Pwned Labsのすゝめ

Transcript

1. 商号等  三井物産デジタル‧アセットマネジメント株式会社 ⾦融商品取引業者 関東財務局⻑（⾦商）第3277号 加⼊協会  ⽇本証券業協会、⼀般社団法⼈ ⽇本投資顧問業協会、⼀般社団法⼈ 第⼆種⾦融商品取引業協会 ©Mitsui & Co.

   Digital Asset Management, Ltd. 公開 Pwned Labsのすゝめ 喋ることだけ意識していて、スポンサーセッションであることも、30min枠であることも 忘れていたとあるセキュリティ担当による発表 #CloudSec JP #001 #cloudsecjp

2. 公開 イントロ ⾃⼰紹介 about @ken5scal 三井物産デジタル‧アセットマネジメント • コーポレートシステム部⻑, システムリスク統括責任 •

   LayerX Fintech事業部から出向 個⼈活動 • 週間ニュースレター「忙しい⼈のためのセキュリティ‧イン テリジェンス」 • 他: Podcast、同⼈誌 来歴 • ⾦融系SIer > 資産管理‧家計簿SP > 証券会社 > 現職 2

3. 公開 ⽬次 INDEX 1. イントロ 2. 学習要綱 3. PwedLabsはいいぞ

4. 公開 01 イントロ 4

5. 5 © LayerX Inc. 「すべての経済活動を、デジタル化する。」をミッションに、AI SaaSとAI DXの事業を展開 事業紹介 バクラク事業 企業活動のインフラとなる業務を

   効率化するクラウドサービス Fintech事業 ソフトウェアを駆使したアセットマネジ メント‧証券事業を合弁会社にて展開 AI‧LLM事業 社内のナレッジやノウハウをデータ ベース化するAIプラットフォーム AI SaaSドメイン AI DXドメイン

6. 公開 三井物産デジタル‧アセットマネジメント（MDM）について はじめに 会社設⽴ 2020年 資産運⽤総額（AUM）* 2, 000億円+ デジタル証券ファンド組成数* 14

   国内No.1** * 2024年12⽉31⽇時点 **2024年12⽉31⽇時点で資産運⽤会社が組成する電⼦記録移転有価証券表⽰権利等を発⾏したファンド数。有価証券届出書を元に当社調査。 所在地 〒103-0012 東京都中央区⽇本橋堀留町1-9-8 ⼈形町PREX4階 資本⾦ 30億円（資本準備⾦を含む） 従業員数 76名（2024年12⽉1⽇現在） 登録免許 関東財務局⻑（⾦商）第3277号 第⼀種⾦融商品取引業‧第⼆種⾦融商品取引業‧投資運⽤業 事業内容 不動産‧インフラを中⼼とする実物資産のアセットマネジメント事業 個⼈投資家向けオンライン資産運⽤サービス「オルタナ」の運営 当社の強み 総合商社‧不動産⾦融等の出⾝者が集う「資産運⽤のプロ集団」 ファンド組成〜販売〜運⽤を⼀気通貫で⾏う「製販⼀体」の体制 社員の3割がソフトウェアエンジニア「デジタルネイティブ」な⾦融機関 株主 6

7. 公開 イントロ 会社概要② 職務概要 7 ガバナンス‧コンプライアンス業務

8. 公開 8 イントロ 会社概要③ プロダクトの範囲 運⽤ 流動化 IR マー ケ

9. 公開 イントロ 直⾯してきた‧している課題 外的要因 9 外部団体‧ 親会社からの ハイコンテクストで 多様なフォーマットの チェックシート

   相対的に増えたクラウ ドの変更‧構成管理 増え続ける 管理コスト‧ ⾦銭的コスト 脆弱性を埋め込む脅威 ベクトルの増加

10. 公開 イントロ 直⾯してきた‧している課題 外的要因 10 外部団体‧ 親会社からの ハイコンテクストで 多様なフォーマットの チェックシート

    相対的に増えたクラウ ドの変更‧構成管理 増え続ける 管理コスト‧ ⾦銭的コスト 脆弱性を埋め込む脅威 ベクトルの増加 特に侵⼊する窓⼝が広い

11. 公開 イントロ 直⾯してきた‧している課題 外的要因 11 外部団体‧ 親会社からの ハイコンテクストで 多様なフォーマットの チェックシート

    相対的に増えたクラウ ドの変更‧構成管理 増え続ける 管理コスト‧ ⾦銭的コスト 脆弱性を埋め込む脅威 ベクトルの増加 とりあえず いい感じに構成情報と標準（情報）を引っ張って いい感じにデータ基盤に放り込んで いい感じにギャップ（脆弱性）を⾒つけて、 いい感じに影響ない⽅法でギャップを埋めていきたい そして、いい感じに仕事しないでお給料もらいたい

