脅威モデリングで組織を動かす︕ クラウドセキュリティ強化を実現するための 実践⽅法 株式会社サイバーセキュリティクラウド

プロフィール 渡辺 洋司 ⾃⼰紹介 1 株式会社サイバーセキュリティクラウド 代表取締役CTO 1975年⽣まれ。明治⼤学理⼯学部情報科学科を卒業。 ⼤⼿IT企業の研究開発のコンサルティングを⼿掛ける企業 において、クラウドシステム、リアルタイム分散処理・異 常検知の研究開発に携わる。 2016年 株式会社サイバーセキュリティクラウドに⼊社後、 CTOや取締役を歴任。2021年 代表取締役 CTOに就任。 © Cyber Security Cloud, Inc.

会社紹介 世界中の⼈々が安⼼安全に使える サイバー空間を創造する 世界有数のサイバー脅威インテリジェンスとAI技術を活⽤し、 全世界に安⼼安全なサイバー空間を創造するサービスを提供します。 サイバー セキュリティ AI 会社紹介 © Cyber Security Cloud, Inc. 2

サイバーセキュリティクラウドの提供サービス ⾃社開発・⾃社サポートで全世界に提供しています。 ※1デロイト トーマツ ミック経済研究所調べ 調査概要︓外部脅威対策ソリューション市場の現状と将来展望 2023年度 ※2 ⽇本マーケティングリサーチ機構調べ 調査概要︓2020年7⽉期_実績調査 ※3 2022年10⽉時点 ※4 ⽇本マーケティングリサーチ機構調べ 調査概要︓2021年8⽉期_実績調査 AWS WAF Managed Rules 外部からのサイバー攻撃を検知・遮断し、 情報漏えいやサービス停⽌などから Webサーバ・Webサイトを守る クラウド型Webセキュリティサービス パブリッククラウドで提供されている WAFを「ビッグデータ」の活⽤で ⾃動運⽤することが可能なサービス AWS Marketplaceから購⼊可能な 世界90ヶ国以上へ提供する AWS WAF専⽤のルールセット OS・アプリケーション・ネットワーク 製品の脆弱性情報を⾃動で収集・蓄積し 脆弱性対応の運⽤を効率化するツール AWSのセキュリティリスクの可視化、 OS・ソフトウェアの脆弱性や設定ミス、 クラウド環境の脅威を収集・分析し、 包括的に管理し運⽤するサービス 脆弱性診断サービス 診断ツールを使った⾃動診断と、 専⾨家による⼿動診断の 両⽅を合わせたハイブリッドで ⾼品質な脆弱性診断サービス ※1 クラウド型WAF WAF⾃動運⽤サービス AWS WAFルールセット 脆弱性情報収集・管理ツール AWS環境フルマネージドセキュリティサービス 脆弱性確認・検証 No.1 国内シェア ※2 AWS WAF ⾃動運⽤サービス 導⼊ユーザー数 国内 No.1 No.1 ※3 導⼊ユーザー数 90カ国以上 3,000 ユーザー以上 デジタル庁 案件受注 ※4 脆弱性情報配信 サービスシェア など3部⾨ 累計診断実績 約 2,000 システム © Cyber Security Cloud, Inc. 3

本⽇のテーマとおすすめの対象者 4 l クラウドセキュリティの重要性とセキュリティ向上の⽅法を提供します l 脅威モデリングについて抽象度の⾼いモデリングと具体的なモデリング⼿法について説明します l 脅威モデリングを組織全体で実施することの価値を理解します © Cyber Security Cloud, Inc. l 脅威モデリングの基礎知識を得たい⽅ l セキュリティ知識と意識を向上させ、社内の取り組みをスムーズに進めたいセキュリティ担当者 l システム開発の現場でセキュリティ対策の最初の⼀歩を取り組んでみたいエンジニア l セキュリティ課題が漠然とある（もしくは全くない）経営者 テーマ 対象者

クラウドセキュリティの重要性とは © Cyber Security Cloud, Inc. 5

クラウド利⽤状況 © Cyber Security Cloud, Inc. 6 引⽤︓MM総研 https://www.m2ri.jp/release/detail.html?id=549 PaaS/IaaS利⽤者の利⽤率 13.7% 26.3% 40.3% 26.2% 44.0% 54.7% Google Cloud Azure AWS IaaS利⽤者 2022年6⽉調査（n=382) 2021年6⽉調査(n=437) 15.90% 30.60% 37.40% 28.80% 48.20% 60.0% Google Cloud Azure AWS PaaS利⽤者 2022年6⽉調査（n=417) 2021年6⽉調査(n=471) サービスA サービスB サービスB サービスA AWS

クラウドにおけるセキュリティインシデント © Cyber Security Cloud, Inc. 7 MFA 未設定による AWS アカウントへの不正ログイン 公開状態の S3 バケットからの情報漏洩

