Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

2019 1101 dev_io_tokyo_30min_slideshare

1,231 views

Published on

2019.11.01 Developers.IO 2019 Tokyo
F-Secure Lunch Session
1. CI/CD best practice - F-Secure Radar
2. Cyber Security Consulting Service
3. F-Secure Server Protection - Anti Virus

Published in: Software
  • Be the first to comment

  • Be the first to like this

2019 1101 dev_io_tokyo_30min_slideshare

  1. 1. CI/CD と Cloud Security “継続的な脆弱性診断・運用のベストプラクティス Security Consultingの最新情報もしますよ” Shinichiro Kawano Corporate Sales F-Secure K.K. Shinichiro.Kawano@f-secure.com 2019/11/01 Developers.IO 2019 Tokyo ランチセッション RoomH
  2. 2. 2 自己紹介 河野 真一郎 エフセキュア株式会社 法人営業本部 Cloud Security, F-Secure Cyber Security Consulting Sales担当 今までのおしごと Unix -> OSS/Linux, Cloud -> Security, Cloud
  3. 3. F-Secure 会社概要 3 過去8年間で6回のAV-Test最優秀保護賞を受賞した唯一の企業。 その他多数の受賞歴 設立: 1988年 法人展開: 世界29地域 ビジネス展開: 100ヵ国以上 オペレータ数: 200以上 リセラー数: 1000以上 社員数: 1600人以上 売上高: 約235億円(2018) 前年比33%成長 法人顧客数: 世界10万社以上 欧州のサイバー犯罪インシデント時に調査機関として最多の依頼数 事業内容  ITセキュリティソリューションの開発・販売・サポート(法人・個人)  IoTコンサルティング(診断・テスト・開発支援・トレーニング)  「F-Secure Lab」からのセキュリティサービス提供
  4. 4. F-Secure 20194 今日のお題
  5. 5. F-Secure 20195 自動化 Security
  6. 6. F-Secure 20196 今日の話 (1) F-Secure Radar API連携 継続的な脆弱性診断
  7. 7. F-Secure 20197 今日の話 (2) クラウド環境F-Secure セキュリティコンサル
  8. 8. F-Secure 20198 今日の話 (3) クラウド環境F-Secure アンチウイルス 月額 1,000円以下
  9. 9. F-Secure 20199 今日の話 (1) F-Secure Radar API連携 継続的な脆弱性診断
  10. 10. F-Secure 201910 脆弱性診断 自動化したい そんな皆さま
  11. 11. F-Secure 201911 パッチを適用してない Linux Server に 心あたりのアナタへ
  12. 12. © F-Secure12 脆弱性が 1 つあれば十分に 悪用される可能性がある 90 分 セキュリティの脆弱性が発見される時間的間隔 17,000 件 2017 年に発見された脆弱性の数 50~300 件 悪用されればビジネスに深刻な影響を与える脆弱性の数 103 日 発見された脆弱性が修正されるまでの平均期間 15 日 発見された脆弱性が悪用されるまでの平均期間
  13. 13. リスク が潜む場所 © F-Secure13  古いソフトウェア  システムの構成ミス  セキュリティの低いウェブアプリケーション  継続的な脆弱性検査  脆弱性を管理する厳格なプロセスの採用  社内IT資産の把握(サーバー、PC、プ リンタ、ルーターなど) どのように 対策するか
  14. 14. ビジネスクリティカルな 脆弱性の管理 © F-Secure14 F-Secure Radar は脆弱性のスキャンと管理を 一括で行うプラットフォームです。 社内外に潜む脅威を検出・管理してリスクを報告 し、現在と将来の規制に準拠することができます。 また、シャドー IT を可視化して脆弱なポイントの 全体像を把握し、サイバー犯罪につながる深刻な 脆弱性に対処できます。 グローバルな デジタル 機器検出 ネットワーク アセットの 検出 システムと アプリケーション のスキャン 脆弱性の 管理 評価と検証 ステータスの 報告
  15. 15. 脆弱性診断ツール F-Secure RADAR  統一された体裁の レポートを一元的に作成  脆弱性管理と チケッティングシステム  APIインターフェイス  脆弱性を手動で登録可能 © F-Secure15
  16. 16. © F-Secure16 F-Secure Radar セキュリティ センター ディスカバリー スキャン システム スキャン Web スキャン インターネット ディスカバリー セキュリティセンター クラウドでの一元的な管理とレポート作成 脆弱性管理とチケッティングシステム ディスカバリースキャン ネットワーク全体とそのすべてのアセットをマッピングする スキャンプロセス システムスキャン 設定エラー、不適切なパッチ管理、実装の見落としな どに関連した脆弱性を特定 Webスキャン 多数のWebアプリケーションで脆弱性の有無をテスト インターネットディスカバリー 公開されている攻撃ベクトル(感染経路/手法)のリ ストアップ 4種類のスキャンが 統合された スキャン ソリューション
