あなたの知らない怖い話 ~メディアコンテンツに迫る魔の手~

576 Views

April 17, 22

スライド概要

2019/3/20
JAWS-UG横浜 #15
JAWS UG横浜支部 × Media JAWS

profile-image

メディア・エンタメ業界一筋のPM。全員副業チームのファウンダー、DevSumiコンテンツ委員なども少々。 ▼ Twitter https://twitter.com/PassionateHachi ▼ Youtube:はちの遊び場 https://www.youtube.com/channel/UCQyOowfPZBjLc798wYq6g1A ▼ note https://note.com/hiroki_hachisuka

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

あなたの知らない怖い話 ~メディアコンテンツに迫る魔の手~ 2019/3/20 JAWS-UG横浜 #15 はち@PassionateHachi

2.

蜂須賀 大貴 @PassionateHachi 2012年 株式会社IMAGICA入社 お仕事: - PdM、PjM、プロダクトオーナー(CSPO) - インフラエンジニア(AWS) - セールスエンジニア

4.

https://www.slideshare.net/HirokiHa chisuka

5.

映像業界の 働き方を変えたい! 個人のスキルとセンスから チームで働く業界に!

6.

このスライドは一部の方には 刺激が強すぎる場合があります。 その場合は目を伏せながら、 お聞きください。

7.

大事なコンテンツ。 あなたは守れていますか?

8.

2017年に大きな被害を出したランサムウェア 「WannaCry」の作成、2014年にソニー・ピク チャーズがハッキングを受けて全システムがダ ウンするという事態を引き起こした事件に関与し たとして、FBIは北朝鮮のコンピュータープログ ラマーの男性を訴追する方針を明らかにしまし た。 https://gigazine.net/news/20180907-fbi-charge-north-korea-spy-wannacry-sony-pict ures-hack/

9.

忙しくて、セキュリティーが おろそかになってませんか?

10.

今日はそんなあなたに 身の毛もよだつ怪談話を ご紹介します。

11.

レベル1:明日からやるべきこと

12.

問1:あなたはコンソールへの ログインに何を使っていますか?

13.

きゃーー!!!!

14.

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_root-user.html

15.

1.rootアカウントを使ってログインしていませんか? ・そのAWSアカウントの誰でも忍び込むことが 可能になる。ほら、今この瞬間にも・・・ ・rootアカウントに付与されたアクセス権限を 制限することはできない。 誰も止められない・・・。

16.

問2:あなたのIAM、rootアカウントに 二要素認証はかかっていますか?

17.

きゃーー!!!!

18.

2.二要素認証をかけていますか? ・rootもIAMも二要素認証を。PWだけでは不十分。 ・ブラウザに記憶されていれば、だれでも・・・

19.

アプリの場合

20.

物理の場合

21.

問3:IAM、共有してませんか?

22.

きゃーー!!!!

23.

3.IAMを共有していませんか? ・IAM not me. ・何かが起こった時にだれが何をしたかわからない

24.

問4:IAMの権限確認してますか?

25.

きゃーー!!!!

26.

4.IAMの権限は定期的に棚卸しましょう ・よくあるのが”s3 full access” ・検証してそのままになってませんか?

27.

問5:だれがどんな操作をしたかわかるように してますか?

28.

きゃーー!!!!

29.

5.CloudTrailを有効にしていますか? ・Cloud Trailを有効にして、IAMの証跡を追えるように しましょう ・何かあってからでは遅い。 何かあっても追えるように。

30.

レベル2:各インスタンスの管理

31.

問6:ログ、流してますか?

32.

きゃーー!!!!

33.

6.Cloudwatchを有効にしていますか?ログを流していますか? ・有効にしないとログが取れず、忍び寄る魔の手に 気づけない・・・ ・欲しい情報はAgentを入れて取得しましょう。

34.

問7:セキュリティーグループ、ネットワーク ACLは適正ですか?

35.

きゃーー!!!!

36.

7.Security Group、ネットワークACLががら空き ・Security groupを閉じても安心してはならない。 ・ネットワークACLも忘れずに。 ・特に緊急時に家で作業をしているあなた。 閉じていますか?両方を。

37.

問8:WAF、GuardDuty使ってますか?

38.

きゃーー!!!!

39.

8. WAF、Guard Dutyを有効に。 ・ALBやCloudFrontにWAFを有効に。 ・マネジメントルールの適用がおすすめ。 ・Guard Dutyも有効に

42.

問9:ssh使ってませんか?

43.

きゃーー!!!!

44.

9.System Managerなら鍵(PEM)は不要です。 ・2018年9月に発表 ・コンソールからEC2に入れます。 ・鍵の管理が不要。紛失のリスクがありません。

47.

レベル3:大事なコンテンツを守る

48.

問10:S3にどんなファイル名で保存してます か?

49.

きゃーー!!!!

50.

10.S3に格納するファイル名は中身を特定できるものに なっていませんか? ・万が一、S3に入れてしまったら、 ファイルの中身が特定されてしまいます。 ・せめて、中身がわからないように リネームしておきましょう。 ・システムを組むときはDBにリネーム前後のファイル名を入れ て参照するといいかも

51.

問11:配信してる動画、抜き出せなくしてま すか?

52.

きゃーー!!!!

53.

11.配信の工夫をしましょう ・Cloudfrontからの配信は署名付きURLで ・配信はストリーミングで ・プレイヤーで右クリックは禁止しましょう

54.

問12:画面を録画された場合の対策してま すか?

55.

きゃーー!!!!

56.

12.盗まれても特定できるように ・可能であれば、画、音に透かしを入れましょう。 ・DRMをかけましょう ・とはいえ、難しい場合はこんな方法も

57.

再生ユーザーごと透かしの場所と表示順を分けている

58.

あなたは責任共有モデルの “責任”を全うできていますか?

59.

こんなことを考慮したアセット管理サービス、提供してます。

60.

今日の資料と補足 ● 今日の資料はSlide Shareにアップ済みです #jawsugでリンクを共有しています。 ● AWSやAgileとかScrumのお話をよく呟いてます。 @passhionateHachi