Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2022 1008 jawsdays2022 withsecure supporter ses...

Shinichiro Kawano
October 26, 2022
Technology
0
160

2022 1008 jawsdays2022 withsecure supporter session

2022.10.08 JAWS DAYS 2022, WithSecure Supporter Session
AWS Security for Beginner and Cyber Security Sauna

"Serverless や AWS Serviceの Security、どのように守る?"

Shinichiro Kawano

October 26, 2022
Tweet

More Decks by Shinichiro Kawano

See All by Shinichiro Kawano
2024-10-30-reInventStandby_StudyGroup_Intro
shinichirokawano
1
590
“Look back” Cloud Security 2015-2024
shinichirokawano
0
30
JAWS DAYS 2024 Track D Supporter Session "How to Test AWS Environment?""
shinichirokawano
0
430
"Computers can change your life for the better"
shinichirokawano
0
100
"Change your life" re:Invent Kansai Study
shinichirokawano
1
400
re:Invent2023 現地で何をすべきか?
shinichirokawano
0
1.2k
20230213 JAWS-UG千葉支部 ハイブリッド#1 「UNIXという考え方」LT
shinichirokawano
0
270
2022年 JAWS-UG での活動報告と2023年も頑張るハナシ
shinichirokawano
0
260
2022 12 20 AliEater #23 Lightning Talk WithSecure
shinichirokawano
0
270

Other Decks in Technology

See All in Technology
[JAWS-UG金沢支部×コンテナ支部合同企画]コンテナとは何か
furuton
3
160
わたしとトラックポイント / TrackPoint tips
masahirokawahara
1
240
サイロ化した金融システムを、packwerk を利用して無事故でリファクタリングした話
coincheck_recruit
3
3.6k
CI/CDやテスト自動化の開発プロジェクトへの適用
megascus
3
730
グローバル展開を見据えたサービスにおける機械翻訳プラクティス / dp-ai-translating
cyberagentdevelopers
PRO
1
150
CAMERA-Suite: 広告文生成のための評価スイート / ai-camera-suite
cyberagentdevelopers
PRO
3
260
ガチ勢によるPipeCD運用大全〜滑らかなCI/CDを添えて〜 / ai-pipecd-encyclopedia
cyberagentdevelopers
PRO
3
190
Commitment vs Harrisonism - Keynote for Scrum Niseko 2024
miholovesq
6
960
一休.comレストランにおけるRustの活用
kymmt90
3
570
omakaseしないための.rubocop.yml のつくりかた / How to Build Your .rubocop.yml to Avoid Omakase #kaigionrails
linkers_tech
3
680
よくわからんサービスについての問い合わせが来たときの強い味方 Amazon Q について
kazzpapa3
0
210
Product Engineer Night #6プロダクトエンジニアを育む仕組み・施策
hacomono
PRO
1
440

Featured

See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
27
1.9k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
43
6.6k
Testing 201, or: Great Expectations
jmmastey
38
7k
Typedesign – Prime Four
hannesfritz
39
2.4k
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
A better future with KSS
kneath
238
17k
A Philosophy of Restraint
colly
203
16k
4 Signs Your Business is Dying
shpigford
180
21k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
41
2.1k
Art, The Web, and Tiny UX
lynnandtonic
296
20k
The Pragmatic Product Professional
lauravandoore
31
6.3k
Done Done
chrislema
181
16k

Transcript

  1. Shinichiro Kawano Corporate Sales WithSecure K.K. [email protected] 2022/10/08 JAWS DAYS

    2022 サポーターセッション Serverless や AWS Serviceの Security どのように守る? ~ WithSecure に最近お問合せを頂く Security ご相談事項と対応例 ~

  2. (1) WithSecure の紹介 -> アンチウイルス、EDR、セキュリティコンサルティングの提供 (2) お客様ご相談例:Serverless 環境を中心としたセキュリティガイドライン -> お客様環境、使用サービスへのガイドライン作成支援、脅威分析