クラウドのセキュリティは誰が対策する︖ © Cyber Security Cloud, Inc. クラウドは、誰でも簡単に導⼊でき、⼤⼿企業が提供している場合が多いため外部からの攻撃対策に ついてはすべてサービス提供者が対応してくれると誤解されているケースが多くあります。 しかし、クラウドを利⽤する場合はサービス利⽤者がセキュリティ対策を⾏わないといけない範囲が存在 します。ユーザー側がクラウド利⽤時の責任範囲を正しく把握できていないと、⼤きなインシデントに つながる可能性が⾼くなってしまいます。 8

AWSの責任共有モデル © Cyber Security Cloud, Inc. 9 この責任範囲は、パブリッククラウドサービスごとに明記されているため、導⼊する際にしっかりと確認することが重要︕ AWSでWebサービスやWebサイトを構築し ている場合、データやアプリケーションに 関しては利⽤者の責任範囲となっており、 セキュリティ対策を⾃社で実施する必要があ ります。 引⽤︓AWS 責任共有モデル︓https://aws.amazon.com/jp/compliance/shared-responsibility-model/ 例として、アマゾン ウェブ サービス (AWS)では、AWSとサービス利⽤者のそれぞれが運⽤管理の責任を負う 範囲とする「責任共有モデル」が定義されています。 データやアプリケーションの管理・セキュリティ対策はサービス利⽤者の責任範囲となります。

２つのクラウドセキュリティ︓Security of / in the Cloud 10 Security of the Cloud AWS の責任「クラウドのセキュリティ」 ― AWS は、AWS クラウドで提供されるすべてのサービスを実⾏するインフラストラクチャ の保護について責任を負います。このインフラストラクチャは、AWS クラウドサービスを実⾏するハードウェア、ソフトウェア、ネッ トワーク、および施設で構成されています。 Security in the Cloud お客様の責任「クラウド内のセキュリティ」 ― お客様の責任は、お客様が選択した AWS クラウドサービスに応じて異なります。これ により、お客様がセキュリティの責任の⼀部として実⾏する必要がある設定作業の量が決まります。例えば、Amazon Elastic Compute Cloud (Amazon EC2) などのサービスは、Infrastructure as a Service (IaaS) に分類されるため、お客様は必要なセキュリティ設定と 管理タスクをすべて実⾏する必要があります。 © Cyber Security Cloud, Inc.

セキュリティ対策を⾏う上でのアプローチ l Well Architected Framework の活⽤ l セキュリティフレームワークの活⽤ ü CIS Control ü NIST CSF ü AWS Security Maturity Model l クラウドセキュリティプロバイダのセキュリティ機能の有効化 l 脅威モデリング 11 © Cyber Security Cloud, Inc.

脅威モデリングとは 脅威モデリングは、システムの表現を分析して、セキュリティとプライバシーの特性に関する懸念に フォーカスします。 脅威モデリングは理解関係者の様々な観点で早期かつ頻繁に実施することが重要とされています。 12 © Cyber Security Cloud, Inc.

脅威モデリングとは 引⽤︓Shostack, Adam. Threat Modeling: Designing For Security. John Wiley & Sons, 2014. 13 © Cyber Security Cloud, Inc.

脅威モデリングとは（Shostack の４つの質問） Good Pattern / Anti Pattern を意識する中で、最上位の視点を常に意識 引⽤︓Shostack, Adam. Threat Modeling: Designing For Security. John Wiley & Sons, 2014. 私たちは何に取り組んでいるのか︖ What are we working on? システムまたはアプリケーションをコンポーネント パーツに分 解し、個別に、部分的に、または全体として脅威モデル化しま す。脅威モデルの境界が明確に定義されていることを確認する ために、範囲を定義する必要があります。今回実施する中で 「範囲外」として割り当てることは、それが永続的に脅威モデ ル化されないというわけではありません。 何が問題になるのでしょうか︖ What can go wrong? 脅威の評価に重点を置きます。 フレームワークを使⽤して、このシステムまたはアプリケーシ ョンに対する脅威を⽣成または分類できます。STRIDE、TRIKE、 OWASP、MITRE ATT&CK、MITRE CWE、OCTAVE、PASTA などのフレームワークを使⽤して、潜在的な脅威、弱点、また は攻撃⽅法を特定できます。 私たちはそれに対して何ができるでしょ うか︖ What are we going to do about it? 潜在的な弱点や脅威が実現する可能性を軽減または排除するこ とに関する積極的な議論に重点が置かれます。確認するための、 実装コスト、システム分類、またはその両⽅に基づいて優先順 位付けします。優先順位付け⽅法は、社内のポリシーとプロシ ージャーで決定します。 良い仕事ができましたか︖ Did we do a good enough job? このプロセスがどれだけ効果的であったかを評価します。プロ セスの反復と改善に焦点を当てます。アーキテクチャ チームま たはセキュリティ チャンピオンから収集した追加情報を含める 必要があります。 14 © Cyber Security Cloud, Inc.

