JAWS DAYS 2024 Track D Supporter Session "How to Test AWS Environment?""

Slide 1

Slide 1 text

JAWS DAYS 2024 ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d JAWS DAYS 2024 ウィズセキュア株式会社河野真一郎 D-8 コンサルタントに聞く！ AWS Security の守り方とセキュリティテストの実例

Slide 2

Slide 2 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 2 自己紹介とウォーミングアップ

Slide 3

Slide 3 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 自己紹介 3 河野真一郎ウィズセキュア株式会社法人営業本部クラウドセキュリティおよびサイバーセキュリティコンサルティング担当「サイバーセキュリティの必要性と対応方法をリアルな具体例で分かりやすくご説明」を目指して JAWS-UG に参加してます趣味休日の「サウナ水風呂ととのう」

Slide 4

Slide 4 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 4 サイレントセッション聞いてるだけだとつまらないかと

Slide 5

Slide 5 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 5 参加されてる皆さまのことをおしえてください

Slide 6

Slide 6 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 6 JAWS DAYS 今回初参加の方？

Slide 7

Slide 7 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 7 JAWS-UG で WithSecureの話聞いたことある方？

Slide 8

Slide 8 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 8 サイバーセキュリティ初心者と思う人？そこそこ詳しい方？

Slide 9

Slide 9 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 9 本セッションは主にサイバーセキュリティ初心者向けです

Slide 10

Slide 10 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 10 昼ごはんの後なのでこの後も何回か質問しますね

Slide 11

Slide 11 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 11 WithSecure 会社紹介

Slide 12

Slide 12 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 12

Slide 13

Slide 13 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 13

Slide 14

Slide 14 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 14

Slide 15

Slide 15 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 15 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ 数十万の法人ユーザ様、数千万の一般消費者ユーザ様のセキュリティソフトウェア提供基盤に使用自社がAWSの事例ユーザ

Slide 16

Slide 16 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 16 今日のお題

Slide 17

Slide 17 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 17 なにせ45分は使えるので

Slide 18

Slide 18 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 18 1.AWSセキュリティテスト実例 2.どんなサービス？ 3.エンドポイント最近ご相談例

Slide 19

Slide 19 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 19 この3つについてお話していきます！

Slide 20

Slide 20 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 20 1.AWSセキュリティテスト実例～お客様ご相談例～

Slide 21

Slide 21 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 21 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless 主体のシステムを構築予定社内向けセキュリティガイドラインやベストプラクティスが必要

Slide 22

Slide 22 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 22 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless 主体のシステムを構築予定社内向けセキュリティガイドラインやベストプラクティスが必要

Slide 23

Slide 23 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 23 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 “何から対策していくべきかスペシャリストの意見が欲しいのです”

Slide 24

Slide 24 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 24 (1)どこに脅威がある？ (2)現状リスク分析 (3)診断するならここ

Slide 25

Slide 25 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 25 前ページ (1) – (3) 専門家がまとめる

Slide 26

Slide 26 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 26 AWS環境セキュリティガイドラインのご提案例・既に社内でセキュリティガイドラインがある場合 -> AWS環境へカスタマイズ支援・セキュリティガイドラインはこれから作成する場合 -> お客様が使用している環境に合致したセキュリティガイドラインを脅威分析とともにご提供

Slide 27

Slide 27 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 27 ▪ 業種：オンラインサービス（日本） ▪ 要件：クラウド環境におけるWebアプリケーションのセキュリティ診断想定される脅威を列挙し、顧客との合意によりリスクを設定脅威分析サービスのイメージ攻撃者の視点で以下を分析・どこにセキュリティ上の脅威がある？・どんな攻撃方法がある？・攻撃されたら影響範囲は？・その攻撃を実施するためのスキルレベルは？・それで実際、どんな対策をすれば良い？

Slide 28

Slide 28 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 28 ▪ 業種：オンラインサービス（日本） ▪ 要件：クラウド環境におけるWebアプリケーションのセキュリティ診断想定される脅威を列挙し、顧客との合意によりリスクを設定お客様向けセキュリティガイドライン作成攻撃者の視点をご説明した上で・どのような設定、対策を実施するべきか？・現状把握できていなかったセキュリティの脅威は何か？・社内向けセキュリティガイドラインを作成、お客様へご提出

