「OWASP Evening Okinawa #12」においてイエラエセキュリティのエンジニアが登壇しました

2019年6月21日(金)に「OWASP Evening Okinawa #12※」において、イエラエセキュリティのエンジニアの大木 学、柏﨑 央士が登壇しました。
詳細については、以下をご参照ください。

 

OWASP Evening Okinawa #12

テーマ:「OWASP Top 10 2017 A6:不適切なセキュリティ設定」

講演者:大木 学
講義の内容:
OWASP Evening Okinawaでは、「OWASP Top 10 – 2017」から毎回1項目を勉強会のコンテンツに取り入れており、今回「A6:2017-不適切なセキュリティ設定」を担当しました。

依頼を受けたときは、テーマを聞いて一番やっかいなものを受けてしまった、というのが正直な感想でした。というのも「OWASP Top 10」の中でもこのテーマは一番”ふんわり”しているので、理論に寄せれば膨大になり、そこそこで切り上げようとすると「何となくわかったような…」で終わってしまうという懸念がありました。そこで、私にとって勉強会はその場で完結するものではなく、興味を持つきっかけとその先への勉強の仕方の一歩目を示すもの、という想いを持っていますので、「OWASP Top 10」の「A6:2017-不適切なセキュリティ設定」を説明した後、「CWE VIEW: Weaknesses in OWASP Top Ten (2017)」という異なる評価基準(CWE)からの「OWASP Top 10」の解説を参考に、CWEが示す具体的な脆弱性の何が紐付いているのか等々、異なる視点からの説明を加え、客観的、具体的な話に触れました。それと同時に、理解を深めるために他にどのような資料があるか、どういう読み方をするか、など参考になりそうなところを紹介しました。
後は、トップバッターだったこともあり、アイスブレイク代わりにとある「修行」に関する話をしましたが、あまり笑いを取れなかったのが反省点です。それでも懇親会では、そのネタで話しかけてもらえたので完全に滑った訳ではなかったということで…。

OWASP Evening Okinawaは、若い方や類似業種の方の参加が多かったからか、活発に質問が飛び交い活気のある会だったのが印象的でした。今回の登壇を通して、私が携わる勉強会やイベントでもOWASP Evening Okinawaのように活気のある会にしたいと新しい刺激を頂けました。

 

テーマ:「Docker裏口入門」

講演者:柏﨑 央士
講義の内容:
Dockerを使ってホストOSの特権を獲得するお話をしました。
Dockerはコンテナをお手軽に構築することのできるツールで、私も検証環境や、ツールのビルド、テストなど、様々な目的で便利に利用しています。Dockerはエンジニアにとって極めて強力なツールセットですが、それは攻撃者にとっても同じです。

Dockerには様々なオプションが用意されており、利用者の多様な目的に対応することができます。しかし、設定の仕方によっては、そのホストは極めて脆弱な状態になり得ます。
Dockerのドキュメントには何故「信頼されたユーザだけにDockerのコントロールを許可せよ」(‘only trusted users should be allowed to control your Docker daemon.’ https://docs.docker.com/engine/security/security/#docker-daemon-attack-surface) と書いてあるのか。今回はその理由を攻撃者視点で解説しました。

Dockerを使った特権獲得の原理を知ることは、Dockerそのものの仕組みや制限を理解することに繋がります。Docker入門者にはとっつきにくいテーマだったかもれませんが、ここを皮切りに理解を深めていただければ、という思いでお話ししました。

 

セミナーの詳細は、下記よりご確認ください。
詳細はこちら


※OWASP(Open Web Application Security Project)とは
Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。OWASP Okinawa はその沖縄ローカルチャプターです。