Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
JAWS DAYS 2024 Track D Supporter Session "How t...
Search
Shinichiro Kawano
March 03, 2024
Technology
0
420
JAWS DAYS 2024 Track D Supporter Session "How to Test AWS Environment?""
JAWS DAYS 2024 Track D WithSecure サポーターセッション "AWS Security の守り方とセキュリティテストの実例"
Shinichiro Kawano
March 03, 2024
Tweet
Share
More Decks by Shinichiro Kawano
See All by Shinichiro Kawano
2024-10-30-reInventStandby_StudyGroup_Intro
shinichirokawano
1
560
“Look back” Cloud Security 2015-2024
shinichirokawano
0
29
"Computers can change your life for the better"
shinichirokawano
0
100
"Change your life" re:Invent Kansai Study
shinichirokawano
1
400
re:Invent2023 現地で何をすべきか?
shinichirokawano
0
1.2k
20230213 JAWS-UG千葉支部 ハイブリッド#1 「UNIXという考え方」LT
shinichirokawano
0
270
2022年 JAWS-UG での活動報告と2023年も頑張るハナシ
shinichirokawano
0
260
2022 12 20 AliEater #23 Lightning Talk WithSecure
shinichirokawano
0
270
2022_1115_reInvent_breakfast_lunch
shinichirokawano
0
1.2k
Other Decks in Technology
See All in Technology
Commitment vs Harrisonism - Keynote for Scrum Niseko 2024
miholovesq
6
830
CAMERA-Suite: 広告文生成のための評価スイート / ai-camera-suite
cyberagentdevelopers
PRO
3
250
CyberAgent 生成AI Deep Dive with Amazon Web Services / genai-aws
cyberagentdevelopers
PRO
1
460
プロダクトエンジニアが活躍する環境を作りたくて 事業責任者になった話 ~プロダクトエンジニアの行き着く先~
gimupop
1
400
AWSコンテナ本出版から3年経った今、もし改めて執筆し直すなら / If I revise our container book
iselegant
13
3.8k
君は隠しイベントを見つけれるか?
mujyun
0
230
Figma Dev Modeで進化するデザインとエンジニアリングの協働 / figma-with-engineering
cyberagentdevelopers
PRO
1
410
分布で見る効果検証入門 / ai-distributional-effect
cyberagentdevelopers
PRO
4
680
AWS CDKでデータリストアの運用、どのように設計する?~Aurora・EFSの実践事例を紹介~/aws-cdk-data-restore-aurora-efs
mhrtech
4
560
[AWS JAPAN 生成AIハッカソン] Dialog の紹介
yoshimi0227
0
140
Automated Promptingを目指すその前に / Before we can aim for Automated Prompting
rkaga
0
100
なんで、私がAWS Heroに!? 〜社外の広い世界に一歩踏み出そう〜
minorun365
PRO
6
1k
Featured
See All Featured
Optimizing for Happiness
mojombo
376
69k
GraphQLの誤解/rethinking-graphql
sonatard
66
9.9k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.1k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
231
17k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.6k
Visualization
eitanlees
144
15k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
13
1.9k
The Art of Programming - Codeland 2020
erikaheidi
51
13k
10 Git Anti Patterns You Should be Aware of
lemiorhan
654
59k
Facilitating Awesome Meetings
lara
49
6k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Transcript
JAWS DAYS 2024 ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d JAWS DAYS 2024 ウィズセキュア株式会社
河野真一郎 D-8 コンサルタントに聞く! AWS Security の守り方とセキュリティテストの実例
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 2 自己紹介と ウォーミングアップ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 自己紹介 3 河野 真一郎 ウィズセキュア株式会社 法人営業本部 クラウド
セキュリティおよび サイバーセキュリティコンサルティング担当 「サイバーセキュリティの必要性と対応方法をリアルな具体例で 分かりやすくご説明」を目指して JAWS-UG に参加してます 趣味 休日の「サウナ水風呂ととのう」
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 4 サイレントセッション 聞いてるだけだと つまらないかと
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 5 参加されてる 皆さまのことを おしえてください
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 6 JAWS DAYS 今回初参加の方?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 7 JAWS-UG で WithSecureの話 聞いたことある方?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 8 サイバーセキュリティ 初心者と思う人? そこそこ詳しい方?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 9 本セッションは主に サイバーセキュリティ 初心者向けです
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 10 昼ごはんの後なので この後も何回か 質問しますね
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 11 WithSecure 会社紹介
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 12
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 13
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 14
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 15 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ 数十万の 法人ユーザ様、数千万の一般消費者ユーザ様の セキュリティソフトウェア提供基盤に使用 自社がAWSの事例ユーザ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 16 今日のお題
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 17 なにせ45分は 使えるので
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 18 1.AWSセキュリティテスト実例 2.どんなサービス? 3.エンドポイント最近ご相談例
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 19 この3つについて お話していきます!
