Slide 1

Slide 1 text

商号等  三井物産デジタル‧アセットマネジメント株式会社 ⾦融商品取引業者 関東財務局⻑(⾦商)第3277号 加⼊協会  ⽇本証券業協会、⼀般社団法⼈ ⽇本投資顧問業協会、⼀般社団法⼈ 第⼆種⾦融商品取引業協会 ©Mitsui & Co. Digital Asset Management, Ltd. 公開 Pwned Labsのすゝめ 喋ることだけ意識していて、スポンサーセッションであることも、30min枠であることも 忘れていたとあるセキュリティ担当による発表 #CloudSec JP #001 #cloudsecjp

Slide 2

Slide 2 text

公開 イントロ ⾃⼰紹介 about @ken5scal 三井物産デジタル‧アセットマネジメント ● コーポレートシステム部⻑, システムリスク統括責任 ● LayerX Fintech事業部から出向 個⼈活動 ● 週間ニュースレター「忙しい⼈のためのセキュリティ‧イン テリジェンス」 ● 他: Podcast、同⼈誌 来歴 ● ⾦融系SIer > 資産管理‧家計簿SP > 証券会社 > 現職 2

Slide 3

Slide 3 text

公開 ⽬次 INDEX 1. イントロ 2. 学習要綱 3. PwedLabsはいいぞ

Slide 4

Slide 4 text

公開 01 イントロ 4

Slide 5

Slide 5 text

5 © LayerX Inc. 「すべての経済活動を、デジタル化する。」をミッションに、AI SaaSとAI DXの事業を展開 事業紹介 バクラク事業 企業活動のインフラとなる業務を 効率化するクラウドサービス Fintech事業 ソフトウェアを駆使したアセットマネジ メント‧証券事業を合弁会社にて展開 AI‧LLM事業 社内のナレッジやノウハウをデータ ベース化するAIプラットフォーム AI SaaSドメイン AI DXドメイン

Slide 6

Slide 6 text

公開 三井物産デジタル‧アセットマネジメント(MDM)について はじめに 会社設⽴ 2020年 資産運⽤総額(AUM)* 2, 000億円+ デジタル証券ファンド組成数* 14 国内No.1** * 2024年12⽉31⽇時点 **2024年12⽉31⽇時点で資産運⽤会社が組成する電⼦記録移転有価証券表⽰権利等を発⾏したファンド数。有価証券届出書を元に当社調査。 所在地 〒103-0012 東京都中央区⽇本橋堀留町1-9-8 ⼈形町PREX4階 資本⾦ 30億円(資本準備⾦を含む) 従業員数 76名(2024年12⽉1⽇現在) 登録免許 関東財務局⻑(⾦商)第3277号 第⼀種⾦融商品取引業‧第⼆種⾦融商品取引業‧投資運⽤業 事業内容 不動産‧インフラを中⼼とする実物資産のアセットマネジメント事業 個⼈投資家向けオンライン資産運⽤サービス「オルタナ」の運営 当社の強み 総合商社‧不動産⾦融等の出⾝者が集う「資産運⽤のプロ集団」 ファンド組成〜販売〜運⽤を⼀気通貫で⾏う「製販⼀体」の体制 社員の3割がソフトウェアエンジニア「デジタルネイティブ」な⾦融機関 株主 6

Slide 7

Slide 7 text

公開 イントロ 会社概要② 職務概要 7 ガバナンス‧コンプライアンス業務

Slide 8

Slide 8 text

公開 8 イントロ 会社概要③ プロダクトの範囲 運⽤ 流動化 IR マー ケ

Slide 9

Slide 9 text

公開 イントロ 直⾯してきた‧している課題 外的要因 9 外部団体‧ 親会社からの ハイコンテクストで 多様なフォーマットの チェックシート 相対的に増えたクラウ ドの変更‧構成管理 増え続ける 管理コスト‧ ⾦銭的コスト 脆弱性を埋め込む脅威 ベクトルの増加

Slide 10

Slide 10 text

公開 イントロ 直⾯してきた‧している課題 外的要因 10 外部団体‧ 親会社からの ハイコンテクストで 多様なフォーマットの チェックシート 相対的に増えたクラウ ドの変更‧構成管理 増え続ける 管理コスト‧ ⾦銭的コスト 脆弱性を埋め込む脅威 ベクトルの増加 特に侵⼊する窓⼝が広い

Slide 11

Slide 11 text

公開 イントロ 直⾯してきた‧している課題 外的要因 11 外部団体‧ 親会社からの ハイコンテクストで 多様なフォーマットの チェックシート 相対的に増えたクラウ ドの変更‧構成管理 増え続ける 管理コスト‧ ⾦銭的コスト 脆弱性を埋め込む脅威 ベクトルの増加 とりあえず いい感じに構成情報と標準(情報)を引っ張って いい感じにデータ基盤に放り込んで いい感じにギャップ(脆弱性)を⾒つけて、 いい感じに影響ない⽅法でギャップを埋めていきたい そして、いい感じに仕事しないでお給料もらいたい