脅威モデリングとは（Shostack の４つの質問） Good Pattern / Anti Pattern を意識する中で、最上位の視点を常に意識 私たちは何に取り組んでいるのか︖ What are we working on? システムまたはアプリケーションをコンポーネント パーツに分 解し、個別に、部分的に、または全体として脅威モデル化しま す。脅威モデルの境界が明確に定義されていることを確認する ために、範囲を定義する必要があります。今回実施する中で 「範囲外」として割り当てることは、それが永続的に脅威モデ ル化されないというわけではありません。 何が問題になるのでしょうか︖ What can go wrong? 脅威の評価に重点を置きます。 フレームワークを使⽤して、このシステムまたはアプリケーシ ョンに対する脅威を⽣成または分類できます。STRIDE、TRIKE、 OWASP、MITRE ATT&CK、MITRE CWE、OCTAVE、PASTA などのフレームワークを使⽤して、潜在的な脅威、弱点、また は攻撃⽅法を特定できます。 私たちはそれに対して何ができるでしょ うか︖ What are we going to do about it? 潜在的な弱点や脅威が実現する可能性を軽減または排除するこ とに関する積極的な議論に重点が置かれます。確認するための、 実装コスト、システム分類、またはその両⽅に基づいて優先順 位付けします。優先順位付け⽅法は、社内のポリシーとプロシ ージャーで決定します。 良い仕事ができましたか︖ Did we do a good enough job? このプロセスがどれだけ効果的であったかを評価します。プロ セスの反復と改善に焦点を当てます。アーキテクチャ チームま たはセキュリティ チャンピオンから収集した追加情報を含める 必要があります。 脅威の発見 参加者・分析対象の決定 リスク分析 振り返り 15 引⽤︓Shostack, Adam. Threat Modeling: Designing For Security. John Wiley & Sons, 2014. © Cyber Security Cloud, Inc.

組織を動かすのに、なぜ脅威モデリングか︖ 設計の問題を発⾒し修正するカルチャー A culture of finding and fixing design issues over checkbox compliance. ⼈々とコラボレーションをする People and collaboration over process, methodologies, and tools. 理解を深める旅 A journey of understanding over a security or privacy snapshot. 脅威モデリングしよう Doing threat modeling over talking about it. 継続的に改善しよう Continuous refinement over a single delivery. VALUE from THREAT MODELING MANIFESTO https://www.threatmodelingmanifesto.org/ 16 © Cyber Security Cloud, Inc.

多様性のある脅威モデリングのために巻き込みたい組織 経営層 / CXO ビジネス部⾨ 管理部⾨ セキュリティ部⾨ システム部⾨ • 監査対応 • IR 担当 • Red Team • Blue Team • Compliance • Developer • SRE / Infra • Customer Support • Sales • Marketing 17 © Cyber Security Cloud, Inc.

脅威モデリングの参加者ロールとその視点 参加部⾨ ロール 提供する視点 経営者 CEO, CFO CIO/CISO/CTO 事業を継続していく上でのシステムとリスク評価 各部⾨の連携が必要なポイントとその優先度の判断 ビジネス部⾨ 営業 マーケティング 顧客設定の観点での取り扱うデータの重要性 インシデント発⽣時の顧客連携 管理部⾨ IR 監査 企業価値としての会社の⾒え⽅ 組織のガバナンス状況 セキュリティ部⾨ CISO SOC/SIRT Red/Blue Team セキュリティ対策の姿勢の確認 攻撃者、防御者視点での分析 システム部⾨ Developer SRE / Infra CustomerSupport データの具体的な取り扱状況 攻撃があった場合のシステムの影響度合い 顧客視点でのリスク評価 18 © Cyber Security Cloud, Inc.

脅威モデリングのスコープと抽象度、期待される効果 スコープ／抽象度 参加者 成果物の例 期待される効果 事業（抽象度⾼） 経営者 管理部⾨ ビジネス部⾨ セキュリティ部⾨ システム部⾨ 事業で扱うデータ⼀覧 システム概要 利害関係者の利害 システムの脅威が事業に対してどのようなリスク かを明確にすることにより、経営レベルでの意思 決定に寄与する セキュリティ予算を取りやすくなる︕︖ 設計（抽象度中） セキュリティ部⾨ システム部⾨ システム利⽤者 概念レベルアーキテクチャ 機能ベースでのデータ⼊出⼒ データ管理⽅法 概念レベルのアーキテクチャにおいて、機能レベ ルでデータがどのように扱われるかを明確にし、 設計レベルでの脅威の特定とリスク評価を⾏うこ とで、Security by Design を⾏う。 実装（抽象度低） セキュリティ部⾨ システム部⾨ ソースコード テストコード データストアと制御 IaC 等のインフラ設定 CI/CD パイプライン 利⽤するサービスやソフトウェア特性を把握した 上での脅威の特定とリスク評価を⾏うことで、セ キュアコーディングの知識や Shift Left の重要性 を理解する。 19 © Cyber Security Cloud, Inc.

