2022/01/28 JAWS-UG 名古屋 あけましておめでとう！ セキュリティで始める2022年 登壇資料

1. Shinichiro Kawano
Corporate Sales
F-Secure K.K.
Shinichiro.Kawano@f-secure.com
2022/01/28 JAWS-UG 名古屋 あけましておめでとう! セキュリティで始める2022年!!
初心者な私とあなたに捧げる
“最近 Serverless とかいろいろあるけど、
セキュリティ対応ってどうしていけば良い？ “

2. 2
自己紹介
河野 真一郎
エフセキュア株式会社 法人営業本部
クラウド セキュリティおよび
サイバーセキュリティコンサルティング担当
「サイバーセキュリティの必要性と対応方法をリアルな具体例で
分かりやすくご説明」を目指して JAWS-UG に参加してます
趣味 休日の「サウナ水風呂ととのう」
好きな名古屋のサウナ ウェルビー栄
名古屋出張で泊まる宿 ドーミーイン名古屋栄
F-Secure 2022

3. 3
名古屋のおもいで
ドーミーイン名古屋栄ヤバい

4. 4
名古屋支部初参加です！
初心者向けの話を
しても良いですか？

5. 5
初心者向けの話を
しても良いですか？
[Chat か Twitterへ]

6. 質問やツッコミ、随時受け付けてます！
Twitter ハッシュタグ #jawsug #jawsug_nagoya
今日は20分枠なので
最後 5分ぐらいTwitter, Chimeチャット欄を見ます
※今日の資料は公開します
最初にひとこと
6
質問は Twitter でも随時どうぞ！ #jawsug #jawsug_nagoya
F-Secure 2022

7. 質問やツッコミ、随時受け付けてます！
Twitter ハッシュタグ #jawsug #jawsug_nagoya
今日は20分枠なので
後半 5分ぐらいTwitter, Chimeチャット欄を見ます
※今日の資料は公開します
最初にひとこと
7
質問は Twitter でも随時どうぞ！ #jawsug #jawsug_nagoya
F-Secure 2022
だって画面に向かってしゃべるのは寂しいですよ？

8. 質問やツッコミ、随時受け付けてます！
Twitter ハッシュタグ #jawsug #jawsug_nagoya
今日は20分枠なので
後半 5分ぐらいTwitter, Chimeチャット欄を見ます
※今日の資料は公開します
最初にひとこと
8
質問は Twitter でも随時どうぞ！ #jawsug #jawsug_nagoya
F-Secure 2022
視聴してる皆さまも Twitter/Chat参加どうですか

9. (1) なんでServerless環境のセキュリティ相談とかもらってるの？
-> 勤務先の紹介ちょっとだけ
(2) ご相談頂く例 「AWS環境、Serverless 環境のセキュリティ」
-> お客様環境と使用サービスに応じたガイドライン作成支援
-> 脅威分析の実施
(3) お客様ご相談例 「AWS 環境に対する Pentest 実施」
-> F-Secure Attack Path Mapping のアプローチ
このセッションの概要
9 F-Secure 2022

10. 10
そもそもなんで、
Serverless環境の
セキュリティ相談の話してるの？
F-Secure 2022

11. F-SecureCorporation
11
✓1988年創業
✓アンチウイルスソフトウェア、EDR、脆弱性診断ツール
✓サイバーセキュリティコンサルティングサービスの提供
主な実績
2.20
億ユーロの売上
3
,
6
0
0
万ユーロの利益
（EBITDA）
1,700
人以上の従業員
29
箇所の拠点
(百万ユーロ) 220
159
170
191
217 分野別売上 地域別売上
B2Bセキュリティ売上 コンシューマセキュリティ売上
2016年～2020年売上
F-Secure 2022
質問は Twitter でも随時どうぞ！ #jawsug #jawsug_nagoya

12. 12
AWS環境：エフセキュア自身が、AWS の事例ユーザ
https://aws.amazon.com/jp/solutions/case-studies/f-secure/
数十万の 法人ユーザ様、数千万の一般消費者ユーザ様の
セキュリティソフトウェア提供基盤に使用
F-Secure 2022
質問は Twitter でも随時どうぞ！ #jawsug #jawsug_nagoya

13. F-Secure
サイバーセキュリティサービス 概要
13
30
インターポールなど
70以上の業界
機関との協業
創業以来、
セキュリティ技術の
研究・開発に注力
ヨーロッパのサイバー
犯罪への捜査協力実施
NASDAQ OMX
Helsinkiに上場
(1999年)
200社以上のISPや
4,000社以上の
パートナーを通じて
販売
世界100以上の
国々でビジネスを
展開
30年以上の
サイバーセキュリティ
領域での経験と実績
300人以上の
ホワイトハッカー
F-Secure 2022
質問は Twitter でも随時どうぞ！ #jawsug #jawsug_nagoya

14. ▪ 世界の大手金融機関などで多くの信頼を得ているセキュリティを再委託なく弊社一社で提供いたします。
▪ 日本でもセキュリティが重要な金融機関様、SaaS事業者様、Webサービス事業者様、
大手製造業様などで高く評価されています。
サービスの採用
アメリカ 最大手銀行 3/5
イギリス 全大手銀行 5/5
北欧 全大手銀行 5/5
シンガポール 大手銀行 4/5
南アフリカ 大手銀行 4/5
取得している認定の例
14
F-Secure
サイバーセキュリティサービス 概要

