2018年3月10日 JAWS DAYS 2018 ランチセッションの LT資料です。

1. Shinichiro Kawano
Corporate Sales
F-Secure K.K.
Shinichiro.Kawano@f-secure.com
あなたの悩みにお応え！
F-Secure セキュリティコンサル
JAWS DAYS 2018 Lunchtime LT

2. F-SECUREINSHORT
• 1988年設立
• 本社 フィンランド ヘルシンキ
• 過去6年間で5回AVテスト最優秀賞 受賞(1社だけ！)
• ヨーロッパでサイバークライムインシデントが起こった際
調査機関として史上最多の依頼数
2

3. (4) レッドチーミング
サイバーセキュリティ
コンサルティング
F-Secureは
サイバーセキュリティ コンサルを含む
トータルサービスをご提供可能
3

4. © F-Secure 20184
クラウド環境：エフセキュア自身が、AWS の事例ユーザ
https://aws.amazon.com/jp/solutions/case-studies/f-secure/
数十万の 法人ユーザ様、数千万の一般消費者ユーザ様の
セキュリティソフトウェア提供基盤に使用

5. © F-Secure 20185
みんな気になる
セキュリティ

6. F-SECUREINSHORT
• ヨーロッパでサイバークライムインシデントが
起こった際 調査機関として
史上最多の依頼数
6
今日はこれだ！

7. © F-Secure 20187
稼働中システム
本当に安全？

8. © F-Secure Partner Confidential8
F-SecureのWebアプリケーションセキュリティアセスメントは、
コードに存在する脆弱性とWebアプリケーションの実装を提供
します。基礎となる技術は F-Secure 独自のテクノロジーです。
Webアプリケーションアセスメントへの当社のアプローチは、
従来提供してきた豊富な実績により、様々なお客様の要件
に対応し、対象はフロントエンド、ミドルウェア、バックエンドシス
テムをカバーします。
Webセキュリティアセスメントでは、以下の診断を提供します
当社のAssessmentは、お客様のビジネスの観点から重要性
が高く、コスト効果の高いアプリケーションにフォーカスしています。
F-Secure の Assessmentは、コンサルタントによるアセスメント
手法とF-Secure 独自ツールの組み合わせにより、特定の脆
弱性を調査し、深刻なリスクを引き起こす可能性のある根本
的な問題を特定します。
・Server architecture and security specifications
・Business logic
・Authentication, access control, and authorization
・Use of cryptography
・Session management
・Error condition handling and exception management
・Data validation, confidentiality, and integrity
・Management interfaces
・Privacy concerns
インフラ,ミドルウェア
ソースコードレベル
Webアセスメント

9. © F-Secure Partner Confidential9
F-Secureは、モバイルアプリケーションとデバイスのセキュリティを
向上させるさまざまなサービスを提供しています
モバイルアプリケーションの Security Assessmentでは、以下
のサービスが提供されます。
・the design and implementation of the mobile application are
secure;
・the application does not intentionally or unintentionally store or
handle sensitive information or services improperly;
・the application does not contain any technical vulnerabilities
allowing third-parties to attack the device or intercept
application data and
・the protocol used to communicate with the backend services
is securely designed and implemented on both the client and
server side.
F-Secure の経験豊富なセキュリティコンサルタントは、
モバイルアプリケーション, iOS,AndroidおよびWindows向けア
プリケーションに対する
アセスメントを提供しています。
以下のテストカテゴリが、提供実績の多いテストです。
・Application specific threats; resilience of the core features
of the application e.g.
・Data handling functionality
・Application and smartphone module reliance such as GPS, SD
card access etc.
・Physical threats
・Access to application resources or dependencies, keeping
into account the security controls enforced by the organization
and potential mobile device security policies
・Network threats
・Resilience of the device in a mobile network (e.g. 4G) or Wi-Fi
network with regards to man-in-the-middle attacks and network
communication attacks
・Source code review
・Insight into the risks associated with insecure code. A
consultant reviews and analyses the code and its context and
evaluates coding practices. A risk estimate takes both the
likelihood of an attack and the business impact of a breach or
incident into consideration.
モバイルアプリ向け
侵入テスト、
セキュリティコンサル

10. © F-Secure Partner Confidential10
F-Secure の数多くの実績を持つセキュリティコンサルタントが、
次のようなさまざまな標的型攻撃をテスト致します。
・ Reconnaissance and intelligence gathering e.g. Google intel,
dumpster-diving etc.
・ Social engineering e.g. e-mails, phone calls, human interaction,
tailgating etc.
・Physical security e.g. lock-picking, breaking and entering etc.
・Targeted attacks e.g. phishing, spearhead, waterhole etc.
・Network attacks and penetration testing e.g. Wi-Fi, wired, bug
planting etc.
・Firewall/IDS/IPS/WAF evasion
・Targeted exploitation and offense
すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、
および潜在的可能性、概念実証モデルの構築とテストを行います。
F-Secureは、Target Driven な マルチレベルペネトレーションテストを
ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。
ターゲットルールとモデルを使用したペネトレーションテストサービス
には、ネットワーク、アプリケーションに対するテストに加えて、
ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト
も実施可能です。
F-Secureが実行するすべての侵入テストは独自のものです。スコープ、
セットアップ、および方法論は、お客様の要件、ルールセット、
およびターゲットに応じて設定致します。（基本的な侵入テストでは、ター
ゲットとルールセットは
クライアントと共同して定義されます）。
侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール
ボックスへのテスト、
クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に
応じて選択が可能です。
侵入テスト(Pentest)
ソーシャル攻撃、
物理セキュリティ含む

