Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
JAWS DAYS 2024 Track D Supporter Session "How t...
Search
Shinichiro Kawano
March 03, 2024
Technology
0
440
JAWS DAYS 2024 Track D Supporter Session "How to Test AWS Environment?""
JAWS DAYS 2024 Track D WithSecure サポーターセッション "AWS Security の守り方とセキュリティテストの実例"
Shinichiro Kawano
March 03, 2024
Tweet
Share
More Decks by Shinichiro Kawano
See All by Shinichiro Kawano
2024-11-07-reInvent2024sapporostby-change-your-life
shinichirokawano
0
73
2024-10-30-reInventStandby_StudyGroup_Intro
shinichirokawano
1
930
“Look back” Cloud Security 2015-2024
shinichirokawano
0
32
"Computers can change your life for the better"
shinichirokawano
0
100
"Change your life" re:Invent Kansai Study
shinichirokawano
1
400
re:Invent2023 現地で何をすべきか?
shinichirokawano
0
1.2k
20230213 JAWS-UG千葉支部 ハイブリッド#1 「UNIXという考え方」LT
shinichirokawano
0
270
2022年 JAWS-UG での活動報告と2023年も頑張るハナシ
shinichirokawano
0
260
2022 12 20 AliEater #23 Lightning Talk WithSecure
shinichirokawano
0
270
Other Decks in Technology
See All in Technology
マルチモーダル / AI Agent / LLMOps 3つの技術トレンドで理解するLLMの今後の展望
hirosatogamo
37
12k
いざ、BSC討伐の旅
nikinusu
2
780
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
SRE×AIOpsを始めよう!GuardDutyによるお手軽脅威検出
amixedcolor
0
130
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.9k
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
130
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
860
OTelCol_TailSampling_and_SpanMetrics
gumamon
1
180
rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理
kitsuya0828
3
390
オープンソースAIとは何か? --「オープンソースAIの定義 v1.0」詳細解説
shujisado
9
1k
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
240
Featured
See All Featured
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Building Applications with DynamoDB
mza
90
6.1k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
130
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Git: the NoSQL Database
bkeepers
PRO
427
64k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Site-Speed That Sticks
csswizardry
0
27
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
A Tale of Four Properties
chriscoyier
156
23k
The Language of Interfaces
destraynor
154
24k
Transcript
JAWS DAYS 2024 ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d JAWS DAYS 2024 ウィズセキュア株式会社
河野真一郎 D-8 コンサルタントに聞く! AWS Security の守り方とセキュリティテストの実例
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 2 自己紹介と ウォーミングアップ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 自己紹介 3 河野 真一郎 ウィズセキュア株式会社 法人営業本部 クラウド
セキュリティおよび サイバーセキュリティコンサルティング担当 「サイバーセキュリティの必要性と対応方法をリアルな具体例で 分かりやすくご説明」を目指して JAWS-UG に参加してます 趣味 休日の「サウナ水風呂ととのう」
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 4 サイレントセッション 聞いてるだけだと つまらないかと
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 5 参加されてる 皆さまのことを おしえてください
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 6 JAWS DAYS 今回初参加の方?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 7 JAWS-UG で WithSecureの話 聞いたことある方?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 8 サイバーセキュリティ 初心者と思う人? そこそこ詳しい方?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 9 本セッションは主に サイバーセキュリティ 初心者向けです
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 10 昼ごはんの後なので この後も何回か 質問しますね
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 11 WithSecure 会社紹介
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 12
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 13
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 14
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 15 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ 数十万の 法人ユーザ様、数千万の一般消費者ユーザ様の セキュリティソフトウェア提供基盤に使用 自社がAWSの事例ユーザ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 16 今日のお題
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 17 なにせ45分は 使えるので
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 18 1.AWSセキュリティテスト実例 2.どんなサービス? 3.エンドポイント最近ご相談例
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 19 この3つについて お話していきます!
