Trainocate Japan, Ltd., profile picture
Uploaded byTrainocate Japan, Ltd.
483 views

Imperva APP Secトレンド/再燃するATOとWeb APIセキュリティ (トレノケ雲の会 mod5)

トレノケ雲の会 mod5 「雲の防人」より 株式会社Imperva Japan 伊藤 秀弘さん

Technology
Related topics:
Information Security

Embed presentation

Download to read offline
Imperva AppSec トレンド 再燃する ATO と Web API セキュリティ Imperva Japan Hidehiro Ito – Sales Engineer September 2019
はじめに 本資料の取り扱いについて 本資料に記載されている事柄は、予告なく変更されることがありますので、予めご了承ください。 本資料は「無保証」で提供され、市場性、特定の目的に対する適合性、または第三者の権利を侵害しないことを含むいかなる明示または暗示保証は一切付与されませ ん。 Imperva , Inc. (以下「Imperva」といいます) は、本書に含まれる技術的および編集上の誤りと欠落について、また、本資料の内容の実行および使用に起因する直接的、 付随的、二次的、その他のあらゆる損害について、Impervaは、そのような損害の可能性について事前に知らされていた場合でも、一切責任を負いません。 本書には著作権により保護されている情報が含まれています。内部での配布を除き、Imperva, Inc.の事前の書面による許可なく、本書を、いかなる形式においても複写ま たは複製することを禁じます。 Imperva製品の限定保証については、各製品の付属文書をご参照ください。Impervaは、Imperva製品のみを保証し、他社製品は一切保証いたしません。 製品リリース後の実際の情報と異なる場合、いかなる責任もImpervaは負わないこととします。 本書に記載されているその他のすべての商品名は、該当する各社の商標または登録商標です。 Copyright © 2019 Imperva, Inc., 3400 Bridge Parkway, Suite 200 Redwood Shores, CA 94065 United States All rights reserved. 2 © 2019 Imperva, Inc. All rights reserved.
セッションアジェンダ このセッションでは… クラウド上のアプリケーションセキュリティ分野で近年盛り上がりをみせている、API セキュリティとアカウント乗っ取り(Account Take Over)対策について、 紹介してみます • 自己紹介 • API セキュリティの必要性とそれに対する取り組み • アカウント乗っ取り攻撃の脅威とそれに対する取り組み 3 © 2019 Imperva, Inc. All rights reserved.
Who I am? 伊藤 秀弘(いとう ひでひろ) • Senior Sales Engineer • これまでの歩み • 1991年~ 某総合電機メーカーの(いわゆる)情シス部門で開発・運用に従事 • 2000年~ 運用管理 S/W のベンダを経て、セキュリティ村へ • IDS/IPS、脆弱性スキャナ、エンドポイントセキュリティ、メールセキュリティ、S/W 暗号化 などのサポート、プリセールスなどを担当 • 2014年~ Imperva Japan 入社、おもにセールスエンジニアとして WAF、DB セキュリティ、クラウド WAF などなどを担当 TBC… 4 © 2019 Imperva, Inc. All rights reserved.
Who we are? Imperva について • 事業 アプリケーション/データセキュリティ・ソリューションプロバイダ • Impervaのミッション “To protect your data and applications from ever-changing attacks of cyber criminals” • 設立 2002年 • 本社 米国カリフォルニア州 Redwood Shores • CEO Christopher Hylen • CTO Kunal Anand • 創業者 Shlomo Kramer、Amichai Shulman • 従業員数 1,200+ • 日本法人 • 株式会社 Imperva Japan • 2007年設立 代表:Lorne Fetzek • 国内1次代理店様: ‒ マクニカネットワークス株式会社 ‒ ソフトバンク・テクノロジー株式会社 ‒ 株式会社ネットワークバリューコンポネンツ ‒ NRIセキュアテクノロジーズ株式会社 • お客様 5 © 2019 Imperva, Inc. All rights reserved. • 325+ • government agencies & departments • 425+ global 2000 companies • 7 of the top 10 • global telecommunications providers • 3 of the top 5 • US commercial banks • global financial services firms • global computer hardware companies • global biotech companies • global diversified insurance services