    (3) お客様ご相談例:AWS 環境に対する Pentest 実施 -> WithSecure Attack Path Mapping のアプローチ このセッションの概要 2 © WithSecure 2022

  3. 3 自己紹介 河野 真一郎 ウィズセキュア株式会社 法人営業本部 クラウド セキュリティおよび サイバーセキュリティコンサルティング担当 ※2022年3月に会社名が変わりました

    「サイバーセキュリティの必要性と対応方法をリアルな具体例で 分かりやすくご説明」を目指して JAWS-UG に参加してます 趣味 休日の「サウナ水風呂ととのう」 © WithSecure 2022

  4. このセッションの質問は随時受け付けてます! Twitter ハッシュタグ #jawsdays2022 #jawsug 頂いた Twitter 質問、それぞれ回答しますね! ※今日の資料は公開します 最初にひとこと

    4 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  5. 最初にひとこと 5 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

    このセッションの質問は随時受け付けてます! Twitter ハッシュタグ #jawsdays2022 #jawsug 頂いた Twitter 質問、それぞれ回答しますね! ※今日の資料は公開します だって画面に向かってしゃべるのは寂しいですよ?

  6. 6 WithSecure 会社紹介 © WithSecure 2022

  7. 7 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug • • 基本データ •

    • 130Mユーロ 売上 (2021年) 1,300名+ 世界の従業員数 7,000社以上 販売パートナー数 WithSecure Corporation • 会 長 リスト・シラスマ • 社長兼CEO ユハニ・ヒンティッカ • 所在地 ヘルシンキ , フィンランド ウィズセキュア株式会社 • 代表者 ジョン・デューリー | アジアパシフィック地域担当VP • 所在地 東京都港区 • 拠 点 東京/大阪 ✓1988年創業 ✓アンチウイルスソフトウェア、EDR、脆弱性診断ツール ✓サイバーセキュリティコンサルティングサービスの提供 WithSecure 会社概要

  8. 8 AWS環境:WithSEcure 自身が、AWS の事例ユーザ https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ 数十万の 法人ユーザ様、数千万の一般消費者ユーザ様の セキュリティソフトウェア提供基盤に使用 質問は Twitter

    で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  9. 9 WithSecure サイバーセキュリティ コンサルティングサービス概要 © WithSecure 2022

  10. WithSecure サイバーセキュリティサービス 概要 10 30 インターポールなど 70以上の業界 機関との協業 創業以来、 セキュリティ技術の

    研究・開発に注力 ヨーロッパのサイバー 犯罪への捜査協力実施 NASDAQ OMX Helsinkiに上場 (1999年) 200社以上のISPや 4,000社以上の パートナーを通じて 販売 世界100以上の 国々でビジネスを 展開 30年以上の サイバーセキュリティ 領域での経験と実績 200人以上の ホワイトハッカー 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  11. ▪ 世界の大手金融機関などで多くの信頼を得ているセキュリティを再委託なく弊社一社で提供いたします。 ▪ 日本でもセキュリティが重要な金融機関様、SaaS事業者様、Webサービス事業者様、 大手製造業様などで高く評価されています。 サービスの採用 アメリカ 最大手銀行 3/5 イギリス

    全大手銀行 5/5 北欧 全大手銀行 5/5 シンガポール 大手銀行 4/5 南アフリカ 大手銀行 4/5 取得している認定の例 11 WithSecure サイバーセキュリティサービス 概要

  12. 12 WithSecure AWS環境セキュリティ診断 ご提案サービス概要 © WithSecure 2022

  13. ▪ ツールと人による診断:対象のシステム、技術と企業に合わせて、ワールドクラスの診断者を適切にアサイン ▪ 現実的な攻撃方法とビジネスリスクに基づく診断の観点:お客様のビジネスに重要な脅威とリスクを把握 ▪ 技術的な弱点だけの診断ではなく:技術的な脆弱性の他にも、ユーザーロールとアクセス制限の有効性、ビ ジネスロジックでの弱点、制限や対策の突破、暗号化とデータの保存仕方の弱点と、プライバシーまで診断 ▪ 攻撃者側の観点も、守る側の観点も:ただの外部側からの診断だけではなく、セキュリティ的に重要なソース コードの部分と、セキュリティとインシデント検知に関わる設定と構成も診断