  17. 17. ディスカバリースキャン  ネットワーク全体とそのすべてのアセットを ディスカバリースキャンでマッピングして、 システムスキャンで脆弱性を確実に検査  ディスカバリースキャンのスケジュールの設 定、ファイアウォールの変更の監視、現在の ファイアウォール設定が想定どおりに機能す るかどうかの確認が可能  高速で信頼性が高いポートスキャナ  非同期ポートスキャン技術を使用  サービスおよびオペレーティングシステムの 検出 17
  18. 18. © F-Secure18 システムスキャン  設定エラー、不適切なパッチ管理、実 装の見落としなどに関連した脆弱性を 特定  IPを使用するすべてのネットワーク デバイスをスキャン  認証スキャン(WindowsとLinux)  誤検知の数を最小限に抑えながら高い 精度を維持  常に最新の情報へアップデート  認定PCI ASVスキャンツール
  19. 19. WEBスキャン  カスタムのWebアプリケーションやモ ジュールをスキャンするためのシステム スキャン追加機能  ベーシック認証とフォームベース認証を サポート  誤検知の数を低く抑えながら高い精度を 維持  脆弱性データベースを最新の状態に維持  認定PCI ASVスキャンツール © F-Secure19
  20. 20. インターネットディスカバリースキャン  インターネットディスカバリーで、イン ターネットに面した組織のアセットを検 出可能  クローリングを使用してパブリックシス テム上のデータを収集。ロケーション、 トップレベルドメイン、有料ドメイン、 キーワード、ホスト名、IPアドレスに基 づいてデータを検索可能  検出したホストをスキャングループに追 加して、アクティブスキャンで脆弱性を スキャン可能  アクティブスキャンでホストに対して 定期的なシステムスキャンを実行 © F-Secure20
  21. 21. © F-Secure21 継続的な脆弱性診断実施例 50,000インスタンス 脆弱性診断対象インスタンス数 10,000 一週間ごとの脆弱性診断実施数 ・ Radarセキュリティセンタ 自動スキャン ・ APIベースで デプロイ後 自動スキャン
  22. 22. F-Secure 201922 継続的, 自動化 脆弱性診断 API連携で!
  23. 23. © F-Secure23 未処理タスク 開発 (スクラム/看板) CI/CD (継続的インティグレーション/デリバリー) 開発実施 テスト&deploy機能タスク セキュリティ 関連タスク 脅威モデリング 脆弱性診断 脅威モデル 機能タスク 主要機能タスク 合否基準 合否基準 脅威モデリング、脆弱性診断を 開発に組み込むことが重要 脅威モデリング、脆弱性診断を入れることで セキュリティのクライテリアや適切なタスクを追加できます
  24. 24. © F-Secure Confidential24 F-Secure Radar ご利用例 https://dev.classmethod.jp/cloud/aws/auto-vulscan-with-pipeline/ https://dev.classmethod.jp/cloud/aws/all-auto-vulscan-with-pipeline/
  25. 25. F-Secure 201925 F-Secure Radar いったいいくらで 使えるの??
  26. 26. F-Secure 201926 F-Secure Radar 50Server 623,000円 100Server 748,000円 年間ライセンス(保守込) パートナー様ご参考販売価格
  27. 27. F-Secure 201927 ここまで まとめ F-Secure Radar API連携、自動化 継続的な脆弱性診断
  28. 28. F-Secure 201928 今日の話 (2) クラウド環境F-Secure セキュリティコンサル
  29. 29. F-Secure 201929 とは言うものの
  30. 30. F-Secure 201930 使ってるCloud環境 そもそも、どこから 診断すれば良い?
  31. 31. F-Secure 201931 そんなお悩みを 持っている方向け
  32. 32. F-Secure 201932 クラウド環境向け サイバーセキュリティ コンサルティング
  33. 33. • ヨーロッパでサイバークライムインシデントが 起こった際 調査機関として 史上最多の依頼数 33 F-Secure CSS サイバーセキュリティ コンサルサービス
  34. 34. © F-Secure Partner Confidential34 F-SecureのWebアプリケーションセキュリティアセスメントは、 コードに存在する脆弱性とWebアプリケーションの実装を提供 します。基礎となる技術は F-Secure 独自のテクノロジーです。 Webアプリケーションアセスメントへの当社のアプローチは、 従来提供してきた豊富な実績により、様々なお客様の要件 に対応し、対象はフロントエンド、ミドルウェア、バックエンドシス テムをカバーします。 Webセキュリティアセスメントでは、以下の診断を提供します 当社のAssessmentは、お客様のビジネスの観点から重要性 が高く、コスト効果の高いアプリケーションにフォーカスしています。 F-Secure の Assessmentは、コンサルタントによるアセスメント 手法とF-Secure 独自ツールの組み合わせにより、特定の脆 弱性を調査し、深刻なリスクを引き起こす可能性のある根本 的な問題を特定します。 ・Server architecture and security specifications ・Business logic ・Authentication, access control, and authorization ・Use of cryptography ・Session management ・Error condition handling and exception management ・Data validation, confidentiality, and integrity ・Management interfaces ・Privacy concerns インフラ,ミドルウェア ソースコードレベル Webアセスメント
