2018 1103 jaws_festa_2018_f-secure_slideshare
•0 likes•955 views
Report
Share
Download to read offline
2018年11月3日 JAWS FESTA 2018 OSAKA, IoT / Security トラック 登壇資料です。
More Related Content
What's hot
What's hot(20)
Similar to 2018 1103 jaws_festa_2018_f-secure_slideshare
Similar to 2018 1103 jaws_festa_2018_f-secure_slideshare(20)
![セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]](https://cdn.slidesharecdn.com/ss_thumbnails/20160520isocjpworkshopdistribution-160524103159-thumbnail.jpg?width=768&fit=bounds)
![I2NSF updates [ISOC-JP event, 2015/08/27]](https://cdn.slidesharecdn.com/ss_thumbnails/i2nsf-150930095414-lva1-app6892-thumbnail.jpg?width=768&fit=bounds)
![[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...](https://cdn.slidesharecdn.com/ss_thumbnails/dsssapporo2015d22datasecurityfireeye-150924025903-lva1-app6891-thumbnail.jpg?width=768&fit=bounds)
More from Shinichiro Kawano
More from Shinichiro Kawano(13)
2018 1103 jaws_festa_2018_f-secure_slideshare
- 1. © F-Secure 20181 Shinichiro Kawano Corporate Sales F-Secure K.K. Shinichiro.Kawano@f-secure.com AWS環境 と IoT Hardwareの セキュリティ診断サービスをやってみた ~リアルな事例を中心に ~ 2018/11/03 JAWS FESTA 2018 OSAKA
- 2. © F-Secure 20182 資料はUp済 Twitter #jft2018
- 3. 3 自己紹介 河野 真一郎 エフセキュア株式会社 法人営業部 Unix -> OSS/Linux (この辺りからCloud関連) -> Security F-Secure フィンランドが本社 セキュリティソフト/サービス 好きなサービス Amazon GuardDuty 最近始めた趣味 サウナと水風呂で「ととのう」 これすごい。
- 4. © F-Secure 20184 今日 言いたいことは 3つ 1. IoT 機器そのもの、ハードウェアに対するセキュリティご相 談増えてる 2. AWS 環境に対するホワイトハッカーの攻撃テストをやっ てみた 3. 両方のリアルな事例を紹介してみよう
- 5. F-SECUREINSHORT • 1988年設立 • 本社 フィンランド ヘルシンキ セキュリティソフト, サービス提供 • 過去6年間で5回AVテスト最優秀賞 受賞 (1社だけ!) • ヨーロッパでサイバークライムインシデントが起こった際 調査機関として史上最多の依頼数 5
- 7. © F-Secure 20187 F-Secureは AWS の事例ユーザ https://aws.amazon.com/jp/solutions/case-studies/f-secure/ 数十万の 法人ユーザ様、数千万の一般消費者ユーザ様の セキュリティソフトウェア提供基盤に使用
- 14. © F-Secure14
- 15. F-Secure ハードウェアセキュリティ専門チーム © F-Secure 201815 2005年~ハードウェアセキュリティの専門家チーム Hardware & Software診断, 設計の専門家集団 自動車系、航空系など実績多数 13年間にわたる ハードウェアセキュリティコンサル実績
- 16. プロジェクトポートフォリオ © F-Secure 201816 デザインレビュー コードレビュー Penetration testing Hardware design Security engineering: 安全さを含めたインプリ方法とデザイン Security convergence: 安全さに影響がある脆弱性やバグの診断 IoT HW、統合システムに対する全体的な:
- 17. プロジェクトポートフォリオ © F-Secure 201817 ハードウェア デザイン ファームウェア Embedded Linux ( OS ) アプリケーション それぞれの、 Security engineering: 安全さを含めたインプリ方法とデザイン Security convergence: 安全さに影響がある脆弱性やバグの診断
- 23. © F-Secure Partner Confidential23 F-SecureのWebアプリケーションセキュリティアセスメントは、 コードに存在する脆弱性とWebアプリケーションの実装を提供 します。基礎となる技術は F-Secure 独自のテクノロジーです。 Webアプリケーションアセスメントへの当社のアプローチは、 従来提供してきた豊富な実績により、様々なお客様の要件 に対応し、対象はフロントエンド、ミドルウェア、バックエンドシス テムをカバーします。 Webセキュリティアセスメントでは、以下の診断を提供します 当社のAssessmentは、お客様のビジネスの観点から重要性 が高く、コスト効果の高いアプリケーションにフォーカスしています。 F-Secure の Assessmentは、コンサルタントによるアセスメント 手法とF-Secure 独自ツールの組み合わせにより、特定の脆 弱性を調査し、深刻なリスクを引き起こす可能性のある根本 的な問題を特定します。 ・Server architecture and security specifications ・Business logic ・Authentication, access control, and authorization ・Use of cryptography ・Session management ・Error condition handling and exception management ・Data validation, confidentiality, and integrity ・Management interfaces ・Privacy concerns インフラ,ミドルウェア ソースコードレベル Webアセスメント
- 24. © F-Secure Partner Confidential24 F-Secure の数多くの実績を持つセキュリティコンサルタントが、 次のようなさまざまな標的型攻撃をテスト致します。 ・ Reconnaissance and intelligence gathering e.g. Google intel, dumpster-diving etc. ・ Social engineering e.g. e-mails, phone calls, human interaction, tailgating etc. ・Physical security e.g. lock-picking, breaking and entering etc. ・Targeted attacks e.g. phishing, spearhead, waterhole etc. ・Network attacks and penetration testing e.g. Wi-Fi, wired, bug planting etc. ・Firewall/IDS/IPS/WAF evasion ・Targeted exploitation and offense すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、 および潜在的可能性、概念実証モデルの構築とテストを行います。 F-Secureは、Target Driven な マルチレベルペネトレーションテストを ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。 ターゲットルールとモデルを使用したペネトレーションテストサービス には、ネットワーク、アプリケーションに対するテストに加えて、 ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト も実施可能です。 F-Secureが実行するすべての侵入テストは独自のものです。スコープ、 セットアップ、および方法論は、お客様の要件、ルールセット、 およびターゲットに応じて設定致します。(基本的な侵入テストでは、ター ゲットとルールセットは クライアントと共同して定義されます)。 侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール ボックスへのテスト、 クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に 応じて選択が可能です。 侵入テスト (Red Teaming) ソーシャル攻撃、 物理セキュリティ含む
