Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS DAYS 2024 Track D Supporter Session "How t...

Shinichiro Kawano
March 03, 2024
Technology
0
490

JAWS DAYS 2024 Track D Supporter Session "How to Test AWS Environment?""

JAWS DAYS 2024 Track D WithSecure サポーターセッション "AWS Security の守り方とセキュリティテストの実例"

Shinichiro Kawano

March 03, 2024
Tweet

More Decks by Shinichiro Kawano

See All by Shinichiro Kawano
2024-11-07-reInvent2024sapporostby-change-your-life
shinichirokawano
0
120
2024-10-30-reInventStandby_StudyGroup_Intro
shinichirokawano
1
1.2k
“Look back” Cloud Security 2015-2024
shinichirokawano
0
37
"Computers can change your life for the better"
shinichirokawano
0
120
"Change your life" re:Invent Kansai Study
shinichirokawano
1
420
re:Invent2023 現地で何をすべきか?
shinichirokawano
0
1.2k
20230213 JAWS-UG千葉支部 ハイブリッド#1 「UNIXという考え方」LT
shinichirokawano
0
280
2022年 JAWS-UG での活動報告と2023年も頑張るハナシ
shinichirokawano
0
270
2022 12 20 AliEater #23 Lightning Talk WithSecure
shinichirokawano
0
280

Other Decks in Technology

See All in Technology
When Windows Meets Kubernetes…
pichuang
0
300
「隙間家具OSS」に至る道/Fujiwara Tech Conference 2025
fujiwara3
7
6.5k
2025年に挑戦したいこと
molmolken
0
160
20250116_JAWS_Osaka
takuyay0ne
2
200
機械学習を「社会実装」するということ 2025年版 / Social Implementation of Machine Learning 2025 Version
moepy_stats
5
1.2k
[IBM TechXchange Dojo]Watson Discoveryとwatsonx.aiでRAGを実現!座学①
siyuanzh09
0
110
Godot Engineについて調べてみた
unsoluble_sugar
0
410
DMMブックスへのTipKit導入
ttyi2
1
110
GoogleのAIエージェント論 Authors: Julia Wiesinger, Patrick Marlow and Vladimir Vuskovic
customercloud
PRO
0
160
0→1事業こそPMは営業すべし / pmconf #落選お披露目 / PM should do sales in zero to one
roki_n_
PRO
1
1.5k
Azureの開発で辛いところ
re3turn
0
240
駆け出しリーダーとしての第一歩〜開発チームとの新しい関わり方〜 / Beginning Journey as Team Leader
kaonavi
0
120

Featured

See All Featured
jQuery: Nuts, Bolts and Bling
dougneiner
62
7.6k
Faster Mobile Websites
deanohume
305
30k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
113
50k
Thoughts on Productivity
jonyablonski
68
4.4k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Learning to Love Humans: Emotional Interface Design
aarron
274
40k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
6
500
Building a Scalable Design System with Sketch
lauravandoore
460
33k
How to Ace a Technical Interview
jacobian
276
23k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.2k

Transcript

  1. JAWS DAYS 2024 ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d JAWS DAYS 2024 ウィズセキュア株式会社

    河野真一郎 D-8 コンサルタントに聞く! AWS Security の守り方とセキュリティテストの実例

  2. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 2 自己紹介と ウォーミングアップ

  3. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 自己紹介 3 河野 真一郎 ウィズセキュア株式会社 法人営業本部 クラウド

    セキュリティおよび サイバーセキュリティコンサルティング担当 「サイバーセキュリティの必要性と対応方法をリアルな具体例で 分かりやすくご説明」を目指して JAWS-UG に参加してます 趣味 休日の「サウナ水風呂ととのう」

  4. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 4 サイレントセッション 聞いてるだけだと つまらないかと

  5. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 5 参加されてる 皆さまのことを おしえてください

  6. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 6 JAWS DAYS 今回初参加の方?

  7. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 7 JAWS-UG で WithSecureの話 聞いたことある方?

  8. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 8 サイバーセキュリティ 初心者と思う人? そこそこ詳しい方?

  9. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 9 本セッションは主に サイバーセキュリティ 初心者向けです

  10. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 10 昼ごはんの後なので この後も何回か 質問しますね

  11. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 11 WithSecure 会社紹介

  12. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 12

  13. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 13

  14. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 14

  15. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 15 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ 数十万の 法人ユーザ様、数千万の一般消費者ユーザ様の セキュリティソフトウェア提供基盤に使用 自社がAWSの事例ユーザ

  16. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 16 今日のお題

  17. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 17 なにせ45分は 使えるので

  18. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 18 1.AWSセキュリティテスト実例 2.どんなサービス? 3.エンドポイント最近ご相談例

  19. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 19 この3つについて お話していきます!

