RSA Conference 2024 参加レポート（参加セッション編）

RSA Conference の概要

RSA Conference 2024は、サイバーセキュリティ業界における最大規模のイベントの一つであり、世界中のセキュリティ専門家が集まる場です。今年のテーマは「The Art of Possible」でした。サイバーセキュリティに関わる方々は、リスクと常に向き合い続けるため、燃え尽き症候群も多く見られるようになりました。そのような中、専門家が協力してリスクを最小限に抑え、AIを業務に活用していくことでこういった状況を解決できることが望まれ、今回のRSA Conferenceでも AI に関する業務改善や AI の利用に対する課題などを取り上げたものが多く提案されました。そのため、多くのセッションや製品でこのような姿を見ることができ、人が気合と根性ではなく、健全にリスクと向き合える時代が近づいていると感じました。

私は昨年に引き続き、Full Conference Passで参加しました。このパスでは、セッションやワークショップに参加することで学びを得ることと、大規模なEXPO、 Innovation Sandbox や Eeary Stage Expo などに参加、出展している企業を見ることでの市場と動向のリサーチを行いました。

セッション・ワークショップ編

本記事では、RSA Conference 2024 で参加したセッション、ワークショップの中で面白かった内容について触れたいと思います。

1. I'm an API Hacker and Here's How I Hack Everything from the Military to AI

APIを悪用するハッカーがどのようにして軍事システムからAIまであらゆるシステムを攻撃するかについての解説と、実際の攻撃手法やその防御策を具体的な事例を交えて説明し、APIセキュリティの重要性、それを組織としてどうセキュアな状態にするのかについてのセッションでした。

Happening now: I’m an API #Hacker and Here’s How I Hack Everything from the Military to #AI presented by @InsiderPhD @traceableai #RSAC pic.twitter.com/Nnz9kxfaeY

— RSA Conference (@RSAConference) May 9, 2024

発表者のKatie Paxton-Fear は、Traceble AI という API Security Resercher ＆ Technical Marketing で、バグハンターであり、 InsiderPhD と言う名のYouTuber（!!） でもあります。
InsiderPhDのYouTubeチャンネルは「https://www.youtube.com/@InsiderPhD」です。セキュリティの学習だけでなく、英語の勉強にもなりますので是非見てください。

RSA Conference は比較的お堅いセッションが多い中で、カジュアルでありつつも大切なメッセージが伝わる素晴らしいセッションでした。

概要は以下のとおりです。

• API の脆弱性を狙った攻撃方法
  • WAFは容易にバイパスできる
  • GraphQLの悪用
  • 実装依存のバグによる脆弱性
• セキュリティはトレードオフである
  • コードは品質や効率性も大事だが、メンテナンス性の高いコードが重要
  • 改善のための提案を大切に
  • 要件の実現が重視されるが、セキュリティはトレードオフの関係にある

Q&A タイム

プレゼンテーション終了後の Q&A セッションが良い内容だったのでシェアします。

Q. API Security 分野の技術者ではないが、チームをマネジメントする立場にある。何をすべきでしょうか？

• 開発チームと共に、セキュリティや一般的な開発の問題について情報を得る
  • apisecurity.io
  • dev.to
  • Nordic APIs
• ガバナンスやドキュメント化について議論する
  • 議論の下地として、APIをドキュメント化し、例えば、Postmanを使う
• セキュリティがテーマのカンファレンスに開発者と参加する

開発者、マネージャー、セキュリティ担当が相互に業務を理解しディスカッションすることが大切であり、そのためには、日々の情報収集やドキュメンテーション作りも大切ですよね。というお話でした。

2. Threat Modeling Championship: Breaker vs. Builder

こちらのセッションは、攻撃者（ブレイカー）と防御者（ビルダー）の視点で、実際のシナリオを元に、どのように脅威を特定し、対策を講じるかを参加者同士で脅威モデルの作成とその評価についてグループディスカッションするワークショップ形式のセッションでした。講師は、脅威モデリングツールを提供している企業 devici.com の Chris Romeo さん。

対象とするシステムは、AWSに構築された、Kubernetes上でマイクロサービスとして実装されている API のシステムと、それを利用するモバイルアプリケーションをモデルに脅威モデルの分析を行いました。

