Slide 1

Slide 1 text

サイバー攻撃の実例とリスク対策のポイント ~過去の観測事例や動向分析から、AWS 環境でも発⽣する可能性のあるサイバー 攻撃をご紹介~ トレンドマイクロ株式会社

Slide 2

Slide 2 text

2 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. クラウドセキュリティインシデントの統計情報 クラウドサービスの設定ミス 起因でのインシデント 30% 調査対象のほぼ全ての組織で、過去12か月に何かしらのセキュリティ インシデントを経験(ESGによる2023年の調査報告) 従業員による特権アカウント の誤使用 30% クラウドワークロードに横展開 を試みたマルウェア 28% ゼロデイ・未知の脆弱性に起因 したインシデント 27% Source: Cloud Detection and Response: Market Growth as an Enterprise Requirement - ESG

Slide 3

Slide 3 text

3 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. 最近の被害事例や弊社での観測事例 Publi c 事例 ①顧客提供サービスの ID情報流出 ②データ保管場所への 不正アクセス・操作 ③認証なし公開コンテナ レジストリを多数観測 原因 脆弱性(Webアプリ) アカウント侵害 設定ミス 業種/年 情報サービス業 (2023) 製造業 (2024) 弊社調査結果 (2024) 初期 経路 公開サーバのWebアプリ脆弱性 を突いた通信 アクセスキーを不正利用されて アカウント内にサーバに侵入 認証情報やブルートフォースの 手法を使用することなく接続で きたコンテナレジストリ 被害 顧客提供サービスのID情報 数千 個および登録氏名やメールアド レスなどの情報 数件の流出 データベースへの不正アクセス および保管データ削除 (想定)独自/機密情報の露出や バックドア/マルウェア埋め込み などシステム侵害 ③参考情報 https://www.trendmicro.com/ja_jp/research/24/a/exposed-container-registries-a-potential-vector-for-supply-chain-attacks.html

Slide 4

Slide 4 text

4 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c AWS環境で発生しうるサイバー攻撃の例 AWS Cloud 外部公開サーバ 社内向けサーバ コード保管バケット CI/CD Amazon EC2 Instances Instances Amazon EC2 AWS CodePipeline Amazon S3 Bucket 初期侵入 内部探索 データ持ち出し マルウェア配置 マルウェア実行 ① 公開サーバの 脆弱性を突いて WEBSHELL設置 ② 環境確認 (AWS Region,Role等) ③ Key取得 ④ Key利用 ⑤ Bucket参照 ⑥ appspec.yamlの 書き換え ⑦ マルウェア入り zipアップロード ⑧ アップロードを トリガーに zip配布・実行 ⑨ マルウェア感染 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨

Slide 5

Slide 5 text

5 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c AWS環境で発生しうるサイバー攻撃の例 AWS Cloud 外部公開サーバ 社内向けサーバ コード保管バケット CI/CD Amazon EC2 Instances Instances Amazon EC2 AWS CodePipeline Amazon S3 Bucket 初期侵入 内部探索 データ持ち出し マルウェア配置 マルウェア実行 ① 公開サーバの 脆弱性を突いて WEBSHELL設置 ② 環境確認 (AWS Region,Role等) ③ Key取得 ④ Key利用 ⑤ Bucket参照 ⑥ appspec.yamlの 書き換え ⑦ マルウェア入り zipアップロード ⑧ アップロードを トリガーに zip配布・実行 ⑨ マルウェア感染 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨

Slide 6

Slide 6 text

6 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c AWS環境で発生しうるサイバー攻撃の例 AWS Cloud 外部公開サーバ 社内向けサーバ コード保管バケット CI/CD Amazon EC2 Instances Instances Amazon EC2 AWS CodePipeline Amazon S3 Bucket 初期侵入 内部探索 データ持ち出し マルウェア配置 マルウェア実行 ① 公開サーバの 脆弱性を突いて WEBSHELL設置 ② 環境確認 (AWS Region,Role等) ③ Key取得 ④ Key利用 ⑤ Bucket参照 ⑥ appspec.yamlの 書き換え ⑦ マルウェア入り zipアップロード ⑧ アップロードを トリガーに zip配布・実行 ⑨ マルウェア感染 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨

Slide 7

Slide 7 text

7 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c AWS環境で発生しうるサイバー攻撃の例 AWS Cloud 外部公開サーバ 社内向けサーバ コード保管バケット CI/CD Amazon EC2 Instances Instances Amazon EC2 AWS CodePipeline Amazon S3 Bucket 初期侵入 内部探索 データ持ち出し マルウェア配置 マルウェア実行 ① 公開サーバの 脆弱性を突いて WEBSHELL設置 ② 環境確認 (AWS Region,Role等) ③ Key取得 ④ Key利用 ⑤ Bucket参照 ⑥ appspec.yamlの 書き換え ⑦ マルウェア入り zipアップロード ⑧ アップロードを トリガーに zip配布・実行 ⑨ マルウェア感染 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨

Slide 8

Slide 8 text

8 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c AWS環境で発生しうるサイバー攻撃の例 AWS Cloud 外部公開サーバ 社内向けサーバ コード保管バケット CI/CD Amazon EC2 Instances Instances Amazon EC2 AWS CodePipeline Amazon S3 Bucket 初期侵入 内部探索 データ持ち出し マルウェア配置 マルウェア実行 ① 公開サーバの 脆弱性を突いて WEBSHELL設置 ② 環境確認 (AWS Region,Role等) ③ Key取得 ④ Key利用 ⑤ Bucket参照 ⑥ appspec.yamlの 書き換え ⑦ マルウェア入り zipアップロード ⑧ アップロードを トリガーに zip配布・実行 ⑨ マルウェア感染 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨

Slide 9

Slide 9 text

9 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c AWS環境で発生しうるサイバー攻撃の例 AWS Cloud 外部公開サーバ 社内向けサーバ コード保管バケット CI/CD Amazon EC2 Instances Instances Amazon EC2 AWS CodePipeline Amazon S3 Bucket 初期侵入 内部探索 データ持ち出し マルウェア配置 マルウェア実行 ① 公開サーバの 脆弱性を突いて WEBSHELL設置 ② 環境確認 (AWS Region,Role等) ③ Key取得 ④ Key利用 ⑤ Bucket参照 ⑥ appspec.yamlの 書き換え ⑦ マルウェア入り zipアップロード ⑧ アップロードを トリガーに zip配布・実行 ⑨ マルウェア感染 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨

Slide 10

Slide 10 text

10 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c AWS環境で発生しうるサイバー攻撃の例 AWS Cloud 外部公開サーバ 社内向けサーバ コード保管バケット CI/CD Amazon EC2 Instances Instances Amazon EC2 AWS CodePipeline Amazon S3 Bucket 初期侵入 内部探索 データ持ち出し マルウェア配置 マルウェア実行 ① 公開サーバの 脆弱性を突いて WEBSHELL設置 ② 環境確認 (AWS Region,Role等) ③ Key取得 ④ Key利用 ⑤ Bucket参照 ⑥ appspec.yamlの 書き換え ⑦ マルウェア入り zipアップロード ⑧ アップロードを トリガーに zip配布・実行 ⑨ マルウェア感染 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨

Slide 11

Slide 11 text

11 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. コンテナ ストレージ ライブラリ サーバレス 仮想マシン インスタンス APIs ベアメタルサーバ 仮想マシン データ センター クラウド リフト クラウドネイティブ 複数 クラウドの活用 APIs DX推進に伴うクラウド活用の多様化 Publi c B社 A社 C社 一部はオンプレ に残す 一部は仮想サーバ で実装 完全サーバレスは 困難

Slide 12

Slide 12 text

12 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. IT資産が点在して多岐に渡る… Publi c どこに何があるか 見えづらくなっている 何から手を付ければ いいか分からない APIs

Slide 13

Slide 13 text

13 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. 広がるアタックサーフェス Publi c どこに何があるか 見えづらくなっている 何から手を付ければ いいか分からない APIs

Slide 14

Slide 14 text

14 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. 防御力の強化 インシデント発生リスクの低減 検知・対応能力の強化 不正侵入による被害の最小化 リスクマネジメント能力の強化 サイバー攻撃への事前対策 Publi c 最近のリスク対策のポイント Protection EDR/XDR ASM 従来 近年 NEW 侵入されないように防ぐ 早期発見/対応で被害最小化 可視化して未然に環境強化

Slide 15

Slide 15 text

15 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c Trend Vision One サーバやクラウドストレージ を保護し、不正通信やマル ウェア感染を防ぐ 各領域から活動データを 取得・分析して 不審な挙動をいち早く 発見・対処を促す お客様のIT資産を可視化、リ スク評価により優先度付けを 行い、リスク軽減策を提言 防御力の強化 インシデント発生リスクの低減 検知・対応能力の強化 不正侵入による被害の最小化 リスクマネジメント能力の強化 サイバー攻撃への事前対策 Protection EDR/XDR 侵入されないように防ぐ 早期発見/対応で被害最小化 可視化して未然に環境強化 ASRM リスクマネジメント能力の強化 サイバー攻撃への事前対策

Slide 16

Slide 16 text

16 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Extended Detection & Response (XDR) Attack Surface Risk Management (ASRM) Discover Assess Mitigate z Detect Investigate Respond Responsive Proactive 可視性の拡大 リスクコンテキスト の拡大 迅速なリスク軽減 XDRは”侵入後の迅速な検知と対応”のための受動的な機能となります。 ASRMは”事前にリスクを把握し、侵入を防ぐ”ための能動的な機能となります。 ASRMとXDRの関係性 能動的な対策と受動的な対策を組み合わせることで セキュリティの相乗効果を図ることが可能 Publi c Public

