Slide 1

Slide 1 text

Shinichiro Kawano Corporate Sales WithSecure K.K. [email protected] 2022/10/08 JAWS DAYS 2022 サポーターセッション Serverless や AWS Serviceの Security どのように守る? ~ WithSecure に最近お問合せを頂く Security ご相談事項と対応例 ~

Slide 2

Slide 2 text

(1) WithSecure の紹介 -> アンチウイルス、EDR、セキュリティコンサルティングの提供 (2) お客様ご相談例:Serverless 環境を中心としたセキュリティガイドライン -> お客様環境、使用サービスへのガイドライン作成支援、脅威分析 (3) お客様ご相談例:AWS 環境に対する Pentest 実施 -> WithSecure Attack Path Mapping のアプローチ このセッションの概要 2 © WithSecure 2022

Slide 3

Slide 3 text

3 自己紹介 河野 真一郎 ウィズセキュア株式会社 法人営業本部 クラウド セキュリティおよび サイバーセキュリティコンサルティング担当 ※2022年3月に会社名が変わりました 「サイバーセキュリティの必要性と対応方法をリアルな具体例で 分かりやすくご説明」を目指して JAWS-UG に参加してます 趣味 休日の「サウナ水風呂ととのう」 © WithSecure 2022

Slide 4

Slide 4 text

このセッションの質問は随時受け付けてます! Twitter ハッシュタグ #jawsdays2022 #jawsug 頂いた Twitter 質問、それぞれ回答しますね! ※今日の資料は公開します 最初にひとこと 4 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 5

Slide 5 text

最初にひとこと 5 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022 このセッションの質問は随時受け付けてます! Twitter ハッシュタグ #jawsdays2022 #jawsug 頂いた Twitter 質問、それぞれ回答しますね! ※今日の資料は公開します だって画面に向かってしゃべるのは寂しいですよ?

Slide 6

Slide 6 text

6 WithSecure 会社紹介 © WithSecure 2022

Slide 7

Slide 7 text

7 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug ● ● 基本データ ● ● 130Mユーロ 売上 (2021年) 1,300名+ 世界の従業員数 7,000社以上 販売パートナー数 WithSecure Corporation • 会 長 リスト・シラスマ • 社長兼CEO ユハニ・ヒンティッカ • 所在地 ヘルシンキ , フィンランド ウィズセキュア株式会社 • 代表者 ジョン・デューリー | アジアパシフィック地域担当VP • 所在地 東京都港区 • 拠 点 東京/大阪 ✓1988年創業 ✓アンチウイルスソフトウェア、EDR、脆弱性診断ツール ✓サイバーセキュリティコンサルティングサービスの提供 WithSecure 会社概要

Slide 8

Slide 8 text

8 AWS環境:WithSEcure 自身が、AWS の事例ユーザ https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ 数十万の 法人ユーザ様、数千万の一般消費者ユーザ様の セキュリティソフトウェア提供基盤に使用 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 9

Slide 9 text

9 WithSecure サイバーセキュリティ コンサルティングサービス概要 © WithSecure 2022

Slide 10

Slide 10 text

WithSecure サイバーセキュリティサービス 概要 10 30 インターポールなど 70以上の業界 機関との協業 創業以来、 セキュリティ技術の 研究・開発に注力 ヨーロッパのサイバー 犯罪への捜査協力実施 NASDAQ OMX Helsinkiに上場 (1999年) 200社以上のISPや 4,000社以上の パートナーを通じて 販売 世界100以上の 国々でビジネスを 展開 30年以上の サイバーセキュリティ 領域での経験と実績 200人以上の ホワイトハッカー 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 11

Slide 11 text

▪ 世界の大手金融機関などで多くの信頼を得ているセキュリティを再委託なく弊社一社で提供いたします。 ▪ 日本でもセキュリティが重要な金融機関様、SaaS事業者様、Webサービス事業者様、 大手製造業様などで高く評価されています。 サービスの採用 アメリカ 最大手銀行 3/5 イギリス 全大手銀行 5/5 北欧 全大手銀行 5/5 シンガポール 大手銀行 4/5 南アフリカ 大手銀行 4/5 取得している認定の例 11 WithSecure サイバーセキュリティサービス 概要

