Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
JAWS DAYS 2024 Track D Supporter Session "How to Test AWS Environment?""
Search
Shinichiro Kawano
March 03, 2024
Technology
0
210
JAWS DAYS 2024 Track D Supporter Session "How to Test AWS Environment?""
JAWS DAYS 2024 Track D WithSecure サポーターセッション "AWS Security の守り方とセキュリティテストの実例"
Shinichiro Kawano
March 03, 2024
Tweet
Share
More Decks by Shinichiro Kawano
See All by Shinichiro Kawano
"Computers can change your life for the better"
shinichirokawano
0
60
"Change your life" re:Invent Kansai Study
shinichirokawano
1
340
re:Invent2023 現地で何をすべきか?
shinichirokawano
0
990
20230213 JAWS-UG千葉支部 ハイブリッド#1 「UNIXという考え方」LT
shinichirokawano
0
230
2022年 JAWS-UG での活動報告と2023年も頑張るハナシ
shinichirokawano
0
210
2022 12 20 AliEater #23 Lightning Talk WithSecure
shinichirokawano
0
240
2022_1115_reInvent_breakfast_lunch
shinichirokawano
0
1.1k
2022_1102_Whatsup_Vegas_SD.pdf
shinichirokawano
0
1.6k
2022 1008 jawsdays2022 withsecure supporter session
shinichirokawano
0
140
Other Decks in Technology
See All in Technology
require(ESM)とECMAScript仕様
uhyo
3
800
GraphQL 成熟度モデルの紹介と、プロダクトに当てはめた事例 / GraphQL maturity model
mh4gf
7
1.4k
Gitlab本から学んだこと - そーだいなるプレイバック / gitlab-book
soudai
4
440
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
2.1k
R3のコードから見る実践LINQ実装最適化・コンカレントプログラミング実例
neuecc
2
210
生成AIの変革の時代に、 直近1年で直面した課題とその解決策
ktc_wada
0
350
反実仮想機械学習とは何か
usaito
PRO
12
4.8k
開発パフォーマンスを最大化するための開発体制
ham0215
2
450
エンジニアのキャリアをちょっと楽しくする3本の軸/Three Pillars to Make an Engineer's Career More Enjoyable
kwappa
0
2.7k
Janus
bkuhlmann
1
490
web-application-security
matsuihidetoshi
0
170
Azure犬駆動開発の記録/GlobalAzureFukuoka2024_20240420
nina01
1
220
Featured
See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
6
1.5k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
17
1.4k
Art, The Web, and Tiny UX
lynnandtonic
289
19k
Bash Introduction
62gerente
604
210k
10 Git Anti Patterns You Should be Aware of
lemiorhan
648
58k
KATA
mclloyd
15
12k
The MySQL Ecosystem @ GitHub 2015
samlambert
243
12k
How STYLIGHT went responsive
nonsquared
92
4.8k
GitHub's CSS Performance
jonrohan
1025
450k
Building Better People: How to give real-time feedback that sticks.
wjessup
355
18k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.1k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k
Transcript
JAWS DAYS 2024 ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d JAWS DAYS 2024 ウィズセキュア株式会社
河野真一郎 D-8 コンサルタントに聞く! AWS Security の守り方とセキュリティテストの実例
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 2 自己紹介と ウォーミングアップ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 自己紹介 3 河野 真一郎 ウィズセキュア株式会社 法人営業本部 クラウド
セキュリティおよび サイバーセキュリティコンサルティング担当 「サイバーセキュリティの必要性と対応方法をリアルな具体例で 分かりやすくご説明」を目指して JAWS-UG に参加してます 趣味 休日の「サウナ水風呂ととのう」
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 4 サイレントセッション 聞いてるだけだと つまらないかと
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 5 参加されてる 皆さまのことを おしえてください
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 6 JAWS DAYS 今回初参加の方?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 7 JAWS-UG で WithSecureの話 聞いたことある方?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 8 サイバーセキュリティ 初心者と思う人? そこそこ詳しい方?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 9 本セッションは主に サイバーセキュリティ 初心者向けです
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 10 昼ごはんの後なので この後も何回か 質問しますね
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 11 WithSecure 会社紹介
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 12
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 13
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 14
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 15 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ 数十万の 法人ユーザ様、数千万の一般消費者ユーザ様の セキュリティソフトウェア提供基盤に使用 自社がAWSの事例ユーザ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 16 今日のお題
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 17 なにせ45分は 使えるので
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 18 1.AWSセキュリティテスト実例 2.どんなサービス? 3.エンドポイント最近ご相談例
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 19 この3つについて お話していきます!
