Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Pwned Labsのすゝめ
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Kengo Suzuki
February 28, 2025
Technology
1.2k
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Pwned Labsのすゝめ
Kengo Suzuki
February 28, 2025
More Decks by Kengo Suzuki
See All by Kengo Suzuki
男(監査)はつらいよ - Policy as CodeからAIエージェントへ
ken5scal
5
1.1k
AI時代の大規模データ活用とセキュリティ戦略
ken5scal
1
520
信頼性に挑む中で拡張できる・得られる1人のスキルセットとは?
ken5scal
3
1.3k
Eventual Detection Engineering
ken5scal
0
2.9k
脆弱性対応をこの先生きのこるには
ken5scal
0
1.7k
LayerXとMDMのリスク評価と年次対応の実例(公開版)
ken5scal
2
1.5k
AWSだ! Google Cloudだ! Azureだ! 認証連携だ!
ken5scal
9
2.6k
適応し続けるプロダクトとセキュリティ
ken5scal
5
2.5k
同志諸君よ、ゼロトラストを撃て_CloudNativeDays2022
ken5scal
2
3.4k
Other Decks in Technology
See All in Technology
[チョークトーク資料]AWS DevOps Agent を使いこなす / AWS Dev Ops Agent Chalk Talk AWS Summit Japan 2026
kinunori
4
800
組織における AI-DLC 実践
askul
0
140
アラート調査向けAIエージェントの本番導入とその後/AI Agents for Alert Investigation: Production Deployment and After
taddy_919
1
240
ご挨拶「10周年を迎える共創ラボのこれまでとこれから」
iotcomjpadmin
0
150
【FinOps】データドリブンな意思決定を目指して
z63d
2
470
クラウドファンディング版StackChan 3体(4体)をインタラクティブな体験型作品にして展示もした話 / スタックチャンお誕生日会2026
you
PRO
0
200
「軸足」は 固定しなくていい - 熱量と強みで描く、しなやかなキャリアの形
kakehashi
PRO
1
280
OTel × Datadog で 「AI活用」を計測し、改善に繋げる
shihochan
2
1k
AI時代における最適なQA組織の作り方
ymty
3
120
Flow 不死:AI 時代 DevOps 的不變本質
cheng_wei_chen
2
550
「ビジネスがわかるエンジニア」とは何か?
ryooob
0
340
脱SaaS!FDEを支えるプロビジョニングと分離設計
knih
0
300
Featured
See All Featured
Building a Scalable Design System with Sketch
lauravandoore
463
34k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
[SF Ruby Conf 2025] Rails X
palkan
2
1.1k
The untapped power of vector embeddings
frankvandijk
2
1.8k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
540
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
210
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
160
Bootstrapping a Software Product
garrettdimon
PRO
307
120k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.9k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
Code Reviewing Like a Champion
maltzj
528
40k
Transcript
商号等 三井物産デジタル‧アセットマネジメント株式会社 ⾦融商品取引業者 関東財務局⻑(⾦商)第3277号 加⼊協会 ⽇本証券業協会、⼀般社団法⼈ ⽇本投資顧問業協会、⼀般社団法⼈ 第⼆種⾦融商品取引業協会 ©Mitsui & Co.
