たったこれだけ!? 大規模な情報漏洩に至ったパブリッククラウドの設定ミスとセキュリティデザインのポイント

Transcript

1. © Kazuhiko Tsuji たったこれだけ!? ⼤規模な情報漏洩に⾄ったパブリッククラウドの設定ミスとセキュリティデザインのポイント 辻 紀彦 / Kazuhiko Tsuji

2. © Kazuhiko Tsuji ⾃⼰紹介 1 ⽒名 辻 紀彦 / ツジ

   カズヒコ 出⾝地 福岡県 所属 株式会社マクニカ ネットワークス カンパニー 業務内容 • クラウドセキュリティリサーチ • パブリッククラウド、クラウドネイティブテクノロジーを活⽤した顧客対応 • ツール選定 • アーキテクチャデザイン • セキュリティデザイン 保有資格

3. © Kazuhiko Tsuji Cloud & Security Table of Contents 2

   パブリッククラウドとセキュリティ セキュリティインシデント実演 セキュリティデザインのポイント 01 02 03

4. © Kazuhiko Tsuji 本セッションの概要 • 対象者 • パブリッククラウドサービスのセキュリティ運⽤の初級者 • セキュリティ実装に興味を持ち始めた⽅

   • 現在のセキュリティ運⽤に⾃信が持てない⽅ • ⽬的 • クラウド利⽤者/クラウド技術者として • パブリッククラウドクラウドサービスのセキュリティリスクを理解する • セキュリティリスクを軽減するために有効な運⽤⼿法を理解する • 留意事項 • 本セッションはサイバー攻撃とその攻撃者を肯定、後援する意図を含みません • 本資料に登場するサービス事業者やセキュリティインシデントの当該企業を批評、批判する意図はありません • 本セッションに含まれる全てのコンテンツは発表者個⼈の⾒解に基づくものであり、所属する企業や組織の⽴場、戦略、意⾒を代表する ものではありません 3

5. © Kazuhiko Tsuji 4 パブリッククラウドとセキュリティ

6. © Kazuhiko Tsuji パブリッククラウドのセキュリティトレンド 5 特別なツールやマルウェアを使⽤せず、正規に実⾏可能な操作を応⽤した攻撃 ビジネスユースケースで最も回避したい • ⼀時的なビジネスインパクト 膨⼤な額の損害賠償

   • 中⻑期的なビジネスインパクト 企業イメージの失墜 侵害箇所の全貌把握が困難 ⽔平展開を⽬的とした攻撃により広範囲に被害が及ぶ 特にIaaS, SaaSの脆弱性と設定ミスを狙った攻撃が急増 機密情報の搾取 リソースの乗っ取り パブリッククラウドサービスを標的とした攻撃の観測件数が増加 サービス停⽌を⽬的とした攻撃は少ない

7. © Kazuhiko Tsuji IaaSで発⽣した機密情報漏洩インシデント 6 社会保障番号 IaaSの設定ミスを利⽤した不正アクセス ⾦融機関として過去最⼤規模の情報漏洩 その他、⾮公開の個⼈情報 和解⾦

   1億9000万ドル - 約210億円 ⽶国⾦融王⼿A社 銀⾏⼝座番号 約1億600万⼈分の個⼈情報が被害対象 被害者による集団訴訟に発展

8. © Kazuhiko Tsuji 7 セキュリティインシデント実演

9. © Kazuhiko Tsuji 攻撃シーケンス 8 正規のユーザー AWS Cloud Virtual Private

   Cloud (VPC) Amazon EC2 Web Application Amazon EC2 Web Proxy Amazon S3 Data Bucket Amazon S3 Confidential Confidential 攻撃者 ① Webアプリケーションへアクセス & 偵察 ② Webプロキシへアクセス & クレデンシャルを参照 ⑤ 機密データの搾取 WebアプリケーションのURL: http://ec2-54-249-4-227.ap-northeast-1.compute.amazonaws.com/ ③ クレデンシャルをターミナルへ設定 ④ S3バケットへアクセス & ターゲットの特定

10. © Kazuhiko Tsuji インシデント考察 • 何が起こった? • Web Proxyに設定されているIAM Roleのクレデンシャルが参照された

