第4回北海道情報セキュリティ勉強会 (北海道情報セキュリティ勉強会(おもに札幌)(通称:セキュポロ))に行ってきました、感想とか。(情報元のブックマーク数)
第4回セキュポロが5月29日に開催されます!!!皆さん是非!
- 日程 : 2010年5月29日(土) 13時半〜18時(受け付け開始は、13時)
- テーマ : Windows Azureとそのセキュリティ
- 場所 : 札幌資料館2階 研修室(札幌市中央区大通西13丁目)[MAP]
- 講師 : マイクロソフト株式会社 デベロッパー&プラットフォーム統括本部 アーキテクトエバンジェリスト 砂金信一郎氏
- 費用 : 勉強会\500、懇親会は、\4,000を予定。
(勉強会会費は、会場にかかわる費用、および講師への懇親会費用補助に使います。)
http://secpolo.techtalk.jp/Home/dai-4kai-hokkaidou-jouhou-sekyuriti-benkyou-kai
@ITのイベントカレンダーに掲載してもらいました!
第4回北海道情報セキュリティ勉強会
http://www.atmarkit.co.jp/event/calendar/detail.php?event_id=98997
今回はクラウドのセキュリティをAzureという観点からぶった切ります。
セキュポロに参加した感想とか(まっちゃ445と同日開催だったんですよw)
- 講師:砂金(いさご)さん
- Blog:Azureの鼓動:オルタナティブ・ブログ(!=ガンダムブログ、ガンダムで分かりやすく説明しているBlog)
- Twitter:いさご@LINE DevRel (@shin135) | Twitter(@shin135)
- 資料:Secpolo#4 WindowsAzure Security
砂金(いさご)さんのお話は、Azureにとどまらずクラウド全体の話であって、なおかつ中立な話をされていたのが印象的
GoogleAppEngineとAzureのターゲットの違い(Azureはエンタープライズ、GAEはエンド)簡単に作れるってのでGAEを使ったことある人が多かった
IaaS、PaaS、SaaSを誰が使うかという視点でのクラウドの分け方は、スッと頭の中に入ってきてよかった。
事前に以下を送ったら、そのまま全部回答してくれて、俺涙目最近考えているクラウドセキュリティの一部だけですが・・・
・データセキュリティ
→ 自分のデータは他人が見える?
→ バックアップ
→ データバックアップは自分達でコーディング?
・VMセキュリティ
→ VM側からVMホストへのアクセスとか
→ 2008R2のHyper-Vホストの脆弱性はAzureにも影響?
・アプリケーションセキュリティ
→ これは継続してアプリ側でメンテする必要がある?
→ アプリケーション自体の保護?(難読化?)
→ パスワードのハードコーディング?
→ アプリバックアップ
→ リビジョン管理かな?
・スケールアウト
→ スケールアウトを考慮したアプリはどう作るか?
→ スケールアウトとデータベースインデックスのパフォーマンス問題
→ ホスト側が触れない=パフォーマンス問題について調査をどうする?
→ DoS攻撃への対応は?
→ 多数の思い処理への攻撃をされた場合の発見・対応について
→ 課金上限?!
→ Quotaとか設定できないの?
・ウイルス対策
→ 多分無理。でもなにより、こんなことを同様に企業からも受けているって聞いた。。。みんな同じこと考えるのね・・・
とはいえ、米国で実運用が回っていて、システムが常に変わっている状況で、正式回答ができないとの事で、フロントは本当に大変なのを感じた。GoogleAppEngieも同様に常にSDKのバージョンが上がったりしているので同じように苦労しているんでしょうねぇ・・・
大きく門戸を広げてやってもいいよ!ってのにすると、その分サポートが大変になるし、大変なところだ。
あとCDN(コンテンツデリバリーネットワーク)は今後重要になるし、日本でもすぐに欲しいくらいのものだけど、既にインフラはあるらしく、色々で検討中とのこと。(ただし有料)
AppFablicとかは、日本では流行らなかったSOAの考え方らしく、個人的には素晴らしい考え方だと思った。以前に基幹システムをパッケージで、外部接続を全部SOAで繋いでたことがあって、その考え方で責任分解点とか簡単すぎたし、基幹システムのバージョンアップがすごく楽だったので、良いと思うのですが・・・日本でなんで流行らなかったんだろ・・・
もうひとつ興味深かったのは、SQL Azure。「もちろんインデックス設計とかDBAの仕事でのこるでしょ?!」って聞いたのですが、レガシーすぎる!って言われた気がしますwこれ以外も色々ありましたが、砂金さん本当に興味深い話ありがとうございました。
懇親会での話も含めて本当に勉強になりました!
データが壊れたとき、データを消しちゃった時用のバックアップってできますか?と聞いたら、即答でできますとのこと!