Digital Asset Management, Ltd. 公開 Pwned Labsのすゝめ 喋ることだけ意識していて、スポンサーセッションであることも、30min枠であることも 忘れていたとあるセキュリティ担当による発表 #CloudSec JP #001 #cloudsecjp
公開 イントロ ⾃⼰紹介 about @ken5scal 三井物産デジタル‧アセットマネジメント • コーポレートシステム部⻑, システムリスク統括責任 •
LayerX Fintech事業部から出向 個⼈活動 • 週間ニュースレター「忙しい⼈のためのセキュリティ‧イン テリジェンス」 • 他: Podcast、同⼈誌 来歴 • ⾦融系SIer > 資産管理‧家計簿SP > 証券会社 > 現職 2
公開 ⽬次 INDEX 1. イントロ 2. 学習要綱 3. PwedLabsはいいぞ
公開 01 イントロ 4
5 © LayerX Inc. 「すべての経済活動を、デジタル化する。」をミッションに、AI SaaSとAI DXの事業を展開 事業紹介 バクラク事業 企業活動のインフラとなる業務を
効率化するクラウドサービス Fintech事業 ソフトウェアを駆使したアセットマネジ メント‧証券事業を合弁会社にて展開 AI‧LLM事業 社内のナレッジやノウハウをデータ ベース化するAIプラットフォーム AI SaaSドメイン AI DXドメイン
公開 三井物産デジタル‧アセットマネジメント(MDM)について はじめに 会社設⽴ 2020年 資産運⽤総額(AUM)* 2, 000億円+ デジタル証券ファンド組成数* 14
国内No.1** * 2024年12⽉31⽇時点 **2024年12⽉31⽇時点で資産運⽤会社が組成する電⼦記録移転有価証券表⽰権利等を発⾏したファンド数。有価証券届出書を元に当社調査。 所在地 〒103-0012 東京都中央区⽇本橋堀留町1-9-8 ⼈形町PREX4階 資本⾦ 30億円(資本準備⾦を含む) 従業員数 76名(2024年12⽉1⽇現在) 登録免許 関東財務局⻑(⾦商)第3277号 第⼀種⾦融商品取引業‧第⼆種⾦融商品取引業‧投資運⽤業 事業内容 不動産‧インフラを中⼼とする実物資産のアセットマネジメント事業 個⼈投資家向けオンライン資産運⽤サービス「オルタナ」の運営 当社の強み 総合商社‧不動産⾦融等の出⾝者が集う「資産運⽤のプロ集団」 ファンド組成〜販売〜運⽤を⼀気通貫で⾏う「製販⼀体」の体制 社員の3割がソフトウェアエンジニア「デジタルネイティブ」な⾦融機関 株主 6
公開 イントロ 会社概要② 職務概要 7 ガバナンス‧コンプライアンス業務
公開 8 イントロ 会社概要③ プロダクトの範囲 運⽤ 流動化 IR マー ケ
公開 イントロ 直⾯してきた‧している課題 外的要因 9 外部団体‧ 親会社からの ハイコンテクストで 多様なフォーマットの チェックシート
相対的に増えたクラウ ドの変更‧構成管理 増え続ける 管理コスト‧ ⾦銭的コスト 脆弱性を埋め込む脅威 ベクトルの増加
公開 イントロ 直⾯してきた‧している課題 外的要因 10 外部団体‧ 親会社からの ハイコンテクストで 多様なフォーマットの チェックシート
相対的に増えたクラウ ドの変更‧構成管理 増え続ける 管理コスト‧ ⾦銭的コスト 脆弱性を埋め込む脅威 ベクトルの増加 特に侵⼊する窓⼝が広い
公開 イントロ 直⾯してきた‧している課題 外的要因 11 外部団体‧ 親会社からの ハイコンテクストで 多様なフォーマットの チェックシート
相対的に増えたクラウ ドの変更‧構成管理 増え続ける 管理コスト‧ ⾦銭的コスト 脆弱性を埋め込む脅威 ベクトルの増加 とりあえず いい感じに構成情報と標準(情報)を引っ張って いい感じにデータ基盤に放り込んで いい感じにギャップ(脆弱性)を⾒つけて、 いい感じに影響ない⽅法でギャップを埋めていきたい そして、いい感じに仕事しないでお給料もらいたい
公開 イントロ 3年間のチーム構成の推移 • ⼈数: 1⼈ -> 5⼈ • バックグラウンド:
コーポレートエンジニア、CTO、SRE、派遣ヘルプデスク、わい 12 https://note.layerx.co.jp/n/n2106928167c3 全メンバー向けに会社が部⾨が ⽬指していきたい⽅向性を⽰した 「羅針盤」 を更新
公開 イントロ 3年ほど集中したい技術‧分野 - デジタルアイデンティティ - ⾃動的なベースライン構築‧運⽤ - AIエージェント -
