SlideShare a Scribd company logo

診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻

Download as PPTX, PDF
M
mkoda

【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻 での登壇資料です。

Technology
1 of 21
診断員による ASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻 2024/02/03 幸田 将司 1
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved Who am I? 幸田将司: セキュリティ屋のフリーランス: - 株式会社Levii - 株式会社バラエナテック 代表取締役 - SecuriST(R) 認定診断士 試験委員会 / ISOG-J(WG1) - 診断 / 開発 / ISMS支援 ...etc SNS: - @halkichisec 2
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved Contents 1. ASM検討 2. 攻撃可能領域の探し方 3
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 内容 脆弱性診断員から見た、組織の攻撃対象領域のお話 診断しながらこれやったら良いのになといつも考えてい ます。 誰向け? 脆弱性診断をたくさん発注する組織/企業様 ○SIRTに携わる方 診断員 4
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 攻撃表面管理(Attack Surface Management) • 組織が自身の情報セキュリティ上の脆弱性や攻撃可能な範囲(攻撃表 面)を管理/把握する。 • 攻撃者がシステムやネットワークに侵入できる可能性のあるすべての 経路や要因を特定する • インターネットに公開されているものが対象 ASMとはなんぞや 5
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 攻撃表面にはどんなものがあるか? • 例: • コーポレートサイト • 自社サービス • メール/VPN/ファイルサーバ等 • ネットワークカメラ等のIoT機器 • 担当者のメールアドレス • 攻撃者から見えているものは多い ASMとはなんぞや 6
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • Cyber Kill Chain (標的型攻撃のモデル) • ターゲットに対して行う攻撃の段階的な手順を示すモデル • 外部からの情報収集で集められる情報が少ないに越したことはない • 攻撃者はより多くの情報を集めてくる • 自組織がどのように見えているのか把握することが重要 攻撃者の行動を考える 情報収集 武器化 配送 エクスプロイ ト インストール C&C 目的実行 ・OSINT ・スキャン ・Exploit作成 ・システムへの侵害や ・メール経由のマルウェア ・C2サーバとの 通信 7
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • コーポレートサイトや自社サービスに付随するコンテンツは存 在がわかりやすいが、堅牢にされていることが多い。 攻撃表面の例1 外部公開しているサービスは堅牢 脆弱性診断もしている インターネットアクセスできるが Basic認証とかでお茶濁す 存在が隠れていない 8
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 自社サービスに紐づいているが、管理が忘れ去られているコン テンツ等 攻撃表面の例2 ※IPに紐づくコンテンツサーバがなくとも サブドメインテイクオーバーの温床になる可 能性も。CNAME、Aレコード等 バグバウンティではよく報告されている ベンダーのために 開けておいた経路 9
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 内部からの調査は部署を横断する必要がある。 • インシデント例 • (2021年)内閣サイバーセキュリティセンター(NISC)の情報漏洩 • 内部で使用していたプロジェクト情報共有ツールへの不正アクセス • 組織内部で使用している端末やツールの特定を行う • ISMS(ISO27001)を取得しているなら情報資産管理/リスク台帳があるはず • 管理している部署と連携をとることを推奨 • シャドーITの制限も忘れずに 攻撃可能領域の探し方(内部) 10
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 外部からの調査の例として、OSINTは効果的 • OSINTツールの使用 • Recon-ng • Maltego • OSINTテクニックを使う • OSINTフレームワーク • 診断ベンダーへの依頼(OSINT診断) 攻撃可能領域の探し方(外部) OSINT Frameworkの例 11
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • インターネッツから見えるものは多い • WHOIS、DNS、サーバ証明書のサブジェクト代替名...etc • 情報集積サービス • 例えばRiskIQやCencys ドメインに紐づいた、 サブドメインの一覧を列挙 ←は例示用ドメインですが、 dev.{顧客名}.{自社ドメイン}の設計にしている ベンダーの顧客名めちゃくちゃ見えてる
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • Censysの例 ①ドメインで検索 ②IPアドレスが表示される ③サブドメインがわかる
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • ドメイン/IPで検索できる理由: • CensysやSHODANに代表される情報集積サービスはインターネッ トへネットワークスキャンを行なっている。 1. IPアドレスにポートスキャン 2. 443/tcp等にアクセス 3. 証明書のドメインを確認 4. ドメインの名前解決を行い、存在すればサイトにインデックス 一応、HTTPの時はヘッダで教えてくれる。 以下はPaloAltoの例
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved というわけでASMしよう • 攻撃表面を把握するのは困難 • ツールを用いた管理を推奨(経済産業省)。 出典: 経済産業省ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~ https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html 15
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved ASMツールの例 • Mandiant / 株式会社マクニカ • サイバー攻撃ネットde診断 / GMOサイバーセキュリティ byイエ ラエ株式会社 • Sn1per / Sn1perSecurity LLC. • OSSだが、すべての機能を使うにはライセンス購入が必要 • Amass / OWASP • OSS、なんのテクノロジーを使用するか設定が可能、脆弱性調査はしない 16
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved ASMツールで把握できるもの • 公開情報の把握 • 使用感としては、自社情報だけにフィルターしたSHODANに近い 17
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved ASMツールがやっていること • Sn1perの例 • ネットワーク調査系 • ping調査 • ポートスキャン (nmap) • 単純な脆弱性調査 (nmap –A) • OCINT系 • DNS情報の収集 • サブドメインテイクオーバーの確認 • 脆弱性診断系 • ZAP / GVM / SSL Scan / smbdump ...etc • 関係ないIPもトラッキングする可能性はあった。 使用感は Reconツール + ネットワークスキャナー 18
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved ASMでも担保できない箇所 • 従業員教育 • 組織の窓口にいる担当者がうっかりメールを開く • シャドーIT • 内部に持ち込まれ接続された端末や、勝手に使用しているツール • 情報資産管理(ISMS)や、リテラシー向上教育で組織を巻き込ん で管理したい。 19
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 参考: 組織を巻き込む • そもそも職務により目的/視点が違うため、各チームの代表を まきこんでモデリングすると、少しスムーズに進むかも • サービスのセキュリティチェックシートを作る際のMTGの例 20 それぞれのロールの 背景や目的を同じ視点でみる ための手法
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved おわり • ご清聴ありがとうございました 21