オンプレ ハイブリッド クラウド 6 © 2019 Imperva, Inc. All rights reserved. DATA APIs APPs 自組織外から のアクセス パートナー 顧客 請負業者 悪性 bot 攻撃者 自組織内から のアクセス 正規ユーザ 特権ユーザ 悪意のある 関係者 不注意なユーザ 侵害された アカウント アプリケーション の保護 CDN ロードバランシング WAF RASP DDoS Bot プロテクション データ セキュリティ & コンプライアンス 可視化/見える化 ポリシー レポーティング モニタリング ブロッキング マスキング Attack Analytics (AIソリューション) Data Risk Analytics (AIソリューション) SIEM Imperva の セキュリティビジョン
API セキュリティの章 7© 2019 Imperva, Inc. All rights reserved.
これらはほんの始まりにすぎない “2022年までには、APIの悪用が最も頻繁な攻撃ベク ターとなり、企業のWebアプリケーションのデータ侵害を引き 起こす可能性がある” API を介したセキュリティインシデント 8 Proprietary and confidential. Do not distribute.
デジタルトランスフォーメーション - BUZZWORD? さまざまなアプリケーションが日々稼働 e.g. Enterprise Apps, Web Apps, Mobile Device, Connected car etc. • おなじ組織内の別部門も、運用にあたって個別要件をもつ → 複雑 • データはさまざまな場所に保存、さまざまな人たち/手段でアクセス → やっぱり複雑 ➢ デジタルトランスフォーメーションを進めるうえで、データに対して最小限の労力で アクセスすることは非常に重要 → 複雑性からの解放 単一エントリーポイントからあらゆるデータにアクセスできるととってもうれしい • オンプレミス、パブリック/プライベートクラウドなど、どこからでもアクセス可能 • さまざまな法規制に準拠 • さまざまなプログラミング言語でデータを取得できる • さまざまなサードパーティー製品との連携 9
従来型 Web セキュリティとのちがいを知る • アクセスクライアントの分類・識別 → よいボット?わるいボット?ブラウザ? • 開発部門による管理 → セキュリティ?そんなことより早くリリース! • Web に対する一般的な攻撃への保護 → SQLi?XSS?RFI? • DDoS 攻撃に対する保護 → BPS?RPS?PPS? • ホワイトリスト型セキュリティについて → めんどくさい設定?頻繁な変更? 10 © 2019 Imperva, Inc. All rights reserved. 開発部門による管理 公開されたビジネスロジック OpenAPI Specification 再利用 Mobile Developer B2B IoT Machine さまざまなアクセスクライアント ボットネット / DDoS攻撃
Imperva API セキュリティ – 1 API 通信におけるさまざまな攻撃に対して、さまざまな手法を用いて保護(一部これから) • 機械学習(API endpoints calls flow, API call rate, device finger print, Malformed data) • ログ監査, 検出 • ポリシー自動適用 11 © 2019 Imperva, Inc. All rights reserved. ポジティブセキュリティ 1 ネガティブセキュリティ 2 アノマリー検出 3 • セキュリティポリシー • パラメータタイプ, フォーマット, パス • HTTP方式 Website Security DDoS Protection Load Balancing CDN & Optimizer
Imperva API セキュリティ – 2 Open API(Swagger)ファイルのアップロードで瞬時にポリシーアップデート → ポジティブセキュリティモデル • 3レイヤーAPI保護モデルで多層防御 • CI/CD(ビルド, テスト, 導入)の完全自動化をサポート • DevSecOpsの実現で、品質を落とさずにソフトウェア開発ライフサイクルを高速化 • API管理ツール(AWS等)との連携 12 © 2019 Imperva, Inc. All rights reserved. ポジティブセキュリティ 1 ネガティブセキュリティ 2 アノマリー検出 3 <Swagger ファイル>