  35. 35. © F-Secure Partner Confidential35 F-Secure の数多くの実績を持つセキュリティコンサルタントが、 次のようなさまざまな標的型攻撃をテスト致します。 ・ Reconnaissance and intelligence gathering e.g. Google intel, dumpster-diving etc. ・ Social engineering e.g. e-mails, phone calls, human interaction, tailgating etc. ・Physical security e.g. lock-picking, breaking and entering etc. ・Targeted attacks e.g. phishing, spearhead, waterhole etc. ・Network attacks and penetration testing e.g. Wi-Fi, wired, bug planting etc. ・Firewall/IDS/IPS/WAF evasion ・Targeted exploitation and offense すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、 および潜在的可能性、概念実証モデルの構築とテストを行います。 F-Secureは、Target Driven な マルチレベルペネトレーションテストを ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。 ターゲットルールとモデルを使用したペネトレーションテストサービス には、ネットワーク、アプリケーションに対するテストに加えて、 ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト も実施可能です。 F-Secureが実行するすべての侵入テストは独自のものです。スコープ、 セットアップ、および方法論は、お客様の要件、ルールセット、 およびターゲットに応じて設定致します。(基本的な侵入テストでは、ター ゲットとルールセットは クライアントと共同して定義されます)。 侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール ボックスへのテスト、 クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に 応じて選択が可能です。 侵入テスト ソーシャル攻撃、 物理セキュリティ含む
  36. 36. © F-Secure Partner Confidential36 F-Secure の数多くの実績を持つセキュリティコンサルタントが、 次のようなさまざまな標的型攻撃をテスト致します。 ・ Reconnaissance and intelligence gathering e.g. Google intel, dumpster-diving etc. ・ Social engineering e.g. e-mails, phone calls, human interaction, tailgating etc. ・Physical security e.g. lock-picking, breaking and entering etc. ・Targeted attacks e.g. phishing, spearhead, waterhole etc. ・Network attacks and penetration testing e.g. Wi-Fi, wired, bug planting etc. ・Firewall/IDS/IPS/WAF evasion ・Targeted exploitation and offense すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、 および潜在的可能性、概念実証モデルの構築とテストを行います。 F-Secureは、Target Driven な マルチレベルペネトレーションテストを ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。 ターゲットルールとモデルを使用したペネトレーションテストサービス には、ネットワーク、アプリケーションに対するテストに加えて、 ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト も実施可能です。 F-Secureが実行するすべての侵入テストは独自のものです。スコープ、 セットアップ、および方法論は、お客様の要件、ルールセット、 およびターゲットに応じて設定致します。(基本的な侵入テストでは、ター ゲットとルールセットは クライアントと共同して定義されます)。 侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール ボックスへのテスト、 クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に 応じて選択が可能です。 侵入テスト クラウド環境特化 診断テスト実績多数
  37. 37. © F-Secure37 国内お客様事例 サイバーセキュリティ コンサルティング
  38. 38. © F-Secure38
  39. 39. © F-Secure 201839 エウレカ様事例 数百万以上個人情報 攻撃シナリオ詳細
  40. 40. © F-Secure 201840 「F-Secureは当初から 非常にリアリティのある話 をする事ができました」