できますよん♪ http://bit.ly/9pe29H RT @ripjyr ありがとうございます!そそ、バックアップでExportみたいなことって、SQL Azureってできるんでしたっけ?
いさご@LINE DevRel on Twitter: "できますよん♪ http://bit.ly/9pe29H RT @ripjyr ありがとうございます!そそ、バックアップでExportみたいなことって、SQL Azureってできるんでしたっけ?"このあたりです。
場合によってはバッチ・ファイルとして組んだ方が柔軟に扱える場合も多いので、ここではBCPユーティリティでSQL AzureデータベースのM_Bankテーブルをエクスポートして、オンプレミスのSQL ServerデータベースにインポートするSQLスクリプト・ファイルを例示する。まずはエクスポートのサンプルSQLスクリプト。
業務システムでWindows Azureを使うための42の覚え書き(4/4) - @IT
参加者のBlogとか
勉強会の内容ですが、マイクロソフトの砂金さんによるセッションです。 お題は「クラウドのセキュリティ」ということで、Windows Azureにおけるセキュリティの話です。
http://www.kumachan.biz/pismo/blog/archives/2010/05/29_2145/
まず、自分はGAEも使ったことがない時代の流れに超乗り遅れた人間なんですけど、そんな人間にも判りやすくクラウドの解説から。 自分が接しているクラウドといえば、HootSuiteやfoursquareのようなAmazonEC2(いわゆるIaaS/HaaS)を使ったサービスなのですが、Windows Azureはプラットホームまで提供されているPaaSなんですね。 SaaSはエセクラウドが多いと感じているので、チョット除外して考えます。
まぁ、そんな基本のところから入って、セキュリティの話へ繋がっていくわけですけど、やっぱりデータに関する考え方は想定通りかなぁと。 要するに「外部に置くことに不安があるデータは置かない」という事だそうで、この考え方はクラウドに限らず共通の考え方ですよね。 クラウドはイメージ的にはセキュリティガチガチという感じなんですけど、それでも「不安があるものは置かない」なんですね。 結局、クラウドサービスの範囲外におけるアプリケーションの作りに左右される部分が大きいわけですから、当然といえば当然なんですけど。
書こうぜ!(今書いたから強気w
「セキュポロ」で最新1週間の検索をしてみたけど、Twitterばかりだなぁ。みんなBlog書こうぜ。
Chuta(´° ` ) on Twitter: "「セキュポロ」で最新1週間の検索をしてみたけど、Twitterばかりだなぁ。みんなBlog書こうぜ。"ありがとーーー!今から読んで、Blogに書く
Chuta Blog に「第4回北海道セキュリティ勉強会に参加してきた」投稿 http://chutablog.blogspot.com/2010/05/4.html #secpolo
Chuta(´° ` ) on Twitter: "Chuta Blog に「第4回北海道セキュリティ勉強会に参加してきた」投稿 http://chutablog.blogspot.com/2010/05/4.html #secpolo"肝は後半でしたねw。でもデータ保全のためにバックアップは不要ってのもアレですが、砂金さん情報より、SQL AzureでExportできるので、それを設定すればOKかな。
Windows Azureとそのセキュリティ(後半)
Chuta Blog: 第4回北海道セキュリティ勉強会に参加してきた
- オンプレミスと同等の管理は向かない
- 個別に特別な対応は技術的にも不可能
- 監査を必要とするデータをAzure上に載せるリスクは今はとらないほうが良い
- 物理的に膨大な量のサーバーなので管理も自動化→悪意のある監視コードがあるかどうかは信頼の問題
- Admin権限を持つ人も存在するが、すべての操作は記録されている
- クラウドに向けてのセキュリティ対策は、今までのインターネットに公開する際の対策とほぼ同じ
- パフォーマンスについての名言「今日のパフォーマンスが明日出るとは限らない」
- データ保全の為のバックアップは不要
ちょ−−俺も食べたかったのに!!!
恒例のおやつは北菓楼のシュークリーム。2つも食べてしまった。
Chuta Blog: 第4回北海道セキュリティ勉強会に参加してきたそんなオチがwwwwwwwww
セキュポロでもらってきたJNSAのセキュリーナのCDを会社の上司にみせたら、えらいうけていた
sapporokoya on Twitter: "セキュポロでもらってきたJNSAのセキュリーナのCDを会社の上司にみせたら、えらいうけていた"
参加予定の人の反応
お待ちしています!
第4回せきゅぽろに申込した!第一回以来だな。 http://secpolo.techtalk.jp/Home/dai-4kai-hokkaidou-jouhou-sekyuriti-benkyou-kai
Tsuyoshi MAEHANA on Twitter: "第4回せきゅぽろに申込した!第一回以来だな。 http://secpolo.techtalk.jp/Home/dai-4kai-hokkaidou-jouhou-sekyuriti-benkyou-kai"
すみません、直ったようです・・・
第4回北海道情報セキュリティ勉強会(せきゅぽろ)の申込みを行ったんだけど、登録が反映されないよ0(涙) #secpolo #sapporo
ぴずも on Twitter: "第4回北海道情報セキュリティ勉強会(せきゅぽろ)の申込みを行ったんだけど、登録が反映されないよ〜(涙) #secpolo #sapporo"
僕も行きますよー!