Recommended

National Diploma Mechanical Engineering
National Diploma Mechanical EngineeringNational Diploma Mechanical Engineering
National Diploma Mechanical EngineeringFrancois De Wet
 
Advanced Level 1
Advanced Level 1Advanced Level 1
Advanced Level 1Supun Anjana samarasinghe
 
N2,N3,N4,N5,N6,Trade test,First aid level 1,ID book,Induction boilermaker
N2,N3,N4,N5,N6,Trade test,First aid level 1,ID book,Induction boilermakerN2,N3,N4,N5,N6,Trade test,First aid level 1,ID book,Induction boilermaker
N2,N3,N4,N5,N6,Trade test,First aid level 1,ID book,Induction boilermakerTakalani Magwaba
 
Certificate of Achievement - N4
Certificate of Achievement - N4Certificate of Achievement - N4
Certificate of Achievement - N4Taryn Van Wyk
 
Mechanical engineering certificate
Mechanical engineering certificateMechanical engineering certificate
Mechanical engineering certificateMohammedNizam23
 
Beacon Pines - Game Pitch Deck
Beacon Pines - Game Pitch DeckBeacon Pines - Game Pitch Deck
Beacon Pines - Game Pitch DeckPitch Decks
 
PASSPORT
PASSPORTPASSPORT
PASSPORTAgrippa Gondwe
 
Dylan Dog VČ SB - 007 - Pesma sirene - Vučja krv - Ogledalo
Dylan Dog VČ SB - 007 - Pesma sirene - Vučja krv - OgledaloDylan Dog VČ SB - 007 - Pesma sirene - Vučja krv - Ogledalo
Dylan Dog VČ SB - 007 - Pesma sirene - Vučja krv - OgledaloStripovizijacom
 

