2013/11/23に行われたTwilio Meetupで発表したスライドです。 後半でTwilioのSMSを使った事例で、Scutumの2要素認証に付いて話しています

1. 福岡 x Twilio
2013/11/23 twilio meetup
株式会社エイゾク
市川
13年11月28日木曜日

2. 自己紹介
• Twitter: cakephper / ichikaway
• http://d.hatena.ne.jp/cakephper
• Fukuoka.php
• 仕事は東京、住居は福岡
13年11月28日木曜日

3. 目次
• 福岡での取り組み
• セキュリティ
• Scutum
13年11月28日木曜日

4. 福岡での取り組み
• Twilio
• 聞いたことがあるが使ったことがない
• Fukuoka.php勉強会 vol.7
• http://d.hatena.ne.jp/cakephper/
20130530/1369886542
13年11月28日木曜日

5. 福岡での取り組み
• 福岡でのTwilio勉強会グループ
• https://www.facebook.com/groups/
fukuoka.twilio/
13年11月28日木曜日

6. 福岡Twilio勉強会
• ハンズオン
• 仕事への応用を考える
• 勝手にTwilio適用
• 事例調査
13年11月28日木曜日

7. セキュリティ
https://jp.twilio.com/docs/security
13年11月28日木曜日

8. セキュリティ
• SSLの自己署名証明書は利用不可
• Twilioサーバからの通信を判別
• サーバにBasic認証をかける
• Twilioの署名を検証
13年11月28日木曜日

9. セキュリティ
• Twilioの署名を検証
• X-Twilio-Signatureに署名
• ユーザのAuthTokenで検証
13年11月28日木曜日

10. セキュリティ
13年11月28日木曜日

11. Scutum
株式会社ビットフォレスト
テクニカルコンサルタント
市川 快
13年11月28日木曜日

12. Scutum
• SaaS型 Web Application Firewall (WAF)
• DNSの切り替えのみで簡単導入
13年11月28日木曜日

13. 防御機能の一例
• SQLインジェクション
• CSRF、XSS
• 総当り攻撃
• パスワードリスト攻撃
• など
13年11月28日木曜日

14. 二要素認証
• 事例
• Dropbox, Google, Github, Zoho, etc
• ログインID / PW
• 自分の電話にSMSでコード送信
13年11月28日木曜日

15. Scutum 二要素認証
• 開発無しでお客様のログイン画面に二要素
認証をアドオン可能
http://www.scutum.jp/information/technical_articles/
two_factor_authentication.html
13年11月28日木曜日

16. 13年11月28日木曜日

17. 二要素認証
• TwilioのSMS機能を利用
• １通あたり1.5 ∼ 9.6円
• 導入が手軽、開発工数圧縮
• SMS送信はコマンド一発
13年11月28日木曜日

18. curl -X POST
'https://api.twilio.com/2010-04-01/Accounts/AC3ee879278fc/SMS/Messages.xml'
-d 'From=%2B8134589xxxx'
-d 'To=%2B818012345678'
-d 'Body=Hello'
-u APIキー:APIパスワード
13年11月28日木曜日

19. まとめ
• 福岡での取り組み
• セキュリティ
• Scutum
13年11月28日木曜日

20. Thank you
Yasushi Ichikawa
@cakephper
13年11月28日木曜日