Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
たったこれだけ!? 大規模な情報漏洩に至ったパブリッククラウドの設定ミスとセキュリティ...
Search
Kazuhiko Tsuji
August 03, 2023
Technology
0
28
たったこれだけ!? 大規模な情報漏洩に至ったパブリッククラウドの設定ミスとセキュリティデザインのポイント
CloudNative Days Fukuoka 2023 登壇資料 2023/08/03
https://cloudnativedays.jp/cndf2023/talks/1838
Kazuhiko Tsuji
August 03, 2023
Tweet
Share
More Decks by Kazuhiko Tsuji
See All by Kazuhiko Tsuji
GitOpsで実装するK8sセキュリティ -攻撃者が考えるアタックシナリオとOSSを活用した守り方-
kzhktj_0222
2
1.5k
Other Decks in Technology
See All in Technology
_第3回__AIxIoTビジネス共創ラボ紹介資料_20250617.pdf
iotcomjpadmin
0
150
低レイヤを知りたいPHPerのためのCコンパイラ作成入門 完全版 / Building a C Compiler for PHPers Who Want to Dive into Low-Level Programming - Expanded
tomzoh
4
3.1k
Wasm元年
askua
0
130
変化する開発、進化する体系時代に適応するソフトウェアエンジニアの知識と考え方(JaSST'25 Kansai)
mizunori
1
200
BrainPadプログラミングコンテスト記念LT会2025_社内イベント&問題解説
brainpadpr
1
160
AIエージェント最前線! Amazon Bedrock、Amazon Q、そしてMCPを使いこなそう
minorun365
PRO
13
4.8k
データプラットフォーム技術におけるメダリオンアーキテクチャという考え方/DataPlatformWithMedallionArchitecture
smdmts
5
610
AWS アーキテクチャ作図入門/aws-architecture-diagram-101
ma2shita
29
10k
初めてのAzure FunctionsをClaude Codeで作ってみた / My first Azure Functions using Claude Code
hideakiaoyagi
1
210
より良いプロダクトの開発を目指して - 情報を中心としたプロダクト開発 #phpcon #phpcon2025
bengo4com
1
3.1k
生成AIで小説を書くためにプロンプトの制約や原則について学ぶ / prompt-engineering-for-ai-fiction
nwiizo
3
730
A2Aのクライアントを自作する
rynsuke
1
170
Featured
See All Featured
It's Worth the Effort
3n
185
28k
How to train your dragon (web standard)
notwaldorf
92
6.1k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Producing Creativity
orderedlist
PRO
346
40k
A designer walks into a library…
pauljervisheath
206
24k
How to Ace a Technical Interview
jacobian
277
23k
The Invisible Side of Design
smashingmag
299
51k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.9k
Thoughts on Productivity
jonyablonski
69
4.7k
Why You Should Never Use an ORM
jnunemaker
PRO
56
9.4k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.7k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
228
22k
Transcript
© Kazuhiko Tsuji たったこれだけ!? ⼤規模な情報漏洩に⾄ったパブリッククラウドの設定ミスとセキュリティデザインのポイント 辻 紀彦 / Kazuhiko Tsuji
© Kazuhiko Tsuji ⾃⼰紹介 1 ⽒名 辻 紀彦 / ツジ
カズヒコ 出⾝地 福岡県 所属 株式会社マクニカ ネットワークス カンパニー 業務内容 • クラウドセキュリティリサーチ • パブリッククラウド、クラウドネイティブテクノロジーを活⽤した顧客対応 • ツール選定 • アーキテクチャデザイン • セキュリティデザイン 保有資格
© Kazuhiko Tsuji Cloud & Security Table of Contents 2
パブリッククラウドとセキュリティ セキュリティインシデント実演 セキュリティデザインのポイント 01 02 03
© Kazuhiko Tsuji 本セッションの概要 • 対象者 • パブリッククラウドサービスのセキュリティ運⽤の初級者 • セキュリティ実装に興味を持ち始めた⽅
• 現在のセキュリティ運⽤に⾃信が持てない⽅ • ⽬的 • クラウド利⽤者/クラウド技術者として • パブリッククラウドクラウドサービスのセキュリティリスクを理解する • セキュリティリスクを軽減するために有効な運⽤⼿法を理解する • 留意事項 • 本セッションはサイバー攻撃とその攻撃者を肯定、後援する意図を含みません • 本資料に登場するサービス事業者やセキュリティインシデントの当該企業を批評、批判する意図はありません • 本セッションに含まれる全てのコンテンツは発表者個⼈の⾒解に基づくものであり、所属する企業や組織の⽴場、戦略、意⾒を代表する ものではありません 3
© Kazuhiko Tsuji 4 パブリッククラウドとセキュリティ
© Kazuhiko Tsuji パブリッククラウドのセキュリティトレンド 5 特別なツールやマルウェアを使⽤せず、正規に実⾏可能な操作を応⽤した攻撃 ビジネスユースケースで最も回避したい • ⼀時的なビジネスインパクト 膨⼤な額の損害賠償