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 20 1.AWSセキュリティテスト実例 ~お客様ご相談例~
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 21 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless
主体のシステムを構築予定 社内向け セキュリティガイドラインやベストプラクティスが必要
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 22 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless
主体のシステムを構築予定 社内向け セキュリティガイドラインやベストプラクティスが必要
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 23 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 “何から対策していくべきか
スペシャリストの意見が欲しいのです”
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 24 (1)どこに脅威がある? (2)現状リスク分析 (3)診断するならここ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 25 前ページ (1) – (3) 専門家がまとめる
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 26 AWS環境セキュリティガイドラインのご提案例 ・既に社内で セキュリティガイドライン がある場合 -> AWS環境へカスタマイズ支援
・セキュリティガイドラインはこれから 作成する場合 -> お客様が使用している環境に 合致したセキュリティガイドラインを 脅威分析とともにご提供
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 27 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定
脅威分析サービスのイメージ 攻撃者の視点で以下を分析 ・どこにセキュリティ上の脅威がある? ・どんな攻撃方法がある? ・攻撃されたら影響範囲は? ・その攻撃を実施するためのスキルレベルは? ・それで実際、どんな対策をすれば良い?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 28 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定
お客様向けセキュリティガイドライン作成 攻撃者の視点をご説明した上で ・どのような設定、対策を実施するべきか? ・現状把握できていなかったセキュリティの脅威は何か? ・社内向けセキュリティガイドライン を作成、お客様へご提出
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 29 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定
お客様向けセキュリティガイドラインの次に相談頂く例 「セキュリティガイドラインを元にシステムを構築しました」 「本当に攻撃されないかテストしてほしいんですが」 -> Penetration Test ( 侵入テスト ) のご提案へ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 30 ここまでで、1回 みなさまに質問です
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 31 サイバーセキュリティの “脅威分析” 聞いたことのある方
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 32 利用環境の 脅威分析 実施した事のある方?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 33 診断担当コンサルが どんな脅威分析手法を 行うか興味ある方は?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 34 脅威分析後の ペネトレーションテスト 手法を以降で説明
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 35 2.どんなサービス? WithSecureサービス実施例
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 36 ▪ ツールと人による診断:対象のシステム、技術と企業に合わせて、ワールドクラスの診断者を適切にアサイン ▪ 現実的な攻撃方法とビジネスリスクに基づく診断の観点:お客様のビジネスに重要な脅威とリスクを把握 ▪ 技術的な弱点だけの診断ではなく:技術的な脆弱性の他にも、ユーザーロールとアクセス制限の有効性、ビ
ジネスロジックでの弱点、制限や対策の突破、暗号化とデータの保存仕方の弱点と、プライバシーまで診断 ▪ 攻撃者側の観点も、守る側の観点も:ただの外部側からの診断だけではなく、セキュリティ的に重要なソース コードの部分と、セキュリティとインシデント検知に関わる設定と構成も診断 ▪ 対策と開発も強化:検出した弱点に基づいて、有効で現実的な対策案を提案し、開発者向けのトレーニン グも実施可能 WithSecure セキュリティ診断の特徴 ソフトウェアによる自動診断に加えて、 ホワイトハッカーによる “攻撃者の視点” に立った診断を実施
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 37 ▪ 対象になるWebアプリケーションの全体的な診断を行います。 ▪ 診断方針は、対象システムと技術に詳しい診断者のよる手 動での診断です。自動的な確認が有効な場合は、自動化の ツールも使用しますが、最終的な判断と確認は手動で実施
▪ 技術的な脆弱性だけではなく、ビジネスロジックでの弱点や、 アクセス制限の突破や、プライバシー関連の問題点や、複雑 な攻撃方法まで診断 ▪ WithSecureの診断方法の推奨は、攻撃者観点からの手 動診断とセキュリティ的に重要なソースコードと設定の部分の ホワイトボックス診断です。こちらによって、診断は効率的に深 くまででき、対策案もピンポイントで提供可能 Webアプリケーション診断
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 38 ▪ ネットワーク経由で悪用可能な既知の脆弱 性や設定ミスを検出 ▪ 事例: ▪
サーバーアプリケーションとミドルウェアでの脆弱性 ▪ SSL/TLS、暗号化アルゴリズム等の適切では ない設定 ▪ デフォルトのパスワード ▪ などなど ▪ 対象はサーバーとネットワーク機器など プラットフォーム診断
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 39 ▪ ハードニングとは、サーバーやアプリケーションの設定を 守る側から確認し、攻撃範囲と攻撃の影響を最小 限にすること ▪ レビュー内容はミドルウェアとアプリケーションのセキュリ
ティと関連する設定とセキュアな運用についての確認 ▪ 診断内容の事例: ▪ サービスでのセキュリティ設定やパスワードポリシー ▪ ログの内容と保存方法およびリモートログの設定 ▪ 重要なプログラムや設定ファイル等のアクセス制限 ▪ 運用方法によるセキュリティリスク ▪ 権限昇格につながる弱点や設定ミス ▪ Center for Internet Security の標準との準拠 ハードニングレビュー
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 40 ▪ AWS 環境に適切な設定ができているかについて、現実的 かつ有効な方法を確認 ▪ 設計上の問題や、設計の意図通りに