  20. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 20 1.AWSセキュリティテスト実例 ~お客様ご相談例~

  21. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 21 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless

    主体のシステムを構築予定 社内向け セキュリティガイドラインやベストプラクティスが必要

  22. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 22 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless

    主体のシステムを構築予定 社内向け セキュリティガイドラインやベストプラクティスが必要

  23. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 23 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 “何から対策していくべきか

    スペシャリストの意見が欲しいのです”

  24. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 24 (1)どこに脅威がある? (2)現状リスク分析 (3)診断するならここ

  25. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 25 前ページ (1) – (3) 専門家がまとめる

  26. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 26 AWS環境セキュリティガイドラインのご提案例 ・既に社内で セキュリティガイドライン がある場合 -> AWS環境へカスタマイズ支援

    ・セキュリティガイドラインはこれから 作成する場合 -> お客様が使用している環境に 合致したセキュリティガイドラインを 脅威分析とともにご提供

  27. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 27 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定

    脅威分析サービスのイメージ 攻撃者の視点で以下を分析 ・どこにセキュリティ上の脅威がある? ・どんな攻撃方法がある? ・攻撃されたら影響範囲は? ・その攻撃を実施するためのスキルレベルは? ・それで実際、どんな対策をすれば良い?

  28. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 28 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定

    お客様向けセキュリティガイドライン作成 攻撃者の視点をご説明した上で ・どのような設定、対策を実施するべきか? ・現状把握できていなかったセキュリティの脅威は何か? ・社内向けセキュリティガイドライン を作成、お客様へご提出

  29. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 29 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定

    お客様向けセキュリティガイドラインの次に相談頂く例 「セキュリティガイドラインを元にシステムを構築しました」 「本当に攻撃されないかテストしてほしいんですが」 -> Penetration Test ( 侵入テスト ) のご提案へ

  30. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 30 ここまでで、1回 みなさまに質問です

  31. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 31 サイバーセキュリティの “脅威分析” 聞いたことのある方

  32. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 32 利用環境の 脅威分析 実施した事のある方?

  33. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 33 診断担当コンサルが どんな脅威分析手法を 行うか興味ある方は?

  34. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 34 脅威分析後の ペネトレーションテスト 手法を以降で説明

  35. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 35 2.どんなサービス? WithSecureサービス実施例

  36. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 36 ▪ ツールと人による診断:対象のシステム、技術と企業に合わせて、ワールドクラスの診断者を適切にアサイン ▪ 現実的な攻撃方法とビジネスリスクに基づく診断の観点:お客様のビジネスに重要な脅威とリスクを把握 ▪ 技術的な弱点だけの診断ではなく:技術的な脆弱性の他にも、ユーザーロールとアクセス制限の有効性、ビ

    ジネスロジックでの弱点、制限や対策の突破、暗号化とデータの保存仕方の弱点と、プライバシーまで診断 ▪ 攻撃者側の観点も、守る側の観点も:ただの外部側からの診断だけではなく、セキュリティ的に重要なソース コードの部分と、セキュリティとインシデント検知に関わる設定と構成も診断 ▪ 対策と開発も強化:検出した弱点に基づいて、有効で現実的な対策案を提案し、開発者向けのトレーニン グも実施可能 WithSecure セキュリティ診断の特徴 ソフトウェアによる自動診断に加えて、 ホワイトハッカーによる “攻撃者の視点” に立った診断を実施

  37. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 37 ▪ 対象になるWebアプリケーションの全体的な診断を行います。 ▪ 診断方針は、対象システムと技術に詳しい診断者のよる手 動での診断です。自動的な確認が有効な場合は、自動化の ツールも使用しますが、最終的な判断と確認は手動で実施

    ▪ 技術的な脆弱性だけではなく、ビジネスロジックでの弱点や、 アクセス制限の突破や、プライバシー関連の問題点や、複雑 な攻撃方法まで診断 ▪ WithSecureの診断方法の推奨は、攻撃者観点からの手 動診断とセキュリティ的に重要なソースコードと設定の部分の ホワイトボックス診断です。こちらによって、診断は効率的に深 くまででき、対策案もピンポイントで提供可能 Webアプリケーション診断

  38. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 38 ▪ ネットワーク経由で悪用可能な既知の脆弱 性や設定ミスを検出 ▪ 事例: ▪

    サーバーアプリケーションとミドルウェアでの脆弱性 ▪ SSL/TLS、暗号化アルゴリズム等の適切では ない設定 ▪ デフォルトのパスワード ▪ などなど ▪ 対象はサーバーとネットワーク機器など プラットフォーム診断

  39. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 39 ▪ ハードニングとは、サーバーやアプリケーションの設定を 守る側から確認し、攻撃範囲と攻撃の影響を最小 限にすること ▪ レビュー内容はミドルウェアとアプリケーションのセキュリ

