Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
たったこれだけ!? 大規模な情報漏洩に至ったパブリッククラウドの設定ミスとセキュリティ...
Search
Kazuhiko Tsuji
August 03, 2023
Technology
0
23
たったこれだけ!? 大規模な情報漏洩に至ったパブリッククラウドの設定ミスとセキュリティデザインのポイント
CloudNative Days Fukuoka 2023 登壇資料 2023/08/03
https://cloudnativedays.jp/cndf2023/talks/1838
Kazuhiko Tsuji
August 03, 2023
Tweet
Share
More Decks by Kazuhiko Tsuji
See All by Kazuhiko Tsuji
GitOpsで実装するK8sセキュリティ -攻撃者が考えるアタックシナリオとOSSを活用した守り方-
kzhktj_0222
2
1.4k
Other Decks in Technology
See All in Technology
Enterprise AI in 2025?
pamelafox
0
100
初めてのPostgreSQLメジャーバージョンアップ
kkato1
0
440
スケールアップ企業のQA組織のバリューを最大限に引き出すための取り組み
tarappo
4
960
サーバシステムを無理なくコンテナ移行する際に伝えたい4つのポイント/Container_Happy_Migration_Method
ozawa
1
100
パスキー導入の課題と ベストプラクティス、今後の展望
ritou
7
1.2k
製造業の会計システムをDDDで開発した話
caddi_eng
3
980
OPENLOGI Company Profile
hr01
0
61k
「家族アルバム みてね」を支えるS3ライフサイクル戦略
fanglang
1
250
大規模サービスにおける カスケード障害
takumiogawa
2
270
caching_sha2_passwordのはなし
boro1234
0
220
React Server Componentは 何を解決し何を解決しないのか / What do React Server Components solve, and what do they not solve?
kaminashi
6
1.2k
Amazon GuardDuty Malware Protection for Amazon S3を使おう
ryder472
2
110
Featured
See All Featured
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Side Projects
sachag
452
42k
Stop Working from a Prison Cell
hatefulcrawdad
268
20k
Code Reviewing Like a Champion
maltzj
522
39k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
12k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
34
2.9k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
7.1k
Unsuck your backbone
ammeep
670
57k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.2k
The Cost Of JavaScript in 2023
addyosmani
48
7.6k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
135
33k
Transcript
© Kazuhiko Tsuji たったこれだけ!? ⼤規模な情報漏洩に⾄ったパブリッククラウドの設定ミスとセキュリティデザインのポイント 辻 紀彦 / Kazuhiko Tsuji
© Kazuhiko Tsuji ⾃⼰紹介 1 ⽒名 辻 紀彦 / ツジ
カズヒコ 出⾝地 福岡県 所属 株式会社マクニカ ネットワークス カンパニー 業務内容 • クラウドセキュリティリサーチ • パブリッククラウド、クラウドネイティブテクノロジーを活⽤した顧客対応 • ツール選定 • アーキテクチャデザイン • セキュリティデザイン 保有資格
© Kazuhiko Tsuji Cloud & Security Table of Contents 2
パブリッククラウドとセキュリティ セキュリティインシデント実演 セキュリティデザインのポイント 01 02 03
© Kazuhiko Tsuji 本セッションの概要 • 対象者 • パブリッククラウドサービスのセキュリティ運⽤の初級者 • セキュリティ実装に興味を持ち始めた⽅
• 現在のセキュリティ運⽤に⾃信が持てない⽅ • ⽬的 • クラウド利⽤者/クラウド技術者として • パブリッククラウドクラウドサービスのセキュリティリスクを理解する • セキュリティリスクを軽減するために有効な運⽤⼿法を理解する • 留意事項 • 本セッションはサイバー攻撃とその攻撃者を肯定、後援する意図を含みません • 本資料に登場するサービス事業者やセキュリティインシデントの当該企業を批評、批判する意図はありません • 本セッションに含まれる全てのコンテンツは発表者個⼈の⾒解に基づくものであり、所属する企業や組織の⽴場、戦略、意⾒を代表する ものではありません 3
© Kazuhiko Tsuji 4 パブリッククラウドとセキュリティ
© Kazuhiko Tsuji パブリッククラウドのセキュリティトレンド 5 特別なツールやマルウェアを使⽤せず、正規に実⾏可能な操作を応⽤した攻撃 ビジネスユースケースで最も回避したい • ⼀時的なビジネスインパクト 膨⼤な額の損害賠償
• 中⻑期的なビジネスインパクト 企業イメージの失墜 侵害箇所の全貌把握が困難 ⽔平展開を⽬的とした攻撃により広範囲に被害が及ぶ 特にIaaS, SaaSの脆弱性と設定ミスを狙った攻撃が急増 機密情報の搾取 リソースの乗っ取り パブリッククラウドサービスを標的とした攻撃の観測件数が増加 サービス停⽌を⽬的とした攻撃は少ない