Imperva API セキュリティ – 3 API 向けセキュリティイベントログの出力結果。API 定義から違反したトラフィックを “API Specification Violation” として検出 13 © 2019 Imperva, Inc. All rights reserved.
ATO 保護の章 14© 2019 Imperva, Inc. All rights reserved.
ATO(Account Take Over)- アカウント乗っ取り攻撃の実態 • サイバー犯罪者は、ハッキングされた資格情報を通じてアカウントにアクセスします • 悪用可能な1つ1つのクレデンシャル情報は転売可能 • サイバー犯罪者が報酬を授与 TRUE STORY © 2019 Imperva, Inc. All rights reserved.15 2018年、ATO による被害の総額 $5.1 Billion 多くの人が複数のデバイスでパス ワードを使いまわしている 60% 全世界における資格情報の侵害数 7 Billion
ATO(アカウント乗っ取り攻撃)とは Credential Stuffing(資格情報の詰め込み)の例 – 入手した資格情報をつめこんでみた 16 © 2019 Imperva, Inc. All rights reserved. TEST CREDENTIALS GAIN ACCESS STEAL ASSETSHARVEST CREDENTIALS ボットネット Web サーバー 組織の情報資産攻撃者 E-Commerce Financial Services Healthcare Stolen Credentials Credit Cards Currency Healthcare Records Joe X X X X X S i g n I n 帯域幅の消費 (Consume bandwidth) 資産の侵害 ブランドダメージ STUFFING!
従来型アプローチの課題を知る 複雑なパスワードの選択を強制してみた → 複雑なパスワードでさえハッキングされてしまった(パスワードの使いまわし) 多要素認証を強制してみた → 利用者の操作性に与える影響が大きい(めんどくさい) → よくできたフィッシングページに誘導、ワンタイムパスワードを窃取できる IP レピュテーションで守ってみた → 送信元 IP アドレスはしょっちゅう変わる WAF を使ってみた → WAFによる ATO 対策は一定効果が期待できるが、さまざまな回避攻撃に対応するには限界もある © 2019 Imperva, Inc. All rights reserved.17
Imperva Account Take Over Protection - 1 18 © 2019 Imperva, Inc. All rights reserved. 導入について 利用者への影響について 検知と防御について • 特別な構成変更、不要です • すぐはじめられます • アプリケーションの変更は不要です • Web captcha は最小限に • 操作性への影響も最小限に • 体感的な遅延はほぼありません • 攻撃者の意図をみえる化します • シミュレーションによって過去データ から想定影響をみつもります • リスクベースで攻撃を緩和します
Imperva Account Take Over Protection - 2 legitimate Suspicious Suspicious Suspicious High Probability Allow Medium Probability Low Probability PoP 4段階の可能性(Probability)を 提示 ↓ 「Simulate」機能で 想定される影響度を確認 ↓ 「High」/「Medium」/「Low」 それぞれにアクションを設定 → Block / Captcha / Alert ATO Detection Engine 19 © 2019 Imperva, Inc. All rights reserved.
Imperva Account Take Over Protection - 3 20 © 2019 Imperva, Inc. All rights reserved. アカウント名 サイト名 表示期間 表示期間中のログイン数推移 期間中のリスク推移 期間中に検知 した攻撃情報 期間中の検知した攻撃情報 IP Geoロケーションベース
Advanced Detection(’19 年末リリース予定) • ソースを識別する • ボット?ブラウザ? • 悪性ボット? • ATO 攻撃の試み? • 定義済みの状態で正確に攻撃の 試みを検出 • 遅延はほぼなし • 実トラフィック、24x365 ラボによ るワールドワイドクラスのセキュリ ティインテリジェンス 21 © 2019 Imperva, Inc. All rights reserved. POP アクセスクライアントのフィンガープリント レピュテーション Login Anomaly Detection Engine 専門チーム 分類・識別 人による行動の解析 PoP
ありがとうございました!