AWS が設定され ているかについても構成図や設計を基に確認 ▪ 診断対象(例) ▪ AWS アカウント ▪ IAMアクセス ▪ Amazon CloudFront ▪ Amazon CloudWatch ▪ Amazon Elastic Load Balancing ▪ Amazon ElastiCache ▪ Amazon RDS ▪ AWS Cloud Trail ▪ AWS Config etc…. クラウド環境 (AWS) 診断
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 41
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 42
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 43 またここで、 みなさまに質問です
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 44 利用環境の ペネトレーションテスト 実施した事ありますか?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 45 自社で ペネトレーションテスト 実施できるという方は?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 46 3.エンドポイント最近ご相談例
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 47 日本国内 サイバー攻撃 事例 2022年3月 工場ライン停止 インシデント
国内自動車メーカー 取引先部品メーカーランサムウェア被害 -> 国内全工場14か所が停止、 約1万3000台の生産への影響 2022年10月 医療機関 インシデント 国内医療機関 ランサムウェア感染 -> 基幹システムに障害が発生 通常診療ができない状況に
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 48 製造業におけるサイバー攻撃事例 WithSecure 2020年 調査レポート ・製造業におけるサイバー攻撃の86%が標的型攻撃 ・ハッキング
66%、マルウェア攻撃34%のみ ・侵害の半数近く(47%)が、競争優位性獲得の ための知的財産の盗難に関与 ・53%の攻撃は国家が関与、組織的犯罪は35% 標的型攻撃、ファイルレス攻撃に対して EDR ご検討例が Server環境でも増加
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 49 インシデント マネジメント スレット インテリジェンス 専門家の ガイダンス
WINDOWS センサー MAC センサー 集中管理 管理統合* 振舞い分析 アプリケーション インベントリ BROAD CONTEXT DETECTION ホスト隔離 自動対応 WithSecure Elements EDR 機能一覧
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 50 ここまでのまとめ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 51 サイバーセキュリティには 銀の弾丸はありません
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 52 https://www.withsecure.com/jp-ja/whats-new/pressroom/20230526-cybercrime
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 53 しかも残念な事に サイバー犯罪者は 高度化、悪質化してる
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 54 サイバーセキュリティの 基本的な考え方
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 55 重要箇所を脅威分析 多重防御 攻撃からの復旧演習
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 56 地道に、基本に忠実に サイバーセキュリティ 対策を進めることが大切
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 57 そうは言っても 基本って?何すれば? お悩みの方が居ましたら
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 58 そのための コミュニティ活動 懇親会 情報交換
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 59 自社の同僚と お客さんだけと 会話をしてませんか?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 60 ぜひ活発な情報交換 「このトピック気になる」 「これ誰か知らない?」
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 61 皆さまがクラウド、 サイバーセキュリティ、 興味のあるトピックを
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 62 お互いの知見とノウハウを 共有していきますように
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 63 余談
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 64 なぜ JAWS-UG活動?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 65 Unix 文化 ハッカー文化 “共有すること”
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 66 あなたのノウハウ 私のノウハウ 外のモノサシ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 67 “共有すること” みんなが幸せに
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 68 ぜひ活発な JAWS-UG活動を
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 69 One more thing,
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 70 WithSecure ビジョン https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 71 セキュリティにおける課題は 誰も単独で 解決することはできません https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 72 パートナー様、ユーザー様、 情報セキュリティコミュニティ が一丸となって https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 73 『パートナー』として 協力し合うことで https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 74 セキュリティの課題が ビジネスの成長を妨げること がなくなるのです。 https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 75 WithSecureと共に 歩む誰もが https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 76 サイバー攻撃によって 深刻な被害を受けること のない未来を作る https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 77 それが 私たちのビジョンです https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 78
79