Slide 12

Slide 12 text

12 WithSecure AWS環境セキュリティ診断 ご提案サービス概要 © WithSecure 2022

Slide 13

Slide 13 text

▪ ツールと人による診断:対象のシステム、技術と企業に合わせて、ワールドクラスの診断者を適切にアサイン ▪ 現実的な攻撃方法とビジネスリスクに基づく診断の観点:お客様のビジネスに重要な脅威とリスクを把握 ▪ 技術的な弱点だけの診断ではなく:技術的な脆弱性の他にも、ユーザーロールとアクセス制限の有効性、ビ ジネスロジックでの弱点、制限や対策の突破、暗号化とデータの保存仕方の弱点と、プライバシーまで診断 ▪ 攻撃者側の観点も、守る側の観点も:ただの外部側からの診断だけではなく、セキュリティ的に重要なソース コードの部分と、セキュリティとインシデント検知に関わる設定と構成も診断 ▪ 対策と開発も強化:検出した弱点に基づいて、有効で現実的な対策案を提案し、開発者向けのトレーニン グも実施可能 WithSecure セキュリティ診断の特徴 13 ソフトウェアによる自動診断に加えて、 ホワイトハッカーによる “攻撃者の視点” に立った診断を実施 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 14

Slide 14 text

▪ 対象になるWebアプリケーションの全体的な診断を行います。 ▪ 診断方針は、対象システムと技術に詳しい診断者のよる手 動での診断です。自動的な確認が有効な場合は、自動化の ツールも使用しますが、最終的な判断と確認は手動で実施 ▪ 技術的な脆弱性だけではなく、ビジネスロジックでの弱点や、 アクセス制限の突破や、プライバシー関連の問題点や、複雑 な攻撃方法まで診断 ▪ WithSecureの診断方法の推奨は、攻撃者観点からの手 動診断とセキュリティ的に重要なソースコードと設定の部分の ホワイトボックス診断です。こちらによって、診断は効率的に深 くまででき、対策案もピンポイントで提供可能 Webアプリケーション診断 14 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 15

Slide 15 text

▪ ネットワーク経由で悪用可能な既知の脆弱 性や設定ミスを検出 ▪ 事例: ▪ サーバーアプリケーションとミドルウェアでの脆弱性 ▪ SSL/TLS、暗号化アルゴリズム等の適切では ない設定 ▪ デフォルトのパスワード ▪ などなど ▪ 対象はサーバーとネットワーク機器など プラットフォーム診断 15 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 16

Slide 16 text

▪ ハードニングとは、サーバーやアプリケーションの設定を 守る側から確認し、攻撃範囲と攻撃の影響を最小 限にすること ▪ レビュー内容はミドルウェアとアプリケーションのセキュリ ティと関連する設定とセキュアな運用についての確認 ▪ 診断内容の事例: ▪ サービスでのセキュリティ設定やパスワードポリシー ▪ ログの内容と保存方法およびリモートログの設定 ▪ 重要なプログラムや設定ファイル等のアクセス制限 ▪ 運用方法によるセキュリティリスク ▪ 権限昇格につながる弱点や設定ミス ▪ Center for Internet Security の標準との準拠 ハードニングレビュー 16 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 17

Slide 17 text

▪ AWS 環境に適切な設定ができているかについて、現実的 かつ有効な方法を確認 ▪ 設計上の問題や、設計の意図通りに AWS が設定され ているかについても構成図や設計を基に確認 ▪ 診断対象(例) ▪ AWS アカウント ▪ IAMアクセス ▪ Amazon CloudFront ▪ Amazon CloudWatch ▪ Amazon Elastic Load Balancing ▪ Amazon ElastiCache ▪ Amazon RDS ▪ AWS Cloud Trail ▪ AWS Config etc…. 17 クラウド環境(AWS) 診断 クラウド環境 (AWS) 診断 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 18

Slide 18 text

Serverless環境を中心とした セキュリティガイドライン 支援コンサルティング例 18 © WithSecure 2022

Slide 19

Slide 19 text

19 お客様ご相談例 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless 主体のシステムを構築予定 社内向け セキュリティガイドラインやベストプラクティスが必要 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 20

Slide 20 text

20 お客様ご相談例 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 “どこからセキュリティ対策をしていくべきなのか 悩んでいるのです” 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 21

Slide 21 text

21 お客様ご相談例 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 “何から対策していくべきか スペシャリストの意見が欲しいのです” 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 22

Slide 22 text

22 (1)どこに脅威がある? (2)現状リスク分析 (3)診断するならここ

Slide 23

Slide 23 text

23 前ページ (1) – (3) 専門家がまとめる

Slide 24

Slide 24 text

24 AWS環境セキュリティガイドラインのご提案例 ・既に社内で セキュリティガイドライン がある場合 -> AWS環境へカスタマイズ支援 ・セキュリティガイドラインはこれから 作成する場合 -> お客様が使用している環境に 合致したセキュリティガイドラインを 脅威分析とともにご提供 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 25