Recommended

National Diploma Mechanical Engineering
National Diploma Mechanical EngineeringNational Diploma Mechanical Engineering
National Diploma Mechanical EngineeringFrancois De Wet
 
Advanced Level 1
Advanced Level 1Advanced Level 1
Advanced Level 1Supun Anjana samarasinghe
 
N2,N3,N4,N5,N6,Trade test,First aid level 1,ID book,Induction boilermaker
N2,N3,N4,N5,N6,Trade test,First aid level 1,ID book,Induction boilermakerN2,N3,N4,N5,N6,Trade test,First aid level 1,ID book,Induction boilermaker
N2,N3,N4,N5,N6,Trade test,First aid level 1,ID book,Induction boilermakerTakalani Magwaba
 
Certificate of Achievement - N4
Certificate of Achievement - N4Certificate of Achievement - N4
Certificate of Achievement - N4Taryn Van Wyk
 
Mechanical engineering certificate
Mechanical engineering certificateMechanical engineering certificate
Mechanical engineering certificateMohammedNizam23
 
Beacon Pines - Game Pitch Deck
Beacon Pines - Game Pitch DeckBeacon Pines - Game Pitch Deck
Beacon Pines - Game Pitch DeckPitch Decks
 
PASSPORT
PASSPORTPASSPORT
PASSPORTAgrippa Gondwe
 
Dylan Dog VČ SB - 007 - Pesma sirene - Vučja krv - Ogledalo
Dylan Dog VČ SB - 007 - Pesma sirene - Vučja krv - OgledaloDylan Dog VČ SB - 007 - Pesma sirene - Vučja krv - Ogledalo
Dylan Dog VČ SB - 007 - Pesma sirene - Vučja krv - OgledaloStripovizijacom
 
Cash Management
Cash ManagementCash Management
Cash ManagementHRDCIRCLEKINDONESIA
 
CCNA-2 SRWE Mod-11 Switch Security Configuration
CCNA-2 SRWE Mod-11 Switch Security ConfigurationCCNA-2 SRWE Mod-11 Switch Security Configuration
CCNA-2 SRWE Mod-11 Switch Security ConfigurationMukesh Chinta
 
Electrical Trade Certificate
Electrical Trade CertificateElectrical Trade Certificate
Electrical Trade CertificateGarry Lawrence
 
Zagor lib col 32 - Rolling town
Zagor lib col 32 - Rolling townZagor lib col 32 - Rolling town
Zagor lib col 32 - Rolling townStripovizijacom
 
Almarai Certificate
Almarai CertificateAlmarai Certificate
Almarai CertificateFida Hussain Shah
 
OFFER LETTER FRM POWERMECH
OFFER LETTER FRM POWERMECHOFFER LETTER FRM POWERMECH
OFFER LETTER FRM POWERMECHKarun Kumar
 
National Certificate N2
National Certificate N2National Certificate N2
National Certificate N2Marco Briedenhann
 
Btech degree certificate-Front
Btech degree certificate-FrontBtech degree certificate-Front
Btech degree certificate-FrontMurugadoss Adhimoolam
 
Suzuki violin method vol 07
Suzuki violin method vol 07Suzuki violin method vol 07
Suzuki violin method vol 07Daniel Augusto
 
MBA MARKSHEET
MBA MARKSHEETMBA MARKSHEET
MBA MARKSHEETHemant Bansode
 
Matric certificate
Matric certificateMatric certificate
Matric certificateMandisa S Dlamini
 
inter certificate
inter certificateinter certificate
inter certificateArsalan Khaliq
 
BSc Certificate Color.PDF
BSc Certificate Color.PDFBSc Certificate Color.PDF
BSc Certificate Color.PDFMd. Alim Miah
 
Songbook as 101 melhores canções do século xx - vol 1 - almir chediak
Songbook as 101 melhores canções do século xx - vol 1 - almir chediakSongbook as 101 melhores canções do século xx - vol 1 - almir chediak
Songbook as 101 melhores canções do século xx - vol 1 - almir chediakChucho Fernandez
 