Slide 17

Slide 17 text

17 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c ご紹介した攻撃に対する対策例 # 不正アクターの行動 行動段階 主な対策 対策種別 1 Webサービスの脆弱性を悪用 初期侵入 当該Webサービスの脆弱性の検出・修正 中長期対策 2 IPS機能による脆弱性を攻撃する通信の遮断 短期対策 3 ホストの検索機能によるWebシェルの駆除 短期対策 4 AWS上での認証情報取得 権限昇格 不審な挙動の検知・アラートの監視と対処 中長期対策 5 権限昇格 必要最小限のアクセス権限を付与 中長期対策 6 権限昇格 インスタンスメタデータサービスの無効化 短期対策 7 権限昇格 AWSの脅威検出機能の有効化 (Amazon GuardDuty) 短期対策 8 Amazon S3上へのマルウェア 設置 内部拡散 Amazon S3上でのマルウェアの検知 短期対策 9 Appspec.yamlの改ざん 内部拡散 Amazon S3のObject Lock機能を使い、WORM(Write Once Read Many)を実装する 短期対策 10 AWS CodePipelineによる拡散 内部拡散 デプロイ時における手動承認プロセスの追加 中長期対策 11 ランサムウェアの配布 目的達成 機械学習型検知機能・挙動監視機能による未知マル ウェアの検知・駆除 短期対策 12 サーバの暗号化 目的達成 事前にバックアップ計画を立て、早期の復旧を行う 中長期対策

Slide 18

Slide 18 text

18 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. # 不正アクターの行動 行動段階 主な対策 対策種別 1 Webサービスの脆弱性を悪用 初期侵入 当該Webサービスの脆弱性の検出・修正 中長期対策 2 IPS機能による脆弱性を攻撃する通信の遮断 短期対策 3 ホストの検索機能によるWebシェルの駆除 短期対策 4 AWS上での認証情報取得 権限昇格 不審な挙動の検知・アラートの監視と対処 中長期対策 5 権限昇格 必要最小限のアクセス権限を付与 中長期対策 6 権限昇格 インスタンスメタデータサービスの無効化 短期対策 7 権限昇格 AWSの脅威検出機能の有効化 (Amazon GuardDuty) 短期対策 8 Amazon S3上へのマルウェア設 置 内部拡散 Amazon S3上でのマルウェアの検知 短期対策 9 Appspec.yamlの改ざん 内部拡散 Amazon S3のObject Lock機能を使い、WORM(Write Once Read Many)を実装する 短期対策 10 AWS CodePipelineによる拡散 内部拡散 デプロイ時における手動承認プロセスの追加 中長期対策 11 ランサムウェアの配布 目的達成 機械学習型検知機能・挙動監視機能による未知マルウェア の検知・駆除 短期対策 12 サーバの暗号化 目的達成 事前にバックアップ計画を立て、早期の復旧を行う 中長期対策 Publi c トレンドマイクロで支援できる部分 Protection Protection Protection Protection EDR/XDR ASRM

Slide 19

Slide 19 text

19 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c 各フェイズでのProtectionソリューションの提供 AWS Cloud CI/CD Amazon EC2 Instances AWS CodePipeline Amazon S3 Bucket ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ #2 脆弱性を突いた通信の遮断 #3 WEBシェルの発見/駆除 #8 アップロードされた ランサムウェアの検知 #11 ランサムウェア駆除 外部公開サーバ 社内向けサーバ コード保管バケット Instances Amazon EC2

Slide 20

Slide 20 text

20 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Publi c Trend Vision One – Endpoint Security (略称:V1ES) クラウド上のサーバに対して、脆弱性対策をはじめとした多層防御を実現 EPP機能に加えて EDR/XDR も提供 AWS Cloud Amazon EC2 Instances Vision One Agent 構成イメージ Vision One管理コンソール 管理/運用 提供機能 • Agentをインストールしたサーバに下記機能を提供、 サーバの多層防御を実現 ⁃ 不正プログラム対策 ⁃ IPS/IDS(侵入防御) ⁃ Webレピュテーション ⁃ ファイアウォール ⁃ アプリケーションコントロール ⁃ 変更監視 ⁃ セキュリティログ監視 ⁃ デバイスコントロール機能 ⁃ アクティビティ監視(XDR) アプリケーション層 OS層 ネットワーク層 脆弱性 正規パッチ 適用までの間 仮想パッチ (IPSルール ) で脆弱性対策

