Tweet
Tweet

Slide 1

Slide 1 text

JAWS DAYS 2024 ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d JAWS DAYS 2024 ウィズセキュア株式会社 河野真一郎 D-8 コンサルタントに聞く! AWS Security の守り方とセキュリティテストの実例

Slide 2

Slide 2 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 2 自己紹介と ウォーミングアップ

Slide 3

Slide 3 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 自己紹介 3 河野 真一郎 ウィズセキュア株式会社 法人営業本部 クラウド セキュリティおよび サイバーセキュリティコンサルティング担当 「サイバーセキュリティの必要性と対応方法をリアルな具体例で 分かりやすくご説明」を目指して JAWS-UG に参加してます 趣味 休日の「サウナ水風呂ととのう」

Slide 4

Slide 4 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 4 サイレントセッション 聞いてるだけだと つまらないかと

Slide 5

Slide 5 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 5 参加されてる 皆さまのことを おしえてください

Slide 6

Slide 6 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 6 JAWS DAYS 今回初参加の方?

Slide 7

Slide 7 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 7 JAWS-UG で WithSecureの話 聞いたことある方?

Slide 8

Slide 8 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 8 サイバーセキュリティ 初心者と思う人? そこそこ詳しい方?

Slide 9

Slide 9 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 9 本セッションは主に サイバーセキュリティ 初心者向けです

Slide 10

Slide 10 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 10 昼ごはんの後なので この後も何回か 質問しますね

Slide 11

Slide 11 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 11 WithSecure 会社紹介

Slide 12

Slide 12 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 12

Slide 13

Slide 13 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 13

Slide 14

Slide 14 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 14

Slide 15

Slide 15 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 15 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ 数十万の 法人ユーザ様、数千万の一般消費者ユーザ様の セキュリティソフトウェア提供基盤に使用 自社がAWSの事例ユーザ

Slide 16

Slide 16 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 16 今日のお題

Slide 17

Slide 17 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 17 なにせ45分は 使えるので

Slide 18

Slide 18 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 18 1.AWSセキュリティテスト実例 2.どんなサービス? 3.エンドポイント最近ご相談例

Slide 19

Slide 19 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 19 この3つについて お話していきます!

Slide 20

Slide 20 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 20 1.AWSセキュリティテスト実例 ~お客様ご相談例~

Slide 21

Slide 21 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 21 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless 主体のシステムを構築予定 社内向け セキュリティガイドラインやベストプラクティスが必要

Slide 22

Slide 22 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 22 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless 主体のシステムを構築予定 社内向け セキュリティガイドラインやベストプラクティスが必要

Slide 23

Slide 23 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 23 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 “何から対策していくべきか スペシャリストの意見が欲しいのです”

Slide 24

Slide 24 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 24 (1)どこに脅威がある? (2)現状リスク分析 (3)診断するならここ

Slide 25

Slide 25 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 25 前ページ (1) – (3) 専門家がまとめる

Slide 26

Slide 26 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 26 AWS環境セキュリティガイドラインのご提案例 ・既に社内で セキュリティガイドライン がある場合 -> AWS環境へカスタマイズ支援 ・セキュリティガイドラインはこれから 作成する場合 -> お客様が使用している環境に 合致したセキュリティガイドラインを 脅威分析とともにご提供

Slide 27

Slide 27 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 27 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定 脅威分析サービスのイメージ 攻撃者の視点で以下を分析 ・どこにセキュリティ上の脅威がある? ・どんな攻撃方法がある? ・攻撃されたら影響範囲は? ・その攻撃を実施するためのスキルレベルは? ・それで実際、どんな対策をすれば良い?

Slide 28

Slide 28 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 28 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定 お客様向けセキュリティガイドライン作成 攻撃者の視点をご説明した上で ・どのような設定、対策を実施するべきか? ・現状把握できていなかったセキュリティの脅威は何か? ・社内向けセキュリティガイドライン を作成、お客様へご提出

Slide 29

Slide 29 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 29 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定 お客様向けセキュリティガイドラインの次に相談頂く例 「セキュリティガイドラインを元にシステムを構築しました」 「本当に攻撃されないかテストしてほしいんですが」 -> Penetration Test ( 侵入テスト ) のご提案へ

Slide 30

Slide 30 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 30 ここまでで、1回 みなさまに質問です

Slide 31

Slide 31 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 31 サイバーセキュリティの “脅威分析” 聞いたことのある方

Slide 32

Slide 32 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 32 利用環境の 脅威分析 実施した事のある方?