© Kazuhiko Tsuji IaaSで発⽣した機密情報漏洩インシデント 6 社会保障番号 IaaSの設定ミスを利⽤した不正アクセス ⾦融機関として過去最⼤規模の情報漏洩 その他、⾮公開の個⼈情報 和解⾦
1億9000万ドル - 約210億円 ⽶国⾦融王⼿A社 銀⾏⼝座番号 約1億600万⼈分の個⼈情報が被害対象 被害者による集団訴訟に発展
© Kazuhiko Tsuji 7 セキュリティインシデント実演
© Kazuhiko Tsuji 攻撃シーケンス 8 正規のユーザー AWS Cloud Virtual Private
Cloud (VPC) Amazon EC2 Web Application Amazon EC2 Web Proxy Amazon S3 Data Bucket Amazon S3 Confidential Confidential 攻撃者 ① Webアプリケーションへアクセス & 偵察 ② Webプロキシへアクセス & クレデンシャルを参照 ⑤ 機密データの搾取 WebアプリケーションのURL: http://ec2-54-249-4-227.ap-northeast-1.compute.amazonaws.com/ ③ クレデンシャルをターミナルへ設定 ④ S3バケットへアクセス & ターゲットの特定
© Kazuhiko Tsuji インシデント考察 • 何が起こった? • Web Proxyに設定されているIAM Roleのクレデンシャルが参照された
• クレデンシャルを盗⽤され、S3バケットへのアクセスを許した • 攻撃者は特別なアタックツールやマルウェアを⼀切使⽤せずに攻撃を成功させた • 何が問題? • Web Proxy • パブリックに公開されている 本来はWeb Applicationからのみアクセス可能であれば良い • インスタンスメタデータへのアクセスに認証を必要としない インスタンスメタデータには機密情報が含まれるため認証機能を実装するべき • IMDS (Instance MetaData Service) • IMDS v1 インスタンスメタデータへアクセスする際にセッショントークンによる認証を求めない • IMDS v2 インスタンスメタデータへアクセスする際にセッショントークンによる認証を求める 9
© Kazuhiko Tsuji セキュリティスタンダードの活⽤ 10 クラウドコンピューティング向けに様々なセキュリティスタンダードがパブリックに提供されている § ISO-27017 § NIST
SP 800-53 § CIS Benchmark § Vender Specific § AWS Foundational Security Best Practices (FSBP) standard § Google Cloud Security Foundations Guide
© Kazuhiko Tsuji 11 セキュリティデザインのポイント
© Kazuhiko Tsuji 利便性 VS セキュリティリスク パブリッククラウドサービスの利便性とセキュリティリスクはトレードオフの関係にある 12 利便性 セキュリティリスク
バランスポイントを⾒つけることが重要
© Kazuhiko Tsuji バランスポイントの⾒つけ⽅ 13 クラウドサービスを利⽤している意義を忘れない 防御に拘らず予防に重点を置く 100%のセキュリティを求めない 侵害された場合のビジネスインパクト 重要度に応じたセキュリティ実装
守るべき資産の重要度を把握する クラウドサービスの利便性を犠牲にするほどのセキュリティ実装は避ける セキュリティ強化だけに固執しない セキュリティレベルのベースラインを向上し、リスクを低減する意識 セキュリティ運⽤レベル Low Mid クラウドセキュリティ実装前 High セキュリティリスク ベースライン向上 セキュリティ運⽤レベル Low Mid クラウドセキュリティ実装後 High セキュリティリスク
© Kazuhiko Tsuji セキュリティ運⽤の3つの重要タスク 14 ⾒えないものは守れない それぞれの資産の重要度はどの程度か 重要度の把握 定点監視ではなく、継続監視が重要 クラウドリソースは常に変化し続ける意識を持つ
繰り返し実⾏ 守るべき資産がどこにどれだけ存在しているのか 資産の特定 資産が侵害された場合のインパクトはどの程度か Repeat Priority Inventory
© Kazuhiko Tsuji パブリッククラウドの設定監査ソリューション Posture Management 15 VM VM ①
APIによる環境情報取得 (クラウド資産、設定情報) ① APIによる環境情報取得 (クラウド資産、設定情報) ② 設定値をセキュリティスタンダードに基づいて分析 IaaS, PaaS SaaS クラウド管理者 ③ 設定不備をアラート通知 CSPM ダッシュボード ④ ダッシュボードで詳細を確認 ⑤ 設定値の修正を実⾏ ⑤ 設定値の修正を実⾏ ※環境情報の取得と設定値の分析のみを実施 ※設定値の修正作業はクラウド管理者の責務 SSPM Repeat Priority Inventory ① ② ① ⑤
© Kazuhiko Tsuji Posture Managementの運⽤サイクル CSPMの場合 16 クラウドサービスの設定 クラウドサービスからの 環境情報取得
(クラウド資産、設定情報) 取得した環境情報の 分析/評価 ダッシュボードへの出⼒ アラート発⾏ ステータス改善⽅法の教⽰ 改善⽅法の評価 意思決定 管理者タスク CSPMタスク CSPMの運⽤サイクル
© Kazuhiko Tsuji Posture Managementの実装ポイント 17 インシデントが発⽣した場合のビジネスインパクトに掛かるコストを試算 Posture Managementを有効活⽤できる運⽤能⼒を備えているか ⼈⼿を必要とせずにPosture
Managementは成⽴しない 調達コストと運⽤コスト(学習コスト)を併せたコストを資産 上記2点を⽐較し、費⽤対効果を確認する 費⽤対効果の確認 資産の優先度に応じた適切な意思決定ができる運⽤能⼒が必要 ⾃社の運⽤能⼒の把握
© Kazuhiko Tsuji Fin. Thank you! 18