脅威モデリングの成果（物） ü 事業及びシステムの提供価値・重要度の認識 ü 取り扱うデータ（個⼈情報、画像や動画データ、管理者情報） ü システム概念図（シーケンス図、アーキテクチャ図）・業務フロー図 ü データフローダイアグラム ü 脅威の発⾒、リスク分析評価、リスク緩和策の策定、実⾏ 20 © Cyber Security Cloud, Inc. 脅威モデリングしよう Doing threat modeling over talking about it.

事業レベルの脅威モデリング例 21 © Cyber Security Cloud, Inc. CRM Service 利⽤者 システム 部⾨ 管理 部⾨ ビジネス 部⾨

事業レベルの脅威モデリング例 22 © Cyber Security Cloud, Inc. CRM Service 利⽤者 システム 部⾨ 管理 部⾨ ビジネス 部⾨ 問い合せ情報 契約情報 認証情報 個⼈情報 決済情報 問い合せ情報 契約情報 決済情報 個⼈情報 認証情報

事業レベルの脅威モデリング例 23 © Cyber Security Cloud, Inc. CRM Service 利⽤者 システム 部⾨ 管理 部⾨ ビジネス 部⾨ 問い合せ情報 契約情報 認証情報 個⼈情報 決済情報 問い合せ情報 契約情報 決済情報 個⼈情報 認証情報 • なりすまし • 改ざん • サービス停⽌ • 情報窃取 • 内部犯⾏ • 設定ミス • 作業ミス

事業レベルの脅威モデリング例 24 © Cyber Security Cloud, Inc. CRM Service 利⽤者 システム 部⾨ 管理 部⾨ ビジネス 部⾨ 問い合せ情報 契約情報 認証情報 個⼈情報 決済情報 問い合せ情報 契約情報 決済情報 個⼈情報 認証情報 • なりすまし • 改ざん • サービス停⽌ • 情報窃取 • 内部犯⾏ • 設定ミス • 作業ミス • 個⼈情報の流出によるサービス信頼低下 • サービス停⽌による売り上げ減少 • インシデント発⽣による株価下落 • インシデントへの対応

事業レベルの脅威モデリングの効果 25 © Cyber Security Cloud, Inc. セキュリティ対策が必要という漠然とした認識から、⾃社でどのようなデ ータを扱い、どのようなリスクがあるかを改めて認識することができた。 現場のメンバーと会話できたことも良かった。 普段関わることが少ないメンバーが参加することにより、様々な視点での リスクについて話をすることができた。 会社としてのセキュリティポリシーが形骸化していたが、現在の状況に適 しているかの点検が⾏えた。 システムが持つデータからセキュリティインシデントが発⽣したら⼤きな 問題になると不安があったが、事業レベルのリスクについて経営層と認識 を合わせることができた。 経営者 管理部⾨ セキュリティ部⾨ システム部⾨ 組織全体のセキュリティ意識の向上と、関連するコミュニケーションが活性化︕

© Cyber Security Cloud, Inc. 26 脅威モデリングにおける具体的なメソッドの活⽤と クラウドセキュリティへの取り組み

すぐに始められるクラウドセキュリティ対策 何から⼿をつけていいかわからないという⽅ AWS Security Maturity Model（AWS セキュリティ成熟度モデル） を利⽤してみてはどうでしょうか︖ 27 © Cyber Security Cloud, Inc.

AWSセキュリティ成熟度モデルの活⽤ 28 © Cyber Security Cloud, Inc. 引用：AWS Security Maturity Model： https://maturitymodel.security.aws.dev/en/model/ AWS 利⽤における、セキュリティ対策の成熟度を 評価するモデル （AWS Security Maturity Model ） ４つのフェーズが定義されており、何をどこまでや るとよいかの基準に Phase 1︓Quick Wins︓とりあえずやっておこう Phase 2︓Foundational︓ここまでできると及第点 Phase 3︓Efficient︓さらに強固にするために Phase 4︓Optimized︓企業毎に必要な追加対策 セキュリティ対策としては、Phase2 : Foundational までは満たすことが望ましいです AWSが提供しているガイダンス「AWSセキュリティ成熟度モデル(AWS Security Maturity Model)」を活⽤し、 どれくらいセキュリティ対策ができているのかを確認することができます。

Phase 1 : Quick Wins でやるべきこと 29 © Cyber Security Cloud, Inc.

“Perform threat modeling” の実施を推奨 30 © Cyber Security Cloud, Inc.

