント情報を更新していきます。

21cafeの勉強会などのイベント情報はこちらをチェック!


最新情報はFacebook/Twitterをフォロー!


関連する記事

facebook

案件情報や最新記事をお届けします。
ぜひチェックしてみてください。