    ▪ 対策と開発も強化:検出した弱点に基づいて、有効で現実的な対策案を提案し、開発者向けのトレーニン グも実施可能 WithSecure セキュリティ診断の特徴 13 ソフトウェアによる自動診断に加えて、 ホワイトハッカーによる “攻撃者の視点” に立った診断を実施 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  14. ▪ 対象になるWebアプリケーションの全体的な診断を行います。 ▪ 診断方針は、対象システムと技術に詳しい診断者のよる手 動での診断です。自動的な確認が有効な場合は、自動化の ツールも使用しますが、最終的な判断と確認は手動で実施 ▪ 技術的な脆弱性だけではなく、ビジネスロジックでの弱点や、 アクセス制限の突破や、プライバシー関連の問題点や、複雑 な攻撃方法まで診断

    ▪ WithSecureの診断方法の推奨は、攻撃者観点からの手 動診断とセキュリティ的に重要なソースコードと設定の部分の ホワイトボックス診断です。こちらによって、診断は効率的に深 くまででき、対策案もピンポイントで提供可能 Webアプリケーション診断 14 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  15. ▪ ネットワーク経由で悪用可能な既知の脆弱 性や設定ミスを検出 ▪ 事例: ▪ サーバーアプリケーションとミドルウェアでの脆弱性 ▪ SSL/TLS、暗号化アルゴリズム等の適切では ない設定

    ▪ デフォルトのパスワード ▪ などなど ▪ 対象はサーバーとネットワーク機器など プラットフォーム診断 15 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  16. ▪ ハードニングとは、サーバーやアプリケーションの設定を 守る側から確認し、攻撃範囲と攻撃の影響を最小 限にすること ▪ レビュー内容はミドルウェアとアプリケーションのセキュリ ティと関連する設定とセキュアな運用についての確認 ▪ 診断内容の事例: ▪

    サービスでのセキュリティ設定やパスワードポリシー ▪ ログの内容と保存方法およびリモートログの設定 ▪ 重要なプログラムや設定ファイル等のアクセス制限 ▪ 運用方法によるセキュリティリスク ▪ 権限昇格につながる弱点や設定ミス ▪ Center for Internet Security の標準との準拠 ハードニングレビュー 16 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  17. ▪ AWS 環境に適切な設定ができているかについて、現実的 かつ有効な方法を確認 ▪ 設計上の問題や、設計の意図通りに AWS が設定され ているかについても構成図や設計を基に確認 ▪

    診断対象(例) ▪ AWS アカウント ▪ IAMアクセス ▪ Amazon CloudFront ▪ Amazon CloudWatch ▪ Amazon Elastic Load Balancing ▪ Amazon ElastiCache ▪ Amazon RDS ▪ AWS Cloud Trail ▪ AWS Config etc…. 17 クラウド環境(AWS) 診断 クラウド環境 (AWS) 診断 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  18. Serverless環境を中心とした セキュリティガイドライン 支援コンサルティング例 18 © WithSecure 2022

  19. 19 お客様ご相談例 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless 主体のシステムを構築予定 社内向け

    セキュリティガイドラインやベストプラクティスが必要 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  20. 20 お客様ご相談例 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 “どこからセキュリティ対策をしていくべきなのか 悩んでいるのです” 質問は

    Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  21. 21 お客様ご相談例 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 “何から対策していくべきか スペシャリストの意見が欲しいのです” 質問は

    Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  22. 22 (1)どこに脅威がある? (2)現状リスク分析 (3)診断するならここ

  23. 23 前ページ (1) – (3) 専門家がまとめる

  24. 24 AWS環境セキュリティガイドラインのご提案例 ・既に社内で セキュリティガイドライン がある場合 -> AWS環境へカスタマイズ支援 ・セキュリティガイドラインはこれから 作成する場合 ->

    お客様が使用している環境に 合致したセキュリティガイドラインを 脅威分析とともにご提供 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  25. 25 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定 脅威診断サービスのイメージ 攻撃者の視点で以下を分析 ・どこにセキュリティ上の脅威がある?