More Related Content

PDF
通信の安全を守るためにエンジニアができること
byKazuaki Fujikura
 
PPTX
OWASP IoT Top10 超初級編
byAkitadaOmagari
 
PPTX
new AWS WAF update 概要と AMRの選び方でも足りないこと
byYOJI WATANABE
 
PPTX
Azure Api Management 俺的マニュアル 2020年3月版
by貴志 上坂
 
PDF
セキュアなソフトウェアアーキテクチャー
byYasuo Ohgaki
 
PDF
SecureAssist Introduction
byAsterisk Research, Inc.
 
PPTX
Browser andsecurity2015
by彰 村地
 
PDF
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
byAsterisk Research, Inc.
 
通信の安全を守るためにエンジニアができること
byKazuaki Fujikura
 
OWASP IoT Top10 超初級編
byAkitadaOmagari
 
new AWS WAF update 概要と AMRの選び方でも足りないこと
byYOJI WATANABE
 
Azure Api Management 俺的マニュアル 2020年3月版
by貴志 上坂
 
セキュアなソフトウェアアーキテクチャー
byYasuo Ohgaki
 
SecureAssist Introduction
byAsterisk Research, Inc.
 
Browser andsecurity2015
by彰 村地
 
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
byAsterisk Research, Inc.
 

Similar to Imperva APP Secトレンド/再燃するATOとWeb APIセキュリティ (トレノケ雲の会 mod5)

PDF
ARC-006_サイバー セキュリティ、IT Pro、開発、経営 それぞれの視点
bydecode2016
 
PDF
アプリケーションのシフトレフトを実践するには
byRiotaro OKADA
 
PDF
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
PPTX
HTML5 Web アプリケーションのセキュリティ
by彰 村地
 
PDF
この素晴らしいAPIに祝福を!
byKazuya Mori
 
PDF
AWS WAF Security Automation
byHayato Kiriyama
 
PPTX
【日商USA】webinar 2023.5.12 RSAカンファレンス2023 フィードバック
bySojitz Tech-Innovation USA
 
PDF
何故これからの時代にAPIが重要なのか?
byPina Hirano
 
PDF
OAuth2.0によるWeb APIの保護
byNaohiro Fujie
 
PDF
Azureの上におとりを置いて、世界中から攻撃される様子を観察した話
byRyuki Yoshimatsu
 
PDF
オープン API と Authlete のソリューション
byTatsuo Kudo
 
PPTX
FIWARE アーキテクチャの保護 - FIWARE WednesdayWebinars
byfisuda
 
PDF
[Japan Tech summit 2017] DEP 003
byMicrosoft Tech Summit 2017
 
PDF
APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)
byToshihiko Yamakami
 
PDF
AWS Black Belt Online Seminar 2018 ReInvent recap security other
byAmazon Web Services Japan
 
PPTX
Security measures
byshusuke-ichikawa
 
PDF
KongHQ Summit Japan 2021
byArshal Ameen
 
PDF
Security JAWS AWS reInvent 2022 Security reCap 20230228
byHayato Kiriyama
 
PPTX
Api and rpa_seminar_april20_osaka
byYuki Hayakawa
 
PDF
セキュリティを捉えてクラウドを使うためのポイント
byYasuhiro Araki, Ph.D
 
ARC-006_サイバー セキュリティ、IT Pro、開発、経営 それぞれの視点
bydecode2016
 
アプリケーションのシフトレフトを実践するには
byRiotaro OKADA
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
HTML5 Web アプリケーションのセキュリティ
by彰 村地
 
この素晴らしいAPIに祝福を!
byKazuya Mori
 
AWS WAF Security Automation
byHayato Kiriyama
 
【日商USA】webinar 2023.5.12 RSAカンファレンス2023 フィードバック
bySojitz Tech-Innovation USA
 
何故これからの時代にAPIが重要なのか?
byPina Hirano
 
OAuth2.0によるWeb APIの保護
byNaohiro Fujie
 
Azureの上におとりを置いて、世界中から攻撃される様子を観察した話
byRyuki Yoshimatsu
 
オープン API と Authlete のソリューション
byTatsuo Kudo
 
FIWARE アーキテクチャの保護 - FIWARE WednesdayWebinars
byfisuda
 
[Japan Tech summit 2017] DEP 003
byMicrosoft Tech Summit 2017
 
APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)
byToshihiko Yamakami
 
AWS Black Belt Online Seminar 2018 ReInvent recap security other
byAmazon Web Services Japan
 
Security measures
byshusuke-ichikawa
 
KongHQ Summit Japan 2021
byArshal Ameen
 
Security JAWS AWS reInvent 2022 Security reCap 20230228
byHayato Kiriyama
 
Api and rpa_seminar_april20_osaka
byYuki Hayakawa
 
セキュリティを捉えてクラウドを使うためのポイント
byYasuhiro Araki, Ph.D
 

More from Trainocate Japan, Ltd.

PDF
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
byTrainocate Japan, Ltd.
 
PPTX
AWS設計ガイドラインで取り組むクラウドシフト
byTrainocate Japan, Ltd.
 
PDF
アンチパターンで気づくAWS Well-Architected Framework入門編 信頼性の柱 総集編
byTrainocate Japan, Ltd.
 
