Download as PDF, PPTX
![[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...](https://cdn.slidesharecdn.com/ss_thumbnails/dsssapporo2015d23datasecurityjpsecure-150925075233-lva1-app6892-thumbnail.jpg?width=640&height=640&fit=bounds)
![EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...](https://cdn.slidesharecdn.com/ss_thumbnails/ec-councilcndcertifiednetworkdefender-171011020633-thumbnail.jpg?width=640&height=640&fit=bounds)
![[AWS初心者向けWebinar] 利用者が実施するAWS上でのセキュリティ対策](https://cdn.slidesharecdn.com/ss_thumbnails/20151217-aws-security-151218023451-thumbnail.jpg?width=640&height=640&fit=bounds)
2019 0917 nw-jaws_f-secure3min
- 1. 3分で紹介する F-Secure と Securityと 未来 Shinichiro Kawano Corporate Sales F-Secure K.K. Shinichiro.Kawano@f-secure.com 2019/09/17 NW-JAWS #5 “AWSとネットワークの未来” LT
- 2.
- 3. 3 自己紹介 河野 真一郎 エフセキュア株式会社 法人営業部 Unix-> OSS/Linux (この辺りからCloud関連) -> Security F-Secure フィンランドが本社 セキュリティソフト/サービス 趣味 ”サウナと水風呂” あと テクノポップ!! Here we go! every body come on rock 'n' roll!
- 4. F-Secure 会社概要 4 過去8年間で6回のAV-Test最優秀保護賞を受賞した唯一の企業。 その他多数の受賞歴 設立: 1988年 法人展開:世界29地域 ビジネス展開: 100ヵ国以上 オペレータ数: 200以上 リセラー数: 1000以上 社員数: 1600人以上 売上高: 約235億円(2018) 前年比33%成長 法人顧客数: 世界10万社以上 欧州のサイバー犯罪インシデント時に調査機関として最多の依頼数 事業内容 ITセキュリティソリューションの開発・販売・サポート(法人・個人) IoTコンサルティング(診断・テスト・開発支援・トレーニング) 「F-Secure Lab」からのセキュリティサービス提供
- 5.
- 6.
- 7.
- 8.
- 9.
- 10.
- 11.
- 12. F-Secure 201912 パッチを適用してない Linux Serverに 心あたりのアナタへ
- 13. 脆弱性診断ツール F-Secure RADAR 統一された体裁の レポートを一元的に作成 脆弱性管理と チケッティングシステム APIインターフェイス 脆弱性を手動で登録可能 © F-Secure13
- 14.
- 15. ディスカバリースキャン ネットワーク全体とそのすべてのアセットを ディスカバリースキャンでマッピングして、 システムスキャンで脆弱性を確実に検査 ディスカバリースキャンのスケジュールの設 定、ファイアウォールの変更の監視、現在の ファイアウォール設定が想定どおりに機能す るかどうかの確認が可能 高速で信頼性が高いポートスキャナ 非同期ポートスキャン技術を使用 サービスおよびオペレーティングシステムの 検出 15
- 16. © F-Secure16 システムスキャン 設定エラー、不適切なパッチ管理、実 装の見落としなどに関連した脆弱性を 特定 IPを使用するすべてのネットワーク デバイスをスキャン 認証スキャン(WindowsとLinux) 誤検知の数を最小限に抑えながら高い 精度を維持 常に最新の情報へアップデート 認定PCI ASVスキャンツール
- 17. WEBスキャン カスタムのWebアプリケーションやモ ジュールをスキャンするためのシステム スキャン追加機能 ベーシック認証とフォームベース認証を サポート 誤検知の数を低く抑えながら高い精度を 維持 脆弱性データベースを最新の状態に維持 認定PCI ASVスキャンツール © F-Secure17
- 18. インターネットディスカバリースキャン インターネットディスカバリーで、イン ターネットに面した組織のアセットを検 出可能 クローリングを使用してパブリックシス テム上のデータを収集。ロケーション、 トップレベルドメイン、有料ドメイン、 キーワード、ホスト名、IPアドレスに基 づいてデータを検索可能 検出したホストをスキャングループに追 加して、アクティブスキャンで脆弱性を スキャン可能 アクティブスキャンでホストに対して 定期的なシステムスキャンを実行 © F-Secure18
- 19. © F-Secure19 継続的な脆弱性診断実施例 50,000インスタンス 脆弱性診断対象インスタンス数 10,000一週間ごとの脆弱性診断実施数 ・ Radarセキュリティセンタ 自動スキャン ・ APIベースで デプロイ後 自動スキャン
- 20.