脅威モデリングとは（Shostack の４つの質問） Good Pattern / Anti Pattern を意識する中で、最上位の視点を常に意識 私たちは何に取り組んでいるのか︖ What are we working on? システムまたはアプリケーションをコンポーネント パーツに分 解し、個別に、部分的に、または全体として脅威モデル化しま す。脅威モデルの境界が明確に定義されていることを確認する ために、範囲を定義する必要があります。今回実施する中で 「範囲外」として割り当てることは、それが永続的に脅威モデ ル化されないというわけではありません。 何が問題になるのでしょうか︖ What can go wrong? 脅威の評価に重点を置きます。 フレームワークを使⽤して、このシステムまたはアプリケーシ ョンに対する脅威を⽣成または分類できます。STRIDE、TRIKE、 OWASP、MITRE ATT&CK、MITRE CWE、OCTAVE、PASTA などのフレームワークを使⽤して、潜在的な脅威、弱点、また は攻撃⽅法を特定できます。 私たちはそれに対して何ができるでしょ うか︖ What are we going to do about it? 潜在的な弱点や脅威が実現する可能性を軽減または排除するこ とに関する積極的な議論に重点が置かれます。確認するための、 実装コスト、システム分類、またはその両⽅に基づいて優先順 位付けします。優先順位付け⽅法は、社内のポリシーとプロシ ージャーで決定します。 良い仕事ができましたか︖ Did we do a good enough job? このプロセスがどれだけ効果的であったかを評価します。プロ セスの反復と改善に焦点を当てます。アーキテクチャ チームま たはセキュリティ チャンピオンから収集した追加情報を含める 必要があります。 脅威の発見 STRIDE MITRE ATT&CK 参加者・分析対象の決定 事業概要 システム／データフロー リスク分析 リスク評価／緩和策 実⾏ 振り返り 31 引⽤︓Shostack, Adam. Threat Modeling: Designing For Security. John Wiley & Sons, 2014. © Cyber Security Cloud, Inc.

Principles︓脅威モデリング実施の原則 from THREAT MODELING MANIFESTO https://www.threatmodelingmanifesto.org/ 早期かつ頻繁な分析 The best use of threat modeling is to improve the security and privacy of a system through early and frequent analysis. 開発プロセスに取り込み、管理可能な範囲でシステムの設計に追従する Threat modeling must align with an organizationʼs development practices and follow design changes in iterations that are each scoped to manageable portions of the system. 利害関係者に価値があるものが成果となる The outcomes of threat modeling are meaningful when they are of value to stakeholders. 対話が理解を深め、記録と測定のためにドキュメントを活⽤する Dialog is key to establishing the common understandings that lead to value, while documents record those understandings, and enable measurement. 32 © Cyber Security Cloud, Inc.

クラウドシステムの脅威モデリング 参考：https://catalog.workshops.aws/threatmodel/ 33 © Cyber Security Cloud, Inc. 私たちは何に取り組んでいるのか︖ What are we working on?

脅威の発⾒ ● Spoofing (なりすまし)︓ 他のユーザーのなりすましをして、不正アクセスの可能性 ● Tampering (改ざん)︓不正にデータの変更の可能性 ● Repudiation (否認)︓攻撃者が⾏った⾏動の適切な判断 ● Information disclosure (情報漏えい)︓機密データなどにアクセス、窃取の可能性 ● Denial of service (サービス拒否)︓サービスをクラッシュ、停⽌、利⽤できなくなる可能性 ● Escalation of privilege (特権の昇格)︓管理者などの特権アカウントの権限取得の可能性 STRIDE というフレームワークで脅威の発⾒をおこないます。 システムに対するセキュリティの脅威を６つに分類することで、脅威の発⾒を容易にするためのモデル 34 © Cyber Security Cloud, Inc. 何が問題になるのでしょうか︖ What can go wrong?

MITRE ATT&CK とは 戦術 攻撃者活動 戦術 攻撃者活動 1. Initial Access ネットワークに侵⼊の試み 7. Discovery アクセス先の環境把握のための探索の試み 2. Execution 悪意のあるコードを実⾏の試み 8. Lateral Movement アクセス先の環境を内部で⽔平移動する試み 3. Persistence 不正アクセスする環境を確保の試み 9. Collection 関⼼のあるデータを収集活動の試み 4. Privilege Escalation 攻撃者がより⾼いレベルの権限を取得 の試み 10. Command and Control 侵害されたシステムと通信し制御をする試み 5. Defense Evasion 検知されないような隠蔽活動の試み 11. Exfiltration データ窃取の試み 6. Credential Access アカウント名とパスワード窃取の試み 12. Impact システムやデータの操作、中断、または破壊活動の試み Adversarial Tactics, Techniques, and Common Knowledge（敵対的な戦術とテクニック及び共通知識） の略で、脆弱性情報であるCVEをもとに、脆弱性を悪⽤した実際の攻撃を戦術と技術または⼿法の観点で分 類し、戦術ごとの個別の攻撃の技術・⼿法に対して、実際の実例、緩和策、検知⽅法を提供するもの。 脅威モデリングにおいて、脅威分析する際の具体的な攻撃⼿法について着⽬する場合に活⽤する。 引用：https://attack.mitre.org 35 © Cyber Security Cloud, Inc.