    ティと関連する設定とセキュアな運用についての確認 ▪ 診断内容の事例: ▪ サービスでのセキュリティ設定やパスワードポリシー ▪ ログの内容と保存方法およびリモートログの設定 ▪ 重要なプログラムや設定ファイル等のアクセス制限 ▪ 運用方法によるセキュリティリスク ▪ 権限昇格につながる弱点や設定ミス ▪ Center for Internet Security の標準との準拠 ハードニングレビュー

  40. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 40 ▪ AWS 環境に適切な設定ができているかについて、現実的 かつ有効な方法を確認 ▪ 設計上の問題や、設計の意図通りに

    AWS が設定され ているかについても構成図や設計を基に確認 ▪ 診断対象(例) ▪ AWS アカウント ▪ IAMアクセス ▪ Amazon CloudFront ▪ Amazon CloudWatch ▪ Amazon Elastic Load Balancing ▪ Amazon ElastiCache ▪ Amazon RDS ▪ AWS Cloud Trail ▪ AWS Config etc…. クラウド環境 (AWS) 診断

  41. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 41

  42. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 42

  43. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 43 またここで、 みなさまに質問です

  44. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 44 利用環境の ペネトレーションテスト 実施した事ありますか?

  45. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 45 自社で ペネトレーションテスト 実施できるという方は?

  46. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 46 3.エンドポイント最近ご相談例

  47. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 47 日本国内 サイバー攻撃 事例 2022年3月 工場ライン停止 インシデント

    国内自動車メーカー 取引先部品メーカーランサムウェア被害 -> 国内全工場14か所が停止、 約1万3000台の生産への影響 2022年10月 医療機関 インシデント 国内医療機関 ランサムウェア感染 -> 基幹システムに障害が発生 通常診療ができない状況に

  48. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 48 製造業におけるサイバー攻撃事例 WithSecure 2020年 調査レポート ・製造業におけるサイバー攻撃の86%が標的型攻撃 ・ハッキング

    66%、マルウェア攻撃34%のみ ・侵害の半数近く(47%)が、競争優位性獲得の ための知的財産の盗難に関与 ・53%の攻撃は国家が関与、組織的犯罪は35% 標的型攻撃、ファイルレス攻撃に対して EDR ご検討例が Server環境でも増加

  49. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 49 インシデント マネジメント スレット インテリジェンス 専門家の ガイダンス

    WINDOWS センサー MAC センサー 集中管理 管理統合* 振舞い分析 アプリケーション インベントリ BROAD CONTEXT DETECTION ホスト隔離 自動対応 WithSecure Elements EDR 機能一覧

  50. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 50 ここまでのまとめ

  51. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 51 サイバーセキュリティには 銀の弾丸はありません

  52. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 52 https://www.withsecure.com/jp-ja/whats-new/pressroom/20230526-cybercrime

  53. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 53 しかも残念な事に サイバー犯罪者は 高度化、悪質化してる

  54. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 54 サイバーセキュリティの 基本的な考え方

  55. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 55 重要箇所を脅威分析 多重防御 攻撃からの復旧演習

  56. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 56 地道に、基本に忠実に サイバーセキュリティ 対策を進めることが大切

  57. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 57 そうは言っても 基本って?何すれば? お悩みの方が居ましたら

  58. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 58 そのための コミュニティ活動 懇親会 情報交換

  59. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 59 自社の同僚と お客さんだけと 会話をしてませんか?

  60. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 60 ぜひ活発な情報交換 「このトピック気になる」 「これ誰か知らない?」

  61. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 61 皆さまがクラウド、 サイバーセキュリティ、 興味のあるトピックを

  62. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 62 お互いの知見とノウハウを 共有していきますように

  63. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 63 余談

  64. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 64 なぜ JAWS-UG活動?

  65. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 65 Unix 文化 ハッカー文化 “共有すること”

  66. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 66 あなたのノウハウ 私のノウハウ 外のモノサシ

  67. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 67 “共有すること” みんなが幸せに

  68. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 68 ぜひ活発な JAWS-UG活動を

  69. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 69 One more thing,

  70. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 70 WithSecure ビジョン https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  71. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 71 セキュリティにおける課題は 誰も単独で 解決することはできません https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  72. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 72 パートナー様、ユーザー様、 情報セキュリティコミュニティ が一丸となって https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  73. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 73 『パートナー』として 協力し合うことで https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  74. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 74 セキュリティの課題が ビジネスの成長を妨げること がなくなるのです。 https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  75. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 75 WithSecureと共に 歩む誰もが https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  76. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 76 サイバー攻撃によって 深刻な被害を受けること のない未来を作る https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  77. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 77 それが 私たちのビジョンです https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

  78. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 78

  79. 79