Slide 21

Slide 21 text

21 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Trend Vision One Endpoint Securityの検出イメージ Publi c アプリケーション層 OS層 ネットワーク層 脆弱性 #2 脆弱性を突いた通信の遮断 脆弱性を突いた不正な 通信を実施 ルールにもとづき 不正な通信を遮断 仮想パッチ(IPSルール)を設定 侵入防御 イベント検出

Slide 22

Slide 22 text

22 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. AWS Cloud Publi c Trend Vision One – File Security (略称:V1FS) Amazon S3にアップロードされるファイルをスキャン マルウェア判定されたものは隔離用バケットに移動 構成イメージ 詳細 ② Tag result & quarantine 脅威ファイル移動 スキャン セキュリティ 技術基盤 Amazon EventBridge FSS scanner stack ① FSS scanner Bucket(隔離用) スキャン結果タグ付け Result topic AWS Lambda AWS Lambda Bucket (検査用) オブジェクト

Slide 23

Slide 23 text

23 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Trend Vision One File Securityの検出イメージ Publi c 隔離 アップロード用 バケット 隔離用 バケット Amazon S3 Bucket Bucket アップロード用バケット を保護(スキャンON) マルウェア入りZipをアップロード マルウェアを検出 #8 アップロードされた ランサムウェアの検知

Slide 24

Slide 24 text

24 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Trend Vision One XDR機能 Publi c #4 不審な挙動の検知・アラート EC2リソース情報の探索の痕跡 などを検知

Slide 25

Slide 25 text

25 | Copyright © 2024 Trend Micro Incorporated. All rights reserved. Trend Vision One ASRM機能 Publi c #1 環境におけるリスク・脆弱性 の把握・修正 *ASRM(アタックサーフェスリスクマネジメント)

Slide 26

Slide 26 text

Copyright © IDS Corporation. All rights reserved. 1 Confidential

Slide 27

Slide 27 text

Copyright © IDS Corporation. All rights reserved. 2 Confidential クラウド環境向け セキュリティ脅威への具体策 Trend Vision Oneで実現する 新セキュリティ強化プラン 株式会社アイディーエス

Slide 28

Slide 28 text

Copyright © IDS Corporation. All rights reserved. 3 Confidential 3 株式会社アイディーエスが提供するAWSクラウド導入支援サービス 「Sunny Cloud」は世界トップレベルのクラウド導入・設計・運用ノウハウと 実績が評価され、AWSから認定を取得しています。 6つの専門領域認定 APN(AWS Partner Network)のコンピテンシー制度、サービスデリバリープログラムは、 APNパートナーに対し、AWS全般に豊富な実践経験とお客様導入事例を持つこと、その分野における技 術的要求に対応できる体制があることをAWSが認定するものです。 Sunny Cloudは、Solution Providerプログラム、パブリックセクターパートナープログラム、Well- Architectedパートナープログラム、Digital Workplace Servicesプログラム、Amazon QuickSight、 Amazon Redshiftのサービスデリバリープログラムの認定を受けています。

Slide 29

Slide 29 text

Copyright © IDS Corporation. All rights reserved. 4 Confidential 4 自己紹介 株式会社アイディーエス 小寺 加奈子(こでら かなこ) 【仕事】 AWSアライアンスリード AWS技術リード 【好きなAWSサービス】 Cost Explorer

Slide 30

Slide 30 text

Copyright © IDS Corporation. All rights reserved. 5 Confidential 5  AWSセキュリティ対策の基本  クラウドのみの防御から企業全体の防御へ Vision One  コンテナ向け Vision One Container Security  サニークラウド提供「セキュリティ強化サービス」 アジェンダ

Slide 31

Slide 31 text

Copyright © IDS Corporation. All rights reserved. 6 Confidential AWSでのセキュリティ対策 基本から始めてみる

Slide 32

Slide 32 text

Copyright © IDS Corporation. All rights reserved. 7 Confidential 7 色々サービスを有効化しているけど  AWS利用内のセキュリティ対策はできていま すか?  何から始めたらよいのか?分からない場合 AWS Well-Architected Framework診断の 「セキュリティの柱」を診断してみましょう

Slide 33

Slide 33 text

Copyright © IDS Corporation. All rights reserved. 8 Confidential 掛かっているコストは 適正なのか不明 AWS Well-Architected Framework診断とは クラウドを利用する上 でのルール作りが出来ていない サイトダウンの障害理由 が分からない 各サービススペックが 適正かどうか判断できない 把握しきれないAWS上のシステム課題の数々 レビュー クラウドアーキテクト お客様 AWS Well-Architected Frameworkを利用することで システムに潜む課題と解決方法の発掘が可能 【 AWS Well-Architected Framework 】 ・AWSのベストプラクティスが集約されている ・第三者診断によるAWS環境の最適化を促す ・システム内部を網羅的に診断