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 20 1.AWSセキュリティテスト実例 ~お客様ご相談例~
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 21 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless
主体のシステムを構築予定 社内向け セキュリティガイドラインやベストプラクティスが必要
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 22 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 Serverless
主体のシステムを構築予定 社内向け セキュリティガイドラインやベストプラクティスが必要
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 23 https://aws.amazon.com/jp/solutions/case-studies/WithSecure/ ※本ページ構成図は WithSecure のAWS 使用事例から抜粋 “何から対策していくべきか
スペシャリストの意見が欲しいのです”
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 24 (1)どこに脅威がある? (2)現状リスク分析 (3)診断するならここ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 25 前ページ (1) – (3) 専門家がまとめる
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 26 AWS環境セキュリティガイドラインのご提案例 ・既に社内で セキュリティガイドライン がある場合 -> AWS環境へカスタマイズ支援
・セキュリティガイドラインはこれから 作成する場合 -> お客様が使用している環境に 合致したセキュリティガイドラインを 脅威分析とともにご提供
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 27 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定
脅威分析サービスのイメージ 攻撃者の視点で以下を分析 ・どこにセキュリティ上の脅威がある? ・どんな攻撃方法がある? ・攻撃されたら影響範囲は? ・その攻撃を実施するためのスキルレベルは? ・それで実際、どんな対策をすれば良い?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 28 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定
お客様向けセキュリティガイドライン作成 攻撃者の視点をご説明した上で ・どのような設定、対策を実施するべきか? ・現状把握できていなかったセキュリティの脅威は何か? ・社内向けセキュリティガイドライン を作成、お客様へご提出
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 29 ▪ 業種:オンラインサービス(日本) ▪ 要件:クラウド環境におけるWebアプリケーションのセキュリティ診断 想定される脅威を列挙し、顧客との合意に よりリスクを設定
お客様向けセキュリティガイドラインの次に相談頂く例 「セキュリティガイドラインを元にシステムを構築しました」 「本当に攻撃されないかテストしてほしいんですが」 -> Penetration Test ( 侵入テスト ) のご提案へ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 30 ここまでで、1回 みなさまに質問です
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 31 サイバーセキュリティの “脅威分析” 聞いたことのある方
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 32 利用環境の 脅威分析 実施した事のある方?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 33 診断担当コンサルが どんな脅威分析手法を 行うか興味ある方は?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 34 脅威分析後の ペネトレーションテスト 手法を以降で説明
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 35 2.どんなサービス? WithSecureサービス実施例
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 36 ▪ ツールと人による診断:対象のシステム、技術と企業に合わせて、ワールドクラスの診断者を適切にアサイン ▪ 現実的な攻撃方法とビジネスリスクに基づく診断の観点:お客様のビジネスに重要な脅威とリスクを把握 ▪ 技術的な弱点だけの診断ではなく:技術的な脆弱性の他にも、ユーザーロールとアクセス制限の有効性、ビ
ジネスロジックでの弱点、制限や対策の突破、暗号化とデータの保存仕方の弱点と、プライバシーまで診断 ▪ 攻撃者側の観点も、守る側の観点も:ただの外部側からの診断だけではなく、セキュリティ的に重要なソース コードの部分と、セキュリティとインシデント検知に関わる設定と構成も診断 ▪ 対策と開発も強化:検出した弱点に基づいて、有効で現実的な対策案を提案し、開発者向けのトレーニン グも実施可能 WithSecure セキュリティ診断の特徴 ソフトウェアによる自動診断に加えて、 ホワイトハッカーによる “攻撃者の視点” に立った診断を実施
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 37 ▪ 対象になるWebアプリケーションの全体的な診断を行います。 ▪ 診断方針は、対象システムと技術に詳しい診断者のよる手 動での診断です。自動的な確認が有効な場合は、自動化の ツールも使用しますが、最終的な判断と確認は手動で実施
▪ 技術的な脆弱性だけではなく、ビジネスロジックでの弱点や、 アクセス制限の突破や、プライバシー関連の問題点や、複雑 な攻撃方法まで診断 ▪ WithSecureの診断方法の推奨は、攻撃者観点からの手 動診断とセキュリティ的に重要なソースコードと設定の部分の ホワイトボックス診断です。こちらによって、診断は効率的に深 くまででき、対策案もピンポイントで提供可能 Webアプリケーション診断
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 38 ▪ ネットワーク経由で悪用可能な既知の脆弱 性や設定ミスを検出 ▪ 事例: ▪
サーバーアプリケーションとミドルウェアでの脆弱性 ▪ SSL/TLS、暗号化アルゴリズム等の適切では ない設定 ▪ デフォルトのパスワード ▪ などなど ▪ 対象はサーバーとネットワーク機器など プラットフォーム診断
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 39 ▪ ハードニングとは、サーバーやアプリケーションの設定を 守る側から確認し、攻撃範囲と攻撃の影響を最小 限にすること ▪ レビュー内容はミドルウェアとアプリケーションのセキュリ
ティと関連する設定とセキュアな運用についての確認 ▪ 診断内容の事例: ▪ サービスでのセキュリティ設定やパスワードポリシー ▪ ログの内容と保存方法およびリモートログの設定 ▪ 重要なプログラムや設定ファイル等のアクセス制限 ▪ 運用方法によるセキュリティリスク ▪ 権限昇格につながる弱点や設定ミス ▪ Center for Internet Security の標準との準拠 ハードニングレビュー
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 40 ▪ AWS 環境に適切な設定ができているかについて、現実的 かつ有効な方法を確認 ▪ 設計上の問題や、設計の意図通りに
AWS が設定され ているかについても構成図や設計を基に確認 ▪ 診断対象(例) ▪ AWS アカウント ▪ IAMアクセス ▪ Amazon CloudFront ▪ Amazon CloudWatch ▪ Amazon Elastic Load Balancing ▪ Amazon ElastiCache ▪ Amazon RDS ▪ AWS Cloud Trail ▪ AWS Config etc…. クラウド環境 (AWS) 診断