NIIT Certificate
NIIT CertificateNIIT Certificate
NIIT CertificateAlorbu Aaron
 
Grade 12 Certificate
Grade 12 CertificateGrade 12 Certificate
Grade 12 CertificateKgothatso Latakgomo
 
AQA (Assessment and Qualifications Alliance) GCSE (General Certificate of Sec...
AQA (Assessment and Qualifications Alliance) GCSE (General Certificate of Sec...AQA (Assessment and Qualifications Alliance) GCSE (General Certificate of Sec...
AQA (Assessment and Qualifications Alliance) GCSE (General Certificate of Sec...AlexPawson
 
Marksheet 345
Marksheet 345Marksheet 345
Marksheet 345Ashwani Kumar Ojha
 
L D - KP - kolor
L D - KP - kolorL D - KP - kolor
L D - KP - kolorStripovi Klub
 
diploma.PDF
diploma.PDFdiploma.PDF
diploma.PDFMulalo Musetha
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxmkoda
 
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthomeAmazon Web Services Japan
 

More Related Content

What's hot

CCNA-2 SRWE Mod-11 Switch Security Configuration
CCNA-2 SRWE Mod-11 Switch Security ConfigurationCCNA-2 SRWE Mod-11 Switch Security Configuration
CCNA-2 SRWE Mod-11 Switch Security ConfigurationMukesh Chinta
 
Electrical Trade Certificate
Electrical Trade CertificateElectrical Trade Certificate
Electrical Trade CertificateGarry Lawrence
 
Zagor lib col 32 - Rolling town
Zagor lib col 32 - Rolling townZagor lib col 32 - Rolling town
Zagor lib col 32 - Rolling townStripovizijacom
 
OFFER LETTER FRM POWERMECH
OFFER LETTER FRM POWERMECHOFFER LETTER FRM POWERMECH
OFFER LETTER FRM POWERMECHKarun Kumar
 
Suzuki violin method vol 07
Suzuki violin method vol 07Suzuki violin method vol 07
Suzuki violin method vol 07Daniel Augusto
 
BSc Certificate Color.PDF
BSc Certificate Color.PDFBSc Certificate Color.PDF
BSc Certificate Color.PDFMd. Alim Miah
 
Songbook as 101 melhores canções do século xx - vol 1 - almir chediak
Songbook as 101 melhores canções do século xx - vol 1 - almir chediakSongbook as 101 melhores canções do século xx - vol 1 - almir chediak
Songbook as 101 melhores canções do século xx - vol 1 - almir chediakChucho Fernandez
 
AQA (Assessment and Qualifications Alliance) GCSE (General Certificate of Sec...
AQA (Assessment and Qualifications Alliance) GCSE (General Certificate of Sec...AQA (Assessment and Qualifications Alliance) GCSE (General Certificate of Sec...
AQA (Assessment and Qualifications Alliance) GCSE (General Certificate of Sec...AlexPawson
 

What's hot (20)

Cash Management
Cash ManagementCash Management
Cash Management
 
CCNA-2 SRWE Mod-11 Switch Security Configuration
CCNA-2 SRWE Mod-11 Switch Security ConfigurationCCNA-2 SRWE Mod-11 Switch Security Configuration
CCNA-2 SRWE Mod-11 Switch Security Configuration
 
Electrical Trade Certificate
Electrical Trade CertificateElectrical Trade Certificate
Electrical Trade Certificate
 
Zagor lib col 32 - Rolling town
Zagor lib col 32 - Rolling townZagor lib col 32 - Rolling town
Zagor lib col 32 - Rolling town
 
Almarai Certificate
Almarai CertificateAlmarai Certificate
Almarai Certificate
 
OFFER LETTER FRM POWERMECH
OFFER LETTER FRM POWERMECHOFFER LETTER FRM POWERMECH
OFFER LETTER FRM POWERMECH
 
National Certificate N2
National Certificate N2National Certificate N2
National Certificate N2
 
Btech degree certificate-Front
Btech degree certificate-FrontBtech degree certificate-Front
Btech degree certificate-Front
 