12. 公開 イントロ ３年間のチーム構成の推移 • ⼈数: 1⼈ -> 5⼈ • バックグラウンド:

    コーポレートエンジニア、CTO、SRE、派遣ヘルプデスク、わい 12 https://note.layerx.co.jp/n/n2106928167c3 全メンバー向けに会社が部⾨が ⽬指していきたい⽅向性を⽰した 「羅針盤」 を更新

13. 公開 イントロ 3年ほど集中したい技術‧分野 - デジタルアイデンティティ - ⾃動的なベースライン構築‧運⽤ - AIエージェント -

    データ基盤 - リスクベースの実践的評価と継続的な改善 - レッドチーム演習やChaos Engineeringなどを組み合わせた包括的なテストを定期的に実施し、サービス 信頼性‧セキュリティ対策‧運⽤体制を検証する。 - その結果をフィードバックし、運⽤⾃動化やガバナンス強化につなげることで、組織横断的に継続的改善 の⽂化を根付かせる。 - SREの可⽤性リスク、DevOpsの変更リスク、コーポレートITの運⽤リスク、セキュリティリスクなど、多 ⾯的にリスクを評価。 - 定性‧定量両⾯の指標を⽤い、優先度の⾼い領域から技術的‧管理的対策を導⼊するサイクルを確⽴ 13

14. 公開 イントロ 3年ほど集中したい技術‧分野 - デジタルアイデンティティ - ⾃動的なベースライン構築‧運⽤ - AIエージェント -

    データ基盤 - リスクベースの実践的評価と継続的な改善 - レッドチーム演習やChaos Engineeringなどを組み合わせた包括的なテストを定期的に実施し、サービス 信頼性‧セキュリティ対策‧運⽤体制を検証する。 - その結果をフィードバックし、運⽤⾃動化やガバナンス強化につなげることで、組織横断的に継続的改善 の⽂化を根付かせる。 - SREの可⽤性リスク、DevOpsの変更リスク、コーポレートITの運⽤リスク、セキュリティリスクなど、多 ⾯的にリスクを評価。 - 定性‧定量両⾯の指標を⽤い、優先度の⾼い領域から技術的‧管理的対策を導⼊するサイクルを確⽴ 14 コーポレートエンジニア、CTO、SRE、派遣ヘルプデスク バックグラウンドが持つスキルではない

15. 公開 15 https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf

16. 公開 イントロ 規定等及び業務プロセスの整備 • 情報資産管理 • リスク評価 • 脆弱性管理 •

    脆弱性診断及びペネトレーションテスト • 演習‧訓練 • 認証‧アクセス管理 • 教育‧研修 • データ管理 16 「⾦融商品取引業者等向けの総合的な監督指針」を含む全監督指針が、そのサイバーセキュリティ管 理について「⾦融分野におけるサイバーセキュリティに関するガイドライン」を基底とするようにな り、以下の態勢を要求している • ログ管理 • セキュリティ‧バイ‧デザイン • 技術的対策 • インシデント対応及び復旧 • サードパーティリスク管理 リスクベースで机上の空論ではあかん できれば実際に試して、対策後も確認したい。 ＝外部研修が必要

17. 公開 02 学習要綱 17

18. 公開 - CISSP / CISM /CISA？ 悪くないが、セキュリティマネージャーを育てることに研修費⽤をとり たいわけではないのでOJTとはﾁｮｯﾄ違う - Offensive Labs

    / THM / HTB？ とてもいいが、得意としている攻撃環境‧脅威がﾁｮｯﾄ違う - SANS GPEN? ⾼杉   ※BSCP？とても良さそう - 学習要綱 どんな外部研修コースか？ 18

19. 公開 - 当社のクラウン‧ジュエルには、2~3hopで到達 できる（気がする） - フルクラウド環境では、アタックサーフェース （ノード）とShortest Pathなエッジを潰すのが リスクベースな対応だと考えている -