11. © F-Secure Partner Confidential11
F-Secure の数多くの実績を持つセキュリティコンサルタントが、
次のようなさまざまな標的型攻撃をテスト致します。
・ Reconnaissance and intelligence gathering e.g. Google intel,
dumpster-diving etc.
・ Social engineering e.g. e-mails, phone calls, human interaction,
tailgating etc.
・Physical security e.g. lock-picking, breaking and entering etc.
・Targeted attacks e.g. phishing, spearhead, waterhole etc.
・Network attacks and penetration testing e.g. Wi-Fi, wired, bug
planting etc.
・Firewall/IDS/IPS/WAF evasion
・Targeted exploitation and offense
すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、
および潜在的可能性、概念実証モデルの構築とテストを行います。
F-Secureは、Target Driven な マルチレベルペネトレーションテストを
ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。
ターゲットルールとモデルを使用したペネトレーションテストサービス
には、ネットワーク、アプリケーションに対するテストに加えて、
ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト
も実施可能です。
F-Secureが実行するすべての侵入テストは独自のものです。スコープ、
セットアップ、および方法論は、お客様の要件、ルールセット、
およびターゲットに応じて設定致します。（基本的な侵入テストでは、ター
ゲットとルールセットは
クライアントと共同して定義されます）。
侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール
ボックスへのテスト、
クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に
応じて選択が可能です。
侵入テスト(Pentest)
もちろん AWS環境 も

12. © F-Secure 201812
・大規模ユーザ セキュリティコンサル事例
- 金融機関、保険会社様、ヨーロッパ政府系
ユーザ様
- オンラインショッピング、通販、課金サービス向
けセキュリティ診断
F-Secure ペネトレーションテスト 実績

13. © F-Secure 201813
・モバイルアプリ セキュリティコンサル
- 銀行/金融機関アプリ、航空会社様アプリ
大手ゲーム系アプリ、オンラインカジノアプリ
- 対象Android, iOS, HTML5 etc….
F-Secure ペネトレーションテスト 実績

14. © F-Secure 201814
ペネトレーションテスト 実施時 F-Secure 側体制
お客様
F-Secure
F-Secure Cyber Security
Service Team

15. © F-Secure 201815
IoT機器向け
セキュリティコンサル

16. ハードウェアセキュリティ専門チーム
© F-Secure 201816
 2005年～ハードウェアセキュリティの
専門家チーム
 Hardware & Software診断とデザイン
の専門家集団
 自動車系、航空系など実績多数

17. プロジェクトポートフォリオ
© F-Secure 201817
 デザインレビュー
 コードレビュー
 Penetration testing
 Hardware design
 Security engineering:
安全さを含めたインプリ方法とデザイン
 Security convergence:
安全さに影響がある脆弱性やバグの診断
IoT HW、統合システムに対する全体的な：

18. プロジェクト例
インフォテーメントシストム
© F-Secure 201818
 車内ナビゲーションと音楽など
のエンタテーンメントシステム
のデザインレビューと診断
 診断項目の事例：
 システムのFirmwareの抜き出し、
入れ替わりが可能か
 無線LAN・Bluetooth・USB接続
等によってシステムを攻撃できる
か
 侵入してから、CAN-BUSに通信
し、運転システムに影響でるか

19. © F-Secure 201819
セキュリティ
コンサルの前に

20. ディスカバリ
マップピング
ネットワーク
資産
スキャン
システム &
アプリケーショ
ン
管理
対策の
優先順位付け
担当者の割当
レポート
技術者・経営層
カスタマイズ
ベリファイ
再スキャン
及び
変更履歴
F-SECURE RADAR
企業ネットワーク内の脆弱性管理ソリューション
3種類のスキャン技術でネットワーク内の脆弱性を検査
 Discovery Scan：
ネットワーク全体のマッピング
 System Scan：
システム構成不備、OS及びアプリケーションの脆弱性
 Web Scan：
Webアプリケーションの脆弱性
20

21. F-SECURE による マルウェア対策
F-Secure
Policy
Manager
管理／アップデート
Windows/Linux Servers
管理／アップデート
自社データセンタ
DMZ
Windows/Linux Servers
管理／アップデート
Windows/Linux Servers
管理／アップデート
DMZ
Windows/Linux Servers
LAN
ウイルス定義ファイル
バージョンアップ
ファイル配信
21
数百インスタンスの Linux / Windowsサーバ、
数千台 の Client PC 向けアンチウイルスにF-Secureを使用
F-Secure
Policy
Manager

22. アノマリ
警告
攻撃者
CISO
CSIRT
F-Secure RDS：侵入検出サービス
あなたの組織
広報 マーケティング 財務
ネットワーク
デコイセンサー
エンドポイント
センサー
グローバルかつ業界別の
脅威知見
ビッグデータ
分析
リアルタイム
ビヘイビア分析
レピュテーショナル
分析
RAPID DETECTION CENTER
脅威分析 インシデント
対応
フォレンジック
専門家
22

23. © F-Secure 201823
まとめ

24. © F-Secure 201824
F-Secure, AWS環境
IT/IoT セキュリティ
コンサル実績多数

25. © F-Secure 201825
F-Secure
アンチウイルス, 脆弱性診断
侵入検知をパートナ様と提供

26. © F-Secure 2018