Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

2019 0223 jawsdays2019_slideshare

166 views

Published on

2019年2月24日 JAWS DAYS 2019,企業サポータートラック 登壇資料です。

Published in: Software
  • Be the first to comment

2019 0223 jawsdays2019_slideshare

  1. 1. 1 Shinichiro Kawano Corporate Sales F-Secure K.K. Shinichiro.Kawano@f-secure.com 「三題噺」 Serverless, AWS Security, IoT Security で勝負だ! 2019/02/23 JAWS DAYS 2019 “満漢全席” サポーターセッション
  2. 2. © F-Secure 20182 資料はUpします Twitter #jawsug
  3. 3. 3 自己紹介 河野 真一郎 エフセキュア株式会社 法人営業部 Unix -> OSS/Linux (この辺りからCloud関連) -> Security F-Secure フィンランドが本社 セキュリティソフト/サービス 好きなサービス Amazon GuardDuty 最近始めた趣味 サウナと水風呂で「ととのう」 これすごい
  4. 4. © F-Secure 20184 今日は50分ある
  5. 5. © F-Secure 20185 ちょっと考えた
  6. 6. © F-Secure 20186 LTなら ライトニング トークなら行ける
  7. 7. © F-Secure 20187 自慢話LT大会 2連覇
  8. 8. © F-Secure 20188 テンポよく要点をまとめる ライトニングトークなら
  9. 9. © F-Secure 20189 と、言うわけで
  10. 10. © F-Secure 201810 今から 15分のLTを 3本やる!
  11. 11. © F-Secure 201811 ところで このセッション 14:10~
  12. 12. © F-Secure 201812 14:10~ お昼ご飯のあと 眠くなる時間帯
  13. 13. © F-Secure 201813 「 F-Secure、 LT3本 勝手に始めた 」 #jawsug
  14. 14. © F-Secure 201814 Twitter ハッシュタグ#jawsug つぶやいてると
  15. 15. © F-Secure 201815 眠くならなくて 良いと思いますよ!
  16. 16. © F-Secure 201816 いきます 本題!
  17. 17. 17 Shinichiro Kawano Corporate Sales F-Secure K.K. Shinichiro.Kawano@f-secure.com 「三題噺」 Serverless, AWS Security, IoT Security で勝負だ! 2019/02/23 JAWS DAYS 2019 “満漢全席” サポーターセッション
  18. 18. © F-Secure 201818 “そのいち” F-Secure 基幹システムは Serverless
  19. 19. © F-Secure 201819 F-Secureは AWS の事例ユーザ https://aws.amazon.com/jp/solutions/case-studies/f-secure/ 数十万の 法人ユーザ様、数千万の一般消費者ユーザ様の セキュリティソフトウェア提供基盤に使用
  20. 20. (4) レッドチーミング サイバーセキュリティ コンサルティング F-Secureは サイバーセキュリティ コンサルを含む トータルサービスをご提供可能 20
  21. 21. © F-Secure 201821 法人ユーザ 数十万 個人ユーザ 数千万
  22. 22. © F-Secure 201822 アンチウイルスを 提供するということ
  23. 23. エフセキュア アンチウイルス製品 ラインナップ インター ネット Windows クライアント Mac PC Windows クライアント クライアント セキュリティ クライアント セキュリティ プレミアム PSB ワークステーション デスクトップ・ラップトップ Windows サーバ Linux サーバ SaaS ポリシーマネージャ PSB 管理ポータル 製品管理ツール Linux サーバ 仮想アプライアンス アンチウイルス Linux ゲートウェイ ゲートウェイ Android iOS Android FREEDOME for BusinessPSB モバイル スマートフォン・タブレット 仮想アプライアンスWindows サーバ Exchange サーバ XenApp サーバ Linux サーバ Sharepoint サーバ EMC ストレージ Linux セキュリティ フルエディション コマンドラインエディション 仮想スキャンサーバWindows サーバ セキュリティ Windows サーバ セキュリティ プレミアム Microsoft Exchange & XenApp セキュリティ プレミアム Microsoft Exchange & XenApp セキュリティ PSB メールサーバ PSB サーバPSB Linux サーバ・ストレージ・コラボレーション ライセンス(オンプレミス) クラウド Linux Server, Windows Server, Windows PC, Mac PC, Linux Gateway, 製品ご提供 23
  24. 24. © F-Secure 201824 個人情報 登録 法人情報 登録
  25. 25. © F-Secure 201825 もちろん昔は オンプレミスを利用
  26. 26. © F-Secure 201826 フィンランドからの コメント
  27. 27. © F-Secure 201827 “まずオンプレから EC2へ移行 その後 Lambda”
  28. 28. © F-Secure 201828 登録したら すぐ使える リアルタイム性重視
  29. 29. © F-Secure 201829 結果がこれ
  30. 30. © F-Secure 201830 https://aws.amazon.com/jp/solutions/case-studies/f-secure/
