Pwned Labsのすゝめ - Speaker Deck

Slide 1

Slide 1 text

商号等三井物産デジタル‧アセットマネジメント株式会社⾦融商品取引業者関東財務局⻑（⾦商）第3277号加⼊協会⽇本証券業協会、⼀般社団法⼈⽇本投資顧問業協会、⼀般社団法⼈第⼆種⾦融商品取引業協会 ©Mitsui & Co. Digital Asset Management, Ltd. 公開 Pwned Labsのすゝめ喋ることだけ意識していて、スポンサーセッションであることも、30min枠であることも忘れていたとあるセキュリティ担当による発表 #CloudSec JP #001 #cloudsecjp

Slide 2

Slide 2 text

公開イントロ⾃⼰紹介 about @ken5scal 三井物産デジタル‧アセットマネジメント ● コーポレートシステム部⻑, システムリスク統括責任 ● LayerX Fintech事業部から出向個⼈活動 ● 週間ニュースレター「忙しい⼈のためのセキュリティ‧インテリジェンス」 ● 他: Podcast、同⼈誌来歴 ● ⾦融系SIer > 資産管理‧家計簿SP > 証券会社 > 現職 2

Slide 3

Slide 3 text

公開⽬次 INDEX 1. イントロ 2. 学習要綱 3. PwedLabsはいいぞ

Slide 4

Slide 4 text

公開 01 イントロ 4

Slide 5

Slide 5 text

5 © LayerX Inc. 「すべての経済活動を、デジタル化する。」をミッションに、AI SaaSとAI DXの事業を展開事業紹介バクラク事業企業活動のインフラとなる業務を効率化するクラウドサービス Fintech事業ソフトウェアを駆使したアセットマネジメント‧証券事業を合弁会社にて展開 AI‧LLM事業社内のナレッジやノウハウをデータベース化するAIプラットフォーム AI SaaSドメイン AI DXドメイン

Slide 6

Slide 6 text

公開三井物産デジタル‧アセットマネジメント（MDM）についてはじめに会社設⽴ 2020年資産運⽤総額（AUM）* 2, 000億円+ デジタル証券ファンド組成数* 14 国内No.1** * 2024年12⽉31⽇時点 **2024年12⽉31⽇時点で資産運⽤会社が組成する電⼦記録移転有価証券表⽰権利等を発⾏したファンド数。有価証券届出書を元に当社調査。所在地〒103-0012 東京都中央区⽇本橋堀留町1-9-8 ⼈形町PREX4階資本⾦ 30億円（資本準備⾦を含む）従業員数 76名（2024年12⽉1⽇現在）登録免許関東財務局⻑（⾦商）第3277号第⼀種⾦融商品取引業‧第⼆種⾦融商品取引業‧投資運⽤業事業内容不動産‧インフラを中⼼とする実物資産のアセットマネジメント事業個⼈投資家向けオンライン資産運⽤サービス「オルタナ」の運営当社の強み総合商社‧不動産⾦融等の出⾝者が集う「資産運⽤のプロ集団」ファンド組成〜販売〜運⽤を⼀気通貫で⾏う「製販⼀体」の体制社員の3割がソフトウェアエンジニア「デジタルネイティブ」な⾦融機関株主 6

Slide 7

Slide 7 text

公開イントロ会社概要② 職務概要 7 ガバナンス‧コンプライアンス業務

Slide 8

Slide 8 text

公開 8 イントロ会社概要③ プロダクトの範囲運⽤流動化 IR マーケ

Slide 9

Slide 9 text

公開イントロ直⾯してきた‧している課題外的要因 9 外部団体‧ 親会社からのハイコンテクストで多様なフォーマットのチェックシート相対的に増えたクラウドの変更‧構成管理増え続ける管理コスト‧ ⾦銭的コスト脆弱性を埋め込む脅威ベクトルの増加

Slide 10

Slide 10 text

公開イントロ直⾯してきた‧している課題外的要因 10 外部団体‧ 親会社からのハイコンテクストで多様なフォーマットのチェックシート相対的に増えたクラウドの変更‧構成管理増え続ける管理コスト‧ ⾦銭的コスト脆弱性を埋め込む脅威ベクトルの増加特に侵⼊する窓⼝が広い