Slide 34

Slide 34 text

Copyright © IDS Corporation. All rights reserved. 9 Confidential

Slide 35

Slide 35 text

Copyright © IDS Corporation. All rights reserved. 10 Confidential 10  例 セキュリティの柱No.6 「セキュリティの柱」でわかること

Slide 36

Slide 36 text

Copyright © IDS Corporation. All rights reserved. 11 Confidential 11  脆弱性管理を実行する インフラストラクチャ内の脆弱性のスキャンとパッチ適用  アタックサーフェスを削減する 使用するコンポーネント、ライブラリ、外部から利用可能なサービスを最小限に  マネージドサービスを活用する Amazon Relational Database Service (Amazon RDS)、AWS Lambda、および Amazon Elastic Container Service (Amazon ECS) を活用し、セキュリティ対応を減らす  コンピューティング保護を自動化する 脆弱性管理、アタックサーフェス削減、リソース管理などのコンピューティング保護を自動 化  ユーザーが遠距離でアクションを実行できるようにする 踏み台サーバを使わず、Systems Managerを利用  ソフトウェアの整合性を検証する ソフトウェア、コード、ライブラリが信頼できるソースからのものであり、改ざんされてい ないかを検証する必要あり 「セキュリティの柱」でわかること

Slide 37

Slide 37 text

Copyright © IDS Corporation. All rights reserved. 12 Confidential クラウドのみの防御から 企業全体の防御へ

Slide 38

Slide 38 text

Copyright © IDS Corporation. All rights reserved. 13 Confidential 13 高度化するサイバーリスク攻撃への対処について クラウド環境向け セキュリティソリューション Trend Cloud One 企業システム全体を保護する セキュリティプラットフォーム Trend Vision One Network Workload Compliance Storage Container Cloud On- Premise OT XDR SecureAccess Risk Visibility

Slide 39

Slide 39 text

Copyright © IDS Corporation. All rights reserved. 14 Confidential 14 Trend Vision Oneで実現できること  PC、サーバ、クラウドワークロードのセキュ リティ機能を統合  1つのコンソールで管理が可能  効率的なエンドポイントセキュリティの運用 が実現できる  EPP機能に加えEDR/XDR機能 も利用が可能 (有事のセキュリティ)  ASRM(平時のセキュリティ)の強化

Slide 40

Slide 40 text

Copyright © IDS Corporation. All rights reserved. 15 Confidential EPP・EDR・XDRの違いについて

Slide 41

Slide 41 text

Copyright © IDS Corporation. All rights reserved. 16 Confidential 新しく機能追加されたEDRはなぜ必要?  アンチウイルスやEPPをすり抜けて侵入して きた脅威を、エンドポイント端末上でEDRが 検知することで、全体として漏れのない対策 が可能 EDRでEPPを補完し、より強固なセキュリティに

Slide 42

Slide 42 text

Copyright © IDS Corporation. All rights reserved. 17 Confidential EPPだけではだめなの?  Trend Micro社のEPP機能で89%の攻撃を 防ぐことができる ※2 出典:トレンドマイクロ インシデントレスポンスチームが 2019年1月1日~2022年6月17日までに対応したケースからの統計情報 ※1 EPP製品※= Apex One, Vision One –Endpoint Security, Deep Security

Slide 43

Slide 43 text

Copyright © IDS Corporation. All rights reserved. 18 Confidential さらにセキュリティを強化したい  残り11% のセキュリティ強化をするために EDR が必要。

Slide 44

Slide 44 text

Copyright © IDS Corporation. All rights reserved. 19 Confidential EPP・EDRに追加してXDRはなぜ必要?  XDRを導入することで、瞬時に判断、対応が 可能 XDR導入前 XDR導入後 情報の管理が大変 データの相関分析により、 運用負荷が軽減 EPP+EDR 個別管理での防御 がされた状態 EPP+EDR XDRによる統合管理 データ相関分析で「攻撃」を 瞬時に判断・対応可能 →包括的な防御がされた状 態

Slide 45

Slide 45 text

Copyright © IDS Corporation. All rights reserved. 20 Confidential 20 平時のセキュリティと有事のセキュリティ XDR (eXtended Detection and Response) 攻撃の事後対処として 攻撃の痕跡を検知・可視化することで インシデントの調査・ 原因特定・対処を行う 有事のセキュリティ (Reactive) 平時のセキュリティ (Reactive) ASM (Attack Surface Management) 防御の観点に加えて、 社内IT資産やアカウントなどに存在 するリスク(組織の弱点)を洗い 出す

Slide 46

Slide 46 text

Copyright © IDS Corporation. All rights reserved. 21 Confidential 21 ASM(アタックサーフェスマネジメント)とは  アタックサーフェス(攻撃対象領域)の定義 攻撃者の視点からサイバー攻撃が行われる可能性があるデ ジタル資産やサービス、環境 サイバーセキュリティでは経営リスクの一環として リスクマネジメントの実践が求められる リスクマネジメントを加味したアタックサーフェスマネジ メント = アタックサーフェスマネジメント