• 中⻑期的なビジネスインパクト 企業イメージの失墜 侵害箇所の全貌把握が困難 ⽔平展開を⽬的とした攻撃により広範囲に被害が及ぶ 特にIaaS, SaaSの脆弱性と設定ミスを狙った攻撃が急増 機密情報の搾取 リソースの乗っ取り パブリッククラウドサービスを標的とした攻撃の観測件数が増加 サービス停⽌を⽬的とした攻撃は少ない
© Kazuhiko Tsuji IaaSで発⽣した機密情報漏洩インシデント 6 社会保障番号 IaaSの設定ミスを利⽤した不正アクセス ⾦融機関として過去最⼤規模の情報漏洩 その他、⾮公開の個⼈情報 和解⾦
1億9000万ドル - 約210億円 ⽶国⾦融王⼿A社 銀⾏⼝座番号 約1億600万⼈分の個⼈情報が被害対象 被害者による集団訴訟に発展
© Kazuhiko Tsuji 7 セキュリティインシデント実演
© Kazuhiko Tsuji 攻撃シーケンス 8 正規のユーザー AWS Cloud Virtual Private
Cloud (VPC) Amazon EC2 Web Application Amazon EC2 Web Proxy Amazon S3 Data Bucket Amazon S3 Confidential Confidential 攻撃者 ① Webアプリケーションへアクセス & 偵察 ② Webプロキシへアクセス & クレデンシャルを参照 ⑤ 機密データの搾取 WebアプリケーションのURL: http://ec2-54-249-4-227.ap-northeast-1.compute.amazonaws.com/ ③ クレデンシャルをターミナルへ設定 ④ S3バケットへアクセス & ターゲットの特定
© Kazuhiko Tsuji インシデント考察 • 何が起こった? • Web Proxyに設定されているIAM Roleのクレデンシャルが参照された
• クレデンシャルを盗⽤され、S3バケットへのアクセスを許した • 攻撃者は特別なアタックツールやマルウェアを⼀切使⽤せずに攻撃を成功させた • 何が問題? • Web Proxy • パブリックに公開されている 本来はWeb Applicationからのみアクセス可能であれば良い • インスタンスメタデータへのアクセスに認証を必要としない インスタンスメタデータには機密情報が含まれるため認証機能を実装するべき • IMDS (Instance MetaData Service) • IMDS v1 インスタンスメタデータへアクセスする際にセッショントークンによる認証を求めない • IMDS v2 インスタンスメタデータへアクセスする際にセッショントークンによる認証を求める 9
© Kazuhiko Tsuji セキュリティスタンダードの活⽤ 10 クラウドコンピューティング向けに様々なセキュリティスタンダードがパブリックに提供されている § ISO-27017 § NIST
SP 800-53 § CIS Benchmark § Vender Specific § AWS Foundational Security Best Practices (FSBP) standard § Google Cloud Security Foundations Guide
© Kazuhiko Tsuji 11 セキュリティデザインのポイント
© Kazuhiko Tsuji 利便性 VS セキュリティリスク パブリッククラウドサービスの利便性とセキュリティリスクはトレードオフの関係にある 12 利便性 セキュリティリスク
バランスポイントを⾒つけることが重要
© Kazuhiko Tsuji バランスポイントの⾒つけ⽅ 13 クラウドサービスを利⽤している意義を忘れない 防御に拘らず予防に重点を置く 100%のセキュリティを求めない 侵害された場合のビジネスインパクト 重要度に応じたセキュリティ実装
守るべき資産の重要度を把握する クラウドサービスの利便性を犠牲にするほどのセキュリティ実装は避ける セキュリティ強化だけに固執しない セキュリティレベルのベースラインを向上し、リスクを低減する意識 セキュリティ運⽤レベル Low Mid クラウドセキュリティ実装前 High セキュリティリスク ベースライン向上 セキュリティ運⽤レベル Low Mid クラウドセキュリティ実装後 High セキュリティリスク
© Kazuhiko Tsuji セキュリティ運⽤の3つの重要タスク 14 ⾒えないものは守れない それぞれの資産の重要度はどの程度か 重要度の把握 定点監視ではなく、継続監視が重要 クラウドリソースは常に変化し続ける意識を持つ
繰り返し実⾏ 守るべき資産がどこにどれだけ存在しているのか 資産の特定 資産が侵害された場合のインパクトはどの程度か Repeat Priority Inventory
© Kazuhiko Tsuji パブリッククラウドの設定監査ソリューション Posture Management 15 VM VM ①
APIによる環境情報取得 (クラウド資産、設定情報) ① APIによる環境情報取得 (クラウド資産、設定情報) ② 設定値をセキュリティスタンダードに基づいて分析 IaaS, PaaS SaaS クラウド管理者 ③ 設定不備をアラート通知 CSPM ダッシュボード ④ ダッシュボードで詳細を確認 ⑤ 設定値の修正を実⾏ ⑤ 設定値の修正を実⾏ ※環境情報の取得と設定値の分析のみを実施 ※設定値の修正作業はクラウド管理者の責務 SSPM Repeat Priority Inventory ① ② ① ⑤
© Kazuhiko Tsuji Posture Managementの運⽤サイクル CSPMの場合 16 クラウドサービスの設定 クラウドサービスからの 環境情報取得
(クラウド資産、設定情報) 取得した環境情報の 分析/評価 ダッシュボードへの出⼒ アラート発⾏ ステータス改善⽅法の教⽰ 改善⽅法の評価 意思決定 管理者タスク CSPMタスク CSPMの運⽤サイクル
© Kazuhiko Tsuji Posture Managementの実装ポイント 17 インシデントが発⽣した場合のビジネスインパクトに掛かるコストを試算 Posture Managementを有効活⽤できる運⽤能⼒を備えているか ⼈⼿を必要とせずにPosture
Managementは成⽴しない 調達コストと運⽤コスト(学習コスト)を併せたコストを資産 上記2点を⽐較し、費⽤対効果を確認する 費⽤対効果の確認 資産の優先度に応じた適切な意思決定ができる運⽤能⼒が必要 ⾃社の運⽤能⼒の把握
© Kazuhiko Tsuji Fin. Thank you! 18