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 20 1.AWSセキュリティテスト実例 ~お客様ご相談例~
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 21 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless
主体のシステムを構築予定 社内向け セキュリティガイドラインやベストプラクティスが必要
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 22 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless
主体のシステムを構築予定 社内向け セキュリティガイドラインやベストプラクティスが必要
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 23 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 “何から対策していくべきか
スペシャリストの意見が欲しいのです”
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 24 (1)どこに脅威がある? (2)現状リスク分析 (3)診断するならここ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 25 前ページ (1) – (3) 専門家がまとめる
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 26 AWS環境セキュリティガイドラインのご提案例 ・既に社内で セキュリティガイドライン がある場合 -> AWS環境へカスタマイズ支援
・セキュリティガイドラインはこれから 作成する場合 -> お客様が使用している環境に 合致したセキュリティガイドラインを 脅威分析とともにご提供
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 27 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定
脅威分析サービスのイメージ 攻撃者の視点で以下を分析 ・どこにセキュリティ上の脅威がある? ・どんな攻撃方法がある? ・攻撃されたら影響範囲は? ・その攻撃を実施するためのスキルレベルは? ・それで実際、どんな対策をすれば良い?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 28 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定
お客様向けセキュリティガイドライン作成 攻撃者の視点をご説明した上で ・どのような設定、対策を実施するべきか? ・現状把握できていなかったセキュリティの脅威は何か? ・社内向けセキュリティガイドライン を作成、お客様へご提出
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 29 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定
お客様向けセキュリティガイドラインの次に相談頂く例 「セキュリティガイドラインを元にシステムを構築しました」 「本当に攻撃されないかテストしてほしいんですが」 -> Penetration Test ( 侵入テスト ) のご提案へ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 30 ここまでで、1回 みなさまに質問です
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 31 サイバーセキュリティの “脅威分析” 聞いたことのある方
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 32 利用環境の 脅威分析 実施した事のある方?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 33 診断担当コンサルが どんな脅威分析手法を 行うか興味ある方は?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 34 脅威分析後の ペネトレーションテスト 手法を以降で説明
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 35 2.どんなサービス? WithSecureサービス実施例
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 36 ▪ ツールと人による診断:対象のシステム、技術と企業に合わせて、ワールドクラスの診断者を適切にアサイン ▪ 現実的な攻撃方法とビジネスリスクに基づく診断の観点:お客様のビジネスに重要な脅威とリスクを把握 ▪ 技術的な弱点だけの診断ではなく:技術的な脆弱性の他にも、ユーザーロールとアクセス制限の有効性、ビ
ジネスロジックでの弱点、制限や対策の突破、暗号化とデータの保存仕方の弱点と、プライバシーまで診断 ▪ 攻撃者側の観点も、守る側の観点も:ただの外部側からの診断だけではなく、セキュリティ的に重要なソース コードの部分と、セキュリティとインシデント検知に関わる設定と構成も診断 ▪ 対策と開発も強化:検出した弱点に基づいて、有効で現実的な対策案を提案し、開発者向けのトレーニン グも実施可能 WithSecure セキュリティ診断の特徴 ソフトウェアによる自動診断に加えて、 ホワイトハッカーによる “攻撃者の視点” に立った診断を実施
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 37 ▪ 対象になるWebアプリケーションの全体的な診断を行います。 ▪ 診断方針は、対象システムと技術に詳しい診断者のよる手 動での診断です。自動的な確認が有効な場合は、自動化の ツールも使用しますが、最終的な判断と確認は手動で実施
▪ 技術的な脆弱性だけではなく、ビジネスロジックでの弱点や、 アクセス制限の突破や、プライバシー関連の問題点や、複雑 な攻撃方法まで診断 ▪ WithSecureの診断方法の推奨は、攻撃者観点からの手 動診断とセキュリティ的に重要なソースコードと設定の部分の ホワイトボックス診断です。こちらによって、診断は効率的に深 くまででき、対策案もピンポイントで提供可能 Webアプリケーション診断
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 38 ▪ ネットワーク経由で悪用可能な既知の脆弱 性や設定ミスを検出 ▪ 事例: ▪
サーバーアプリケーションとミドルウェアでの脆弱性 ▪ SSL/TLS、暗号化アルゴリズム等の適切では ない設定 ▪ デフォルトのパスワード ▪ などなど ▪ 対象はサーバーとネットワーク機器など プラットフォーム診断
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 39 ▪ ハードニングとは、サーバーやアプリケーションの設定を 守る側から確認し、攻撃範囲と攻撃の影響を最小 限にすること ▪ レビュー内容はミドルウェアとアプリケーションのセキュリ
ティと関連する設定とセキュアな運用についての確認 ▪ 診断内容の事例: ▪ サービスでのセキュリティ設定やパスワードポリシー ▪ ログの内容と保存方法およびリモートログの設定 ▪ 重要なプログラムや設定ファイル等のアクセス制限 ▪ 運用方法によるセキュリティリスク ▪ 権限昇格につながる弱点や設定ミス ▪ Center for Internet Security の標準との準拠 ハードニングレビュー
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 40 ▪ AWS 環境に適切な設定ができているかについて、現実的 かつ有効な方法を確認 ▪ 設計上の問題や、設計の意図通りに