- 25. © F-Secure Partner Confidential25 F-Secure の数多くの実績を持つセキュリティコンサルタントが、 次のようなさまざまな標的型攻撃をテスト致します。 ・ Reconnaissance and intelligence gathering e.g. Google intel, dumpster-diving etc. ・ Social engineering e.g. e-mails, phone calls, human interaction, tailgating etc. ・Physical security e.g. lock-picking, breaking and entering etc. ・Targeted attacks e.g. phishing, spearhead, waterhole etc. ・Network attacks and penetration testing e.g. Wi-Fi, wired, bug planting etc. ・Firewall/IDS/IPS/WAF evasion ・Targeted exploitation and offense すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、 および潜在的可能性、概念実証モデルの構築とテストを行います。 F-Secureは、Target Driven な マルチレベルペネトレーションテストを ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。 ターゲットルールとモデルを使用したペネトレーションテストサービス には、ネットワーク、アプリケーションに対するテストに加えて、 ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト も実施可能です。 F-Secureが実行するすべての侵入テストは独自のものです。スコープ、 セットアップ、および方法論は、お客様の要件、ルールセット、 およびターゲットに応じて設定致します。(基本的な侵入テストでは、ター ゲットとルールセットは クライアントと共同して定義されます)。 侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール ボックスへのテスト、 クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に 応じて選択が可能です。 侵入テスト(Pentest) もちろん AWS環境 も
- 26. © F-Secure Partner Confidential26 F-Secureは、モバイルアプリケーションとデバイスのセキュリティを 向上させるさまざまなサービスを提供しています モバイルアプリケーションの Security Assessmentでは、以下 のサービスが提供されます。 ・the design and implementation of the mobile application are secure; ・the application does not intentionally or unintentionally store or handle sensitive information or services improperly; ・the application does not contain any technical vulnerabilities allowing third-parties to attack the device or intercept application data and ・the protocol used to communicate with the backend services is securely designed and implemented on both the client and server side. F-Secure の経験豊富なセキュリティコンサルタントは、 モバイルアプリケーション, iOS,AndroidおよびWindows向けア プリケーションに対する アセスメントを提供しています。 以下のテストカテゴリが、提供実績の多いテストです。 ・Application specific threats; resilience of the core features of the application e.g. ・Data handling functionality ・Application and smartphone module reliance such as GPS, SD card access etc. ・Physical threats ・Access to application resources or dependencies, keeping into account the security controls enforced by the organization and potential mobile device security policies ・Network threats ・Resilience of the device in a mobile network (e.g. 4G) or Wi-Fi network with regards to man-in-the-middle attacks and network communication attacks ・Source code review ・Insight into the risks associated with insecure code. A consultant reviews and analyses the code and its context and evaluates coding practices. A risk estimate takes both the likelihood of an attack and the business impact of a breach or incident into consideration. モバイルアプリ向け 侵入テスト、 セキュリティコンサル
- 27. © F-Secure 201827 サイバーセキュリティコンサル 実施時 F-Secure 側体制 お客様 F-Secure パートナ様 F-Secure Cyber Security Service Team
- 28. F-Secure による マルウェア対策 F-Secure Policy Manager 管理/アップデート Windows/Linux Servers 管理/アップデート 自社データセンタ DMZ Windows/Linux Servers 管理/アップデート Windows/Linux Servers 管理/アップデート DMZ Windows/Linux Servers LAN ウイルス定義ファイル バージョンアップ ファイル配信 28 数百インスタンスの Linux / Windowsサーバ、 数千台 の Client PC 向けアンチウイルスにF-Secureを使用 F-Secure Policy Manager
- 30. © F-Secure30
- 35. © F-Secure Confidential35 AWS 環境 IoT Hardware, Firmware, Embedded OS, IoT Appli から、AWS環境まで診断
- 36. © F-Secure36