    ・どんな攻撃方法がある? ・攻撃されたら影響範囲は? ・その攻撃を実施するためのスキルレベルは? ・それで実際、どんな対策をすれば良い? 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  26. 26 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定 お客様向けセキュリティガイドライン作成 攻撃者の視点をご説明した上で ・どのような設定、対策を実施するべきか?

    ・現状把握できていなかったセキュリティの脅威は何か? ・社内向けセキュリティガイドライン を作成、お客様へご提出 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  27. 27 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定 お客様向けセキュリティガイドラインの次に相談頂く例 「セキュリティガイドラインを元にシステムを構築しました」 「本当に攻撃されないかテストしてほしいんですが」

    -> Penetration Test ( 侵入テスト ) のご提案へ 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

  28. 28 攻撃侵入テスト例 “ATTACK PATH MAPPING” ・攻撃経路を把握 ・必要な対策と監視、 運用に利用可能 質問は Twitter

    で #jawsdays2022 #jawsug © WithSecure 2022

  29. 29 脆弱性指摘(サンプル) ・S3bucket ファイル一覧表 示が可能、ダウンロード可能 な状態 ・AWS アカウント ・IAM アクセス

    ・AWS CloudTrail……. 質問は Twitter で #jawsdays2022 #jawsug © WithSecure 2022

  30. (1) WithSecure の紹介 -> アンチウイルス、EDR、セキュリティコンサルティングの提供 (2) お客様ご相談例:Serverless 環境を中心としたセキュリティガイドライン -> お客様環境、使用サービスへのガイドライン作成支援、脅威分析

    (3) お客様ご相談例:AWS 環境に対する Pentest 実施 -> WithSecure Attack Path Mapping のアプローチ このセッションのまとめ 30 質問は Twitter で #jawsdays2022#jawsug © WithSecure 2022

  31. © WithSecure 2022 31 余談

  32. © WithSecure 2022 32 なぜ JAWS-UG活動?

  33. © WithSecure 2022 33 Unix 文化 ハッカー文化 “共有すること”

  34. © WithSecure 2022 34 あなたのノウハウ 私のノウハウ 外のモノサシ

  35. © WithSecure 2022 35 “共有すること” みんなが幸せに

  36. © WithSecure 2022 36 ぜひ活発な JAWS-UG活動を

  37. © WithSecure 2022 37 One more thing,

  38. © WithSecure 2022 38 WithSecure ビジョン https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  39. © WithSecure 2022 39 セキュリティにおける課題は 誰も単独で 解決することはできません https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  40. © WithSecure 2022 40 パートナー様、ユーザー様、 情報セキュリティコミュニティ が一丸となって https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  41. © WithSecure 2022 41 『パートナー』として 協力し合うことで https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  42. © WithSecure 2022 42 セキュリティの課題が ビジネスの成長を妨げること がなくなるのです。 https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  43. © WithSecure 2022 43 WithSecureと共に 歩む誰もが https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  44. © WithSecure 2022 44 サイバー攻撃によって 深刻な被害を受けること のない未来を作る https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  45. © WithSecure 2022 45 それが 私たちのビジョンです https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  46. Copyright © 2022 WithSecure Corporation

  47. © WithSecure 2022 47 本資料お問い合わせ先 (今回 オンライン開催のため ) [email protected] もしくは

    https://www.facebook.com/shinichiro.kawano お気軽にお問い合わせください

  48. Copyright © 2022 WithSecure Corporation