Slide 33

Slide 33 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 33 診断担当コンサルが どんな脅威分析手法を 行うか興味ある方は?

Slide 34

Slide 34 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 34 脅威分析後の ペネトレーションテスト 手法を以降で説明

Slide 35

Slide 35 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 35 2.どんなサービス? WithSecureサービス実施例

Slide 36

Slide 36 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 36 ▪ ツールと人による診断:対象のシステム、技術と企業に合わせて、ワールドクラスの診断者を適切にアサイン ▪ 現実的な攻撃方法とビジネスリスクに基づく診断の観点:お客様のビジネスに重要な脅威とリスクを把握 ▪ 技術的な弱点だけの診断ではなく:技術的な脆弱性の他にも、ユーザーロールとアクセス制限の有効性、ビ ジネスロジックでの弱点、制限や対策の突破、暗号化とデータの保存仕方の弱点と、プライバシーまで診断 ▪ 攻撃者側の観点も、守る側の観点も:ただの外部側からの診断だけではなく、セキュリティ的に重要なソース コードの部分と、セキュリティとインシデント検知に関わる設定と構成も診断 ▪ 対策と開発も強化:検出した弱点に基づいて、有効で現実的な対策案を提案し、開発者向けのトレーニン グも実施可能 WithSecure セキュリティ診断の特徴 ソフトウェアによる自動診断に加えて、 ホワイトハッカーによる “攻撃者の視点” に立った診断を実施

Slide 37

Slide 37 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 37 ▪ 対象になるWebアプリケーションの全体的な診断を行います。 ▪ 診断方針は、対象システムと技術に詳しい診断者のよる手 動での診断です。自動的な確認が有効な場合は、自動化の ツールも使用しますが、最終的な判断と確認は手動で実施 ▪ 技術的な脆弱性だけではなく、ビジネスロジックでの弱点や、 アクセス制限の突破や、プライバシー関連の問題点や、複雑 な攻撃方法まで診断 ▪ WithSecureの診断方法の推奨は、攻撃者観点からの手 動診断とセキュリティ的に重要なソースコードと設定の部分の ホワイトボックス診断です。こちらによって、診断は効率的に深 くまででき、対策案もピンポイントで提供可能 Webアプリケーション診断

Slide 38

Slide 38 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 38 ▪ ネットワーク経由で悪用可能な既知の脆弱 性や設定ミスを検出 ▪ 事例: ▪ サーバーアプリケーションとミドルウェアでの脆弱性 ▪ SSL/TLS、暗号化アルゴリズム等の適切では ない設定 ▪ デフォルトのパスワード ▪ などなど ▪ 対象はサーバーとネットワーク機器など プラットフォーム診断

Slide 39

Slide 39 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 39 ▪ ハードニングとは、サーバーやアプリケーションの設定を 守る側から確認し、攻撃範囲と攻撃の影響を最小 限にすること ▪ レビュー内容はミドルウェアとアプリケーションのセキュリ ティと関連する設定とセキュアな運用についての確認 ▪ 診断内容の事例: ▪ サービスでのセキュリティ設定やパスワードポリシー ▪ ログの内容と保存方法およびリモートログの設定 ▪ 重要なプログラムや設定ファイル等のアクセス制限 ▪ 運用方法によるセキュリティリスク ▪ 権限昇格につながる弱点や設定ミス ▪ Center for Internet Security の標準との準拠 ハードニングレビュー

Slide 40

Slide 40 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 40 ▪ AWS 環境に適切な設定ができているかについて、現実的 かつ有効な方法を確認 ▪ 設計上の問題や、設計の意図通りに AWS が設定され ているかについても構成図や設計を基に確認 ▪ 診断対象(例) ▪ AWS アカウント ▪ IAMアクセス ▪ Amazon CloudFront ▪ Amazon CloudWatch ▪ Amazon Elastic Load Balancing ▪ Amazon ElastiCache ▪ Amazon RDS ▪ AWS Cloud Trail ▪ AWS Config etc…. クラウド環境 (AWS) 診断

Slide 41

Slide 41 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 41

Slide 42

Slide 42 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 42

Slide 43

Slide 43 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 43 またここで、 みなさまに質問です

Slide 44

Slide 44 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 44 利用環境の ペネトレーションテスト 実施した事ありますか?