  41. 41. © F-Secure 201841 「サンプル資料として 診断結果ももらいました。 こちらの意図した内容と 合致していました」
  42. 42. © F-Secure42 とは言うものの、 どこからセキュリティ 対策すればよいの?
  43. 43. © F-Secure43 そんなお客様へ
  44. 44. F-Secure 201944 “Pre-Study”
  45. 45. F-Secure 201945 Pre-Study 専門コンサルタントが 現状ヒアリング
  46. 46. F-Secure 201946 (1)どこに脅威がある? (2)現状リスク分析 (3)診断するならここ
  47. 47. F-Secure 201947 前ページ(1)– (3) 専門家がまとめる コンサルティング
  48. 48. F-Secure 201948 今日の話 (3) クラウド環境F-Secure アンチウイルス 月額 1,000円以下
  49. 49. F-Secure 201949 Server に対する マルウェア攻撃から 防御する
  50. 50. エフセキュア アンチウイルス製品 ラインナップ インター ネット Windows クライアント Mac PC Windows クライアント クライアント セキュリティ クライアント セキュリティ プレミアム PSB ワークステーション デスクトップ・ラップトップ Windows サーバ Linux サーバ SaaS ポリシーマネージャ PSB 管理ポータル 製品管理ツール Linux サーバ 仮想アプライアンス アンチウイルス Linux ゲートウェイ ゲートウェイ Android iOS Android FREEDOME for BusinessPSB モバイル スマートフォン・タブレット 仮想アプライアンスWindows サーバ Exchange サーバ XenApp サーバ Linux サーバ Sharepoint サーバ EMC ストレージ Linux セキュリティ フルエディション コマンドラインエディション 仮想スキャンサーバWindows サーバ セキュリティ Windows サーバ セキュリティ プレミアム Microsoft Exchange & XenApp セキュリティ プレミアム Microsoft Exchange & XenApp セキュリティ PSB メールサーバ PSB サーバPSB Linux サーバ・ストレージ・コラボレーション ライセンス(オンプレミス) クラウド Linux Server, Windows Server, Windows PC, Mac PC, Linux Gateway, 製品ご提供 50
  51. 51. クラウド環境, オンプレ環境向け 国内ユーザ様 F-Secure お客様例 F-Secure Policy Manager 管理/アップデート Windows/Linux Servers 管理/アップデート 自社 データセンタ DMZ Windows/Linux Servers 管理/アップデート Windows/Linux Servers 管理/アップデート DMZ Windows/Linux Servers LAN ウイルス定義ファイル バージョンアップ ファイル配信 51 VPC Cloud 1,000台超 の Windows/Linux Server, 12,000台以上の PC を 1台の管理サーバで統合管理 LAN
  52. 52. F-Secure 201952 クラウド環境F-Secure アンチウイルス 月額 1,000円以下 (Win/Linux Server)
  53. 53. © F-Secure 201853 まとめ
  54. 54. F-Secure 201954 まとめ (1) F-Secure Radar API連携 継続的な脆弱性診断
  55. 55. F-Secure 201955 F-Secure Radar 50Server 623,000円 100Server 748,000円 年間ライセンス(保守込) パートナー様ご参考販売価格
  56. 56. F-Secure 201956 まとめ (2) クラウド環境F-Secure セキュリティコンサル
  57. 57. F-Secure 201957 まとめ (3) クラウド環境F-Secure アンチウイルス 月額 1,000円以下
  58. 58. © F-Secure 201858 余談 オフラインで話そう
  59. 59. © F-Secure 201859 ぶっちゃけた話 今日の資料も ブログも見れる
  60. 60. © F-Secure 201860 なぜ時間をとって 会場に 来ているのか
  61. 61. © F-Secure 201861 Ask the Speaker, 懇親会で 講演者に話そう
  62. 62. © F-Secure 201862 講演者と話したら Twitter か ブログだ!
  63. 63. © F-Secure 201863 Unix 文化 ハッカー文化 “共有すること”
  64. 64. © F-Secure 201864 “共有すること” みんなが幸せに
  65. 65. © F-Secure 201865 One more thing,
  66. 66. © F-Secure 201866 F-Secure の ミッション
  67. 67. © F-Secure 201867 F-Secureは 30年以上にわたって 世界中の 数千万人ものユーザーを
  68. 68. © F-Secure 201868 デジタルの脅威から 守ってきました。
  69. 69. © F-Secure 201869 数々の受賞歴を誇る F-Secure製品は、 クライムウェアから企業を 標的としたサイバー攻撃まで
  70. 70. © F-Secure 201870 あらゆる脅威から 個人と企業を保護します。
  71. 71. © F-Secure 201871 当社のミッションは、 皆様を世界と安全に つなぐことです。

×