PaaSのWAFとセキュリティ対策, パスワードと検索の話, クラウド事業者とインシデント発生時の対応

Tags:

PaaSのWAF

  • AWS WAF
    • Pros
    • Cons
  • AWS Shield
  • Azure WAF [Application GatwayのWAF機能]
  • Google App Engine [マネージなWAFの提供は現状ない]

セキュリティ会社のCTO

技術系のところはCTO少ない

SPA, PWA, IsomorphicJS

React Native, Electron

パスワードの話

ntds.dit => Win 2008以降はセキュアなので特定が不可

パスワードが案外おもしろい

freedom

newyork

verymatch

080xxxxyyyyy

検索のはなし

クラシル

シノニム・辞書の改善

クラウド事業者

  • さくらインターネット
  • ノーガードサーバがある
  • お客様は自ら全裸になる
  • fail to banをとめる
  • リフレクションサーバ
  • ビットコインをほっている
  • 麻薬密売や児童ポルノのサイトになっている
  • 警察対応は差し押さえるとかの人的コスト
  • 権利侵害の対応も人的コスト
  • abuse対策勉強会
  • さくらは風通しが良い→何かアレば連絡してほしい
  • さくらの内部でもハニポを持っている

インシデント発生時

tangible cost / intangible cost

自社のブランドやお詫び金などなど

特別損失からセキュリティ対策に要したコストを推測することができる。

cybertabの観点は参考になる。動画を参考にするとよい。

intangible cost => 換算できない「ブランド力」

Event Studt Methodology => 株価情報をもとに企業価値の損失を測定

インシデントの起きなかった時を推定して、実際の株価と推定の株価からの差分を求める。実際には変化率をもとめて足す(積分)する。