Slide 12

Slide 12 text

公開 イントロ 3年間のチーム構成の推移 ● ⼈数: 1⼈ -> 5⼈ ● バックグラウンド: コーポレートエンジニア、CTO、SRE、派遣ヘルプデスク、わい 12 https://note.layerx.co.jp/n/n2106928167c3 全メンバー向けに会社が部⾨が ⽬指していきたい⽅向性を⽰した 「羅針盤」 を更新

Slide 13

Slide 13 text

公開 イントロ 3年ほど集中したい技術‧分野 - デジタルアイデンティティ - ⾃動的なベースライン構築‧運⽤ - AIエージェント - データ基盤 - リスクベースの実践的評価と継続的な改善 - レッドチーム演習やChaos Engineeringなどを組み合わせた包括的なテストを定期的に実施し、サービス 信頼性‧セキュリティ対策‧運⽤体制を検証する。 - その結果をフィードバックし、運⽤⾃動化やガバナンス強化につなげることで、組織横断的に継続的改善 の⽂化を根付かせる。 - SREの可⽤性リスク、DevOpsの変更リスク、コーポレートITの運⽤リスク、セキュリティリスクなど、多 ⾯的にリスクを評価。 - 定性‧定量両⾯の指標を⽤い、優先度の⾼い領域から技術的‧管理的対策を導⼊するサイクルを確⽴ 13

Slide 14

Slide 14 text

公開 イントロ 3年ほど集中したい技術‧分野 - デジタルアイデンティティ - ⾃動的なベースライン構築‧運⽤ - AIエージェント - データ基盤 - リスクベースの実践的評価と継続的な改善 - レッドチーム演習やChaos Engineeringなどを組み合わせた包括的なテストを定期的に実施し、サービス 信頼性‧セキュリティ対策‧運⽤体制を検証する。 - その結果をフィードバックし、運⽤⾃動化やガバナンス強化につなげることで、組織横断的に継続的改善 の⽂化を根付かせる。 - SREの可⽤性リスク、DevOpsの変更リスク、コーポレートITの運⽤リスク、セキュリティリスクなど、多 ⾯的にリスクを評価。 - 定性‧定量両⾯の指標を⽤い、優先度の⾼い領域から技術的‧管理的対策を導⼊するサイクルを確⽴ 14 コーポレートエンジニア、CTO、SRE、派遣ヘルプデスク バックグラウンドが持つスキルではない

Slide 15

Slide 15 text

公開 15 https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf

Slide 16

Slide 16 text

公開 イントロ 規定等及び業務プロセスの整備 ● 情報資産管理 ● リスク評価 ● 脆弱性管理 ● 脆弱性診断及びペネトレーションテスト ● 演習‧訓練 ● 認証‧アクセス管理 ● 教育‧研修 ● データ管理 16 「⾦融商品取引業者等向けの総合的な監督指針」を含む全監督指針が、そのサイバーセキュリティ管 理について「⾦融分野におけるサイバーセキュリティに関するガイドライン」を基底とするようにな り、以下の態勢を要求している ● ログ管理 ● セキュリティ‧バイ‧デザイン ● 技術的対策 ● インシデント対応及び復旧 ● サードパーティリスク管理 リスクベースで机上の空論ではあかん できれば実際に試して、対策後も確認したい。 =外部研修が必要

Slide 17

Slide 17 text

公開 02 学習要綱 17

Slide 18

Slide 18 text

公開 - CISSP / CISM /CISA? 悪くないが、セキュリティマネージャーを育てることに研修費⽤をとり たいわけではないのでOJTとはチョット違う - Offensive Labs / THM / HTB? とてもいいが、得意としている攻撃環境‧脅威がチョット違う - SANS GPEN? ⾼杉   ※BSCP?とても良さそう - 学習要綱 どんな外部研修コースか? 18

Slide 19

Slide 19 text

公開 - 当社のクラウン‧ジュエルには、2~3hopで到達 できる(気がする) - フルクラウド環境では、アタックサーフェース (ノード)とShortest Pathなエッジを潰すのが リスクベースな対応だと考えている - その起点は⼤体、misconfigになるはずであり、 そのためEnumとmisconfigを突く典型的な脅威 に集中すべきと考えている 学習要綱 我々が想定したいリスクベースの脅威 19 我々がまずGetしたいオフェンシブな領域と 価格の両⽴したOFF JTな研修を探している

Slide 20

Slide 20 text

公開 03 Pwned Labsはいいぞ 20

Slide 21

Slide 21 text

公開 21

Slide 22

Slide 22 text

公開 - BootCamp - AWS、Azure、GCP(Coming Soon)といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境 - Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおk - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 概要 22