PDF
IoTセキュリティの課題
byTrainocate Japan, Ltd.
 
PDF
AWS Organizationsでマルチアカウントハンズオン環境を構築した話
byTrainocate Japan, Ltd.
 
PDF
なるべく作らない内製のために~「作る」から「選んでつなぐ」へ~
byTrainocate Japan, Ltd.
 
PDF
AWS IoT サービスのアップデート情報とセキュリティ関連機能
byTrainocate Japan, Ltd.
 
PDF
AWS エンジニア育成における効果的なトレーニング活用のすすめ
byTrainocate Japan, Ltd.
 
PPTX
ノンコーディングでビジネスアプリ作成 PowerApps入門
byTrainocate Japan, Ltd.
 
PDF
セキュアなテレワークの実現
byTrainocate Japan, Ltd.
 
PDF
どう変わる? 新シスコ認定トレーニング ~CCNAとCCNP Enterprise~
byTrainocate Japan, Ltd.
 
PDF
30分でわかる! コンピュータネットワーク
byTrainocate Japan, Ltd.
 
PPTX
Microsoft Teams 管理のススメ
byTrainocate Japan, Ltd.
 
PDF
20191024 dx trainocate
byTrainocate Japan, Ltd.
 
PDF
OSSを活用したIaCの実現
byTrainocate Japan, Ltd.
 
PDF
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
byTrainocate Japan, Ltd.
 
PDF
今こそ知りたい!Microsoft Azureの基礎
byTrainocate Japan, Ltd.
 
PPTX
test_アンケート案内_securityliteracy0907.pptx
byTrainocate Japan, Ltd.
 
PDF
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
byTrainocate Japan, Ltd.
 
PDF
LPI認定の概要
byTrainocate Japan, Ltd.
 
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
byTrainocate Japan, Ltd.
 
AWS設計ガイドラインで取り組むクラウドシフト
byTrainocate Japan, Ltd.
 
アンチパターンで気づくAWS Well-Architected Framework入門編 信頼性の柱 総集編
byTrainocate Japan, Ltd.
 
IoTセキュリティの課題
byTrainocate Japan, Ltd.
 
AWS Organizationsでマルチアカウントハンズオン環境を構築した話
byTrainocate Japan, Ltd.
 
なるべく作らない内製のために~「作る」から「選んでつなぐ」へ~
byTrainocate Japan, Ltd.
 
AWS IoT サービスのアップデート情報とセキュリティ関連機能
byTrainocate Japan, Ltd.
 
AWS エンジニア育成における効果的なトレーニング活用のすすめ
byTrainocate Japan, Ltd.
 
ノンコーディングでビジネスアプリ作成 PowerApps入門
byTrainocate Japan, Ltd.
 
セキュアなテレワークの実現
byTrainocate Japan, Ltd.
 
どう変わる? 新シスコ認定トレーニング ~CCNAとCCNP Enterprise~
byTrainocate Japan, Ltd.
 
30分でわかる! コンピュータネットワーク
byTrainocate Japan, Ltd.
 
Microsoft Teams 管理のススメ
byTrainocate Japan, Ltd.
 
20191024 dx trainocate
byTrainocate Japan, Ltd.
 
OSSを活用したIaCの実現
byTrainocate Japan, Ltd.
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
byTrainocate Japan, Ltd.
 
今こそ知りたい!Microsoft Azureの基礎
byTrainocate Japan, Ltd.
 
test_アンケート案内_securityliteracy0907.pptx
byTrainocate Japan, Ltd.
 
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
byTrainocate Japan, Ltd.
 
LPI認定の概要
byTrainocate Japan, Ltd.
 

Recently uploaded

PDF
エンジニアが選ぶべきAIエディタ & Antigravity 活用例@ウェビナー「触ってみてどうだった?Google Antigravity 既存IDEと...
byNorihiroSunada
 
PDF
20251210_MultiDevinForEnterprise on Devin 1st Anniv Meetup
byMasaki Yamakawa
 
PDF
流行りに乗っかるClaris FileMaker 〜AI関連機能の紹介〜 by 合同会社イボルブ
byEvolve LLC.
 