ということで五月末のセキュポロに誰かいきませんか? http://secpolo.techtalk.jp/
ろ。まのふ on Twitter: "ということで五月末のセキュポロに誰かいきませんか? http://secpolo.techtalk.jp/"
たのしみですーー!
私も参加しまーす! RT @ripjyr: 僕行きますよーーー! QT ということで五月末のセキュポロに誰かいきませんか? http://secpolo.techtalk.jp/(via @kamiya344)
Yoshiyuki Nakamura on Twitter: "私も参加しまーす! RT @ripjyr: 僕行きますよーーー! QT ということで五月末のセキュポロに誰かいきませんか? http://secpolo.techtalk.jp/(via @kamiya344)"
どんなレベルになるんだろう!!!楽しみ!!!
そんなんじゃ足りない言われました;w; RT 「第4回北海道情報セキュリティ勉強会」では、自宅PCにBIOSパスワードを掛けるくらいセキュリティ意識の高い @naoki0311 の嫁さんがLTすべき。 http://is.gd/bXMjN (via @harutama)
naoki0311 オルタ on Twitter: "そんなんじゃ足りない言われました;w; RT 「第4回北海道情報セキュリティ勉強会」では、自宅PCにBIOSパスワードを掛けるくらいセキュリティ意識の高い @naoki0311 の嫁さんがLTすべき。 http://is.gd/bXMjN (via @harutama)"
日本全国が期待するLTらしいwww
ストリーム配信激しく希望! RT @twit_ahf: かなり深い内容になりそうな予感・・・ QT @nakayoshix: 5/29(土)の「第4回北海道情報セキュリティ勉強会」では、 @naoki0311 さんのLT「家庭円満に保つための情報セキュリティ活用術」…
tkinugaw on Twitter: "ストリーム配信激しく希望! RT @twit_ahf: かなり深い内容になりそうな予感・・・ QT @nakayoshix: 5/29(土)の「第4回北海道情報セキュリティ勉強会」では、 @naoki0311 さんのLT「家庭円満に保つための情報セキュリティ活用術」…"
よっしゃっ!!!
29日なら大丈夫かな。場所も会社から近いし(笑 RT: @ripjyr 5/29 第4回北海道情報セキュリティ勉強会を開催します。クラウドとセキュリティをぶった切りますよ!w http://bit.ly/4th-secpolo-workshop #secpolo
ふぇいそん on Twitter: "29日なら大丈夫かな。場所も会社から近いし(笑 RT: @ripjyr 5/29 第4回北海道情報セキュリティ勉強会を開催します。クラウドとセキュリティをぶった切りますよ!w http://bit.ly/4th-secpolo-workshop #secpolo"まだお菓子が決まってない・・・orz
第4回北海道情報セキュリティ勉強会(せきゅぽろ)が5月29日に開催されます。興味のある方は、こちらから申込みをどうぞ!ちなみに、おやつが楽しみな勉強会だったりします。 http://bit.ly/ak4CB5 #secpolo #sapporo
ぴずも on Twitter: "第4回北海道情報セキュリティ勉強会(せきゅぽろ)が5月29日に開催されます。興味のある方は、こちらから申込みをどうぞ!ちなみに、おやつが楽しみな勉強会だったりします。 http://bit.ly/ak4CB5 #secpolo #sapporo"
すんません、色々不手際があって・・・
お、セキュポロ登録情報を見直したらちゃんと登録されてる。これで安心して参加できる。
ろ。まのふ on Twitter: "お、セキュポロ登録情報を見直したらちゃんと登録されてる。これで安心して参加できる。"
@pismo_kumachan おはようございます。フォローさせていただきます〜よろしくお願いします。セキュポロに参加したいと思っています。
大福もちもち on Twitter: "@pismo_kumachan おはようございます。フォローさせていただきます~よろしくお願いします。セキュポロに参加したいと思っています。"
そして、5月29日に開催されますので是非!
セキュポロてのがありますね。 http://secpolo.techtalk.jp/ RT @mie_treky: funな人たちへ。「せきゅぱこ」というセキュリティのコミュニティって今もありますか?
白髪閑人 on Twitter: "セキュポロてのがありますね。 http://secpolo.techtalk.jp/ RT @mie_treky: funな人たちへ。「せきゅぱこ」というセキュリティのコミュニティって今もありますか?"