    • クレデンシャルを盗⽤され、S3バケットへのアクセスを許した • 攻撃者は特別なアタックツールやマルウェアを⼀切使⽤せずに攻撃を成功させた • 何が問題? • Web Proxy • パブリックに公開されている 本来はWeb Applicationからのみアクセス可能であれば良い • インスタンスメタデータへのアクセスに認証を必要としない インスタンスメタデータには機密情報が含まれるため認証機能を実装するべき • IMDS (Instance MetaData Service) • IMDS v1 インスタンスメタデータへアクセスする際にセッショントークンによる認証を求めない • IMDS v2 インスタンスメタデータへアクセスする際にセッショントークンによる認証を求める 9

11. © Kazuhiko Tsuji セキュリティスタンダードの活⽤ 10 クラウドコンピューティング向けに様々なセキュリティスタンダードがパブリックに提供されている § ISO-27017 § NIST

    SP 800-53 § CIS Benchmark § Vender Specific § AWS Foundational Security Best Practices (FSBP) standard § Google Cloud Security Foundations Guide

12. © Kazuhiko Tsuji 11 セキュリティデザインのポイント

13. © Kazuhiko Tsuji 利便性 VS セキュリティリスク パブリッククラウドサービスの利便性とセキュリティリスクはトレードオフの関係にある 12 利便性 セキュリティリスク

    バランスポイントを⾒つけることが重要

14. © Kazuhiko Tsuji バランスポイントの⾒つけ⽅ 13 クラウドサービスを利⽤している意義を忘れない 防御に拘らず予防に重点を置く 100%のセキュリティを求めない 侵害された場合のビジネスインパクト 重要度に応じたセキュリティ実装

    守るべき資産の重要度を把握する クラウドサービスの利便性を犠牲にするほどのセキュリティ実装は避ける セキュリティ強化だけに固執しない セキュリティレベルのベースラインを向上し、リスクを低減する意識 セキュリティ運⽤レベル Low Mid クラウドセキュリティ実装前 High セキュリティリスク ベースライン向上 セキュリティ運⽤レベル Low Mid クラウドセキュリティ実装後 High セキュリティリスク

15. © Kazuhiko Tsuji セキュリティ運⽤の3つの重要タスク 14 ⾒えないものは守れない それぞれの資産の重要度はどの程度か 重要度の把握 定点監視ではなく、継続監視が重要 クラウドリソースは常に変化し続ける意識を持つ

    繰り返し実⾏ 守るべき資産がどこにどれだけ存在しているのか 資産の特定 資産が侵害された場合のインパクトはどの程度か Repeat Priority Inventory

16. © Kazuhiko Tsuji パブリッククラウドの設定監査ソリューション Posture Management 15 VM VM ①

    APIによる環境情報取得 (クラウド資産、設定情報) ① APIによる環境情報取得 (クラウド資産、設定情報) ② 設定値をセキュリティスタンダードに基づいて分析 IaaS, PaaS SaaS クラウド管理者 ③ 設定不備をアラート通知 CSPM ダッシュボード ④ ダッシュボードで詳細を確認 ⑤ 設定値の修正を実⾏ ⑤ 設定値の修正を実⾏ ※環境情報の取得と設定値の分析のみを実施 ※設定値の修正作業はクラウド管理者の責務 SSPM Repeat Priority Inventory ① ② ① ⑤

17. © Kazuhiko Tsuji Posture Managementの運⽤サイクル CSPMの場合 16 クラウドサービスの設定 クラウドサービスからの 環境情報取得

    (クラウド資産、設定情報) 取得した環境情報の 分析/評価 ダッシュボードへの出⼒ アラート発⾏ ステータス改善⽅法の教⽰ 改善⽅法の評価 意思決定 管理者タスク CSPMタスク CSPMの運⽤サイクル

18. © Kazuhiko Tsuji Posture Managementの実装ポイント 17 インシデントが発⽣した場合のビジネスインパクトに掛かるコストを試算 Posture Managementを有効活⽤できる運⽤能⼒を備えているか ⼈⼿を必要とせずにPosture

    Managementは成⽴しない 調達コストと運⽤コスト(学習コスト)を併せたコストを資産 上記2点を⽐較し、費⽤対効果を確認する 費⽤対効果の確認 資産の優先度に応じた適切な意思決定ができる運⽤能⼒が必要 ⾃社の運⽤能⼒の把握

19. © Kazuhiko Tsuji Fin. Thank you! 18