Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
たったこれだけ!? 大規模な情報漏洩に至ったパブリッククラウドの設定ミスとセキュリティ...
Search
Kazuhiko Tsuji
August 03, 2023
Technology
0
28
たったこれだけ!? 大規模な情報漏洩に至ったパブリッククラウドの設定ミスとセキュリティデザインのポイント
CloudNative Days Fukuoka 2023 登壇資料 2023/08/03
https://cloudnativedays.jp/cndf2023/talks/1838
Kazuhiko Tsuji
August 03, 2023
Tweet
Share
More Decks by Kazuhiko Tsuji
See All by Kazuhiko Tsuji
GitOpsで実装するK8sセキュリティ -攻撃者が考えるアタックシナリオとOSSを活用した守り方-
kzhktj_0222
2
1.6k
Other Decks in Technology
See All in Technology
Why Governance Matters: The Key to Reducing Risk Without Slowing Down
sarahjwells
0
110
生成AIを活用したZennの取り組み事例
ryosukeigarashi
0
200
AI駆動開発を推進するためにサービス開発チームで 取り組んでいること
noayaoshiro
0
180
20250929_QaaS_vol20
mura_shin
0
110
about #74462 go/token#FileSet
tomtwinkle
1
330
[2025-09-30] Databricks Genie を利用した分析基盤とデータモデリングの IVRy の現在地
wxyzzz
0
470
BirdCLEF+2025 Noir 5位解法紹介
myso
0
200
How to achieve interoperable digital identity across Asian countries
fujie
0
120
E2Eテスト設計_自動化のリアル___Playwrightでの実践とMCPの試み__AIによるテスト観点作成_.pdf
findy_eventslides
1
300
社内お問い合わせBotの仕組みと学び
nish01
0
370
Azure Well-Architected Framework入門
tomokusaba
1
310
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
11
77k
Featured
See All Featured
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
9
580
What's in a price? How to price your products and services
michaelherold
246
12k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
114
20k
Balancing Empowerment & Direction
lara
4
680
Visualization
eitanlees
148
16k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.5k
Gamification - CAS2011
davidbonilla
81
5.5k
Reflections from 52 weeks, 52 projects
jeffersonlam
352
21k
Java REST API Framework Comparison - PWX 2021
mraible
33
8.8k
Six Lessons from altMBA
skipperchong
28
4k
Transcript
© Kazuhiko Tsuji たったこれだけ!? ⼤規模な情報漏洩に⾄ったパブリッククラウドの設定ミスとセキュリティデザインのポイント 辻 紀彦 / Kazuhiko Tsuji
© Kazuhiko Tsuji ⾃⼰紹介 1 ⽒名 辻 紀彦 / ツジ
カズヒコ 出⾝地 福岡県 所属 株式会社マクニカ ネットワークス カンパニー 業務内容 • クラウドセキュリティリサーチ • パブリッククラウド、クラウドネイティブテクノロジーを活⽤した顧客対応 • ツール選定 • アーキテクチャデザイン • セキュリティデザイン 保有資格
© Kazuhiko Tsuji Cloud & Security Table of Contents 2
パブリッククラウドとセキュリティ セキュリティインシデント実演 セキュリティデザインのポイント 01 02 03
© Kazuhiko Tsuji 本セッションの概要 • 対象者 • パブリッククラウドサービスのセキュリティ運⽤の初級者 • セキュリティ実装に興味を持ち始めた⽅
• 現在のセキュリティ運⽤に⾃信が持てない⽅ • ⽬的 • クラウド利⽤者/クラウド技術者として • パブリッククラウドクラウドサービスのセキュリティリスクを理解する • セキュリティリスクを軽減するために有効な運⽤⼿法を理解する • 留意事項 • 本セッションはサイバー攻撃とその攻撃者を肯定、後援する意図を含みません • 本資料に登場するサービス事業者やセキュリティインシデントの当該企業を批評、批判する意図はありません • 本セッションに含まれる全てのコンテンツは発表者個⼈の⾒解に基づくものであり、所属する企業や組織の⽴場、戦略、意⾒を代表する ものではありません 3
© Kazuhiko Tsuji 4 パブリッククラウドとセキュリティ
© Kazuhiko Tsuji パブリッククラウドのセキュリティトレンド 5 特別なツールやマルウェアを使⽤せず、正規に実⾏可能な操作を応⽤した攻撃 ビジネスユースケースで最も回避したい • ⼀時的なビジネスインパクト 膨⼤な額の損害賠償
• 中⻑期的なビジネスインパクト 企業イメージの失墜 侵害箇所の全貌把握が困難 ⽔平展開を⽬的とした攻撃により広範囲に被害が及ぶ 特にIaaS, SaaSの脆弱性と設定ミスを狙った攻撃が急増 機密情報の搾取 リソースの乗っ取り パブリッククラウドサービスを標的とした攻撃の観測件数が増加 サービス停⽌を⽬的とした攻撃は少ない