15. そんなわたくしが
よく頂くご相談
Serverless環境セキュリティ
15
F-Secure 2022

16. 16
お客様ご相談例
https://aws.amazon.com/jp/solutions/case-studies/f-secure/
※本ページ構成図は F-Secure のAWS 使用事例から抜粋
Serverless 主体のシステムを構築予定
社内向け セキュリティガイドラインやベストプラクティスが必要
F-Secure 2022

17. 17
「Security対策、
何からはじめれば
良いんですか？」

18. 18
2年くらい前に
回答してたパターン
“Security Best Practiceと
Well Architected…”

19. 19
今はイケてる資料が！
分かりやすくて
初心者にもオススメなのが！

20. 20
https://dev.classmethod.jp/articles/aws-security-all-in-one-2021/
臼田さんありがとう

21. 21
とはいえお客さま、
ご相談として
こういう話になることもある

22. 22
お客様ご相談例
https://aws.amazon.com/jp/solutions/case-studies/f-secure/
※本ページ構成図は F-Secure のAWS 使用事例から抜粋
Security Best Practice 資料や
W-Aの資料を頑張って読んでますが
自社環境に対応したガイドラインとか基準がほしい
F-Secure 2022

23. 23
お客さま、ご相談への
回答としては
こんなかんじ

24. 24
AWS環境セキュリティガイドラインの対応例
・既に社内で セキュリティガイドライン
がある場合
-> AWS環境へカスタマイズ支援
・セキュリティガイドラインはこれから
作成する場合
-> お客様が使用している環境に
合致したセキュリティガイドラインを
脅威分析とともにご提供
F-Secure 2022

25. 25
▪ 業種：オンラインサービス（日本）
▪ 要件：クラウド環境におけるWebアプリケーションのセキュリティ診断
脅威診断サービスのイメージ
攻撃者の視点で以下を分析
・どこにセキュリティ上の脅威がある？
・どんな攻撃方法がある？
・攻撃されたら影響範囲は？
・その攻撃を実施するためのスキルレベルは？
・それで実際、どんな対策をすれば良い？
F-Secure 2022
想定される脅威を列挙し、
顧客との合意によりリス
クを設定

26. 26
▪ 業種：オンラインサービス（日本）
▪ 要件：クラウド環境におけるWebアプリケーションのセキュリティ診断
お客様向けセキュリティガイドライン作成
攻撃者の視点をご説明した上で
・どのような設定、対策を実施するべきか？
・現状把握できていなかったセキュリティの脅威は何か？
・社内向けセキュリティガイドライン
を作成、お客様へご提出
F-Secure 2022
想定される脅威を列挙し、
顧客との合意によりリス
クを設定

27. 27
▪ 業種：オンラインサービス（日本）
▪ 要件：クラウド環境におけるWebアプリケーションのセキュリティ診断
お客様向けセキュリティガイドラインの次に相談頂く例
「セキュリティガイドラインを元にシステムを構築しました」
「本当に攻撃されないかテストしてほしいんですが」
-> Penetration Test ( 侵入テスト ) ですねぇ
F-Secure 2021
想定される脅威を列挙し、
顧客との合意によりリス
クを設定

28. 28
お客さま、ご相談への
回答として
以下のような感じに

29. ▪ AWS 環境に適切な設定ができているかについて、現実的
かつ有効な方法を確認
▪ 設計上の問題や、設計の意図通りに AWS が設定され
ているかについても構成図や設計を基に確認
▪ 診断対象（例）
▪ AWS アカウント
▪ IAMアクセス
▪ Amazon CloudFront
▪ Amazon CloudWatch
▪ Amazon Elastic Load Balancing
▪ Amazon ElastiCache
▪ Amazon RDS
▪ AWS Cloud Trail
▪ AWS Config etc….
29
クラウド環境(AWS) 診断
クラウド環境 (AWS) 診断
F-Secure 2022

30. AWS環境
Pentest サービス実施例
- Attack Path Mapping -
30
F-Secure 2022

31. ▪ F-Secureが Penetration Testを
実施する際の手法のひとつ
※右の図、以降ページの図は
Attack Path 実施時のイメージです。
実際のサービスでは
もう少し異なる Mappingになります
ATTACKPATH
MAPPING
31
F-Secure 2022

32. 32
ATTACKPATH
MAPPING
・攻撃経路を把握
・必要な対策と監視、
運用に利用可能
F-Secure 2022

33. (1) なんでServerless環境のセキュリティ相談とかもらってるの？
-> 勤務先の紹介ちょっとだけ
(2) ご相談頂く例 「AWS環境、Serverless 環境のセキュリティ」
-> お客様環境と使用サービスに応じたガイドライン作成支援
-> 脅威分析の実施
(3) お客様ご相談例 「AWS 環境に対する Pentest 実施」
-> F-Secure Attack Path Mapping のアプローチ
このセッションのまとめ
33 F-Secure 2022