Slide 11

Slide 11 text

公開イントロ直⾯してきた‧している課題外的要因 11 外部団体‧ 親会社からのハイコンテクストで多様なフォーマットのチェックシート相対的に増えたクラウドの変更‧構成管理増え続ける管理コスト‧ ⾦銭的コスト脆弱性を埋め込む脅威ベクトルの増加とりあえずいい感じに構成情報と標準（情報）を引っ張っていい感じにデータ基盤に放り込んでいい感じにギャップ（脆弱性）を⾒つけて、いい感じに影響ない⽅法でギャップを埋めていきたいそして、いい感じに仕事しないでお給料もらいたい

Slide 12

Slide 12 text

公開イントロ３年間のチーム構成の推移 ● ⼈数: 1⼈ -> 5⼈ ● バックグラウンド: コーポレートエンジニア、CTO、SRE、派遣ヘルプデスク、わい 12 https://note.layerx.co.jp/n/n2106928167c3 全メンバー向けに会社が部⾨が⽬指していきたい⽅向性を⽰した「羅針盤」を更新

Slide 13

Slide 13 text

公開イントロ 3年ほど集中したい技術‧分野 - デジタルアイデンティティ - ⾃動的なベースライン構築‧運⽤ - AIエージェント - データ基盤 - リスクベースの実践的評価と継続的な改善 - レッドチーム演習やChaos Engineeringなどを組み合わせた包括的なテストを定期的に実施し、サービス信頼性‧セキュリティ対策‧運⽤体制を検証する。 - その結果をフィードバックし、運⽤⾃動化やガバナンス強化につなげることで、組織横断的に継続的改善の⽂化を根付かせる。 - SREの可⽤性リスク、DevOpsの変更リスク、コーポレートITの運⽤リスク、セキュリティリスクなど、多⾯的にリスクを評価。 - 定性‧定量両⾯の指標を⽤い、優先度の⾼い領域から技術的‧管理的対策を導⼊するサイクルを確⽴ 13

Slide 14

Slide 14 text

Slide 15

Slide 15 text

公開 15 https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf

Slide 16

Slide 16 text

公開イントロ規定等及び業務プロセスの整備 ● 情報資産管理 ● リスク評価 ● 脆弱性管理 ● 脆弱性診断及びペネトレーションテスト ● 演習‧訓練 ● 認証‧アクセス管理 ● 教育‧研修 ● データ管理 16 「⾦融商品取引業者等向けの総合的な監督指針」を含む全監督指針が、そのサイバーセキュリティ管理について「⾦融分野におけるサイバーセキュリティに関するガイドライン」を基底とするようになり、以下の態勢を要求している ● ログ管理 ● セキュリティ‧バイ‧デザイン ● 技術的対策 ● インシデント対応及び復旧 ● サードパーティリスク管理リスクベースで机上の空論ではあかんできれば実際に試して、対策後も確認したい。＝外部研修が必要

Slide 17

Slide 17 text

公開 02 学習要綱 17

Slide 18

Slide 18 text

公開 - CISSP / CISM /CISA？悪くないが、セキュリティマネージャーを育てることに研修費⽤をとりたいわけではないのでOJTとはﾁｮｯﾄ違う - Oﬀensive Labs / THM / HTB？とてもいいが、得意としている攻撃環境‧脅威がﾁｮｯﾄ違う - SANS GPEN? ⾼杉 ※BSCP？とても良さそう - 学習要綱どんな外部研修コースか？ 18

Slide 19

Slide 19 text

公開 - 当社のクラウン‧ジュエルには、2~3hopで到達できる（気がする） - フルクラウド環境では、アタックサーフェース（ノード）とShortest Pathなエッジを潰すのがリスクベースな対応だと考えている - その起点は⼤体、misconﬁgになるはずであり、そのためEnumとmisconﬁgを突く典型的な脅威に集中すべきと考えている学習要綱我々が想定したいリスクベースの脅威 19 我々がまずGetしたいオフェンシブな領域と価格の両⽴したOFF JTな研修を探している