MITRE ATT&CK Cloud IaaS Matrix IaaS Matrix は、クラウドに対する攻撃者の戦術と攻撃⼿法を理解する⼿助けをします。 引用：https://attack.mitre.org/versions/v15/matrices/enterprise/cloud/iaas/ 36 © Cyber Security Cloud, Inc.

STRIDE-LM と MITRE ATT&CK による脅威の発⾒と対策例 STRIDE-LM 項⽬ MITRE ATT&CK 戦術 具体的な脅威例 対策 Spoofing (なりすまし) Initial Access, Credential Access フィッシング攻撃: ユーザーがクラウドプロバイダーの偽ログインページ に誘導され、認証情報が盗まれる。 クラウドリソースの偽装: 攻撃者が偽のクラウドリソースを設定し、正当 なリソースになりすます。 多要素認証（MFA）、フィッシング対策トレーニング、認証情報の定期的な変 更、アクセス制御の強化。 Tampering (改ざん) Persistence, Defense Evasion バックドア設置: 攻撃者がIaaS環境にバックドアを仕掛ける。 アクセスキーの改ざん: 攻撃者がAPIキーやアクセスキーを改ざんし、不正 アクセスを試みる。 定期的な監査とログの確認、アクセス権限の厳格な管理、異常検知システム （IDS/IPS）の導⼊。 Repudiation (否認) Persistence, Impact ログの改ざん: 攻撃者が⾃⾝のアクティビティを隠蔽するためにログを改 ざん。 イベントの否認: ⾃らの不正⾏為を否認し、システムのイベントログを削 除。 デジタル署名付きのログ記録、詳細な監査ログの保持、イベント記録の多重化。 Information Disclosure (情報漏洩) Discovery, Collection 機密情報への不正アクセス: IaaSストレージサービスから機密データを盗 み出す。 データ抽出: データベースから⼤量のデータを抽出し外部に送信。 データの暗号化、アクセス制御ポリシーの強化、データ漏洩防⽌（DLP）ソリュ ーションの導⼊。 Denial of Service (サービス拒否) Impact DDoS攻撃: 攻撃者がIaaSリソースをターゲットにDDoS攻撃を仕掛け、サ ービスを停⽌させる。 リソース枯渇攻撃: 攻撃者がIaaSリソースを⼤量に消費し、サービスを利 ⽤不可にする。 ⾼可⽤性設計、DDoS対策の導⼊、スケーラブルなリソース管理。 Elevation of Privilege (権限昇格) Privilege Escalation, Initial Access 管理者権限の不正取得: 脆弱な設定やセキュリティホールを突いて管理者 権限を取得。 特権アカウントの悪⽤: 特権アカウントの認証情報を盗みシステム全体に アクセス。 最⼩権限の原則の徹底、定期的な権限の⾒直し、強⼒な認証メカニズムの導⼊。 Lateral Movement (横移動) Lateral Movement 横移動: 攻撃者が⼀度侵⼊した後、他のクラウドリソースやアカウントに 横移動し、攻撃範囲を拡⼤する。 リソース間の移動: 攻撃者がクラウド環境内の別の仮想マシンやネットワ ークに移動する。 マイクロセグメンテーションの実施、異常なアクセスパターンの監視、ゼロト ラストセキュリティモデルの導⼊。 37 © Cyber Security Cloud, Inc.

組織を巻き込んでの脅威モデリングのメリット 38 © Cyber Security Cloud, Inc. l コミュニケーションが増え組織が活性化する l 組織全体で、事業として何をしているのか、何が問題になるのか、どういう 対処が必要になるのかが共有される l 抽象度が低い具体の話をしやすい⼟壌ができる l システムやセキュリティの現場の課題感を事業レベルに引き上げられる l セキュリティ対策に必要な決済が通りやすくなる

製品紹介︓AWSのセキュリティ対策の課題とは © Cyber Security Cloud, Inc. 39

対策の重要性はわかるけど・・こんなお悩みありませんか︖ © Cyber Security Cloud, Inc. 40 AWSのセキュリティ対策の重要性は理解している。。。 ⽬指すべき指針（ AWS セキュリティ成熟度モデル）も認識した。。。 だけど、、、 セキュリティについて深い知識を持つ⼈材が居ないので 社内ですべて対応するのは難しい とはいえ、セキュリティ⼈材の採⽤は難しい 現状の体制では⼯数の負荷がかかっている