Slide 47

Slide 47 text

Copyright © IDS Corporation. All rights reserved. 22 Confidential コンテナECS・Fargate の脆弱性対応 Vision One Container Security

Slide 48

Slide 48 text

Copyright © IDS Corporation. All rights reserved. 23 Confidential 23 コンテナ移行を検討または既に移行されている方向けです。  コンテナFargateなどへ移行されたがセキュリティが組 織内で十分に議論されていますか?  サーバレスアーキテクチャに対する明確な セキュリティガイドラインはありますか?  専用の責任共有モデルについて理解されていますか?

Slide 49

Slide 49 text

Copyright © IDS Corporation. All rights reserved. 24 Confidential 24 責任共有モデル Amazon ECS on EC2 https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/bestpracticesguide/security-shared.html より引用

Slide 50

Slide 50 text

Copyright © IDS Corporation. All rights reserved. 25 Confidential 25 責任共有モデル Amazon ECS on Fargate https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/bestpracticesguide/security-shared.html より引用 ECS on EC2と比較してもより、Fargateの方がより多くの セキュリティの責任を負い利用者側の対策が必要

Slide 51

Slide 51 text

Copyright © IDS Corporation. All rights reserved. 26 Confidential 26 コンテナ環境の用語を復習 特⾧ サービス名 Java および .NET アプリケーショ ンをコンテナへ変換できる AWS App2Container ・可用性が高く安全なプライベート コンテナリポジトリ ・Docker コンテナイメージの保存 と管理ができる Amazon Elastic Container Registry (Amazon ECR) Docker コンテナを実行するため の高度にスケーラブルで高性能なコ ンテナオーケストレーションサービ ス Amazon Elastic Container Service (Amazon ECS) Fargate は各ワークロードを独立し た仮想環境で実行 AWS Fargate

Slide 52

Slide 52 text

Copyright © IDS Corporation. All rights reserved. 27 Confidential 27 NIST SP800-190とは 民間企業が対象となっている SP 800-171で対策を考える 【引用元】TrendMicro社提供資料

Slide 53

Slide 53 text

Copyright © IDS Corporation. All rights reserved. 28 Confidential 28 リスクと対応策 対応策 リスク イメージスキャンを行う  イメージの脆弱性  イメージの設定不備  マルウェアの埋め込み コンテナイメージ Amazon ECRを利用すること でレジストリへは暗号化通信と なり、IAMロールベースでの制 御ができる  レジストリのセキュアではないアクセス  レジストリ内の古いイメージ  認証・認可の不十分 コンテナレジストリ (ECR) AWS EKSやAWS ECSの利用 で対応可能  制限されていない管理者アクセス  不正アクセス  オーケストレータノードの設定不備 コンテナオーケスト レータ AWS Fargate(AWS EKS、 AWS ECS)で対応可能。 アプリの脆弱性はサードパー ティー製品を検討  ランタイムソフトウェア内の脆弱性  アプリケーションの脆弱性  承認されていないコンテナの稼働 コンテナ EC2に対する脆弱性対策と同様 ※Fargateを利用すれば対応不 要  ホストOSの脆弱性  不適切なユーザアクセス  ホストOSファイルシステムの改ざん ホストOS

Slide 54

Slide 54 text

Copyright © IDS Corporation. All rights reserved. 29 Confidential 29 コンテナ向けの対策 はじめの一歩 Amazon GuardDutyで包括的にガードを行う。 以下の対応はGuardDutyで可能  コンテナイメージに含まれる脆弱性監視  オーケストレータに対する不正な操作に対する監視  コンテナに関わる不正通信の監視 Amazon GuardDuty

Slide 55

Slide 55 text

Copyright © IDS Corporation. All rights reserved. 30 Confidential 30 Inspectorもコンテナイメージ(ECR)に対応 Amazon Inspector コンテナイメージに対しての直接スキャンと何が異なるの? コンテナスキャンECR Inspector OSSでの提供 AWS が開発した脆弱性管理サービス スキャンエンジン OSのみ OSとプログラミング言語 (Python、 Java、および Ruby など) パッケー ジの両方対応 パッケージ プッシュ時のみ 継続的なスキャンあり スキャン頻度 CVSSのv2のみ NVDとベンダーの両方から、 Inspector スコアと共通脆弱性評価シ ステム (CVSS) v2 および v3 スコア 脆弱性スコア 統合はなし AWS Security Hub、AWS Organizations、AWS EventBridge AWS サービスの統合 コンテナイメージの脆弱性対策としてはInspectorを用いる!