  31. 31. © F-Secure 201831 もう一度
  32. 32. © F-Secure 201832 法人ユーザ 数十万 個人ユーザ 数千万
  33. 33. © F-Secure 201833 ユーザ登録の 基幹システム
  34. 34. © F-Secure 201834 https://aws.amazon.com/jp/solutions/case-studies/f-secure/
  35. 35. © F-Secure 201835 ここまでの まとめ “F-Secure Serverless グローバル 事例ユーザだって #jawsug”
  36. 36. © F-Secure36
  37. 37. © F-Secure 201837 その2 AWS Security コンサルティングの リアルな話
  38. 38. F-SECUREINSHORT • 1988年設立 • 本社 フィンランド ヘルシンキ セキュリティソフト, サービス提供 • 過去6年間で5回AVテスト最優秀賞 受賞 (1社だけ!) • ヨーロッパでサイバークライムインシデントが起こった際 調査機関として史上最多の依頼数 38
  39. 39. F-SECUREINSHORT • ヨーロッパでサイバークライムインシデントが 起こった際 調査機関として 史上最多の依頼数 39 これ!
  40. 40. © F-Secure Partner Confidential40 F-SecureのWebアプリケーションセキュリティアセスメントは、 コードに存在する脆弱性とWebアプリケーションの実装を提供 します。基礎となる技術は F-Secure 独自のテクノロジーです。 Webアプリケーションアセスメントへの当社のアプローチは、 従来提供してきた豊富な実績により、様々なお客様の要件 に対応し、対象はフロントエンド、ミドルウェア、バックエンドシス テムをカバーします。 Webセキュリティアセスメントでは、以下の診断を提供します 当社のAssessmentは、お客様のビジネスの観点から重要性 が高く、コスト効果の高いアプリケーションにフォーカスしています。 F-Secure の Assessmentは、コンサルタントによるアセスメント 手法とF-Secure 独自ツールの組み合わせにより、特定の脆 弱性を調査し、深刻なリスクを引き起こす可能性のある根本 的な問題を特定します。 ・Server architecture and security specifications ・Business logic ・Authentication, access control, and authorization ・Use of cryptography ・Session management ・Error condition handling and exception management ・Data validation, confidentiality, and integrity ・Management interfaces ・Privacy concerns インフラ,ミドルウェア ソースコードレベル Webアセスメント
  41. 41. © F-Secure Partner Confidential41 F-Secure の数多くの実績を持つセキュリティコンサルタントが、 次のようなさまざまな標的型攻撃をテスト致します。 ・ Reconnaissance and intelligence gathering e.g. Google intel, dumpster-diving etc. ・ Social engineering e.g. e-mails, phone calls, human interaction, tailgating etc. ・Physical security e.g. lock-picking, breaking and entering etc. ・Targeted attacks e.g. phishing, spearhead, waterhole etc. ・Network attacks and penetration testing e.g. Wi-Fi, wired, bug planting etc. ・Firewall/IDS/IPS/WAF evasion ・Targeted exploitation and offense すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、 および潜在的可能性、概念実証モデルの構築とテストを行います。 F-Secureは、Target Driven な マルチレベルペネトレーションテストを ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。 ターゲットルールとモデルを使用したペネトレーションテストサービス には、ネットワーク、アプリケーションに対するテストに加えて、 ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト も実施可能です。 F-Secureが実行するすべての侵入テストは独自のものです。スコープ、 セットアップ、および方法論は、お客様の要件、ルールセット、 およびターゲットに応じて設定致します。(基本的な侵入テストでは、ター ゲットとルールセットは クライアントと共同して定義されます)。 侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール ボックスへのテスト、 クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に 応じて選択が可能です。 侵入テスト ソーシャル攻撃、 物理セキュリティ含む
