Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2022 1008 jawsdays2022 withsecure supporter ses...

2022 1008 jawsdays2022 withsecure supporter session

2022.10.08 JAWS DAYS 2022, WithSecure Supporter Session
AWS Security for Beginner and Cyber Security Sauna

"Serverless や AWS Serviceの Security、どのように守る?"

Shinichiro Kawano

October 26, 2022
Tweet

More Decks by Shinichiro Kawano

Other Decks in Technology

Transcript

  1. Shinichiro Kawano Corporate Sales WithSecure K.K. [email protected] 2022/10/08 JAWS DAYS

    2022 サポーターセッション Serverless や AWS Serviceの Security どのように守る? ~ WithSecure に最近お問合せを頂く Security ご相談事項と対応例 ~
  2. 3 自己紹介 河野 真一郎 ウィズセキュア株式会社 法人営業本部 クラウド セキュリティおよび サイバーセキュリティコンサルティング担当 ※2022年3月に会社名が変わりました

    「サイバーセキュリティの必要性と対応方法をリアルな具体例で 分かりやすくご説明」を目指して JAWS-UG に参加してます 趣味 休日の「サウナ水風呂ととのう」 © WithSecure 2022
  3. 最初にひとこと 5 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

    このセッションの質問は随時受け付けてます! Twitter ハッシュタグ #jawsdays2022 #jawsug 頂いた Twitter 質問、それぞれ回答しますね! ※今日の資料は公開します だって画面に向かってしゃべるのは寂しいですよ?
  4. 7 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug • • 基本データ •

    • 130Mユーロ 売上 (2021年) 1,300名+ 世界の従業員数 7,000社以上 販売パートナー数 WithSecure Corporation • 会 長 リスト・シラスマ • 社長兼CEO ユハニ・ヒンティッカ • 所在地 ヘルシンキ , フィンランド ウィズセキュア株式会社 • 代表者 ジョン・デューリー | アジアパシフィック地域担当VP • 所在地 東京都港区 • 拠 点 東京/大阪 ✓1988年創業 ✓アンチウイルスソフトウェア、EDR、脆弱性診断ツール ✓サイバーセキュリティコンサルティングサービスの提供 WithSecure 会社概要
  5. WithSecure サイバーセキュリティサービス 概要 10 30 インターポールなど 70以上の業界 機関との協業 創業以来、 セキュリティ技術の

    研究・開発に注力 ヨーロッパのサイバー 犯罪への捜査協力実施 NASDAQ OMX Helsinkiに上場 (1999年) 200社以上のISPや 4,000社以上の パートナーを通じて 販売 世界100以上の 国々でビジネスを 展開 30年以上の サイバーセキュリティ 領域での経験と実績 200人以上の ホワイトハッカー 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022
  6. ▪ 対象になるWebアプリケーションの全体的な診断を行います。 ▪ 診断方針は、対象システムと技術に詳しい診断者のよる手 動での診断です。自動的な確認が有効な場合は、自動化の ツールも使用しますが、最終的な判断と確認は手動で実施 ▪ 技術的な脆弱性だけではなく、ビジネスロジックでの弱点や、 アクセス制限の突破や、プライバシー関連の問題点や、複雑 な攻撃方法まで診断

    ▪ WithSecureの診断方法の推奨は、攻撃者観点からの手 動診断とセキュリティ的に重要なソースコードと設定の部分の ホワイトボックス診断です。こちらによって、診断は効率的に深 くまででき、対策案もピンポイントで提供可能 Webアプリケーション診断 14 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022
  7. ▪ ネットワーク経由で悪用可能な既知の脆弱 性や設定ミスを検出 ▪ 事例: ▪ サーバーアプリケーションとミドルウェアでの脆弱性 ▪ SSL/TLS、暗号化アルゴリズム等の適切では ない設定

    ▪ デフォルトのパスワード ▪ などなど ▪ 対象はサーバーとネットワーク機器など プラットフォーム診断 15 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022
  8. ▪ ハードニングとは、サーバーやアプリケーションの設定を 守る側から確認し、攻撃範囲と攻撃の影響を最小 限にすること ▪ レビュー内容はミドルウェアとアプリケーションのセキュリ ティと関連する設定とセキュアな運用についての確認 ▪ 診断内容の事例: ▪

    サービスでのセキュリティ設定やパスワードポリシー ▪ ログの内容と保存方法およびリモートログの設定 ▪ 重要なプログラムや設定ファイル等のアクセス制限 ▪ 運用方法によるセキュリティリスク ▪ 権限昇格につながる弱点や設定ミス ▪ Center for Internet Security の標準との準拠 ハードニングレビュー 16 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022
  9. ▪ AWS 環境に適切な設定ができているかについて、現実的 かつ有効な方法を確認 ▪ 設計上の問題や、設計の意図通りに AWS が設定され ているかについても構成図や設計を基に確認 ▪

    診断対象(例) ▪ AWS アカウント ▪ IAMアクセス ▪ Amazon CloudFront ▪ Amazon CloudWatch ▪ Amazon Elastic Load Balancing ▪ Amazon ElastiCache ▪ Amazon RDS ▪ AWS Cloud Trail ▪ AWS Config etc…. 17 クラウド環境(AWS) 診断 クラウド環境 (AWS) 診断 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022
  10. 19 お客様ご相談例 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless 主体のシステムを構築予定 社内向け

    セキュリティガイドラインやベストプラクティスが必要 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022
  11. 24 AWS環境セキュリティガイドラインのご提案例 ・既に社内で セキュリティガイドライン がある場合 -> AWS環境へカスタマイズ支援 ・セキュリティガイドラインはこれから 作成する場合 ->

    お客様が使用している環境に 合致したセキュリティガイドラインを 脅威分析とともにご提供 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022
  12. 25 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定 脅威診断サービスのイメージ 攻撃者の視点で以下を分析 ・どこにセキュリティ上の脅威がある?

    ・どんな攻撃方法がある? ・攻撃されたら影響範囲は? ・その攻撃を実施するためのスキルレベルは? ・それで実際、どんな対策をすれば良い? 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022
  13. (1) WithSecure の紹介 -> アンチウイルス、EDR、セキュリティコンサルティングの提供 (2) お客様ご相談例:Serverless 環境を中心としたセキュリティガイドライン -> お客様環境、使用サービスへのガイドライン作成支援、脅威分析

    (3) お客様ご相談例:AWS 環境に対する Pentest 実施 -> WithSecure Attack Path Mapping のアプローチ このセッションのまとめ 30 質問は Twitter で #jawsdays2022#jawsug © WithSecure 2022
  14. © WithSecure 2022 47 本資料お問い合わせ先 (今回 オンライン開催のため ) [email protected] もしくは

    https://www.facebook.com/shinichiro.kawano お気軽にお問い合わせください