が、解決します セキュリティの⼈材が社内に居ないがAWSのセキュリティは万全にしたいという課題を解決するのが「CloudFastener （クラウドファスナー）」です。 「CloudFastener」は、AWSの各種セキュリティサービスを包括的に管理し運⽤するフルマネージドセキュリティサービ スです。AWS環境上のクラウド資産の洗い出し、セキュリティリスクの可視化、OS・ソフトウェアの脆弱性や設定ミス、 現在の環境の脅威を収集・分析。24時間365⽇AWS環境を常時保護・モニタリングし、対処すべきリスクを優先度付け し、セキュリティアラートの適切な処置・対処のサポートを⾏います。 © Cyber Security Cloud, Inc. 41

「CloudFastener」はこんな⼈におすすめ © Cyber Security Cloud, Inc. 42 AWSの設定に不備がないか不安 1 通知されるセキュリティアラートに対する 対処⽅法が分からない 3 膨⼤なログを読みきれず、 セキュリティアラートや インシデントの検知ができていない IT監査に対する準拠⽅法が分からない 2 4

「CloudFastener」の特徴 -1 セキュリティリスクの脅威から、24時間365⽇AWS環境全体を守ります セキュリティエンジニアとAIにより24時間365⽇継続的にモニタリング。 クラウドネイティブサービスを経験したCTO・プロジェクトマネージャーを含む専任チームにより、お客さまと同じ⽬ 線で対処すべき不正な設定やイベント・脅威情報をコンサルティング分析します。本当に対処が必要なものだけお客さ まへご連絡し、処置・対処⽀援を⾏います。 AWSネイティブ機能を組み合わせた圧倒的なコストパフォーマンス AWS Security Hub、Amazon GuardDuty、AWS Config、Amazon Inspector、AWS CloudTrailなど、AWSのネイティブ機能を使⽤し、CloudFastenerに統合すること で 圧倒的なコストパフォーマンスを実現。 また、外部のサービスは使⽤しません。アラートやログ情報は全てお客様のAWS環 境に残るので、スムーズなインシデント対応が可能になります。 © Cyber Security Cloud, Inc. 43

AWSの技術の発展・進歩は⾮常に⽬まぐるしくなっており、セキュリティの情報も常にアップデートが掛かっている現 状です。CloudFastenerでは最新のセキュリティルールを⾃動的に反映し、お客さまのAWS環境をモニタリング。AWS環 境の安全性向上を実現します。 運⽤負荷が⼤きく専⾨知識が必要なAWSのセキュリティ情報の収集や運⽤は、すべてCloudFastenerにお任せください。 「CloudFastener」の特徴 -2 お客さまのAWS環境にあわせた導⼊が可能です CloudFastenerはアカウントの規模や数に関わらず導⼊が可能です。上限・下限はあり ません。⾃社の組織体制やアカウント状況、環境、予算、マイルストーンに応じてサー ビスを選択し、優先順位を付け段階的に導⼊することができます。 いま必要なセキュリティ対策は何か︖今後どのような対策が必要か︖などお客さまの抱 えている課題や環境・状況にあわせて、柔軟にサービスを提供します。 最新ルールアップデートにも対応、開発とセキュリティ運⽤ の両⽴を実現します © Cyber Security Cloud, Inc. 44

「CloudFastener」と他社セキュリティサービスの違い CloudFastenerは、単なるサービスではありません。 MSSとしての機能と、よくMSSと併⽤されているSIEMの機能、更には今までのサービスではカバー出来なかった特定・防御 の範囲まで、⼀括で対応できるようにした「ちょうど良いオールインワンなサービス」、それがCloudFastenerです。 セキュリティエンジニアとAIを組み合わせることで、実⽤性のあるレベルで良いとこ取りを可能にしました。 *オプションにより⼀部の復旧業務まで対応可能 © Cyber Security Cloud, Inc. 45

製品紹介︓AWS WAFの運⽤課題とは © Cyber Security Cloud, Inc. 46

AWS WAFの運⽤における課題と Maturity Model 対応 47 最適なルールの作り⽅が わからない 防御⼒が⾼く、アプリケーションの妨げ にならないルールを作る専⾨知識がなく て困ってる。 ルール 作成 WAF運⽤専任の⼈材を ⽤意できない WAFの運⽤に詳しい⼈材を⽤意できない ため、設定したルールで網羅性が担保さ れているか不安。 網羅性 新規脆弱性への対応に ⼿が回らない 新規の脆弱性が発⾒された場合に、すぐ に攻撃⽅法を理解し適切なルールを作成 する余裕が無い。 アップ デート 誤検知やトラブルに 時間がかかる 運⽤開始後に誤検知の対応やトラブルに 時間がかかる。 誤検知 © Cyber Security Cloud, Inc. Phase1 : Quick Wins Managed Rules Phase3 : Efficient WafCharm

AWS WAF⾃動運⽤サービス「WafCharm」 48 WAF⾃動運⽤サービス「WafCharm」は、煩雑なAWS WAFの運⽤を最適化させるWAF⾃動運⽤サービ スです。 WafCharmを利⽤することで、専任のセキュリティエンジニアを必要とすることなくAWS WAFの運⽤を 円滑に⾏うことが可能です。 ワフチャーム © Cyber Security Cloud, Inc.