Suzuki violin method vol 07
Suzuki violin method vol 07Suzuki violin method vol 07
Suzuki violin method vol 07
 
MBA MARKSHEET
MBA MARKSHEETMBA MARKSHEET
MBA MARKSHEET
 
Matric certificate
Matric certificateMatric certificate
Matric certificate
 
inter certificate
inter certificateinter certificate
inter certificate
 
BSc Certificate Color.PDF
BSc Certificate Color.PDFBSc Certificate Color.PDF
BSc Certificate Color.PDF
 
Songbook as 101 melhores canções do século xx - vol 1 - almir chediak
Songbook as 101 melhores canções do século xx - vol 1 - almir chediakSongbook as 101 melhores canções do século xx - vol 1 - almir chediak
Songbook as 101 melhores canções do século xx - vol 1 - almir chediak
 
NIIT Certificate
NIIT CertificateNIIT Certificate
NIIT Certificate
 
Grade 12 Certificate
Grade 12 CertificateGrade 12 Certificate
Grade 12 Certificate
 
AQA (Assessment and Qualifications Alliance) GCSE (General Certificate of Sec...
AQA (Assessment and Qualifications Alliance) GCSE (General Certificate of Sec...AQA (Assessment and Qualifications Alliance) GCSE (General Certificate of Sec...
AQA (Assessment and Qualifications Alliance) GCSE (General Certificate of Sec...
 
Marksheet 345
Marksheet 345Marksheet 345
Marksheet 345
 
L D - KP - kolor
L D - KP - kolorL D - KP - kolor
L D - KP - kolor
 
diploma.PDF
diploma.PDFdiploma.PDF
diploma.PDF
 

Similar to 診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻

お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxmkoda
 
認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤Masahiro Kiura
 
フィッシングとドメイン名・DNS
フィッシングとドメイン名・DNSフィッシングとドメイン名・DNS
フィッシングとドメイン名・DNSShiojiri Ohhara
 
Amazon guard duty_security_recap
Amazon guard duty_security_recapAmazon guard duty_security_recap
Amazon guard duty_security_recapTomoaki Sakatoku
 
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバックNISSHO USA
 
Serverless AWS構成でセキュアなSPAを目指す
Serverless AWS構成でセキュアなSPAを目指すServerless AWS構成でセキュアなSPAを目指す
Serverless AWS構成でセキュアなSPAを目指すMasayuki Kato
 
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonightAmazon Web Services Japan
 
祝★AWSスタンダードコンサルティングパートナーに認定されました
祝★AWSスタンダードコンサルティングパートナーに認定されました祝★AWSスタンダードコンサルティングパートナーに認定されました
祝★AWSスタンダードコンサルティングパートナーに認定されましたCore Concept Technologies
 
AWS WAF Security Automation
AWS WAF Security AutomationAWS WAF Security Automation
AWS WAF Security AutomationHayato Kiriyama
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)JPCERT Coordination Center
 
Domino認証局の作成
Domino認証局の作成Domino認証局の作成
Domino認証局の作成Masahiko Miyo
 
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門Hiroshi Tokumaru
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日Masanori KAMAYAMA
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールIsao Takaesu
 
AWS IoT Device Defender による IoT デバイスのセキュリティ管理
AWS IoT Device Defender による IoT デバイスのセキュリティ管理AWS IoT Device Defender による IoT デバイスのセキュリティ管理
AWS IoT Device Defender による IoT デバイスのセキュリティ管理Amazon Web Services Japan
 
[網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI [網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI Hiromichi Koga
 
Cloud native strategy ver1.1
Cloud native strategy ver1.1Cloud native strategy ver1.1
Cloud native strategy ver1.1TomohiroDoi
 

Similar to 診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻 (20)

お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
 
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome
 
認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤
 
フィッシングとドメイン名・DNS
フィッシングとドメイン名・DNSフィッシングとドメイン名・DNS
フィッシングとドメイン名・DNS
 
Amazon guard duty_security_recap
Amazon guard duty_security_recapAmazon guard duty_security_recap
Amazon guard duty_security_recap
 