© Kazuhiko Tsuji IaaSで発⽣した機密情報漏洩インシデント 6 社会保障番号 IaaSの設定ミスを利⽤した不正アクセス ⾦融機関として過去最⼤規模の情報漏洩 その他、⾮公開の個⼈情報 和解⾦
1億9000万ドル - 約210億円 ⽶国⾦融王⼿A社 銀⾏⼝座番号 約1億600万⼈分の個⼈情報が被害対象 被害者による集団訴訟に発展
© Kazuhiko Tsuji 7 セキュリティインシデント実演
© Kazuhiko Tsuji 攻撃シーケンス 8 正規のユーザー AWS Cloud Virtual Private
Cloud (VPC) Amazon EC2 Web Application Amazon EC2 Web Proxy Amazon S3 Data Bucket Amazon S3 Confidential Confidential 攻撃者 ① Webアプリケーションへアクセス & 偵察 ② Webプロキシへアクセス & クレデンシャルを参照 ⑤ 機密データの搾取 WebアプリケーションのURL: http://ec2-54-249-4-227.ap-northeast-1.compute.amazonaws.com/ ③ クレデンシャルをターミナルへ設定 ④ S3バケットへアクセス & ターゲットの特定
© Kazuhiko Tsuji インシデント考察 • 何が起こった? • Web Proxyに設定されているIAM Roleのクレデンシャルが参照された
• クレデンシャルを盗⽤され、S3バケットへのアクセスを許した • 攻撃者は特別なアタックツールやマルウェアを⼀切使⽤せずに攻撃を成功させた • 何が問題? • Web Proxy • パブリックに公開されている 本来はWeb Applicationからのみアクセス可能であれば良い • インスタンスメタデータへのアクセスに認証を必要としない インスタンスメタデータには機密情報が含まれるため認証機能を実装するべき • IMDS (Instance MetaData Service) • IMDS v1 インスタンスメタデータへアクセスする際にセッショントークンによる認証を求めない • IMDS v2 インスタンスメタデータへアクセスする際にセッショントークンによる認証を求める 9
© Kazuhiko Tsuji セキュリティスタンダードの活⽤ 10 クラウドコンピューティング向けに様々なセキュリティスタンダードがパブリックに提供されている § ISO-27017 § NIST
SP 800-53 § CIS Benchmark § Vender Specific § AWS Foundational Security Best Practices (FSBP) standard § Google Cloud Security Foundations Guide
© Kazuhiko Tsuji 11 セキュリティデザインのポイント
© Kazuhiko Tsuji 利便性 VS セキュリティリスク パブリッククラウドサービスの利便性とセキュリティリスクはトレードオフの関係にある 12 利便性 セキュリティリスク
バランスポイントを⾒つけることが重要
© Kazuhiko Tsuji バランスポイントの⾒つけ⽅ 13 クラウドサービスを利⽤している意義を忘れない 防御に拘らず予防に重点を置く 100%のセキュリティを求めない 侵害された場合のビジネスインパクト 重要度に応じたセキュリティ実装
守るべき資産の重要度を把握する クラウドサービスの利便性を犠牲にするほどのセキュリティ実装は避ける セキュリティ強化だけに固執しない セキュリティレベルのベースラインを向上し、リスクを低減する意識 セキュリティ運⽤レベル Low Mid クラウドセキュリティ実装前 High セキュリティリスク ベースライン向上 セキュリティ運⽤レベル Low Mid クラウドセキュリティ実装後 High セキュリティリスク
© Kazuhiko Tsuji セキュリティ運⽤の3つの重要タスク 14 ⾒えないものは守れない それぞれの資産の重要度はどの程度か 重要度の把握 定点監視ではなく、継続監視が重要 クラウドリソースは常に変化し続ける意識を持つ
繰り返し実⾏ 守るべき資産がどこにどれだけ存在しているのか 資産の特定 資産が侵害された場合のインパクトはどの程度か Repeat Priority Inventory
© Kazuhiko Tsuji パブリッククラウドの設定監査ソリューション Posture Management 15 VM VM ①
APIによる環境情報取得 (クラウド資産、設定情報) ① APIによる環境情報取得 (クラウド資産、設定情報) ② 設定値をセキュリティスタンダードに基づいて分析 IaaS, PaaS SaaS クラウド管理者 ③ 設定不備をアラート通知 CSPM ダッシュボード ④ ダッシュボードで詳細を確認 ⑤ 設定値の修正を実⾏ ⑤ 設定値の修正を実⾏ ※環境情報の取得と設定値の分析のみを実施 ※設定値の修正作業はクラウド管理者の責務 SSPM Repeat Priority Inventory ① ② ① ⑤
© Kazuhiko Tsuji Posture Managementの運⽤サイクル CSPMの場合 16 クラウドサービスの設定 クラウドサービスからの 環境情報取得
(クラウド資産、設定情報) 取得した環境情報の 分析/評価 ダッシュボードへの出⼒ アラート発⾏ ステータス改善⽅法の教⽰ 改善⽅法の評価 意思決定 管理者タスク CSPMタスク CSPMの運⽤サイクル
© Kazuhiko Tsuji Posture Managementの実装ポイント 17 インシデントが発⽣した場合のビジネスインパクトに掛かるコストを試算 Posture Managementを有効活⽤できる運⽤能⼒を備えているか ⼈⼿を必要とせずにPosture
Managementは成⽴しない 調達コストと運⽤コスト(学習コスト)を併せたコストを資産 上記2点を⽐較し、費⽤対効果を確認する 費⽤対効果の確認 資産の優先度に応じた適切な意思決定ができる運⽤能⼒が必要 ⾃社の運⽤能⼒の把握
© Kazuhiko Tsuji Fin. Thank you! 18