Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Pwned Labsのすゝめ
Search
Kengo Suzuki
February 28, 2025
Technology
1.2k
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Pwned Labsのすゝめ
Kengo Suzuki
February 28, 2025
More Decks by Kengo Suzuki
See All by Kengo Suzuki
男(監査)はつらいよ - Policy as CodeからAIエージェントへ
ken5scal
5
1.1k
AI時代の大規模データ活用とセキュリティ戦略
ken5scal
1
530
信頼性に挑む中で拡張できる・得られる1人のスキルセットとは?
ken5scal
3
1.3k
Eventual Detection Engineering
ken5scal
0
2.9k
脆弱性対応をこの先生きのこるには
ken5scal
0
1.7k
LayerXとMDMのリスク評価と年次対応の実例(公開版)
ken5scal
2
1.5k
AWSだ! Google Cloudだ! Azureだ! 認証連携だ!
ken5scal
9
2.6k
適応し続けるプロダクトとセキュリティ
ken5scal
5
2.5k
同志諸君よ、ゼロトラストを撃て_CloudNativeDays2022
ken5scal
2
3.4k
Other Decks in Technology
See All in Technology
product engineering with qa
nealle
0
140
起点・思考・出力で分解する 〜PM業務の自動化設計〜
kazu_kichi_67
2
1.2k
Agentic AI 時代のテスト手法: Kiro とはじめるプロパティベーステスト (AWS Summit Japan 2026 | DEV212)
ymhiroki
0
170
「軸足」は 固定しなくていい - 熱量と強みで描く、しなやかなキャリアの形
kakehashi
PRO
1
320
水を運ぶ人としてのリーダーシップ
izumii19
4
1.2k
本当の”仕事”を手放せる未来が見えた
mu7889yoon
0
210
Fabricをフル活用する AI Agent Hub -製造業特化AIエージェントの設計
iotcomjpadmin
0
190
FinOps X 2026 Recap from Engineer Side #JapanFinOps
chacco38
0
240
トークン最適化のためのユーザーストーリー分析 / User Story Analysis for Token Optimization
oomatomo
0
160
知見・人・API・DB・予算 ─ ナイナイ尽くしだった人事データ整備 with dbt、5年間の学び
ken6377
1
130
背中から、背中へ /paying forward to community
naitosatoshi
0
210
“全部コピーしない”ファイルデータの活用 : — FSx for ONTAP × S3 Tables × Icebergで作るメタデータカタログ
yoshiki0705
0
270
Featured
See All Featured
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
180
Stop Working from a Prison Cell
hatefulcrawdad
274
21k
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.8k
My Coaching Mixtape
mlcsv
0
160
Practical Orchestrator
shlominoach
191
11k
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
620
Un-Boring Meetings
codingconduct
0
330
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.5k
Faster Mobile Websites
deanohume
310
32k
Visualization
eitanlees
152
17k
The Cult of Friendly URLs
andyhume
79
6.9k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
490
Transcript
商号等 三井物産デジタル‧アセットマネジメント株式会社 ⾦融商品取引業者 関東財務局⻑(⾦商)第3277号 加⼊協会 ⽇本証券業協会、⼀般社団法⼈ ⽇本投資顧問業協会、⼀般社団法⼈ 第⼆種⾦融商品取引業協会 ©Mitsui & Co.