Slide 56

Slide 56 text

Copyright © IDS Corporation. All rights reserved. 31 Confidential 31 Inspectorでのスキャン実施をするなら re:Invent 2023 で Amazon Inspector が CI/CD 内で実行可能に 【引用元】 https://aws.amazon.com/jp/about-aws/whats-new/2023/11/amazon-inspector-image-security-developer-tools/ CI/CDツール内でコンテナイメージのソフトウェア脆弱性を評価できるた め、ソフトウェア開発ライフサイクルの早い段階でセキュリティを強化

Slide 57

Slide 57 text

Copyright © IDS Corporation. All rights reserved. 32 Confidential 32 AWSの機能のみでは対応できない場合は? 「Trend Vision One – Container Security」が ご利用いただけます。 トレンドマイクロ社の提供している 「Trend Micro Cloud One – Container Security」の後継です。 Amazon Elastic Container Service (Amazon ECS)と AWS Fargateの組み合わせにも対応可

Slide 58

Slide 58 text

Copyright © IDS Corporation. All rights reserved. 33 Confidential セキュリティ強化サービス ご紹介 Cloud One Workload Security Trend Vision One – Container Security

Slide 59

Slide 59 text

Copyright © IDS Corporation. All rights reserved. 34 Confidential 34 Amazon EC2 インスタンスの脆弱性診断を 実施しリスクを可視化 してくれるサービス。 ウェブアプリケーション ファイヤーウォール。 SQL インジェクションやクロスサイト スクリプティングなどの一般的な攻撃 パターンをブロックするセキュリティ ルールを作成できる、 もしくはManaged Serviceでルールを 契約できる。 AWS CloudTrail、 VPC フローログ、 DNSログを主なソースとし、 悪意のあるアクティビティを 脅威検出するサービス。 脆弱性対策に活用できるAWSサービスとその特徴

Slide 60

Slide 60 text

Copyright © IDS Corporation. All rights reserved. 35 Confidential 35 診断サービスのため 通信の遮断は 行わない。 WAFのため、 OS/ミドルウェアを 狙う攻撃や、 すり抜けてホストに到達したものは 監視できない 検出ソースに 通信のデータ部分は 含まないので、 脆弱性を狙う 攻撃コードなどは 検知できない。 “防御”という観点で注意が必要なポイント Cloud One Workload Securityにて解決 プラス Vision One機能を追加 ・パッチが適用できない期間の セキュリティリスク ・OS/ミドルウェアの脆弱性 すり抜け時のセキュリティリスク ・脆弱性を狙う攻撃からの防御

Slide 61

Slide 61 text

Copyright © IDS Corporation. All rights reserved. 36 Confidential 36 クラウドワークロードセキュリティ市場シェア 4年連続No.1※ トレンドマイクロは、IDC の調査でクラウドワークロード セキュリティ市場において、2位のベンダーと比較して 3倍近い市場シェアを保持し、最も高いシェア※を占めています。 ※ 出典: IDC, Worldwide Cloud Workload Security Market Shares, 2021 Prepare for a Wild Ride (Published July 2022) Worldwide Cloud Workload Security Market Shares, 2021: Prepare for a Wild Ride(Published July 2022) 「Trend Micro Cloud One は、ソースコードリポジトリ、 コンテナイメージ、サーバレス、ファイルストレージ、ワークロードな ど多岐にまたがる、Software-Defined Compute環境上に構築された ワークロードとアプリケーションを保護するプラットフォームです。」 (本レポートより)

Slide 62

Slide 62 text

Copyright © IDS Corporation. All rights reserved. 37 Confidential 37 SaaSのため導入が容易 管理サーバ/DB等 用意不要 サーバに必要とされる7つの機能を 1つの製品で実現 Trend Micro Cloud One Workload Securityの特徴

Slide 63

Slide 63 text

Copyright © IDS Corporation. All rights reserved. 38 Confidential 38 Trend Vision One – Container Securityのイメージ

Slide 64

Slide 64 text

Copyright © IDS Corporation. All rights reserved. 39 Confidential 39 構成イメージ例( Kubernetes・Amazon EKS on EC2 環境) )

Slide 65

Slide 65 text

Copyright © IDS Corporation. All rights reserved. 40 Confidential 40 構成イメージ例(Amazon EKS on Fargate 環境) ユーザ Pus h 任意のエンドポイント、 またはCI/CD上のサーバ等 CLIツー ル イメージの取得&スキャン EKS Cluster (Production Cluster ) Fargate ランタイム 脆弱性検索 Pod EKS Cluster (Dev Cluster) Fargate ランタイム 脆弱性検索 Pod イメージ取得&デプロイ Container Security Service スキャン実行&結果 取得 スキャン結果送付 デプロイ制 御 Pod デプロイ制 御 Pod Artifact Scanning as a Service コンテナ イメージ スキャン 検索結果 検索に必要な SBOM送付 ランタ イム 監視 Sidecar Sidecar