Slide 25 text

25 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定 脅威診断サービスのイメージ 攻撃者の視点で以下を分析 ・どこにセキュリティ上の脅威がある? ・どんな攻撃方法がある? ・攻撃されたら影響範囲は? ・その攻撃を実施するためのスキルレベルは? ・それで実際、どんな対策をすれば良い? 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 26

Slide 26 text

26 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定 お客様向けセキュリティガイドライン作成 攻撃者の視点をご説明した上で ・どのような設定、対策を実施するべきか? ・現状把握できていなかったセキュリティの脅威は何か? ・社内向けセキュリティガイドライン を作成、お客様へご提出 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 27

Slide 27 text

27 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定 お客様向けセキュリティガイドラインの次に相談頂く例 「セキュリティガイドラインを元にシステムを構築しました」 「本当に攻撃されないかテストしてほしいんですが」 -> Penetration Test ( 侵入テスト ) のご提案へ 質問は Twitter で随時どうぞ! #jawsdays2022 #jawsug © WithSecure 2022

Slide 28

Slide 28 text

28 攻撃侵入テスト例 “ATTACK PATH MAPPING” ・攻撃経路を把握 ・必要な対策と監視、 運用に利用可能 質問は Twitter で #jawsdays2022 #jawsug © WithSecure 2022

Slide 29

Slide 29 text

29 脆弱性指摘(サンプル) ・S3bucket ファイル一覧表 示が可能、ダウンロード可能 な状態 ・AWS アカウント ・IAM アクセス ・AWS CloudTrail……. 質問は Twitter で #jawsdays2022 #jawsug © WithSecure 2022

Slide 30

Slide 30 text

(1) WithSecure の紹介 -> アンチウイルス、EDR、セキュリティコンサルティングの提供 (2) お客様ご相談例:Serverless 環境を中心としたセキュリティガイドライン -> お客様環境、使用サービスへのガイドライン作成支援、脅威分析 (3) お客様ご相談例:AWS 環境に対する Pentest 実施 -> WithSecure Attack Path Mapping のアプローチ このセッションのまとめ 30 質問は Twitter で #jawsdays2022#jawsug © WithSecure 2022

Slide 31

Slide 31 text

© WithSecure 2022 31 余談

Slide 32

Slide 32 text

© WithSecure 2022 32 なぜ JAWS-UG活動?

Slide 33

Slide 33 text

© WithSecure 2022 33 Unix 文化 ハッカー文化 “共有すること”

Slide 34

Slide 34 text

© WithSecure 2022 34 あなたのノウハウ 私のノウハウ 外のモノサシ

Slide 35

Slide 35 text

© WithSecure 2022 35 “共有すること” みんなが幸せに

Slide 36

Slide 36 text

© WithSecure 2022 36 ぜひ活発な JAWS-UG活動を

Slide 37

Slide 37 text

© WithSecure 2022 37 One more thing,

Slide 38

Slide 38 text

© WithSecure 2022 38 WithSecure ビジョン https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 39

Slide 39 text

© WithSecure 2022 39 セキュリティにおける課題は 誰も単独で 解決することはできません https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 40

Slide 40 text

© WithSecure 2022 40 パートナー様、ユーザー様、 情報セキュリティコミュニティ が一丸となって https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 41

Slide 41 text

© WithSecure 2022 41 『パートナー』として 協力し合うことで https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 42

Slide 42 text

© WithSecure 2022 42 セキュリティの課題が ビジネスの成長を妨げること がなくなるのです。 https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 43

Slide 43 text

© WithSecure 2022 43 WithSecureと共に 歩む誰もが https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 44

Slide 44 text

© WithSecure 2022 44 サイバー攻撃によって 深刻な被害を受けること のない未来を作る https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 45

Slide 45 text

© WithSecure 2022 45 それが 私たちのビジョンです https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure

Slide 46

Slide 46 text

Copyright © 2022 WithSecure Corporation

Slide 47

Slide 47 text

© WithSecure 2022 47 本資料お問い合わせ先 (今回 オンライン開催のため ) [email protected] もしくは https://www.facebook.com/shinichiro.kawano お気軽にお問い合わせください

Slide 48

Slide 48 text

Copyright © 2022 WithSecure Corporation