PDF
Machine Tests Benchmark Suite. Explain github.com/alexziskind1/machine_tests #2
byTasuku Takahashi
 
PDF
Machine Tests Benchmark Suite. Explain github.com/alexziskind1/machine_tests #1
byTasuku Takahashi
 
PPTX
楽々ナレッジベース「楽ナレ」3種比較 - Dify / AWS S3 Vector / Google File Search Tool
byKiyohide Yamaguchi
 
エンジニアが選ぶべきAIエディタ & Antigravity 活用例@ウェビナー「触ってみてどうだった?Google Antigravity 既存IDEと...
byNorihiroSunada
 
20251210_MultiDevinForEnterprise on Devin 1st Anniv Meetup
byMasaki Yamakawa
 
流行りに乗っかるClaris FileMaker 〜AI関連機能の紹介〜 by 合同会社イボルブ
byEvolve LLC.
 
Machine Tests Benchmark Suite. Explain github.com/alexziskind1/machine_tests #2
byTasuku Takahashi
 
Machine Tests Benchmark Suite. Explain github.com/alexziskind1/machine_tests #1
byTasuku Takahashi
 
楽々ナレッジベース「楽ナレ」3種比較 - Dify / AWS S3 Vector / Google File Search Tool
byKiyohide Yamaguchi
 

Imperva APP Secトレンド/再燃するATOとWeb APIセキュリティ (トレノケ雲の会 mod5)