今は活動停止中で、hakodate.*という開発系ノンジャンルコミュニティをされていますね。
funな人たちへ。「せきゅぱこ」というセキュリティのコミュニティって今もありますか?
Michiko Oba on Twitter: "funな人たちへ。「せきゅぱこ」というセキュリティのコミュニティって今もありますか?"
いろいろすみませんーーー!
北海道情報セキュリティ勉強会(せきゅぽろ)で出すお菓子を検討中。
Tadasu Shiga on Twitter: "北海道情報セキュリティ勉強会(せきゅぽろ)で出すお菓子を検討中。"
ぇーーー来ないことを今知った!
【告知】【2010年5月29日(土)】第4回北海道情報セキュリティ勉強会【僕不在】 # secpolo http://bit.ly/9krNLM
すもけ on Twitter: "【告知】【2010年5月29日(土)】第4回北海道情報セキュリティ勉強会【僕不在】 # secpolo http://bit.ly/9krNLM"
僕の要望は、d:id:naoki0311:detail経由でお伝えしてるかな。
聞いてみたい話とかあれば、事前にでも教えてくださいませ。善処します RT @masiatan 5/29は@shin135 さんのガンダムの話・・・じゃなくて #Azure の話が聞けるのというので セキュポロに初参加します。 http://secpolo.techtalk.jp/
いさご@LINE DevRel on Twitter: "聞いてみたい話とかあれば、事前にでも教えてくださいませ。善処します RT @masiatan 5/29は@shin135 さんのガンダムの話・・・じゃなくて #Azure の話が聞けるのというので セキュポロに初参加します。 http://secpolo.techtalk.jp/"
お待ちしています!
5/29は@shin135 さんのガンダムの話・・・じゃなくて #Azure の話が聞けるのというので セキュポロに初参加します。 http://secpolo.techtalk.jp/
masia / マシャ (@masiatan) | Twitter
ポロリっていっちゃだめぇーーー!w
そ、それは…w RT @ishisaka: セキュポロって気をつけないとセキュリティ ポロリを短くしたみたいだなって、いい加減脳みそが腐ってきたなぁ。
Yoshiyuki Nakamura on Twitter: "そ、それは…w RT @ishisaka: セキュポロって気をつけないとセキュリティ ポロリを短くしたみたいだなって、いい加減脳みそが腐ってきたなぁ。"
アナウンスありがとうございます!!!!
札幌近辺の人はぜひ行って。あの砂金さん(←ガンダムの人)が。「第4回北海道情報セキュリティ勉強会」 http://secpolo.techtalk.jp/Home/dai-4kai-hokkaidou-jouhou-sekyuriti-benkyou-kai
Takeshi Miyata (@mtakeshi) | Twitter
ありがたやー!お会いできるのを楽しみにしています!
「第4回北海道情報セキュリティ勉強会」の参加登録した。これで、27日は「HTML5: W3C Widget とその応用を考える会」-Google東京オフィス、28日は神奈川で担当医との面談、29日はせきゅぽろと続く。今回は懇親会にも参加したい。
yukkiki on Twitter: "「第4回北海道情報セキュリティ勉強会」の参加登録した。これで、27日は「HTML5: W3C Widget とその応用を考える会」-Google東京オフィス、28日は神奈川で担当医との面談、29日はせきゅぽろと続く。今回は懇親会にも参加したい。"
ということで無事入金→セキュポロ参加となったそうです!よかったー!
だでぃーが仕送りをしてくれないとセキュポロ懇親会に参加できないという危機的状況
ろ。まのふ on Twitter: "だでぃーが仕送りをしてくれないとセキュポロ懇親会に参加できないという危機的状況"確認したら入金されてました!参加できます! RT @ripjyr: これは困った!!QT だでぃーが仕送りをしてくれないとセキュポロ懇親会に参加できないという危機的状況 via @kamiya344
ろ。まのふ on Twitter: "確認したら入金されてました!参加できます! RT @ripjyr: これは困った!!QT だでぃーが仕送りをしてくれないとセキュポロ懇親会に参加できないという危機的状況 via @kamiya344"
ありゃぁ、残念・・・
Hokkaido.pm キックオフMTGかー。セキュポロ懇親会とモロかぶりですな…。どちらにしろその日は運動会直後でヘロヘロなので無理っぽいのでエントリーできず
しゃある🐰 on Twitter: "Hokkaido.pm キックオフMTGかー。セキュポロ懇親会とモロかぶりですな…。どちらにしろその日は運動会直後でヘロヘロなので無理っぽいのでエントリーできず"
使用前、使用後の写真キボンヌ!
明日のセキュポロにこんなボンバーなぼさぼさ頭で参加するのも恥ずかしいのでとりあえず今日は散髪行く
ろ。まのふ on Twitter: "明日のセキュポロにこんなボンバーなぼさぼさ頭で参加するのも恥ずかしいのでとりあえず今日は散髪行く"