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
 
Serverless AWS構成でセキュアなSPAを目指す
Serverless AWS構成でセキュアなSPAを目指すServerless AWS構成でセキュアなSPAを目指す
Serverless AWS構成でセキュアなSPAを目指す
 
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
 
祝★AWSスタンダードコンサルティングパートナーに認定されました
祝★AWSスタンダードコンサルティングパートナーに認定されました祝★AWSスタンダードコンサルティングパートナーに認定されました
祝★AWSスタンダードコンサルティングパートナーに認定されました
 
AWS WAF Security Automation
AWS WAF Security AutomationAWS WAF Security Automation
AWS WAF Security Automation
 
Serverless Application Security on AWS
Serverless Application Security on AWSServerless Application Security on AWS
Serverless Application Security on AWS
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
 
Domino認証局の作成
Domino認証局の作成Domino認証局の作成
Domino認証局の作成
 
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
 
AWS IoT Device Defender による IoT デバイスのセキュリティ管理
AWS IoT Device Defender による IoT デバイスのセキュリティ管理AWS IoT Device Defender による IoT デバイスのセキュリティ管理
AWS IoT Device Defender による IoT デバイスのセキュリティ管理
 
Newsletter20110102
Newsletter20110102Newsletter20110102
Newsletter20110102
 
[網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI [網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI
 
Cloud native strategy ver1.1
Cloud native strategy ver1.1Cloud native strategy ver1.1
Cloud native strategy ver1.1
 

Recently uploaded

業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成Hiroshi Tomioka
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案sugiuralab
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 

Recently uploaded (9)