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 41
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 42
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 43 またここで、 みなさまに質問です
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 44 利用環境の ペネトレーションテスト 実施した事ありますか?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 45 自社で ペネトレーションテスト 実施できるという方は?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 46 3.エンドポイント最近ご相談例
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 47 日本国内 サイバー攻撃 事例 2022年3月 工場ライン停止 インシデント
国内自動車メーカー 取引先部品メーカーランサムウェア被害 -> 国内全工場14か所が停止、 約1万3000台の生産への影響 2022年10月 医療機関 インシデント 国内医療機関 ランサムウェア感染 -> 基幹システムに障害が発生 通常診療ができない状況に
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 48 製造業におけるサイバー攻撃事例 WithSecure 2020年 調査レポート ・製造業におけるサイバー攻撃の86%が標的型攻撃 ・ハッキング
66%、マルウェア攻撃34%のみ ・侵害の半数近く(47%)が、競争優位性獲得の ための知的財産の盗難に関与 ・53%の攻撃は国家が関与、組織的犯罪は35% 標的型攻撃、ファイルレス攻撃に対して EDR ご検討例が Server環境でも増加
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 49 インシデント マネジメント スレット インテリジェンス 専門家の ガイダンス
WINDOWS センサー MAC センサー 集中管理 管理統合* 振舞い分析 アプリケーション インベントリ BROAD CONTEXT DETECTION ホスト隔離 自動対応 WithSecure Elements EDR 機能一覧
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 50 ここまでのまとめ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 51 サイバーセキュリティには 銀の弾丸はありません
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 52 https://www.withsecure.com/jp-ja/whats-new/pressroom/20230526-cybercrime
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 53 しかも残念な事に サイバー犯罪者は 高度化、悪質化してる
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 54 サイバーセキュリティの 基本的な考え方
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 55 重要箇所を脅威分析 多重防御 攻撃からの復旧演習
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 56 地道に、基本に忠実に サイバーセキュリティ 対策を進めることが大切
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 57 そうは言っても 基本って?何すれば? お悩みの方が居ましたら
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 58 そのための コミュニティ活動 懇親会 情報交換
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 59 自社の同僚と お客さんだけと 会話をしてませんか?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 60 ぜひ活発な情報交換 「このトピック気になる」 「これ誰か知らない?」
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 61 皆さまがクラウド、 サイバーセキュリティ、 興味のあるトピックを
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 62 お互いの知見とノウハウを 共有していきますように
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 63 余談
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 64 なぜ JAWS-UG活動?
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 65 Unix 文化 ハッカー文化 “共有すること”
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 66 あなたのノウハウ 私のノウハウ 外のモノサシ
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 67 “共有すること” みんなが幸せに
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 68 ぜひ活発な JAWS-UG活動を
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 69 One more thing,
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 70 WithSecure ビジョン https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 71 セキュリティにおける課題は 誰も単独で 解決することはできません https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 72 パートナー様、ユーザー様、 情報セキュリティコミュニティ が一丸となって https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 73 『パートナー』として 協力し合うことで https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 74 セキュリティの課題が ビジネスの成長を妨げること がなくなるのです。 https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 75 WithSecureと共に 歩む誰もが https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 76 サイバー攻撃によって 深刻な被害を受けること のない未来を作る https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 77 それが 私たちのビジョンです https://www.withsecure.com/jp-ja/whats-new/pressroom/f-secure-corporate-security-relaunches-as-withsecure
ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_d 78
79
shinichirokawano
uhyo
mh4gf
soudai
oracle4engineer
neuecc
ktc_wada
usaito
ham0215
kwappa
bkuhlmann
matsuihidetoshi
nina01
tammyeverts
bcantrill
lynnandtonic
62gerente
lemiorhan
mclloyd
samlambert
nonsquared
jonrohan
wjessup
kastner
zakiyama