データ基盤 - リスクベースの実践的評価と継続的な改善 - レッドチーム演習やChaos Engineeringなどを組み合わせた包括的なテストを定期的に実施し、サービス 信頼性‧セキュリティ対策‧運⽤体制を検証する。 - その結果をフィードバックし、運⽤⾃動化やガバナンス強化につなげることで、組織横断的に継続的改善 の⽂化を根付かせる。 - SREの可⽤性リスク、DevOpsの変更リスク、コーポレートITの運⽤リスク、セキュリティリスクなど、多 ⾯的にリスクを評価。 - 定性‧定量両⾯の指標を⽤い、優先度の⾼い領域から技術的‧管理的対策を導⼊するサイクルを確⽴ 13
公開 イントロ 3年ほど集中したい技術‧分野 - デジタルアイデンティティ - ⾃動的なベースライン構築‧運⽤ - AIエージェント -
データ基盤 - リスクベースの実践的評価と継続的な改善 - レッドチーム演習やChaos Engineeringなどを組み合わせた包括的なテストを定期的に実施し、サービス 信頼性‧セキュリティ対策‧運⽤体制を検証する。 - その結果をフィードバックし、運⽤⾃動化やガバナンス強化につなげることで、組織横断的に継続的改善 の⽂化を根付かせる。 - SREの可⽤性リスク、DevOpsの変更リスク、コーポレートITの運⽤リスク、セキュリティリスクなど、多 ⾯的にリスクを評価。 - 定性‧定量両⾯の指標を⽤い、優先度の⾼い領域から技術的‧管理的対策を導⼊するサイクルを確⽴ 14 コーポレートエンジニア、CTO、SRE、派遣ヘルプデスク バックグラウンドが持つスキルではない
公開 15 https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf
公開 イントロ 規定等及び業務プロセスの整備 • 情報資産管理 • リスク評価 • 脆弱性管理 •
脆弱性診断及びペネトレーションテスト • 演習‧訓練 • 認証‧アクセス管理 • 教育‧研修 • データ管理 16 「⾦融商品取引業者等向けの総合的な監督指針」を含む全監督指針が、そのサイバーセキュリティ管 理について「⾦融分野におけるサイバーセキュリティに関するガイドライン」を基底とするようにな り、以下の態勢を要求している • ログ管理 • セキュリティ‧バイ‧デザイン • 技術的対策 • インシデント対応及び復旧 • サードパーティリスク管理 リスクベースで机上の空論ではあかん できれば実際に試して、対策後も確認したい。 =外部研修が必要
公開 02 学習要綱 17
公開 - CISSP / CISM /CISA? 悪くないが、セキュリティマネージャーを育てることに研修費⽤をとり たいわけではないのでOJTとはチョット違う - Offensive Labs
/ THM / HTB? とてもいいが、得意としている攻撃環境‧脅威がチョット違う - SANS GPEN? ⾼杉 ※BSCP?とても良さそう - 学習要綱 どんな外部研修コースか? 18
公開 - 当社のクラウン‧ジュエルには、2~3hopで到達 できる(気がする) - フルクラウド環境では、アタックサーフェース (ノード)とShortest Pathなエッジを潰すのが リスクベースな対応だと考えている -
その起点は⼤体、misconfigになるはずであり、 そのためEnumとmisconfigを突く典型的な脅威 に集中すべきと考えている 学習要綱 我々が想定したいリスクベースの脅威 19 我々がまずGetしたいオフェンシブな領域と 価格の両⽴したOFF JTな研修を探している
公開 03 Pwned Labsはいいぞ 20
公開 21
公開 - BootCamp - AWS、Azure、GCP(Coming Soon)といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境
- Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおk - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 概要 22
公開 - CNCFでいうところのクラウドネイティブな開発に関連したコンテンツがあって良い - 例: 「Uncover Secrets in CodeCommit and
Docker」 - 例: 「Abuse OpenID Connect and GitLab for AWS Access」 - 例: 「Exploit Kubernetes Overly Permissive RBAC」 - あまりでてこないバッチ‧サーバーレス開発も考えられていて良い - 例: 「SQS and Lambda SQL Injection」 - 例: 「Abuse S3 Replication and Batch Ops to Exfiltrate Data」 - SSRFがIMDSv2ベースなのがよい - 総じて、しっかり最新の脅威や、近年のモダン開発フローを念頭にしているのが良い PWNEDLABS コンテンツ - Good 23