特徴①強⼒な防御性能 49 ● 設定しているルールでは漏れる可能性も ● 設定したルール外の攻撃にも数百ものシ グネチャで再マッチング ● 再マッチングで攻撃認定したものは Blacklistに⾃動適⽤ ● 最適シグネチャを⾃動選択 ● シグネチャのカスタマイズや新規作成可能 ● 最新の脆弱性にも対応。新規シグネチャを 迅速に作成に、すぐに適⽤。 お客様ごとに最適な防御をご提供 数百ものシグネチャでより強⼒に ⾯倒なルール作成はWafCharmにおまかせ お客様の環境に最適なルール（シグネチャ）を作成し⾃動適⽤。 新たな脆弱性にもWafCharmが対応するので安⼼。 © Cyber Security Cloud, Inc.

特徴②導⼊から運⽤まで安⼼のサポート 50 導⼊から利⽤開始後もサポート⾯が充実。 24時間365⽇の⽇本語サポートがあるので安⼼。 導⼊もスムーズ、運⽤も⼿放しでOK ● ⽇本語での24時間365⽇技術サポート ● 誤検知対応、ルールの⼊れ替え、カスタ マイズにも柔軟に対応 ● 専⽤機器設置やDNS切り替えなど 不要で導⼊がスムーズ ● WafCharm管理画⾯とAWSマネージド コンソールからの設定で即時利⽤可能 導⼊も運⽤も楽に なにか困ったらサポートへ © Cyber Security Cloud, Inc.

特徴③改ざん検知機能を搭載 51 Webサイトが改ざんされていないかを毎⽇チェック 万が⼀の際には通知でいち早くお知らせ。 改ざんにも対応、万が⼀もすぐにわかる ● Webサイトの改ざんを検知した場合、登 録した管理者のメールアドレスにすぐに 通知 ● 通知メールの内容︓監視対象のFQDN、 該当URL、検出された内容 ● 登録されたWebサイト（FQDN）を⽇々 継続的にチェックし、改ざんの可能性が ないかを確認 ⾼性能検知エンジンで毎⽇チェック 管理者へ即座にメール通知 © Cyber Security Cloud, Inc.

WafCharmのシステムアーキテクチャ 52 © Cyber Security Cloud, Inc.

提供機能 53 機能 備考 ルール関連 WAFシグネチャの提供 WCU1500以内で設定 新規脆弱性対応 適宜お知らせメールを発報 Geoルール作成 (AWS WAF Classicは⾮対応） 弊社サポートへ依頼にて対応 RateBaseルール作成 (AWS WAF Classicは⾮対応） 弊社サポートへ依頼にて対応 WebACL関連 シグネチャ再マッチングによる IP 制御 攻撃者IPアドレスを⾃動的にBlacklistへ設定。5分毎更新。 WhiteListIP設定 サイバーセキュリティクラウド の IP レピュテーションによるIP 制御 弊社サイバーセキュリティクラウドが収集した IP レピュテーションを ユーザーの AWS WAF に展開。 XFF ヘッダーオプション （AWS WAF Classicは⾮対応） BlacklistとWhitelistの対象をヘッダーIPに切り替える機能 静的BlacklistとWhitelistの即時反映 WebACLConfigの作成・更新・削除に応じて即時反映 改ざん検知機能 改ざん検知 コンテンツに含まれるURLを抽出し、攻撃に⽤いられるURLを検出 DNS監視 DNS稼働確認 HTTPS接続チェック HTTPS接続設定に⾮推奨、危殆化の設定が含まれるか確認 レポート/通知機能 レポート機能 WAFフルログの取得が必要 通知機能 WAFフルログの取得が必要 サポート 24時間365⽇テクニカルサポート ● シグネチャのカスタマイズ ● シグネチャの⼊れ替え ● 誤検知対応 ● その他Q&A © Cyber Security Cloud, Inc.

54 ・価格やサービスにについての詳細をもっと知りたい ・個別に商談がしたい ・無料トライアルがしたい などのリクエストがありましたらお気軽にご相談ください︕ ブース出展しているので お気軽にブースに⽴ち寄りくださいー︕ AWSセキュリティ対策 お気軽に相談ください︕ サイバーセキュリティクラウド 公式キャラクターWAF（ワフ）くん © Cyber Security Cloud, Inc.

世界中の⼈々が安⼼安全に使える サイバー空間を創造する