  42. 42. © F-Secure Partner Confidential42 F-Secure の数多くの実績を持つセキュリティコンサルタントが、 次のようなさまざまな標的型攻撃をテスト致します。 ・ Reconnaissance and intelligence gathering e.g. Google intel, dumpster-diving etc. ・ Social engineering e.g. e-mails, phone calls, human interaction, tailgating etc. ・Physical security e.g. lock-picking, breaking and entering etc. ・Targeted attacks e.g. phishing, spearhead, waterhole etc. ・Network attacks and penetration testing e.g. Wi-Fi, wired, bug planting etc. ・Firewall/IDS/IPS/WAF evasion ・Targeted exploitation and offense すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、 および潜在的可能性、概念実証モデルの構築とテストを行います。 F-Secureは、Target Driven な マルチレベルペネトレーションテストを ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。 ターゲットルールとモデルを使用したペネトレーションテストサービス には、ネットワーク、アプリケーションに対するテストに加えて、 ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト も実施可能です。 F-Secureが実行するすべての侵入テストは独自のものです。スコープ、 セットアップ、および方法論は、お客様の要件、ルールセット、 およびターゲットに応じて設定致します。(基本的な侵入テストでは、ター ゲットとルールセットは クライアントと共同して定義されます)。 侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール ボックスへのテスト、 クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に 応じて選択が可能です。 侵入テスト AWS環境に特化した 診断テスト実績多数
  43. 43. © F-Secure Partner Confidential43 F-Secureは、モバイルアプリケーションとデバイスのセキュリティを 向上させるさまざまなサービスを提供しています モバイルアプリケーションの Security Assessmentでは、以下 のサービスが提供されます。 ・the design and implementation of the mobile application are secure; ・the application does not intentionally or unintentionally store or handle sensitive information or services improperly; ・the application does not contain any technical vulnerabilities allowing third-parties to attack the device or intercept application data and ・the protocol used to communicate with the backend services is securely designed and implemented on both the client and server side. F-Secure の経験豊富なセキュリティコンサルタントは、 モバイルアプリケーション, iOS,AndroidおよびWindows向けア プリケーションに対する アセスメントを提供しています。 以下のテストカテゴリが、提供実績の多いテストです。 ・Application specific threats; resilience of the core features of the application e.g. ・Data handling functionality ・Application and smartphone module reliance such as GPS, SD card access etc. ・Physical threats ・Access to application resources or dependencies, keeping into account the security controls enforced by the organization and potential mobile device security policies ・Network threats ・Resilience of the device in a mobile network (e.g. 4G) or Wi-Fi network with regards to man-in-the-middle attacks and network communication attacks ・Source code review ・Insight into the risks associated with insecure code. A consultant reviews and analyses the code and its context and evaluates coding practices. A risk estimate takes both the likelihood of an attack and the business impact of a breach or incident into consideration. モバイルアプリ向け 侵入テスト、 セキュリティコンサル
  44. 44. © F-Secure 201844 サイバーセキュリティコンサル 実施時 F-Secure 側体制 お客様 F-Secure パートナ様 F-Secure Cyber Security Service Team
  45. 45. © F-Secure Confidential45 AWS 環境 AWS環境 クラウド環境に特化 セキュリティコンサル
  46. 46. © F-Secure 201846 日本のお客様の例 数百万以上個人情報 攻撃シナリオ詳細
  47. 47. © F-Secure 201847 日本のお客様の声 「F-Secureはプロの仕事を してくれました」
  48. 48. © F-Secure 201848 詳しく聞きたい方 ご連絡下さい Shinichiro.Kawano@f-secure.com * かなり リアルな海外事例 個別ご説明致します