Slide 29

Slide 29 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 29 ▪ 業種：オンラインサービス（日本） ▪ 要件：クラウド環境におけるWebアプリケーションのセキュリティ診断想定される脅威を列挙し、顧客との合意によりリスクを設定お客様向けセキュリティガイドラインの次に相談頂く例「セキュリティガイドラインを元にシステムを構築しました」「本当に攻撃されないかテストしてほしいんですが」 -> Penetration Test ( 侵入テスト ) のご提案へ

Slide 30

Slide 30 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 30 ここまでで、1回みなさまに質問です

Slide 31

Slide 31 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 31 サイバーセキュリティの “脅威分析” 聞いたことのある方

Slide 32

Slide 32 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 32 利用環境の脅威分析実施した事のある方？

Slide 33

Slide 33 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 33 診断担当コンサルがどんな脅威分析手法を行うか興味ある方は？

Slide 34

Slide 34 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 34 脅威分析後のペネトレーションテスト手法を以降で説明

Slide 35

Slide 35 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 35 2.どんなサービス? WithSecureサービス実施例

Slide 36

Slide 36 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 36 ▪ ツールと人による診断：対象のシステム、技術と企業に合わせて、ワールドクラスの診断者を適切にアサイン ▪ 現実的な攻撃方法とビジネスリスクに基づく診断の観点：お客様のビジネスに重要な脅威とリスクを把握 ▪ 技術的な弱点だけの診断ではなく：技術的な脆弱性の他にも、ユーザーロールとアクセス制限の有効性、ビジネスロジックでの弱点、制限や対策の突破、暗号化とデータの保存仕方の弱点と、プライバシーまで診断 ▪ 攻撃者側の観点も、守る側の観点も：ただの外部側からの診断だけではなく、セキュリティ的に重要なソースコードの部分と、セキュリティとインシデント検知に関わる設定と構成も診断 ▪ 対策と開発も強化：検出した弱点に基づいて、有効で現実的な対策案を提案し、開発者向けのトレーニングも実施可能 WithSecure セキュリティ診断の特徴ソフトウェアによる自動診断に加えて、ホワイトハッカーによる “攻撃者の視点” に立った診断を実施

Slide 37

Slide 37 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 37 ▪ 対象になるWebアプリケーションの全体的な診断を行います。 ▪ 診断方針は、対象システムと技術に詳しい診断者のよる手動での診断です。自動的な確認が有効な場合は、自動化のツールも使用しますが、最終的な判断と確認は手動で実施 ▪ 技術的な脆弱性だけではなく、ビジネスロジックでの弱点や、アクセス制限の突破や、プライバシー関連の問題点や、複雑な攻撃方法まで診断 ▪ WithSecureの診断方法の推奨は、攻撃者観点からの手動診断とセキュリティ的に重要なソースコードと設定の部分のホワイトボックス診断です。こちらによって、診断は効率的に深くまででき、対策案もピンポイントで提供可能 Webアプリケーション診断

Slide 38

Slide 38 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 38 ▪ ネットワーク経由で悪用可能な既知の脆弱性や設定ミスを検出 ▪ 事例： ▪ サーバーアプリケーションとミドルウェアでの脆弱性 ▪ SSL/TLS、暗号化アルゴリズム等の適切ではない設定 ▪ デフォルトのパスワード ▪ などなど ▪ 対象はサーバーとネットワーク機器などプラットフォーム診断

Slide 39

Slide 39 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 39 ▪ ハードニングとは、サーバーやアプリケーションの設定を守る側から確認し、攻撃範囲と攻撃の影響を最小限にすること ▪ レビュー内容はミドルウェアとアプリケーションのセキュリティと関連する設定とセキュアな運用についての確認 ▪ 診断内容の事例： ▪ サービスでのセキュリティ設定やパスワードポリシー ▪ ログの内容と保存方法およびリモートログの設定 ▪ 重要なプログラムや設定ファイル等のアクセス制限 ▪ 運用方法によるセキュリティリスク ▪ 権限昇格につながる弱点や設定ミス ▪ Center for Internet Security の標準との準拠ハードニングレビュー

Slide 40

Slide 40 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 40 ▪ AWS 環境に適切な設定ができているかについて、現実的かつ有効な方法を確認 ▪ 設計上の問題や、設計の意図通りに AWS が設定されているかについても構成図や設計を基に確認 ▪ 診断対象（例） ▪ AWS アカウント ▪ IAMアクセス ▪ Amazon CloudFront ▪ Amazon CloudWatch ▪ Amazon Elastic Load Balancing ▪ Amazon ElastiCache ▪ Amazon RDS ▪ AWS Cloud Trail ▪ AWS Config etc…. クラウド環境 (AWS) 診断