  • 1.
    Imperva AppSec トレンド 再燃するATO と Web API セキュリティ Imperva Japan Hidehiro Ito – Sales Engineer September 2019
  • 2.
    はじめに 本資料の取り扱いについて 本資料に記載されている事柄は、予告なく変更されることがありますので、予めご了承ください。 本資料は「無保証」で提供され、市場性、特定の目的に対する適合性、または第三者の権利を侵害しないことを含むいかなる明示または暗示保証は一切付与されませ ん。 Imperva , Inc.(以下「Imperva」といいます) は、本書に含まれる技術的および編集上の誤りと欠落について、また、本資料の内容の実行および使用に起因する直接的、 付随的、二次的、その他のあらゆる損害について、Impervaは、そのような損害の可能性について事前に知らされていた場合でも、一切責任を負いません。 本書には著作権により保護されている情報が含まれています。内部での配布を除き、Imperva, Inc.の事前の書面による許可なく、本書を、いかなる形式においても複写ま たは複製することを禁じます。 Imperva製品の限定保証については、各製品の付属文書をご参照ください。Impervaは、Imperva製品のみを保証し、他社製品は一切保証いたしません。 製品リリース後の実際の情報と異なる場合、いかなる責任もImpervaは負わないこととします。 本書に記載されているその他のすべての商品名は、該当する各社の商標または登録商標です。 Copyright © 2019 Imperva, Inc., 3400 Bridge Parkway, Suite 200 Redwood Shores, CA 94065 United States All rights reserved. 2 © 2019 Imperva, Inc. All rights reserved.
  • 3.
    セッションアジェンダ このセッションでは… クラウド上のアプリケーションセキュリティ分野で近年盛り上がりをみせている、API セキュリティとアカウント乗っ取り(Account TakeOver)対策について、 紹介してみます • 自己紹介 • API セキュリティの必要性とそれに対する取り組み • アカウント乗っ取り攻撃の脅威とそれに対する取り組み 3 © 2019 Imperva, Inc. All rights reserved.
  • 4.
    Who I am? 伊藤秀弘(いとう ひでひろ) • Senior Sales Engineer • これまでの歩み • 1991年~ 某総合電機メーカーの(いわゆる)情シス部門で開発・運用に従事 • 2000年~ 運用管理 S/W のベンダを経て、セキュリティ村へ • IDS/IPS、脆弱性スキャナ、エンドポイントセキュリティ、メールセキュリティ、S/W 暗号化 などのサポート、プリセールスなどを担当 • 2014年~ Imperva Japan 入社、おもにセールスエンジニアとして WAF、DB セキュリティ、クラウド WAF などなどを担当 TBC… 4 © 2019 Imperva, Inc. All rights reserved.
  • 5.
    Who we are? Impervaについて • 事業 アプリケーション/データセキュリティ・ソリューションプロバイダ • Impervaのミッション “To protect your data and applications from ever-changing attacks of cyber criminals” • 設立 2002年 • 本社 米国カリフォルニア州 Redwood Shores • CEO Christopher Hylen • CTO Kunal Anand • 創業者 Shlomo Kramer、Amichai Shulman • 従業員数 1,200+ • 日本法人 • 株式会社 Imperva Japan • 2007年設立 代表:Lorne Fetzek • 国内1次代理店様: ‒ マクニカネットワークス株式会社 ‒ ソフトバンク・テクノロジー株式会社 ‒ 株式会社ネットワークバリューコンポネンツ ‒ NRIセキュアテクノロジーズ株式会社 • お客様 5 © 2019 Imperva, Inc. All rights reserved. • 325+ • government agencies & departments • 425+ global 2000 companies • 7 of the top 10 • global telecommunications providers • 3 of the top 5 • US commercial banks • global financial services firms • global computer hardware companies • global biotech companies • global diversified insurance services
  • 6.
    オンプレ ハイブリッド クラウド 6© 2019 Imperva, Inc. All rights reserved. DATA APIs APPs 自組織外から のアクセス パートナー 顧客 請負業者 悪性 bot 攻撃者 自組織内から のアクセス 正規ユーザ 特権ユーザ 悪意のある 関係者 不注意なユーザ 侵害された アカウント アプリケーション の保護 CDN ロードバランシング WAF RASP DDoS Bot プロテクション データ セキュリティ & コンプライアンス 可視化/見える化 ポリシー レポーティング モニタリング ブロッキング マスキング Attack Analytics (AIソリューション) Data Risk Analytics (AIソリューション) SIEM Imperva の セキュリティビジョン
  • 7.
    API セキュリティの章 7© 2019Imperva, Inc. All rights reserved.
  • 8.
  • 9.
    デジタルトランスフォーメーション - BUZZWORD? さまざまなアプリケーションが日々稼働 e.g.Enterprise Apps, Web Apps, Mobile Device, Connected car etc. • おなじ組織内の別部門も、運用にあたって個別要件をもつ → 複雑 • データはさまざまな場所に保存、さまざまな人たち/手段でアクセス → やっぱり複雑 ➢ デジタルトランスフォーメーションを進めるうえで、データに対して最小限の労力で アクセスすることは非常に重要 → 複雑性からの解放 単一エントリーポイントからあらゆるデータにアクセスできるととってもうれしい • オンプレミス、パブリック/プライベートクラウドなど、どこからでもアクセス可能 • さまざまな法規制に準拠 • さまざまなプログラミング言語でデータを取得できる • さまざまなサードパーティー製品との連携 9
  • 10.