  49. 49. © F-Secure 201849 ここまでの まとめ “F-Secure AWS関連 システム全体診断 セキュリティコンサル #jawsug”
  50. 50. © F-Secure50
  51. 51. © F-Secure 201851 その3 IoT Security コンサルティングの リアルな話
  52. 52. © F-Secure 201852 IoT機器 デバイスそのもの 安全?
  53. 53. © F-Secure Confidential53 AWS 環境
  54. 54. © F-Secure 201854 IoT機器 診断したい?
  55. 55. © F-Secure 201855 IoT機器向け セキュリティコンサル
  56. 56. F-Secure ハードウェアセキュリティ専門チーム © F-Secure 201856  2005年~ハードウェアセキュリティの専門家チーム  Hardware & Software診断, 設計の専門家集団  自動車系、航空系など実績多数 14年間にわたる ハードウェアセキュリティコンサル実績
  57. 57. プロジェクトポートフォリオ © F-Secure 201857 ハードウェア デザイン ファームウェア Embedded Linux ( OS ) アプリケーション それぞれの、  Security engineering: 安全さを含めたインプリ方法とデザイン  Security convergence: 安全さに影響がある脆弱性やバグの診断
  58. 58. 58 F-Secure IoT ハードウェア セキュリティ診断サービス 実績 ・ 車載IoT機器以外にも、 航空会社様 機内IoTシステム, 航空管制システム, 金融機関様IoT機器など © F-Secure
  59. 59. 59 F-Secure CSS Hardware Team 実績 ・ F-Secure CSS Hardware Team チームは Black hat, Hack in the box など世界的なセキュリティカンファレンスでの IoT機器向け セキュリティ最新技術に関する発表を 14年間にわたり実施 ・ 発表成果の一部はオープンンソースで公開 ご参考URL https://github.com/abarisani/abarisani.github.io © F-Secure
  60. 60. © F-Secure 201860 日本のお客様の例 車載IoT機器 診断サービス
  61. 61. © F-Secure 201861 日本のお客様の声 “自動車全体の セキュリティ診断サービスを”
  62. 62. © F-Secure 201862 日本のお客様の声 “事例とサンプル付きで 持ってきたのは1社だった”
  63. 63. © F-Secure 201863 詳しく聞きたい方 ご連絡下さい Shinichiro.Kawano@f-secure.com *リアルな IoT 海外事例 中心に個別ご説明致します
  64. 64. © F-Secure 201864 ここまでの まとめ “F-Secure IoT機器コンサル 設計段階からHWまで #jawsug “
  65. 65. © F-Secure65
  66. 66. © F-Secure 201866 マルウェア防御 Managed EDR
  67. 67. F-Secure による マルウェア対策 F-Secure Policy Manager 管理/アップデート Windows/Linux Servers 管理/アップデート 自社データセンタ DMZ Windows/Linux Servers 管理/アップデート Windows/Linux Servers 管理/アップデート DMZ Windows/Linux Servers LAN ウイルス定義ファイル バージョンアップ ファイル配信 67 数百インスタンスの Linux / Windowsサーバ、 数千台 の Client PC 向けアンチウイルスにF-Secureを使用 F-Secure Policy Manager
  68. 68. © F-Secure 201869 余談
  69. 69. © F-Secure 201870 なぜ JAWS-UG活動?
  70. 70. © F-Secure 201871 Unix 文化 ハッカー文化 “共有すること”
  71. 71. © F-Secure 201872 あなたのノウハウ 私のノウハウ 外のモノサシ
  72. 72. © F-Secure 201873 “共有すること” みんなが幸せに
  73. 73. © F-Secure 201874 ぜひ活発な JAWS-UG活動を
  74. 74. © F-Secure 201875 まとめ
  75. 75. © F-Secure 201876 “F-Secure Serverless グローバル 事例ユーザだって” #jawsug
  76. 76. © F-Secure 201877 “F-Secure IoT機器コンサル 設計段階からHWまで” #jawsug
  77. 77. © F-Secure 201878 “F-Secure AWS, クラウドまわり システム全体診断コンサル” #jawsug
  78. 78. © F-Secure 201879 F-Secureは JAWS-UG を 応援しています #jawsug
  79. 79. © F-Secure 201880 One more thing,
  80. 80. © F-Secure 201881 F-Secure の ミッション
  81. 81. © F-Secure 201882 F-Secureは 30年以上にわたって 世界中の 数千万人ものユーザーを
  82. 82. © F-Secure 201883 デジタルの脅威から 守ってきました。
  83. 83. © F-Secure 201884 数々の受賞歴を誇る F-Secure製品は、 クライムウェアから企業を 標的としたサイバー攻撃まで
  84. 84. © F-Secure 201885 あらゆる脅威から 個人と企業を保護します。
  85. 85. © F-Secure 201886 当社のミッションは、 皆様を世界と安全に つなぐことです。
  86. 86. © F-Secure87

×