Slide 41

Slide 41 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 41

Slide 42

Slide 42 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 42

Slide 43

Slide 43 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 43 またここで、みなさまに質問です

Slide 44

Slide 44 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 44 利用環境のペネトレーションテスト実施した事ありますか？

Slide 45

Slide 45 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 45 自社でペネトレーションテスト実施できるという方は？

Slide 46

Slide 46 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 46 3.エンドポイント最近ご相談例

Slide 47

Slide 47 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 47 日本国内サイバー攻撃事例 2022年3月工場ライン停止インシデント国内自動車メーカー取引先部品メーカーランサムウェア被害 -> 国内全工場14か所が停止、約1万3000台の生産への影響 2022年10月医療機関インシデント国内医療機関ランサムウェア感染 -> 基幹システムに障害が発生通常診療ができない状況に

Slide 48

Slide 48 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 48 製造業におけるサイバー攻撃事例 WithSecure 2020年調査レポート・製造業におけるサイバー攻撃の86％が標的型攻撃・ハッキング 66％、マルウェア攻撃34％のみ・侵害の半数近く（47％）が、競争優位性獲得のための知的財産の盗難に関与・53％の攻撃は国家が関与、組織的犯罪は35％標的型攻撃、ファイルレス攻撃に対して EDR ご検討例が Server環境でも増加

Slide 49

Slide 49 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 49 インシデントマネジメントスレットインテリジェンス専門家のガイダンス WINDOWS センサー MAC センサー集中管理管理統合* 振舞い分析アプリケーションインベントリ BROAD CONTEXT DETECTION ホスト隔離自動対応 WithSecure Elements EDR 機能一覧

Slide 50

Slide 50 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 50 ここまでのまとめ

Slide 51

Slide 51 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 51 サイバーセキュリティには銀の弾丸はありません

Slide 52

Slide 52 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 52 https://www.withsecure.com/jp-ja/whats-new/pressroom/20230526-cybercrime

Slide 53

Slide 53 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 53 しかも残念な事にサイバー犯罪者は高度化、悪質化してる

Slide 54

Slide 54 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 54 サイバーセキュリティの基本的な考え方

Slide 55

Slide 55 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 55 重要箇所を脅威分析多重防御攻撃からの復旧演習

Slide 56

Slide 56 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 56 地道に、基本に忠実にサイバーセキュリティ対策を進めることが大切

Slide 57

Slide 57 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 57 そうは言っても基本って？何すれば？お悩みの方が居ましたら

Slide 58

Slide 58 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 58 そのためのコミュニティ活動懇親会情報交換

Slide 59

Slide 59 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 59 自社の同僚とお客さんだけと会話をしてませんか？

Slide 60

Slide 60 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 60 ぜひ活発な情報交換「このトピック気になる」「これ誰か知らない？」

Slide 61

Slide 61 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 61 皆さまがクラウド、サイバーセキュリティ、興味のあるトピックを

Slide 62

Slide 62 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 62 お互いの知見とノウハウを共有していきますように

Slide 63

Slide 63 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 63 余談

Slide 64

Slide 64 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 64 なぜ JAWS-UG活動?

Slide 65

Slide 65 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 65 Unix 文化ハッカー文化 “共有すること”

Slide 66

Slide 66 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 66 あなたのノウハウ私のノウハウ外のモノサシ

Slide 67

Slide 67 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 67 “共有すること” みんなが幸せに

Slide 68

Slide 68 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 68 ぜひ活発な JAWS-UG活動を

Slide 69

Slide 69 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 69 One more thing,

Slide 70

Slide 70 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 70 WithSecure ビジョン https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 71

Slide 71 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 71 セキュリティにおける課題は誰も単独で解決することはできません https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 72

Slide 72 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 72 パートナー様、ユーザー様、情報セキュリティコミュニティが一丸となって https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 73

Slide 73 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 73 『パートナー』として協力し合うことで https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 74

Slide 74 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 74 セキュリティの課題がビジネスの成長を妨げることがなくなるのです。 https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 75

Slide 75 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 75 WithSecureと共に歩む誰もが https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 76

Slide 76 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 76 サイバー攻撃によって深刻な被害を受けることのない未来を作る https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 77

Slide 77 text

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_d 77 それが私たちのビジョンです https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure