Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS DAYS 2024 Track D Supporter Session "How t...

JAWS DAYS 2024 Track D Supporter Session "How to Test AWS Environment?""

JAWS DAYS 2024 Track D WithSecure サポーターセッション "AWS Security の守り方とセキュリティテストの実例"

Shinichiro Kawano

March 03, 2024
Tweet

More Decks by Shinichiro Kawano

Other Decks in Technology

Transcript

  1. JAWS DAYS 2024 ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d JAWS DAYS 2024 ウィズセキュア株式会社

    河野真一郎 D-8 コンサルタントに聞く! AWS Security の守り方とセキュリティテストの実例
  2. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 自己紹介 3 河野 真一郎 ウィズセキュア株式会社 法人営業本部 クラウド

    セキュリティおよび サイバーセキュリティコンサルティング担当 「サイバーセキュリティの必要性と対応方法をリアルな具体例で 分かりやすくご説明」を目指して JAWS-UG に参加してます 趣味 休日の「サウナ水風呂ととのう」
  3. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 26 AWS環境セキュリティガイドラインのご提案例 ・既に社内で セキュリティガイドライン がある場合 -> AWS環境へカスタマイズ支援

    ・セキュリティガイドラインはこれから 作成する場合 -> お客様が使用している環境に 合致したセキュリティガイドラインを 脅威分析とともにご提供
  4. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 27 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定

    脅威分析サービスのイメージ 攻撃者の視点で以下を分析 ・どこにセキュリティ上の脅威がある? ・どんな攻撃方法がある? ・攻撃されたら影響範囲は? ・その攻撃を実施するためのスキルレベルは? ・それで実際、どんな対策をすれば良い?
  5. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 28 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定

    お客様向けセキュリティガイドライン作成 攻撃者の視点をご説明した上で ・どのような設定、対策を実施するべきか? ・現状把握できていなかったセキュリティの脅威は何か? ・社内向けセキュリティガイドライン を作成、お客様へご提出
  6. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 29 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定

    お客様向けセキュリティガイドラインの次に相談頂く例 「セキュリティガイドラインを元にシステムを構築しました」 「本当に攻撃されないかテストしてほしいんですが」 -> Penetration Test ( 侵入テスト ) のご提案へ
  7. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 36 ▪ ツールと人による診断:対象のシステム、技術と企業に合わせて、ワールドクラスの診断者を適切にアサイン ▪ 現実的な攻撃方法とビジネスリスクに基づく診断の観点:お客様のビジネスに重要な脅威とリスクを把握 ▪ 技術的な弱点だけの診断ではなく:技術的な脆弱性の他にも、ユーザーロールとアクセス制限の有効性、ビ

    ジネスロジックでの弱点、制限や対策の突破、暗号化とデータの保存仕方の弱点と、プライバシーまで診断 ▪ 攻撃者側の観点も、守る側の観点も:ただの外部側からの診断だけではなく、セキュリティ的に重要なソース コードの部分と、セキュリティとインシデント検知に関わる設定と構成も診断 ▪ 対策と開発も強化:検出した弱点に基づいて、有効で現実的な対策案を提案し、開発者向けのトレーニン グも実施可能 WithSecure セキュリティ診断の特徴 ソフトウェアによる自動診断に加えて、 ホワイトハッカーによる “攻撃者の視点” に立った診断を実施
  8. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 37 ▪ 対象になるWebアプリケーションの全体的な診断を行います。 ▪ 診断方針は、対象システムと技術に詳しい診断者のよる手 動での診断です。自動的な確認が有効な場合は、自動化の ツールも使用しますが、最終的な判断と確認は手動で実施

    ▪ 技術的な脆弱性だけではなく、ビジネスロジックでの弱点や、 アクセス制限の突破や、プライバシー関連の問題点や、複雑 な攻撃方法まで診断 ▪ WithSecureの診断方法の推奨は、攻撃者観点からの手 動診断とセキュリティ的に重要なソースコードと設定の部分の ホワイトボックス診断です。こちらによって、診断は効率的に深 くまででき、対策案もピンポイントで提供可能 Webアプリケーション診断
  9. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 38 ▪ ネットワーク経由で悪用可能な既知の脆弱 性や設定ミスを検出 ▪ 事例: ▪

    サーバーアプリケーションとミドルウェアでの脆弱性 ▪ SSL/TLS、暗号化アルゴリズム等の適切では ない設定 ▪ デフォルトのパスワード ▪ などなど ▪ 対象はサーバーとネットワーク機器など プラットフォーム診断
  10. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 39 ▪ ハードニングとは、サーバーやアプリケーションの設定を 守る側から確認し、攻撃範囲と攻撃の影響を最小 限にすること ▪ レビュー内容はミドルウェアとアプリケーションのセキュリ

    ティと関連する設定とセキュアな運用についての確認 ▪ 診断内容の事例: ▪ サービスでのセキュリティ設定やパスワードポリシー ▪ ログの内容と保存方法およびリモートログの設定 ▪ 重要なプログラムや設定ファイル等のアクセス制限 ▪ 運用方法によるセキュリティリスク ▪ 権限昇格につながる弱点や設定ミス ▪ Center for Internet Security の標準との準拠 ハードニングレビュー
  11. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 40 ▪ AWS 環境に適切な設定ができているかについて、現実的 かつ有効な方法を確認 ▪ 設計上の問題や、設計の意図通りに

    AWS が設定され ているかについても構成図や設計を基に確認 ▪ 診断対象(例) ▪ AWS アカウント ▪ IAMアクセス ▪ Amazon CloudFront ▪ Amazon CloudWatch ▪ Amazon Elastic Load Balancing ▪ Amazon ElastiCache ▪ Amazon RDS ▪ AWS Cloud Trail ▪ AWS Config etc…. クラウド環境 (AWS) 診断
  12. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 47 日本国内 サイバー攻撃 事例 2022年3月 工場ライン停止 インシデント

    国内自動車メーカー 取引先部品メーカーランサムウェア被害 -> 国内全工場14か所が停止、 約1万3000台の生産への影響 2022年10月 医療機関 インシデント 国内医療機関 ランサムウェア感染 -> 基幹システムに障害が発生 通常診療ができない状況に
  13. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 48 製造業におけるサイバー攻撃事例 WithSecure 2020年 調査レポート ・製造業におけるサイバー攻撃の86%が標的型攻撃 ・ハッキング

    66%、マルウェア攻撃34%のみ ・侵害の半数近く(47%)が、競争優位性獲得の ための知的財産の盗難に関与 ・53%の攻撃は国家が関与、組織的犯罪は35% 標的型攻撃、ファイルレス攻撃に対して EDR ご検討例が Server環境でも増加
  14. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 49 インシデント マネジメント スレット インテリジェンス 専門家の ガイダンス

    WINDOWS センサー MAC センサー 集中管理 管理統合* 振舞い分析 アプリケーション インベントリ BROAD CONTEXT DETECTION ホスト隔離 自動対応 WithSecure Elements EDR 機能一覧
  15. 79