Slide 66

Slide 66 text

Copyright © IDS Corporation. All rights reserved. 41 Confidential 41 構成イメージ例(Amazon ECS環境) ユーザ Pus h 任意のエンドポイント、 またはCI/CD上のサーバ等 CLIツー ル イメージの取得&スキャン EKS Cluster (Production Cluster ) Fargate ランタイム 脆弱性検索 Pod EKS Cluster (Dev Cluster) Fargate ランタイム 脆弱性検索 Pod イメージ取得&デプロイ Container Security Service スキャン実行&結果 取得 スキャン結果送付 デプロイ制 御 Pod デプロイ制 御 Pod Artifact Scanning as a Service コンテナ イメージ スキャン 検索結果 検索に必要な SBOM送付 ランタ イム 監視 Sidecar Sidecar

Slide 67

Slide 67 text

Copyright © IDS Corporation. All rights reserved. 42 Confidential 42 Trend Vision One – Container Securityでできること ・コンテナイメージスキャン コンテナイメージ内に存在する脆弱性の検出 ・デプロイ制御 イメージに紐づく情報を基にデプロイを制御 スキャン結果の情報に基づきデプロイを制御 ・コンテナランタイム監視(ランタイムセキュリティ) 稼働中のコンテナ内部の挙動から典型的な攻撃パターンをルールベースで 検出し、削除/隔離を実施 ・ランタイム環境の脆弱性検索 コンテナ稼働環境に存在する脆弱性を検索

Slide 68

Slide 68 text

Copyright © IDS Corporation. All rights reserved. 43 Confidential 43 Cloud One Workload Security/Vision One – Container Security 運用代行のプランについて ・初期構築 お客様のクラウド環境における Cloud One – Workload Security の 構築を行ないます。 また、侵入検知/変更監視/セキュリティログ監視のためのルール設定(IDS標準)を 行います。 ・運用保守 Cloud One – Workload Security のアラート監視を24時間365日リモートで行ない、 アラートが確認された場合、お客さま指定の連絡先にお伝えします。 加えて、ログを分析し、定期的にレポートを提出します。

Slide 69

Slide 69 text

Copyright © IDS Corporation. All rights reserved. 44 Confidential 44 Trend Micro製品の購入について Trend Micro Cloud One及びTrend Vision One ご利用料はAWS Marketplaceから AWS利用料とまとめて毎月のお支払いが可能です。 ※利用料について、正式情報は以下サイトよりご確認をお願いいたします。 https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4 従来の購入方法 AWS利用料 ライセンスは 代理店様から購入 AWS Marketplace AWS利用料 ライセンスは AWS Marketplaceから購入

Slide 70

Slide 70 text

Copyright © IDS Corporation. All rights reserved. 45 Confidential 45 認定CSPパートナー ※正式情報は以下サイトよりご確認をお願いいたします。 https://www.trendmicro.com/ja_jp/partners/cloud-integrator-consortium.html

Slide 71

Slide 71 text

Copyright © IDS Corporation. All rights reserved. 46 Confidential 46 1200 ご利用実績 プロジェクト 以上 2011年のサービス開始から、 のべ1200以上のシステムでAWS をご利用頂いています。 5 AWS利用料 %引き ビジネスサポートも無料になり、 当社サービスの利用だけで、 最大15%安くAWSを ご利用いただけます。 お得な だれ でも AWSインフラ保険 安心 万が一を保証します 万が一AWSに障害が発生した際 の損害保険が無料付帯されます。 AWS責任共有モデルのAWS責任 部分を補償します。 本セキュリティ運用サービスの加入には、「AWS請求代行(リセール)サービス Sunny Pay」が必要です。

Slide 72

Slide 72 text

Copyright © IDS Corporation. All rights reserved. 47 Confidential • 支援実績500社以上の が AWS活用におけるリセール(請求代 行)からアプリケーション構築、AWS構築支援、運用保守まで総合的に支援し ます。 • 新規のAWSアカウント作成はもちろんすでにお使いのAWSアカウントもアカ ウントの移管なしでそのままご利用いただけます。 AWSをご利用の方はぜひご相談ください AWS アドバンストティア サービスパートナー の認定を継続維持 AWS事業の全エンジニアが AWS認定資格を取得しています

Slide 73

Slide 73 text

Copyright © IDS Corporation. All rights reserved. 48 Confidential 48 お問い合わせ先 株式会社アイディーエス 〒105-0014東京都港区芝2-3-18 YM芝公園ビル5階 ・Web : http://www.ids.co.jp ・メール:[email protected] ・電話:03-5484-7811 サニークラウド ブランドサイト https://www.sunnycloud.jp/