【感想ブログ】とあるAWS SAとSecurity-JAWS#01 ~ほんと、退屈しないわねこのセキュリティは！~

イベント概要

Security-JAWSがSecurity for DevelopersというWorkShopのハンズオン、もくもく会を開催したイベント。ハンズオン自体は2022年のre:Inventで開催されたものを日本語版に一部改変したものを使って実施。

https://s-jaws.doorkeeper.jp/events/149297

インロトダクション

こちらの資料に沿って、今回のハンズオンの目的、シフトレフトについてなどの説明をAWS金森さんから説明。

https://speakerdeck.com/kanamasa/ship-securely

WorkShop

こちらのワークショップを資料に沿って進めていく。特に詰まることなく進められた。

https://catalog.workshops.aws/sec4devs/ja-JP

感想とか

• DASTとして扱っていたOWASP ZAPは名前は知っていたが有償なツールと勘違いしていたがOSSだとわかったので自分たちでもハードル低く導入できそう
  • 有償なBurpとの比較は以下の書籍があるそうなので時間があるときに見てみる
  • https://security-testing.booth.pm/items/4085995
• OWASP TOP10をちょうど社内の勉強会で一通りみたところだったので、その具体的な事例と対応ができるハンズオンだったので良かった、社内にも広めたい
• 運営の臼田さんの画面を見ながらや話を聞きながら進める形で面白い話も聞けて良かった
  • (予定があり途中で抜けてしまったけど)
  • 自分もお気に入りアイコンを大きくしたい
  • https://dev.classmethod.jp/articles/aws-big-icon-in-bookmark/
• Mitre Top25は知らなかった
• 脅威モデリングのWorkShopもあるようなのでそっちも気になる
  • 日本語かされる予定？
  • https://catalog.workshops.aws/threatmodel/en-US
• CI/CDでSAST,DASTしてたら、外部からの脆弱性診断やペネトレイトテストはいらないわけでなく、必要

まとめ

今回のハンズオンは、開発中心にやっている方やセキュリティ中心にやっている方などバックグラウンドが違う人でもやりやすいハンズオンに感じたので、組織でのベースラインを合わせる目的とかでも実施してみるのは良いと思った。1人でなかなかハンズオンに時間を割けないこともあったり、補足がなく理解度が低く終わってしまうこともある中、こういった機会があってありがたかった。