Slide 23

Slide 23 text

公開 - CNCFでいうところのクラウドネイティブな開発に関連したコンテンツがあって良い - 例: 「Uncover Secrets in CodeCommit and Docker」 - 例: 「Abuse OpenID Connect and GitLab for AWS Access」 - 例: 「Exploit Kubernetes Overly Permissive RBAC」 - あまりでてこないバッチ‧サーバーレス開発も考えられていて良い - 例: 「SQS and Lambda SQL Injection」 - 例: 「Abuse S3 Replication and Batch Ops to Exfiltrate Data」 - SSRFがIMDSv2ベースなのがよい - 総じて、しっかり最新の脅威や、近年のモダン開発フローを念頭にしているのが良い PWNEDLABS コンテンツ - Good 23

Slide 24

Slide 24 text

公開 - クラシックなCTFとは頭の使い⽅が違った - クラシックな⽅: 「ジャンルに特化した考え⽅」「Exploitの作り⽅⼤事」「脳みそ焼き切る」 - こっち: 「開発者がどこで⼿を抜くか」「どれぐらいIaaSのAPIを知っているか」「ベスプラはなにか」 - 個⼈的に⼀番⼿間取ったのは、提供されるエントリーポイント(IPアドレス)からどうAWS環境 に侵⼊するか。 ※ある程度AWSに慣れているからそう感じるのかも? - 当社のリスクベース的には別のスキルセット(Web系Pen)でカバーする必要がありそう ※Burp Suite Certified Practitioner? PWNEDLABS コンテンツ - その他 24

Slide 25

Slide 25 text

公開 - BootCamp - AWS、Azure、GCP(Coming Soon)といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境 - Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおk - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 価格は? 25

Slide 26

Slide 26 text

公開 - BootCamp - AWS、Azure、GCP(Coming Soon)といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境 - Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおk - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 価格は? 26

Slide 27

Slide 27 text

公開 - BootCamp - AWS、Azure、GCP(Coming Soon)といったIaaSにおけるEnum / Exploiotをするコース - 4週間のコースと45⽇間のlab専⽤lab環境 - Zoom録画の提供 - 6時間のCTF形式のExam - 学習系CTF - 優しめ。マシン⽴ち上げると、公式回答も表⽰される。 - ⾒ずに解くのももちろんおk - そこそこ難しいCyber Rages - Webアプリケーションを提供され、ノーヒントでFlagをとって侵⼊していくコンテンツ - ただ、割とDiscordで気軽に助けてくれる。NO TRY HARDER。 - コミュニティ感が強い PWNEDLABS 価格は? 27 コンテンツと値段のバランスが良いと感じた。 オススメ

Slide 28

Slide 28 text

公開 28

Slide 29

Slide 29 text

公開 イントロ 規定等及び業務プロセスの整備 ● 情報資産管理 ● リスク評価 ● 脆弱性管理 ● 脆弱性診断及びペネトレーションテスト ● 演習‧訓練 ● 認証‧アクセス管理 ● 教育‧研修 ● データ管理 29 「⾦融商品取引業者等向けの総合的な監督指針」を含む全監督指針が、そのサイバーセキュリティ管 理について「⾦融分野におけるサイバーセキュリティに関するガイドライン」を基底とするようにな り、以下の態勢を要求している ● ログ管理 ● セキュリティ‧バイ‧デザイン ● 技術的対策 ● インシデント対応及び復旧 ● サードパーティリスク管理 リスクベースで机上の空論ではあかん できれば実際に試して、対策後も確認したい。 =外部研修が必要

Slide 30

Slide 30 text

公開

Slide 31

Slide 31 text

公開 31 ken5が受けたかっただけ! やりたい駆動! ついでに業務に活⽤しただけ ※⾃費で受けて、クオリティ確認して予算つくるタイプのモンスター

Slide 32

Slide 32 text

公開 - ISACA系(CISM, CISA) - ISC2 ( CCSP?, CISSP?) - PwnedLab(ACRPT、MCRTP) - Burp Suite Certified Practitioner - Endpoint系(OSMR?OSED?) - 等 今後の当社 こういう研修の予算を確保していきます 32

Slide 33

Slide 33 text

公開 - 2年後を⾒据え、Red的業務をするための枠を拡充していきたいと考えています - AIだけでなく、Humanもめっちゃ必要なので、是⾮、⾯談含めご検討いただけますと幸いです - We are Hiring - X / YouTrust: @ken5scal - OpenDoor: https://jobs.layerx.co.jp/bb8263e946964a4b9bfac9f4e67cf353 今後の当社 研修予算は取れるが、「今」はRed難しい 33

Slide 34

Slide 34 text

公開 おまけ 無料でできるオススメチャレンジ 34 あとは、インフラコストかかるけど AWS Goat, Cloud Goat

Slide 35

Slide 35 text

コーポレートサイト https://corp.mitsui-x.com/ サービスサイト(ALTERNA) https://alterna-z.com/ 公開