「春の復習ランチタイム#1ーウェブセキュリティの知識は普及しているか、 徳丸本の著者が憂慮していること」について参加してきました。
表記イベントに参加してきましたので、感想を記載します。
AIチャットでのセキュリティ調査について
・AIのプログラム生成は常に高品質のコードが生成されるわけでない。Copilotは副操縦士の扱いで使う。
・Bing AIにSSRF攻撃について聞いてみると、キメラのように、既存記事を組み合わせて新しい記事を作ることが分かる。ただし情報が薄めだったり、間違いもある
・ネット上のセキュリティ記事については、SEO技術の発展により、SEOの動機が強い企業が記事を量産しているので、ググって上位の記事を参照する方法では質の高い記事を見つけることができない。
また、Big AI Chatも上位を参照するので同様の傾向がみられ、今後さらにAIを使ったSEO対策用の記事がますます量産されるため、より真贋を判断する目が必要
CpitalOneの被害事例について
・SSRFのCapitalOneの被害事例をBingAIに聞きながら、DevSecOpsを導入している同社の事例を深掘りしてみた内容でした。
・SSRF攻撃によりIMDS経由でS3ストレージのクレデンシャルを取得して個人情報が流出。WAFがOpen Proxyになっていた、WAFに不要なクレデンシャルが付与されていたことが大きな問題。
・DevSecOpsが流行っているように最近は、DevOps,SDLC,シフトレフトといった、開発プロセス全体でセキュリティを担保する考え方が流行っている。
DevSecOps
・開発ライフサイクルの全てのフェーズでセキュリティを自動化し、統合する手法
SDLC(Secure Development Life Cycle)
・SDLCとはセキュア開発ライフサイクルの略で、開発プロセスの前工程にセキュリティ関連の活動を組み込み全工程でセキュリティを担保していく
シフトレフト(Shift Left)
・シフトレフトとは、開発プロセスの可能な限り早期の段階にセキュリティ施策を実施すること。開発ライフサイクルが高速になり、迅速かつ頻繁にアプリケーションをリリースすることができる
ただ、ブームにはなっているものの、上流工程で実際に何をするのかがあまり語られていない。
そこから考えるとAIの発達等で、AI任せが進むことはCapitalOne事件の再来にならないか?と危惧している
感想
・本編とは別ですが、紹介されてた「オニギリペイのセキュリティ事故にまなぶ安全なサービスの構築法」の資料はとても気になりました。読んでみようと思います。ありがとうございました。
この記事が気に入ったらサポートをしてみませんか?