    従来型 Web セキュリティとのちがいを知る •アクセスクライアントの分類・識別 → よいボット?わるいボット?ブラウザ? • 開発部門による管理 → セキュリティ?そんなことより早くリリース! • Web に対する一般的な攻撃への保護 → SQLi?XSS?RFI? • DDoS 攻撃に対する保護 → BPS?RPS?PPS? • ホワイトリスト型セキュリティについて → めんどくさい設定?頻繁な変更? 10 © 2019 Imperva, Inc. All rights reserved. 開発部門による管理 公開されたビジネスロジック OpenAPI Specification 再利用 Mobile Developer B2B IoT Machine さまざまなアクセスクライアント ボットネット / DDoS攻撃
  • 11.
    Imperva API セキュリティ– 1 API 通信におけるさまざまな攻撃に対して、さまざまな手法を用いて保護(一部これから) • 機械学習(API endpoints calls flow, API call rate, device finger print, Malformed data) • ログ監査, 検出 • ポリシー自動適用 11 © 2019 Imperva, Inc. All rights reserved. ポジティブセキュリティ 1 ネガティブセキュリティ 2 アノマリー検出 3 • セキュリティポリシー • パラメータタイプ, フォーマット, パス • HTTP方式 Website Security DDoS Protection Load Balancing CDN & Optimizer
  • 12.
    Imperva API セキュリティ– 2 Open API(Swagger)ファイルのアップロードで瞬時にポリシーアップデート → ポジティブセキュリティモデル • 3レイヤーAPI保護モデルで多層防御 • CI/CD(ビルド, テスト, 導入)の完全自動化をサポート • DevSecOpsの実現で、品質を落とさずにソフトウェア開発ライフサイクルを高速化 • API管理ツール(AWS等)との連携 12 © 2019 Imperva, Inc. All rights reserved. ポジティブセキュリティ 1 ネガティブセキュリティ 2 アノマリー検出 3 <Swagger ファイル>
  • 13.
    Imperva API セキュリティ– 3 API 向けセキュリティイベントログの出力結果。API 定義から違反したトラフィックを “API Specification Violation” として検出 13 © 2019 Imperva, Inc. All rights reserved.
  • 14.
    ATO 保護の章 14© 2019Imperva, Inc. All rights reserved.
  • 15.
    ATO(Account Take Over)-アカウント乗っ取り攻撃の実態 • サイバー犯罪者は、ハッキングされた資格情報を通じてアカウントにアクセスします • 悪用可能な1つ1つのクレデンシャル情報は転売可能 • サイバー犯罪者が報酬を授与 TRUE STORY © 2019 Imperva, Inc. All rights reserved.15 2018年、ATO による被害の総額 $5.1 Billion 多くの人が複数のデバイスでパス ワードを使いまわしている 60% 全世界における資格情報の侵害数 7 Billion
  • 16.
    ATO(アカウント乗っ取り攻撃)とは Credential Stuffing(資格情報の詰め込み)の例 –入手した資格情報をつめこんでみた 16 © 2019 Imperva, Inc. All rights reserved. TEST CREDENTIALS GAIN ACCESS STEAL ASSETSHARVEST CREDENTIALS ボットネット Web サーバー 組織の情報資産攻撃者 E-Commerce Financial Services Healthcare Stolen Credentials Credit Cards Currency Healthcare Records Joe X X X X X S i g n I n 帯域幅の消費 (Consume bandwidth) 資産の侵害 ブランドダメージ STUFFING!
  • 17.
    従来型アプローチの課題を知る 複雑なパスワードの選択を強制してみた → 複雑なパスワードでさえハッキングされてしまった(パスワードの使いまわし) 多要素認証を強制してみた → 利用者の操作性に与える影響が大きい(めんどくさい) →よくできたフィッシングページに誘導、ワンタイムパスワードを窃取できる IP レピュテーションで守ってみた → 送信元 IP アドレスはしょっちゅう変わる WAF を使ってみた → WAFによる ATO 対策は一定効果が期待できるが、さまざまな回避攻撃に対応するには限界もある © 2019 Imperva, Inc. All rights reserved.17
  • 18.
    Imperva Account TakeOver Protection - 1 18 © 2019 Imperva, Inc. All rights reserved. 導入について 利用者への影響について 検知と防御について • 特別な構成変更、不要です • すぐはじめられます • アプリケーションの変更は不要です • Web captcha は最小限に • 操作性への影響も最小限に • 体感的な遅延はほぼありません • 攻撃者の意図をみえる化します • シミュレーションによって過去データ から想定影響をみつもります • リスクベースで攻撃を緩和します
  • 19.
    Imperva Account TakeOver Protection - 2 legitimate Suspicious Suspicious Suspicious High Probability Allow Medium Probability Low Probability PoP 4段階の可能性(Probability)を 提示 ↓ 「Simulate」機能で 想定される影響度を確認 ↓ 「High」/「Medium」/「Low」 それぞれにアクションを設定 → Block / Captcha / Alert ATO Detection Engine 19 © 2019 Imperva, Inc. All rights reserved.
  • 20.
    Imperva Account TakeOver Protection - 3 20 © 2019 Imperva, Inc. All rights reserved. アカウント名 サイト名 表示期間 表示期間中のログイン数推移 期間中のリスク推移 期間中に検知 した攻撃情報 期間中の検知した攻撃情報 IP Geoロケーションベース
  • 21.
    Advanced Detection(’19 年末リリース予定) •ソースを識別する • ボット?ブラウザ? • 悪性ボット? • ATO 攻撃の試み? • 定義済みの状態で正確に攻撃の 試みを検出 • 遅延はほぼなし • 実トラフィック、24x365 ラボによ るワールドワイドクラスのセキュリ ティインテリジェンス 21 © 2019 Imperva, Inc. All rights reserved. POP アクセスクライアントのフィンガープリント レピュテーション Login Anomaly Detection Engine 専門チーム 分類・識別 人による行動の解析 PoP
  • 22.