Slide 20

Slide 20 text

公開 03 Pwned Labsはいいぞ 20

Slide 21

Slide 21 text

公開 21

Slide 22

Slide 22 text

公開 - BootCamp - AWS、Azure、GCP（Coming Soon）といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境 - Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおｋ - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 概要 22

Slide 23

Slide 23 text

公開 - CNCFでいうところのクラウドネイティブな開発に関連したコンテンツがあって良い - 例: 「Uncover Secrets in CodeCommit and Docker」 - 例: 「Abuse OpenID Connect and GitLab for AWS Access」 - 例: 「Exploit Kubernetes Overly Permissive RBAC」 - あまりでてこないバッチ‧サーバーレス開発も考えられていて良い - 例: 「SQS and Lambda SQL Injection」 - 例: 「Abuse S3 Replication and Batch Ops to Exﬁltrate Data」 - SSRFがIMDSv2ベースなのがよい - 総じて、しっかり最新の脅威や、近年のモダン開発フローを念頭にしているのが良い PWNEDLABS コンテンツ - Good 23

Slide 24

Slide 24 text

公開 - クラシックなCTFとは頭の使い⽅が違った - クラシックな⽅: 「ジャンルに特化した考え⽅」「Exploitの作り⽅⼤事」「脳みそ焼き切る」 - こっち: 「開発者がどこで⼿を抜くか」「どれぐらいIaaSのAPIを知っているか」「ベスプラはなにか」 - 個⼈的に⼀番⼿間取ったのは、提供されるエントリーポイント（IPアドレス）からどうAWS環境に侵⼊するか。 ※ある程度AWSに慣れているからそう感じるのかも? - 当社のリスクベース的には別のスキルセット（Web系Pen）でカバーする必要がありそう ※Burp Suite Certiﬁed Practitioner? PWNEDLABS コンテンツ - その他 24

Slide 25

Slide 25 text

Slide 26

Slide 26 text

Slide 27

Slide 27 text

Slide 28

Slide 28 text

公開 28

Slide 29

Slide 29 text

公開イントロ規定等及び業務プロセスの整備 ● 情報資産管理 ● リスク評価 ● 脆弱性管理 ● 脆弱性診断及びペネトレーションテスト ● 演習‧訓練 ● 認証‧アクセス管理 ● 教育‧研修 ● データ管理 29 「⾦融商品取引業者等向けの総合的な監督指針」を含む全監督指針が、そのサイバーセキュリティ管理について「⾦融分野におけるサイバーセキュリティに関するガイドライン」を基底とするようになり、以下の態勢を要求している ● ログ管理 ● セキュリティ‧バイ‧デザイン ● 技術的対策 ● インシデント対応及び復旧 ● サードパーティリスク管理リスクベースで机上の空論ではあかんできれば実際に試して、対策後も確認したい。＝外部研修が必要

Slide 30

Slide 30 text

公開

Slide 31

Slide 31 text

公開 31 ken5が受けたかっただけ! やりたい駆動！ついでに業務に活⽤しただけ ※⾃費で受けて、クオリティ確認して予算つくるタイプのモンスター

Slide 32

Slide 32 text

公開 - ISACA系（CISM, CISA） - ISC2 ( CCSP?, CISSP?) - PwnedLab（ACRPT、MCRTP） - Burp Suite Certiﬁed Practitioner - Endpoint系（OSMR？OSED?） - 等今後の当社こういう研修の予算を確保していきます 32

Slide 33

Slide 33 text

公開 - 2年後を⾒据え、Red的業務をするための枠を拡充していきたいと考えています - AIだけでなく、Humanもめっちゃ必要なので、是⾮、⾯談含めご検討いただけますと幸いです - We are Hiring - X / YouTrust: @ken5scal - OpenDoor: https://jobs.layerx.co.jp/bb8263e946964a4b9bfac9f4e67cf353 今後の当社研修予算は取れるが、「今」はRed難しい 33

Slide 34

Slide 34 text

公開おまけ無料でできるオススメチャレンジ 34 あとは、インフラコストかかるけど AWS Goat, Cloud Goat

Slide 35

Slide 35 text

コーポレートサイト https://corp.mitsui-x.com/ サービスサイト（ALTERNA） https://alterna-z.com/ 公開