    その起点は⼤体、misconfigになるはずであり、 そのためEnumとmisconfigを突く典型的な脅威 に集中すべきと考えている 学習要綱 我々が想定したいリスクベースの脅威 19 我々がまずGetしたいオフェンシブな領域と 価格の両⽴したOFF JTな研修を探している

20. 公開 03 Pwned Labsはいいぞ 20

21. 公開 21

22. 公開 - BootCamp - AWS、Azure、GCP（Coming Soon）といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境

    - Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおｋ - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 概要 22

23. 公開 - CNCFでいうところのクラウドネイティブな開発に関連したコンテンツがあって良い - 例: 「Uncover Secrets in CodeCommit and

    Docker」 - 例: 「Abuse OpenID Connect and GitLab for AWS Access」 - 例: 「Exploit Kubernetes Overly Permissive RBAC」 - あまりでてこないバッチ‧サーバーレス開発も考えられていて良い - 例: 「SQS and Lambda SQL Injection」 - 例: 「Abuse S3 Replication and Batch Ops to Exfiltrate Data」 - SSRFがIMDSv2ベースなのがよい - 総じて、しっかり最新の脅威や、近年のモダン開発フローを念頭にしているのが良い PWNEDLABS コンテンツ - Good 23

24. 公開 - クラシックなCTFとは頭の使い⽅が違った - クラシックな⽅: 「ジャンルに特化した考え⽅」「Exploitの作り⽅⼤事」「脳みそ焼き切る」 - こっち: 「開発者がどこで⼿を抜くか」「どれぐらいIaaSのAPIを知っているか」「ベスプラはなにか」 -

    個⼈的に⼀番⼿間取ったのは、提供されるエントリーポイント（IPアドレス）からどうAWS環境 に侵⼊するか。 ※ある程度AWSに慣れているからそう感じるのかも? - 当社のリスクベース的には別のスキルセット（Web系Pen）でカバーする必要がありそう ※Burp Suite Certified Practitioner? PWNEDLABS コンテンツ - その他 24

25. 公開 - BootCamp - AWS、Azure、GCP（Coming Soon）といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境

    - Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおｋ - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 価格は？ 25

26. 公開 - BootCamp - AWS、Azure、GCP（Coming Soon）といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境

    - Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおｋ - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 価格は？ 26

27. 公開 - BootCamp - AWS、Azure、GCP（Coming Soon）といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境

    - Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおｋ - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 価格は？ 27 コンテンツと値段のバランスが良いと感じた。 オススメ

28. 公開 28

29. 公開 イントロ 規定等及び業務プロセスの整備 • 情報資産管理 • リスク評価 • 脆弱性管理 •

    脆弱性診断及びペネトレーションテスト • 演習‧訓練 • 認証‧アクセス管理 • 教育‧研修 • データ管理 29 「⾦融商品取引業者等向けの総合的な監督指針」を含む全監督指針が、そのサイバーセキュリティ管 理について「⾦融分野におけるサイバーセキュリティに関するガイドライン」を基底とするようにな り、以下の態勢を要求している • ログ管理 • セキュリティ‧バイ‧デザイン • 技術的対策 • インシデント対応及び復旧 • サードパーティリスク管理 リスクベースで机上の空論ではあかん できれば実際に試して、対策後も確認したい。 ＝外部研修が必要

30. 公開

31. 公開 31 ken5が受けたかっただけ! やりたい駆動！ ついでに業務に活⽤しただけ ※⾃費で受けて、クオリティ確認して予算つくるタイプのモンスター

32. 公開 - ISACA系（CISM, CISA） - ISC2 ( CCSP?, CISSP?) -

    PwnedLab（ACRPT、MCRTP） - Burp Suite Certified Practitioner - Endpoint系（OSMR？OSED?） - 等 今後の当社 こういう研修の予算を確保していきます 32

33. 公開 - 2年後を⾒据え、Red的業務をするための枠を拡充していきたいと考えています - AIだけでなく、Humanもめっちゃ必要なので、是⾮、⾯談含めご検討いただけますと幸いです - We are Hiring -

    X / YouTrust: @ken5scal - OpenDoor: https://jobs.layerx.co.jp/bb8263e946964a4b9bfac9f4e67cf353 今後の当社 研修予算は取れるが、「今」はRed難しい 33

34. 公開 おまけ 無料でできるオススメチャレンジ 34 あとは、インフラコストかかるけど AWS Goat, Cloud Goat

35. コーポレートサイト https://corp.mitsui-x.com/ サービスサイト（ALTERNA） https://alterna-z.com/ 公開