主なポイント

• 脅威モデルの基本概念とその重要性
• 攻撃者（ブレイカー）の視点から見た脅威の発見方法
• 防御者（ビルダー）の視点から見た防御策の設計
• 実際のケーススタディを通じた具体的なアプローチ

脅威モデリングの手法

複数の脅威モデリング手法が紹介されました、STRIDE-LM と MITRE D3fend を知ることができて良かったです。

• STRIDE Method
  • STRIDE-LM と言う Lateral Movementの脅威分析の観点を追加したものも紹介された
• LINDDUN methodology
• OWASP Application Security Verification Standard
• MITRE ATT&CK
• MITRE D3fend

ワークショップ形式でしたので具体的なワーク内容については割愛しますが以下の流れで実施されました。

1. システム要件や前提条件の確認：１０分
   1. システム構成、データフローダイアグラム、実装技術、環境の情報等
2. 攻撃者目線でのモバイルアプリ側の脅威分析：２５分
3. 防御者視点でのAPIサーバー側の脅威分析に対する緩和策の検討：２５分
4. 運営側での採点
5. グループごとの点数発表（私たちのグループはおそらく緩和策をsubmit してなくて点数が低かったかも）

感想

脅威モデリングについてはちょうど興味を持っていたこともあり、このワークショップに参加できて非常に良かったです。
データフローダイアグラムによるシステム表現の抽象度が比較的高めにあることも、多くの人が脅威に関してのディスカッションをすることができるため、開発者だけが抱え込まなくても良い土壌づくりができると感じました。
また、スマートフォンの多要素認証が行われていないことのリスクなど日常的に気にしなければいけない具体的なリスクなどもあるため、利用者目線でも利用システムに対するセキュリティ意識が高まる効果を得られると思います。

今回はワークショップ形式のため、システム構成や指摘すべき脅威を含めた前提条件の作り込みは非常に洗練されており、これを再現するのはなかなか難しいなと思いつつ、社内外でこういう機会への参加や提供するのも面白そうです。

そんな矢先に、「脅威モデリングナイト #1 in Tokyo」と言うイベントを知ることができたので参加申し込みをしました。

3. Catch Me if You Can: Hunting Cloud Exfiltration Using Anomaly Detection

このセッションでは、クラウド環境におけるデータ漏洩を検知するための異常検知技術について紹介されました。

セッションの中で、AWS利用企業における公開されているインシデント事例のGitHubリポジトリが紹介されております。こちら過去の事例、セキュリティベンダーからのレポート、クラウド脅威アクターのリストなど、多く学べるので非常に有用な情報だと思いますのでぜひ参考にしてみてください。
GitHub:aws-customer-security-incidents

セッションでは、いくつかの検知方法をデモを交えつつ説明がありました。
本レポートではそれらの検知方法とそのアプローチについて箇条書きしておきます。

仕様ベースの検知

• 特定のAPIアクションのモニタリング
  • 特定のクラウドサービスAPIメソッド（例：CreateInstanceExportTask、PutBucketLoggingなど）を監視し、それらが実行された場合に検知する。
• 異常なアクティビティのフィルタリング
  • 通常のパターンと異なるアクティビティを識別し、異常と見なされるアクティビティをフィルタリングする。

異常検知

• スパイクの検知
  • イベント数の突然の増加（スパイク）を検知する。
• 外れ値のハンティング
  • 通常のパターンから外れた異常な活動を検知し特定する。
• クラウドトレイルイベントの解析
  • クラウドサービスのAPI呼び出しイベントを解析し、異常なパターンを検知する。
• ヒューマンユーザーコンテキスト
  • ユーザーの行動や位置情報などを考慮して異常を検知する。

機械学習による検知

• pyodを用いた異常検知
  • Pythonベースの異常検知ライブラリ（pyod）を使用して異常を検知する。
• K-Meansを用いた異常検知
  • K-Meansクラスタリングアルゴリズムを使用して異常を検知する。

Tips

• データの重複排除
  • 重複するデータを排除することでデータの引き出しコストやストレージコストを削減し、効率的な検知を実現する。

セッション参加まとめ

今回ピックアップしたものは、API Security, 脅威モデリング, クラウドにおける異常検知による脅威ハンティングとこれだけでも幅広い領域となりました。技術だけでなく、システムに関わる多くの人がセキュリティを意識することで冒頭でも触れた燃え尽き症候群(Burnout)を緩和できるのではないかと思いました。