Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
たったこれだけ!? 大規模な情報漏洩に至ったパブリッククラウドの設定ミスとセキュリティ...
Search
Kazuhiko Tsuji
August 03, 2023
Technology
0
19
たったこれだけ!? 大規模な情報漏洩に至ったパブリッククラウドの設定ミスとセキュリティデザインのポイント
CloudNative Days Fukuoka 2023 登壇資料 2023/08/03
https://cloudnativedays.jp/cndf2023/talks/1838
Kazuhiko Tsuji
August 03, 2023
Tweet
Share
More Decks by Kazuhiko Tsuji
See All by Kazuhiko Tsuji
GitOpsで実装するK8sセキュリティ -攻撃者が考えるアタックシナリオとOSSを活用した守り方-
kzhktj_0222
2
1.3k
Other Decks in Technology
See All in Technology
怖くない!ゼロから始めるPHPソースコードコンパイル入門
colopl
0
150
成果を出しながら成長する、アウトプット駆動のキャッチアップ術 / Output-driven catch-up techniques to grow while producing results
aiandrox
0
380
AWS re:Invent 2024で発表された コードを書く開発者向け機能について
maruto
0
210
マルチプロダクト開発の現場でAWS Security Hubを1年以上運用して得た教訓
muziyoshiz
3
2.6k
Fanstaの1年を大解剖! 一人SREはどこまでできるのか!?
syossan27
2
180
サイバー攻撃を想定したセキュリティガイドライン 策定とASM及びCNAPPの活用方法
syoshie
3
1.4k
能動的ドメイン名ライフサイクル管理のすゝめ / Practice on Active Domain Name Lifecycle Management
nttcom
0
190
DevFest 2024 Incheon / Songdo - Compose UI 조합 심화
wisemuji
0
140
小学3年生夏休みの自由研究「夏休みに Copilot で遊んでみた」
taichinakamura
0
180
Opcodeを読んでいたら何故かphp-srcを読んでいた話
murashotaro
0
310
ゼロから創る横断SREチーム 挑戦と進化の軌跡
rvirus0817
2
280
PHP ユーザのための OpenTelemetry 入門 / phpcon2024-opentelemetry
shin1x1
3
1.4k
Featured
See All Featured
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
17
2.3k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Done Done
chrislema
182
16k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
The World Runs on Bad Software
bkeepers
PRO
66
11k
Agile that works and the tools we love
rasmusluckow
328
21k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
170
Gamification - CAS2011
davidbonilla
80
5.1k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Transcript
© Kazuhiko Tsuji たったこれだけ!? ⼤規模な情報漏洩に⾄ったパブリッククラウドの設定ミスとセキュリティデザインのポイント 辻 紀彦 / Kazuhiko Tsuji
© Kazuhiko Tsuji ⾃⼰紹介 1 ⽒名 辻 紀彦 / ツジ
カズヒコ 出⾝地 福岡県 所属 株式会社マクニカ ネットワークス カンパニー 業務内容 • クラウドセキュリティリサーチ • パブリッククラウド、クラウドネイティブテクノロジーを活⽤した顧客対応 • ツール選定 • アーキテクチャデザイン • セキュリティデザイン 保有資格
© Kazuhiko Tsuji Cloud & Security Table of Contents 2
パブリッククラウドとセキュリティ セキュリティインシデント実演 セキュリティデザインのポイント 01 02 03
© Kazuhiko Tsuji 本セッションの概要 • 対象者 • パブリッククラウドサービスのセキュリティ運⽤の初級者 • セキュリティ実装に興味を持ち始めた⽅
• 現在のセキュリティ運⽤に⾃信が持てない⽅ • ⽬的 • クラウド利⽤者/クラウド技術者として • パブリッククラウドクラウドサービスのセキュリティリスクを理解する • セキュリティリスクを軽減するために有効な運⽤⼿法を理解する • 留意事項 • 本セッションはサイバー攻撃とその攻撃者を肯定、後援する意図を含みません • 本資料に登場するサービス事業者やセキュリティインシデントの当該企業を批評、批判する意図はありません • 本セッションに含まれる全てのコンテンツは発表者個⼈の⾒解に基づくものであり、所属する企業や組織の⽴場、戦略、意⾒を代表する ものではありません 3
© Kazuhiko Tsuji 4 パブリッククラウドとセキュリティ
© Kazuhiko Tsuji パブリッククラウドのセキュリティトレンド 5 特別なツールやマルウェアを使⽤せず、正規に実⾏可能な操作を応⽤した攻撃 ビジネスユースケースで最も回避したい • ⼀時的なビジネスインパクト 膨⼤な額の損害賠償
• 中⻑期的なビジネスインパクト 企業イメージの失墜 侵害箇所の全貌把握が困難 ⽔平展開を⽬的とした攻撃により広範囲に被害が及ぶ 特にIaaS, SaaSの脆弱性と設定ミスを狙った攻撃が急増 機密情報の搾取 リソースの乗っ取り パブリッククラウドサービスを標的とした攻撃の観測件数が増加 サービス停⽌を⽬的とした攻撃は少ない