AWS が設定され ているかについても構成図や設計を基に確認 ▪ 診断対象(例) ▪ AWS アカウント ▪ IAMアクセス ▪ Amazon CloudFront ▪ Amazon CloudWatch ▪ Amazon Elastic Load Balancing ▪ Amazon ElastiCache ▪ Amazon RDS ▪ AWS Cloud Trail ▪ AWS Config etc…. クラウド環境 (AWS) 診断
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 41
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 42
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 43 またここで、 みなさまに質問です
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 44 利用環境の ペネトレーションテスト 実施した事ありますか?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 45 自社で ペネトレーションテスト 実施できるという方は?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 46 3.エンドポイント最近ご相談例
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 47 日本国内 サイバー攻撃 事例 2022年3月 工場ライン停止 インシデント
国内自動車メーカー 取引先部品メーカーランサムウェア被害 -> 国内全工場14か所が停止、 約1万3000台の生産への影響 2022年10月 医療機関 インシデント 国内医療機関 ランサムウェア感染 -> 基幹システムに障害が発生 通常診療ができない状況に
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 48 製造業におけるサイバー攻撃事例 WithSecure 2020年 調査レポート ・製造業におけるサイバー攻撃の86%が標的型攻撃 ・ハッキング
66%、マルウェア攻撃34%のみ ・侵害の半数近く(47%)が、競争優位性獲得の ための知的財産の盗難に関与 ・53%の攻撃は国家が関与、組織的犯罪は35% 標的型攻撃、ファイルレス攻撃に対して EDR ご検討例が Server環境でも増加
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 49 インシデント マネジメント スレット インテリジェンス 専門家の ガイダンス
WINDOWS センサー MAC センサー 集中管理 管理統合* 振舞い分析 アプリケーション インベントリ BROAD CONTEXT DETECTION ホスト隔離 自動対応 WithSecure Elements EDR 機能一覧
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 50 ここまでのまとめ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 51 サイバーセキュリティには 銀の弾丸はありません
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 52 https://www.withsecure.com/jp-ja/whats-new/pressroom/20230526-cybercrime
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 53 しかも残念な事に サイバー犯罪者は 高度化、悪質化してる
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 54 サイバーセキュリティの 基本的な考え方
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 55 重要箇所を脅威分析 多重防御 攻撃からの復旧演習
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 56 地道に、基本に忠実に サイバーセキュリティ 対策を進めることが大切
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 57 そうは言っても 基本って?何すれば? お悩みの方が居ましたら
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 58 そのための コミュニティ活動 懇親会 情報交換
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 59 自社の同僚と お客さんだけと 会話をしてませんか?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 60 ぜひ活発な情報交換 「このトピック気になる」 「これ誰か知らない?」
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 61 皆さまがクラウド、 サイバーセキュリティ、 興味のあるトピックを
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 62 お互いの知見とノウハウを 共有していきますように
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 63 余談
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 64 なぜ JAWS-UG活動?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 65 Unix 文化 ハッカー文化 “共有すること”
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 66 あなたのノウハウ 私のノウハウ 外のモノサシ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 67 “共有すること” みんなが幸せに
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 68 ぜひ活発な JAWS-UG活動を
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 69 One more thing,
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 70 WithSecure ビジョン https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 71 セキュリティにおける課題は 誰も単独で 解決することはできません https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 72 パートナー様、ユーザー様、 情報セキュリティコミュニティ が一丸となって https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 73 『パートナー』として 協力し合うことで https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 74 セキュリティの課題が ビジネスの成長を妨げること がなくなるのです。 https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 75 WithSecureと共に 歩む誰もが https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 76 サイバー攻撃によって 深刻な被害を受けること のない未来を作る https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 77 それが 私たちのビジョンです https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 78
79