Digital Asset Management, Ltd. 公開 Pwned Labsのすゝめ 喋ることだけ意識していて、スポンサーセッションであることも、30min枠であることも 忘れていたとあるセキュリティ担当による発表 #CloudSec JP #001 #cloudsecjp
公開 イントロ ⾃⼰紹介 about @ken5scal 三井物産デジタル‧アセットマネジメント • コーポレートシステム部⻑, システムリスク統括責任 •
LayerX Fintech事業部から出向 個⼈活動 • 週間ニュースレター「忙しい⼈のためのセキュリティ‧イン テリジェンス」 • 他: Podcast、同⼈誌 来歴 • ⾦融系SIer > 資産管理‧家計簿SP > 証券会社 > 現職 2
公開 ⽬次 INDEX 1. イントロ 2. 学習要綱 3. PwedLabsはいいぞ
公開 01 イントロ 4
5 © LayerX Inc. 「すべての経済活動を、デジタル化する。」をミッションに、AI SaaSとAI DXの事業を展開 事業紹介 バクラク事業 企業活動のインフラとなる業務を
効率化するクラウドサービス Fintech事業 ソフトウェアを駆使したアセットマネジ メント‧証券事業を合弁会社にて展開 AI‧LLM事業 社内のナレッジやノウハウをデータ ベース化するAIプラットフォーム AI SaaSドメイン AI DXドメイン
公開 三井物産デジタル‧アセットマネジメント(MDM)について はじめに 会社設⽴ 2020年 資産運⽤総額(AUM)* 2, 000億円+ デジタル証券ファンド組成数* 14
国内No.1** * 2024年12⽉31⽇時点 **2024年12⽉31⽇時点で資産運⽤会社が組成する電⼦記録移転有価証券表⽰権利等を発⾏したファンド数。有価証券届出書を元に当社調査。 所在地 〒103-0012 東京都中央区⽇本橋堀留町1-9-8 ⼈形町PREX4階 資本⾦ 30億円(資本準備⾦を含む) 従業員数 76名(2024年12⽉1⽇現在) 登録免許 関東財務局⻑(⾦商)第3277号 第⼀種⾦融商品取引業‧第⼆種⾦融商品取引業‧投資運⽤業 事業内容 不動産‧インフラを中⼼とする実物資産のアセットマネジメント事業 個⼈投資家向けオンライン資産運⽤サービス「オルタナ」の運営 当社の強み 総合商社‧不動産⾦融等の出⾝者が集う「資産運⽤のプロ集団」 ファンド組成〜販売〜運⽤を⼀気通貫で⾏う「製販⼀体」の体制 社員の3割がソフトウェアエンジニア「デジタルネイティブ」な⾦融機関 株主 6
公開 イントロ 会社概要② 職務概要 7 ガバナンス‧コンプライアンス業務
公開 8 イントロ 会社概要③ プロダクトの範囲 運⽤ 流動化 IR マー ケ
公開 イントロ 直⾯してきた‧している課題 外的要因 9 外部団体‧ 親会社からの ハイコンテクストで 多様なフォーマットの チェックシート
相対的に増えたクラウ ドの変更‧構成管理 増え続ける 管理コスト‧ ⾦銭的コスト 脆弱性を埋め込む脅威 ベクトルの増加
公開 イントロ 直⾯してきた‧している課題 外的要因 10 外部団体‧ 親会社からの ハイコンテクストで 多様なフォーマットの チェックシート
相対的に増えたクラウ ドの変更‧構成管理 増え続ける 管理コスト‧ ⾦銭的コスト 脆弱性を埋め込む脅威 ベクトルの増加 特に侵⼊する窓⼝が広い
公開 イントロ 直⾯してきた‧している課題 外的要因 11 外部団体‧ 親会社からの ハイコンテクストで 多様なフォーマットの チェックシート
相対的に増えたクラウ ドの変更‧構成管理 増え続ける 管理コスト‧ ⾦銭的コスト 脆弱性を埋め込む脅威 ベクトルの増加 とりあえず いい感じに構成情報と標準(情報)を引っ張って いい感じにデータ基盤に放り込んで いい感じにギャップ(脆弱性)を⾒つけて、 いい感じに影響ない⽅法でギャップを埋めていきたい そして、いい感じに仕事しないでお給料もらいたい
公開 イントロ 3年間のチーム構成の推移 • ⼈数: 1⼈ -> 5⼈ • バックグラウンド:
コーポレートエンジニア、CTO、SRE、派遣ヘルプデスク、わい 12 https://note.layerx.co.jp/n/n2106928167c3 全メンバー向けに会社が部⾨が ⽬指していきたい⽅向性を⽰した 「羅針盤」 を更新
公開 イントロ 3年ほど集中したい技術‧分野 - デジタルアイデンティティ - ⾃動的なベースライン構築‧運⽤ - AIエージェント -