© Kazuhiko Tsuji IaaSで発⽣した機密情報漏洩インシデント 6 社会保障番号 IaaSの設定ミスを利⽤した不正アクセス ⾦融機関として過去最⼤規模の情報漏洩 その他、⾮公開の個⼈情報 和解⾦
1億9000万ドル - 約210億円 ⽶国⾦融王⼿A社 銀⾏⼝座番号 約1億600万⼈分の個⼈情報が被害対象 被害者による集団訴訟に発展
© Kazuhiko Tsuji 7 セキュリティインシデント実演
© Kazuhiko Tsuji 攻撃シーケンス 8 正規のユーザー AWS Cloud Virtual Private
Cloud (VPC) Amazon EC2 Web Application Amazon EC2 Web Proxy Amazon S3 Data Bucket Amazon S3 Confidential Confidential 攻撃者 ① Webアプリケーションへアクセス & 偵察 ② Webプロキシへアクセス & クレデンシャルを参照 ⑤ 機密データの搾取 WebアプリケーションのURL: http://ec2-54-249-4-227.ap-northeast-1.compute.amazonaws.com/ ③ クレデンシャルをターミナルへ設定 ④ S3バケットへアクセス & ターゲットの特定
© Kazuhiko Tsuji インシデント考察 • 何が起こった? • Web Proxyに設定されているIAM Roleのクレデンシャルが参照された
• クレデンシャルを盗⽤され、S3バケットへのアクセスを許した • 攻撃者は特別なアタックツールやマルウェアを⼀切使⽤せずに攻撃を成功させた • 何が問題? • Web Proxy • パブリックに公開されている 本来はWeb Applicationからのみアクセス可能であれば良い • インスタンスメタデータへのアクセスに認証を必要としない インスタンスメタデータには機密情報が含まれるため認証機能を実装するべき • IMDS (Instance MetaData Service) • IMDS v1 インスタンスメタデータへアクセスする際にセッショントークンによる認証を求めない • IMDS v2 インスタンスメタデータへアクセスする際にセッショントークンによる認証を求める 9
© Kazuhiko Tsuji セキュリティスタンダードの活⽤ 10 クラウドコンピューティング向けに様々なセキュリティスタンダードがパブリックに提供されている § ISO-27017 § NIST
SP 800-53 § CIS Benchmark § Vender Specific § AWS Foundational Security Best Practices (FSBP) standard § Google Cloud Security Foundations Guide
© Kazuhiko Tsuji 11 セキュリティデザインのポイント
© Kazuhiko Tsuji 利便性 VS セキュリティリスク パブリッククラウドサービスの利便性とセキュリティリスクはトレードオフの関係にある 12 利便性 セキュリティリスク
バランスポイントを⾒つけることが重要
© Kazuhiko Tsuji バランスポイントの⾒つけ⽅ 13 クラウドサービスを利⽤している意義を忘れない 防御に拘らず予防に重点を置く 100%のセキュリティを求めない 侵害された場合のビジネスインパクト 重要度に応じたセキュリティ実装
守るべき資産の重要度を把握する クラウドサービスの利便性を犠牲にするほどのセキュリティ実装は避ける セキュリティ強化だけに固執しない セキュリティレベルのベースラインを向上し、リスクを低減する意識 セキュリティ運⽤レベル Low Mid クラウドセキュリティ実装前 High セキュリティリスク ベースライン向上 セキュリティ運⽤レベル Low Mid クラウドセキュリティ実装後 High セキュリティリスク
© Kazuhiko Tsuji セキュリティ運⽤の3つの重要タスク 14 ⾒えないものは守れない それぞれの資産の重要度はどの程度か 重要度の把握 定点監視ではなく、継続監視が重要 クラウドリソースは常に変化し続ける意識を持つ
繰り返し実⾏ 守るべき資産がどこにどれだけ存在しているのか 資産の特定 資産が侵害された場合のインパクトはどの程度か Repeat Priority Inventory
© Kazuhiko Tsuji パブリッククラウドの設定監査ソリューション Posture Management 15 VM VM ①
APIによる環境情報取得 (クラウド資産、設定情報) ① APIによる環境情報取得 (クラウド資産、設定情報) ② 設定値をセキュリティスタンダードに基づいて分析 IaaS, PaaS SaaS クラウド管理者 ③ 設定不備をアラート通知 CSPM ダッシュボード ④ ダッシュボードで詳細を確認 ⑤ 設定値の修正を実⾏ ⑤ 設定値の修正を実⾏ ※環境情報の取得と設定値の分析のみを実施 ※設定値の修正作業はクラウド管理者の責務 SSPM Repeat Priority Inventory ① ② ① ⑤
© Kazuhiko Tsuji Posture Managementの運⽤サイクル CSPMの場合 16 クラウドサービスの設定 クラウドサービスからの 環境情報取得
(クラウド資産、設定情報) 取得した環境情報の 分析/評価 ダッシュボードへの出⼒ アラート発⾏ ステータス改善⽅法の教⽰ 改善⽅法の評価 意思決定 管理者タスク CSPMタスク CSPMの運⽤サイクル
© Kazuhiko Tsuji Posture Managementの実装ポイント 17 インシデントが発⽣した場合のビジネスインパクトに掛かるコストを試算 Posture Managementを有効活⽤できる運⽤能⼒を備えているか ⼈⼿を必要とせずにPosture
Managementは成⽴しない 調達コストと運⽤コスト(学習コスト)を併せたコストを資産 上記2点を⽐較し、費⽤対効果を確認する 費⽤対効果の確認 資産の優先度に応じた適切な意思決定ができる運⽤能⼒が必要 ⾃社の運⽤能⼒の把握
© Kazuhiko Tsuji Fin. Thank you! 18