- 21. © F-Secure21 未処理タスク 開発 (スクラム/看板) CI/CD (継続的インティグレーション/デリバリー) 開発実施テスト&deploy機能タスク セキュリティ 関連タスク 脅威モデリング 脆弱性診断 脅威モデル 機能タスク 主要機能タスク 合否基準 合否基準 脅威モデリング、脆弱性診断を 開発に組み込むことが重要 脅威モデリング、脆弱性診断を入れることで セキュリティのクライテリアや適切なタスクを追加できます
- 22. © F-Secure Confidential22 F-SecureRadar ご利用例 https://dev.classmethod.jp/cloud/aws/auto-vulscan-with-pipeline/ https://dev.classmethod.jp/cloud/aws/all-auto-vulscan-with-pipeline/
- 23. F-Secure 201923 ここまで まとめ F-SecureRadar API連携、自動化 継続的な脆弱性診断
- 24.
- 25.
- 26.
- 27.
- 28. • ヨーロッパでサイバークライムインシデントが 起こった際 調査機関として 史上最多の依頼数 28 F-SecureCSS サイバーセキュリティ コンサルサービス
- 29. © F-Secure PartnerConfidential29 F-SecureのWebアプリケーションセキュリティアセスメントは、 コードに存在する脆弱性とWebアプリケーションの実装を提供 します。基礎となる技術は F-Secure 独自のテクノロジーです。 Webアプリケーションアセスメントへの当社のアプローチは、 従来提供してきた豊富な実績により、様々なお客様の要件 に対応し、対象はフロントエンド、ミドルウェア、バックエンドシス テムをカバーします。 Webセキュリティアセスメントでは、以下の診断を提供します 当社のAssessmentは、お客様のビジネスの観点から重要性 が高く、コスト効果の高いアプリケーションにフォーカスしています。 F-Secure の Assessmentは、コンサルタントによるアセスメント 手法とF-Secure 独自ツールの組み合わせにより、特定の脆 弱性を調査し、深刻なリスクを引き起こす可能性のある根本 的な問題を特定します。 ・Server architecture and security specifications ・Business logic ・Authentication, access control, and authorization ・Use of cryptography ・Session management ・Error condition handling and exception management ・Data validation, confidentiality, and integrity ・Management interfaces ・Privacy concerns インフラ,ミドルウェア ソースコードレベル Webアセスメント
- 30. © F-Secure PartnerConfidential30 F-Secure の数多くの実績を持つセキュリティコンサルタントが、 次のようなさまざまな標的型攻撃をテスト致します。 ・ Reconnaissance and intelligence gathering e.g. Google intel, dumpster-diving etc. ・ Social engineering e.g. e-mails, phone calls, human interaction, tailgating etc. ・Physical security e.g. lock-picking, breaking and entering etc. ・Targeted attacks e.g. phishing, spearhead, waterhole etc. ・Network attacks and penetration testing e.g. Wi-Fi, wired, bug planting etc. ・Firewall/IDS/IPS/WAF evasion ・Targeted exploitation and offense すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、 および潜在的可能性、概念実証モデルの構築とテストを行います。 F-Secureは、Target Driven な マルチレベルペネトレーションテストを ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。 ターゲットルールとモデルを使用したペネトレーションテストサービス には、ネットワーク、アプリケーションに対するテストに加えて、 ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト も実施可能です。 F-Secureが実行するすべての侵入テストは独自のものです。スコープ、 セットアップ、および方法論は、お客様の要件、ルールセット、 およびターゲットに応じて設定致します。(基本的な侵入テストでは、ター ゲットとルールセットは クライアントと共同して定義されます)。 侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール ボックスへのテスト、 クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に 応じて選択が可能です。 侵入テスト ソーシャル攻撃、 物理セキュリティ含む
- 31. © F-Secure PartnerConfidential31 F-Secure の数多くの実績を持つセキュリティコンサルタントが、 次のようなさまざまな標的型攻撃をテスト致します。 ・ Reconnaissance and intelligence gathering e.g. Google intel, dumpster-diving etc. ・ Social engineering e.g. e-mails, phone calls, human interaction, tailgating etc. ・Physical security e.g. lock-picking, breaking and entering etc. ・Targeted attacks e.g. phishing, spearhead, waterhole etc. ・Network attacks and penetration testing e.g. Wi-Fi, wired, bug planting etc. ・Firewall/IDS/IPS/WAF evasion ・Targeted exploitation and offense すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、 および潜在的可能性、概念実証モデルの構築とテストを行います。 F-Secureは、Target Driven な マルチレベルペネトレーションテストを ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。 ターゲットルールとモデルを使用したペネトレーションテストサービス には、ネットワーク、アプリケーションに対するテストに加えて、 ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト も実施可能です。 F-Secureが実行するすべての侵入テストは独自のものです。スコープ、 セットアップ、および方法論は、お客様の要件、ルールセット、 およびターゲットに応じて設定致します。(基本的な侵入テストでは、ター ゲットとルールセットは クライアントと共同して定義されます)。 侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール ボックスへのテスト、 クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に 応じて選択が可能です。 侵入テスト クラウド環境特化 診断テスト実績多数
- 32.
- 33.
- 34.
- 35.
- 36.
- 37.
- 38. F-Secure 201938 まとめ (1) F-SecureRadar API連携 継続的な脆弱性診断
- 39.