About secure oss_sig_20190607
- 1. OSSセキュリティ技術の会 について 2019.06.07 OSS セキュリティ技術の会 会長 中村 雄一 himainu-ynakam@miomio.jp
- 2. 会の設立背景 ・ 旧SELinuxユーザ会・セキュアOSユーザ会にて、SELinuxの 情報発信をしてきました。 2006年ぐらいがピークで、海外コミュニティとも連携してタイ ムリーな情報発信、海外コミュニティとガチンコ議論したり、開 発(組込みSELinux等)などできていました ・ メンバの仕事が変わってしまい、ここ10年近く情報発信が 低調でした。 ・ 結果、ぱったりと、SELinux等のOSSセキュリティ技術の情 報発信が止まってしまいました。 未だに10年以上前の記事が上位に引っかかる有様
- 3. グローバルのOSSセキュリティ技術 • 休んでいる間に色々あったようです • SELinux/AppArmorあたりまえ • 特にコンテナ。SELinux無しでは危なくて使えない • その他、カーネル回りにいろんなものが実は入っている • SELinux以外にも新たな動きも出てきている – 認証関係のOSSに世代交代の動き • Keycloakなど – コミュニティレベルのセキュリティ強化 – OpenSCAP、Katello/Foreman、vuls等運用管理技術
- 4. 日本の現状 • SELinuxは「とりあえずOFF」のまま… – 構築手順の最初にOFF – 雑誌や書籍でもOFF • その他新しい動きも全然伝わってきていない • セキュリティマネジメントは盛り上がっている (これはいいこと)、だが、海外との「技術」の ギャップは広がっている
- 5. OSSセキュリティ技術の会設立 • 目的 グローバルコミュニティで開発されるOSSのセキュリティ 技術の普及促進・技術者の交流促進 • 2017/3/10に設立 • 発起人: 中村雄一、面和毅、 石川裕基、忠鉢洋輔、森若和雄 • 事務局: 橋本正樹 • Webページ: www.secureoss.jp
- 6. 活動内容 ・ 技術ジャンル - カーネルセキュリティ(SELinux,BPF, kernel self protection等)、anti virus、パッチ管理等 - 新世代の認証周りOSS: keycloak, freeIPA 等 - なんでもOSSセキュリティ分野の技術ぽいことならば! ・ 有志記事執筆 日経Linux 「IoT時代の最新SELinux入門」, @IT「OSS脆弱性ウォッチ」,ThinkIT「開発者のためのセキュ リティ実践講座」 ・ 勉強会開催 第1回: 2017/5 テーマ「SELinux」 : 取材記事 (ThinkITさん) 第2回: 2017/12 テーマ「認証」 : 取材記事 (ThinkITさん) 第3回: 2018/7 テーマ「Keycloak」 : 取材記事(ThinkITさん) 第4回: 2018/11 テーマ「BPF」 第5回: 2019/6 テーマ「Keycloak&WebAuthn」⇒今回 ・ 出張イベント 情報処理学会CSS2017,2018やOSC等 ・ 座談会: 2度実施
- 7. 最新情報について • 公式ホームページ – www.secureoss.jp 更新にぶいです、ごめんなさい • 過去の勉強会 – https://secureoss-sig.connpass.com/ • Slackチャンネル(雑談・告知用) ⇒ ここが一番早いです https://bit.ly/jsoss-sig-chat から加入できます
- 8. OSSセキュリティ技術の会 第5回勉強会 ~KeycloakとWebAuthnのツインシュートの巻~ ●19:05-19:35 WebAuthnの概要とWebAuthn4Jの紹介 : 能島良和さん ● 19:35-20:05 Keycloak最新開発動向 : 中村@日立 ● 20:05-20:35 Keycloakの拡張まわりでなにか: 和田さん@NRI