業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 

診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻

  • 2. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved Who am I? 幸田将司: セキュリティ屋のフリーランス: - 株式会社Levii - 株式会社バラエナテック 代表取締役 - SecuriST(R) 認定診断士 試験委員会 / ISOG-J(WG1) - 診断 / 開発 / ISMS支援 ...etc SNS: - @halkichisec 2
  • 3. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved Contents 1. ASM検討 2. 攻撃可能領域の探し方 3
  • 4. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 内容 脆弱性診断員から見た、組織の攻撃対象領域のお話 診断しながらこれやったら良いのになといつも考えてい ます。 誰向け? 脆弱性診断をたくさん発注する組織/企業様 ○SIRTに携わる方 診断員 4
  • 5. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 攻撃表面管理(Attack Surface Management) • 組織が自身の情報セキュリティ上の脆弱性や攻撃可能な範囲(攻撃表 面)を管理/把握する。 • 攻撃者がシステムやネットワークに侵入できる可能性のあるすべての 経路や要因を特定する • インターネットに公開されているものが対象 ASMとはなんぞや 5
  • 6. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 攻撃表面にはどんなものがあるか? • 例: • コーポレートサイト • 自社サービス • メール/VPN/ファイルサーバ等 • ネットワークカメラ等のIoT機器 • 担当者のメールアドレス • 攻撃者から見えているものは多い ASMとはなんぞや 6
  • 7. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • Cyber Kill Chain (標的型攻撃のモデル) • ターゲットに対して行う攻撃の段階的な手順を示すモデル • 外部からの情報収集で集められる情報が少ないに越したことはない • 攻撃者はより多くの情報を集めてくる • 自組織がどのように見えているのか把握することが重要 攻撃者の行動を考える 情報収集 武器化 配送 エクスプロイ ト インストール C&C 目的実行 ・OSINT ・スキャン ・Exploit作成 ・システムへの侵害や ・メール経由のマルウェア ・C2サーバとの 通信 7
  • 8. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • コーポレートサイトや自社サービスに付随するコンテンツは存 在がわかりやすいが、堅牢にされていることが多い。 攻撃表面の例1 外部公開しているサービスは堅牢 脆弱性診断もしている インターネットアクセスできるが Basic認証とかでお茶濁す 存在が隠れていない 8
  • 9. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 自社サービスに紐づいているが、管理が忘れ去られているコン テンツ等 攻撃表面の例2 ※IPに紐づくコンテンツサーバがなくとも サブドメインテイクオーバーの温床になる可 能性も。CNAME、Aレコード等 バグバウンティではよく報告されている ベンダーのために 開けておいた経路 9
  • 10. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 内部からの調査は部署を横断する必要がある。 • インシデント例 • (2021年)内閣サイバーセキュリティセンター(NISC)の情報漏洩 • 内部で使用していたプロジェクト情報共有ツールへの不正アクセス • 組織内部で使用している端末やツールの特定を行う • ISMS(ISO27001)を取得しているなら情報資産管理/リスク台帳があるはず • 管理している部署と連携をとることを推奨 • シャドーITの制限も忘れずに 攻撃可能領域の探し方(内部) 10
  • 11. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 外部からの調査の例として、OSINTは効果的 • OSINTツールの使用 • Recon-ng • Maltego • OSINTテクニックを使う • OSINTフレームワーク • 診断ベンダーへの依頼(OSINT診断) 攻撃可能領域の探し方(外部) OSINT Frameworkの例 11
  • 12. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • インターネッツから見えるものは多い • WHOIS、DNS、サーバ証明書のサブジェクト代替名...etc • 情報集積サービス • 例えばRiskIQやCencys ドメインに紐づいた、 サブドメインの一覧を列挙 ←は例示用ドメインですが、 dev.{顧客名}.{自社ドメイン}の設計にしている ベンダーの顧客名めちゃくちゃ見えてる
  • 13. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • Censysの例 ①ドメインで検索 ②IPアドレスが表示される ③サブドメインがわかる
  • 14. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • ドメイン/IPで検索できる理由: • CensysやSHODANに代表される情報集積サービスはインターネッ トへネットワークスキャンを行なっている。 1. IPアドレスにポートスキャン 2. 443/tcp等にアクセス 3. 証明書のドメインを確認 4. ドメインの名前解決を行い、存在すればサイトにインデックス 一応、HTTPの時はヘッダで教えてくれる。 以下はPaloAltoの例
  • 15. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved というわけでASMしよう • 攻撃表面を把握するのは困難 • ツールを用いた管理を推奨(経済産業省)。 出典: 経済産業省ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~ https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html 15
  • 16. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved ASMツールの例 • Mandiant / 株式会社マクニカ • サイバー攻撃ネットde診断 / GMOサイバーセキュリティ byイエ ラエ株式会社 • Sn1per / Sn1perSecurity LLC. • OSSだが、すべての機能を使うにはライセンス購入が必要 • Amass / OWASP • OSS、なんのテクノロジーを使用するか設定が可能、脆弱性調査はしない 16
  • 17. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved ASMツールで把握できるもの • 公開情報の把握 • 使用感としては、自社情報だけにフィルターしたSHODANに近い 17
  • 18. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved ASMツールがやっていること • Sn1perの例 • ネットワーク調査系 • ping調査 • ポートスキャン (nmap) • 単純な脆弱性調査 (nmap –A) • OCINT系 • DNS情報の収集 • サブドメインテイクオーバーの確認 • 脆弱性診断系 • ZAP / GVM / SSL Scan / smbdump ...etc • 関係ないIPもトラッキングする可能性はあった。 使用感は Reconツール + ネットワークスキャナー 18
  • 19. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved ASMでも担保できない箇所 • 従業員教育 • 組織の窓口にいる担当者がうっかりメールを開く • シャドーIT • 内部に持ち込まれ接続された端末や、勝手に使用しているツール • 情報資産管理(ISMS)や、リテラシー向上教育で組織を巻き込ん で管理したい。 19
  • 20. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 参考: 組織を巻き込む • そもそも職務により目的/視点が違うため、各チームの代表を まきこんでモデリングすると、少しスムーズに進むかも • サービスのセキュリティチェックシートを作る際のMTGの例 20 それぞれのロールの 背景や目的を同じ視点でみる ための手法
  • 21. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved おわり • ご清聴ありがとうございました 21