公開 - クラシックなCTFとは頭の使い⽅が違った - クラシックな⽅: 「ジャンルに特化した考え⽅」「Exploitの作り⽅⼤事」「脳みそ焼き切る」 - こっち: 「開発者がどこで⼿を抜くか」「どれぐらいIaaSのAPIを知っているか」「ベスプラはなにか」 -
個⼈的に⼀番⼿間取ったのは、提供されるエントリーポイント(IPアドレス)からどうAWS環境 に侵⼊するか。 ※ある程度AWSに慣れているからそう感じるのかも? - 当社のリスクベース的には別のスキルセット(Web系Pen)でカバーする必要がありそう ※Burp Suite Certified Practitioner? PWNEDLABS コンテンツ - その他 24
公開 - BootCamp - AWS、Azure、GCP(Coming Soon)といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境
- Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおk - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 価格は? 25
公開 - BootCamp - AWS、Azure、GCP(Coming Soon)といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境
- Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおk - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 価格は? 26
公開 - BootCamp - AWS、Azure、GCP(Coming Soon)といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境
- Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおk - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 価格は? 27 コンテンツと値段のバランスが良いと感じた。 オススメ
公開 28
公開 イントロ 規定等及び業務プロセスの整備 • 情報資産管理 • リスク評価 • 脆弱性管理 •
脆弱性診断及びペネトレーションテスト • 演習‧訓練 • 認証‧アクセス管理 • 教育‧研修 • データ管理 29 「⾦融商品取引業者等向けの総合的な監督指針」を含む全監督指針が、そのサイバーセキュリティ管 理について「⾦融分野におけるサイバーセキュリティに関するガイドライン」を基底とするようにな り、以下の態勢を要求している • ログ管理 • セキュリティ‧バイ‧デザイン • 技術的対策 • インシデント対応及び復旧 • サードパーティリスク管理 リスクベースで机上の空論ではあかん できれば実際に試して、対策後も確認したい。 =外部研修が必要
公開
公開 31 ken5が受けたかっただけ! やりたい駆動! ついでに業務に活⽤しただけ ※⾃費で受けて、クオリティ確認して予算つくるタイプのモンスター
公開 - ISACA系(CISM, CISA) - ISC2 ( CCSP?, CISSP?) -
PwnedLab(ACRPT、MCRTP) - Burp Suite Certified Practitioner - Endpoint系(OSMR?OSED?) - 等 今後の当社 こういう研修の予算を確保していきます 32
公開 - 2年後を⾒据え、Red的業務をするための枠を拡充していきたいと考えています - AIだけでなく、Humanもめっちゃ必要なので、是⾮、⾯談含めご検討いただけますと幸いです - We are Hiring -
X / YouTrust: @ken5scal - OpenDoor: https://jobs.layerx.co.jp/bb8263e946964a4b9bfac9f4e67cf353 今後の当社 研修予算は取れるが、「今」はRed難しい 33
公開 おまけ 無料でできるオススメチャレンジ 34 あとは、インフラコストかかるけど AWS Goat, Cloud Goat
コーポレートサイト https://corp.mitsui-x.com/ サービスサイト(ALTERNA) https://alterna-z.com/ 公開