Slide 45

Slide 45 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 45 自社で ペネトレーションテスト 実施できるという方は?

Slide 46

Slide 46 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 46 3.エンドポイント最近ご相談例

Slide 47

Slide 47 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 47 日本国内 サイバー攻撃 事例 2022年3月 工場ライン停止 インシデント 国内自動車メーカー 取引先部品メーカーランサムウェア被害 -> 国内全工場14か所が停止、 約1万3000台の生産への影響 2022年10月 医療機関 インシデント 国内医療機関 ランサムウェア感染 -> 基幹システムに障害が発生 通常診療ができない状況に

Slide 48

Slide 48 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 48 製造業におけるサイバー攻撃事例 WithSecure 2020年 調査レポート ・製造業におけるサイバー攻撃の86%が標的型攻撃 ・ハッキング 66%、マルウェア攻撃34%のみ ・侵害の半数近く(47%)が、競争優位性獲得の ための知的財産の盗難に関与 ・53%の攻撃は国家が関与、組織的犯罪は35% 標的型攻撃、ファイルレス攻撃に対して EDR ご検討例が Server環境でも増加

Slide 49

Slide 49 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 49 インシデント マネジメント スレット インテリジェンス 専門家の ガイダンス WINDOWS センサー MAC センサー 集中管理 管理統合* 振舞い分析 アプリケーション インベントリ BROAD CONTEXT DETECTION ホスト隔離 自動対応 WithSecure Elements EDR 機能一覧

Slide 50

Slide 50 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 50 ここまでのまとめ

Slide 51

Slide 51 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 51 サイバーセキュリティには 銀の弾丸はありません

Slide 52

Slide 52 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 52 https://www.withsecure.com/jp-ja/whats-new/pressroom/20230526-cybercrime

Slide 53

Slide 53 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 53 しかも残念な事に サイバー犯罪者は 高度化、悪質化してる

Slide 54

Slide 54 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 54 サイバーセキュリティの 基本的な考え方

Slide 55

Slide 55 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 55 重要箇所を脅威分析 多重防御 攻撃からの復旧演習

Slide 56

Slide 56 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 56 地道に、基本に忠実に サイバーセキュリティ 対策を進めることが大切

Slide 57

Slide 57 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 57 そうは言っても 基本って?何すれば? お悩みの方が居ましたら

Slide 58

Slide 58 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 58 そのための コミュニティ活動 懇親会 情報交換

Slide 59

Slide 59 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 59 自社の同僚と お客さんだけと 会話をしてませんか?

Slide 60

Slide 60 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 60 ぜひ活発な情報交換 「このトピック気になる」 「これ誰か知らない?」

Slide 61

Slide 61 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 61 皆さまがクラウド、 サイバーセキュリティ、 興味のあるトピックを

Slide 62

Slide 62 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 62 お互いの知見とノウハウを 共有していきますように

Slide 63

Slide 63 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 63 余談

Slide 64

Slide 64 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 64 なぜ JAWS-UG活動?

Slide 65

Slide 65 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 65 Unix 文化 ハッカー文化 “共有すること”

Slide 66

Slide 66 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 66 あなたのノウハウ 私のノウハウ 外のモノサシ

Slide 67

Slide 67 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 67 “共有すること” みんなが幸せに

Slide 68

Slide 68 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 68 ぜひ活発な JAWS-UG活動を

Slide 69

Slide 69 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 69 One more thing,

Slide 70

Slide 70 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 70 WithSecure ビジョン https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 71

Slide 71 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 71 セキュリティにおける課題は 誰も単独で 解決することはできません https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 72

Slide 72 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 72 パートナー様、ユーザー様、 情報セキュリティコミュニティ が一丸となって https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 73

Slide 73 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 73 『パートナー』として 協力し合うことで https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 74

Slide 74 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 74 セキュリティの課題が ビジネスの成長を妨げること がなくなるのです。 https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 75

Slide 75 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 75 WithSecureと共に 歩む誰もが https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 76

Slide 76 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 76 サイバー攻撃によって 深刻な被害を受けること のない未来を作る https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 77

Slide 77 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 77 それが 私たちのビジョンです https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 78

Slide 78 text

ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 78

Slide 79

Slide 79 text

79