データ基盤 - リスクベースの実践的評価と継続的な改善 - レッドチーム演習やChaos Engineeringなどを組み合わせた包括的なテストを定期的に実施し、サービス 信頼性‧セキュリティ対策‧運⽤体制を検証する。 - その結果をフィードバックし、運⽤⾃動化やガバナンス強化につなげることで、組織横断的に継続的改善 の⽂化を根付かせる。 - SREの可⽤性リスク、DevOpsの変更リスク、コーポレートITの運⽤リスク、セキュリティリスクなど、多 ⾯的にリスクを評価。 - 定性‧定量両⾯の指標を⽤い、優先度の⾼い領域から技術的‧管理的対策を導⼊するサイクルを確⽴ 13
公開 イントロ 3年ほど集中したい技術‧分野 - デジタルアイデンティティ - ⾃動的なベースライン構築‧運⽤ - AIエージェント -
データ基盤 - リスクベースの実践的評価と継続的な改善 - レッドチーム演習やChaos Engineeringなどを組み合わせた包括的なテストを定期的に実施し、サービス 信頼性‧セキュリティ対策‧運⽤体制を検証する。 - その結果をフィードバックし、運⽤⾃動化やガバナンス強化につなげることで、組織横断的に継続的改善 の⽂化を根付かせる。 - SREの可⽤性リスク、DevOpsの変更リスク、コーポレートITの運⽤リスク、セキュリティリスクなど、多 ⾯的にリスクを評価。 - 定性‧定量両⾯の指標を⽤い、優先度の⾼い領域から技術的‧管理的対策を導⼊するサイクルを確⽴ 14 コーポレートエンジニア、CTO、SRE、派遣ヘルプデスク バックグラウンドが持つスキルではない
公開 15 https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf
公開 イントロ 規定等及び業務プロセスの整備 • 情報資産管理 • リスク評価 • 脆弱性管理 •
脆弱性診断及びペネトレーションテスト • 演習‧訓練 • 認証‧アクセス管理 • 教育‧研修 • データ管理 16 「⾦融商品取引業者等向けの総合的な監督指針」を含む全監督指針が、そのサイバーセキュリティ管 理について「⾦融分野におけるサイバーセキュリティに関するガイドライン」を基底とするようにな り、以下の態勢を要求している • ログ管理 • セキュリティ‧バイ‧デザイン • 技術的対策 • インシデント対応及び復旧 • サードパーティリスク管理 リスクベースで机上の空論ではあかん できれば実際に試して、対策後も確認したい。 =外部研修が必要
公開 02 学習要綱 17
公開 - CISSP / CISM /CISA? 悪くないが、セキュリティマネージャーを育てることに研修費⽤をとり たいわけではないのでOJTとはチョット違う - Offensive Labs
/ THM / HTB? とてもいいが、得意としている攻撃環境‧脅威がチョット違う - SANS GPEN? ⾼杉 ※BSCP?とても良さそう - 学習要綱 どんな外部研修コースか? 18
公開 - 当社のクラウン‧ジュエルには、2~3hopで到達 できる(気がする) - フルクラウド環境では、アタックサーフェース (ノード)とShortest Pathなエッジを潰すのが リスクベースな対応だと考えている -
その起点は⼤体、misconfigになるはずであり、 そのためEnumとmisconfigを突く典型的な脅威 に集中すべきと考えている 学習要綱 我々が想定したいリスクベースの脅威 19 我々がまずGetしたいオフェンシブな領域と 価格の両⽴したOFF JTな研修を探している
公開 03 Pwned Labsはいいぞ 20
公開 21
公開 - BootCamp - AWS、Azure、GCP(Coming Soon)といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境
- Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおk - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 概要 22
公開 - CNCFでいうところのクラウドネイティブな開発に関連したコンテンツがあって良い - 例: 「Uncover Secrets in CodeCommit and
Docker」 - 例: 「Abuse OpenID Connect and GitLab for AWS Access」 - 例: 「Exploit Kubernetes Overly Permissive RBAC」 - あまりでてこないバッチ‧サーバーレス開発も考えられていて良い - 例: 「SQS and Lambda SQL Injection」 - 例: 「Abuse S3 Replication and Batch Ops to Exfiltrate Data」 - SSRFがIMDSv2ベースなのがよい - 総じて、しっかり最新の脅威や、近年のモダン開発フローを念頭にしているのが良い PWNEDLABS コンテンツ - Good 23
公開 - クラシックなCTFとは頭の使い⽅が違った - クラシックな⽅: 「ジャンルに特化した考え⽅」「Exploitの作り⽅⼤事」「脳みそ焼き切る」 - こっち: 「開発者がどこで⼿を抜くか」「どれぐらいIaaSのAPIを知っているか」「ベスプラはなにか」 -
個⼈的に⼀番⼿間取ったのは、提供されるエントリーポイント(IPアドレス)からどうAWS環境 に侵⼊するか。 ※ある程度AWSに慣れているからそう感じるのかも? - 当社のリスクベース的には別のスキルセット(Web系Pen)でカバーする必要がありそう ※Burp Suite Certified Practitioner? PWNEDLABS コンテンツ - その他 24
公開 - BootCamp - AWS、Azure、GCP(Coming Soon)といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境
- Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおk - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 価格は? 25
公開 - BootCamp - AWS、Azure、GCP(Coming Soon)といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境
- Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおk - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 価格は? 26
公開 - BootCamp - AWS、Azure、GCP(Coming Soon)といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境
- Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおk - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 価格は? 27 コンテンツと値段のバランスが良いと感じた。 オススメ
公開 28
公開 イントロ 規定等及び業務プロセスの整備 • 情報資産管理 • リスク評価 • 脆弱性管理 •
脆弱性診断及びペネトレーションテスト • 演習‧訓練 • 認証‧アクセス管理 • 教育‧研修 • データ管理 29 「⾦融商品取引業者等向けの総合的な監督指針」を含む全監督指針が、そのサイバーセキュリティ管 理について「⾦融分野におけるサイバーセキュリティに関するガイドライン」を基底とするようにな り、以下の態勢を要求している • ログ管理 • セキュリティ‧バイ‧デザイン • 技術的対策 • インシデント対応及び復旧 • サードパーティリスク管理 リスクベースで机上の空論ではあかん できれば実際に試して、対策後も確認したい。 =外部研修が必要
公開
公開 31 ken5が受けたかっただけ! やりたい駆動! ついでに業務に活⽤しただけ ※⾃費で受けて、クオリティ確認して予算つくるタイプのモンスター
公開 - ISACA系(CISM, CISA) - ISC2 ( CCSP?, CISSP?) -
PwnedLab(ACRPT、MCRTP) - Burp Suite Certified Practitioner - Endpoint系(OSMR?OSED?) - 等 今後の当社 こういう研修の予算を確保していきます 32
公開 - 2年後を⾒据え、Red的業務をするための枠を拡充していきたいと考えています - AIだけでなく、Humanもめっちゃ必要なので、是⾮、⾯談含めご検討いただけますと幸いです - We are Hiring -
X / YouTrust: @ken5scal - OpenDoor: https://jobs.layerx.co.jp/bb8263e946964a4b9bfac9f4e67cf353 今後の当社 研修予算は取れるが、「今」はRed難しい 33
公開 おまけ 無料でできるオススメチャレンジ 34 あとは、インフラコストかかるけど AWS Goat, Cloud Goat
コーポレートサイト https://corp.mitsui-x.com/ サービスサイト(ALTERNA) https://alterna-z.com/ 公開