20160825_知っておいて欲しい脆弱性診断の必要性と種類(株式会社ターン・アンド・フロンティア)

Transcript

1. ஌͓͍ͬͯͯཉ͍͠
 ੬ऑੑ਍அͷඞཁੑͱछྨ גࣜձࣾλʔϯɾΞϯυɾϑϩϯςΟΞ
 େٱอ఩໵

2. ‣ גࣜձࣾλʔϯɾΞϯυɾϑϩϯςΟΞ
   ‣
   େࡕͷձࣾͰ͢ɻ࢛πڮͰӦۀ͍ͯ͠·͢ɻ
   ‣ ೥
 "84ιϦϡʔγϣϯɾϓϩόΠμʔʹೝఆ
   ‣ ೥


   "1/ΞυόϯευίϯαϧςΟϯά
 ɹɹɹɹɹɹɹɹɹɹɹɹύʔτφʔೝఆ

3. എܠ
   #BDLHSPVOE

4. ௚ۙͰχϡʔεʹͳͬͨඃ֐ࣄྫ ʮ4FDVSJUZ
   /&95ʯIUUQXXXTFDVSJUZOFYUDPNDBUFHPSZDBU

5. ΠϯςϦΞձࣾͷ&$αΠτ͕ෆਖ਼ΞΫηεΛड͚ɺސ٬৘ใ ͕݅࿙͍͑ ൑ྫ ౦ژ஍ࡋฏ੒೥݄೔൑ܾɹʻ౦ژ஍൑ฏ੒೥ʢϫʣୈ߸ʼ ΠϯςϦΞձࣾͱ੍࡞ϕϯμʔͷૌু໰୊ ʻ ܖ໿ॻ಺ͷଛ֐ഛঈ্ݶֹ  ݸผܖ໿ͷ୅ۚ ଛ֐ഛঈֹ

6. ൑ܾͷϙΠϯτ 42-ΠϯδΣΫγϣϯରࡦ ॏաࣦɺ࠴຿ෆཤߦ ॏաࣦͱ͸ɺΘ͔ͣͳ஫ҙ͑͢͞Ε͹ɺ
 ͨ΍͘͢ҧ๏༗֐ͳ݁ՌΛ༧ݟ͢Δ͜ͱ͕Ͱ͖Δͷʹɺ
 ອવͱ͜ΕΛݟಀͨ͠Γɺஶ͘͠஫ҙ͕͚͍ܽͯΔঢ়ଶΛҙຯ͢Δɻ
   ܦࡁ࢈ۀলɹ*1"
   ৘ใॲཧਪਐػߏ

7. ԿނݮΒͳ͍ͷ͔
   8IZ 

8. ϒϥοΫϚʔέοτͷଘࡏͱ໨త ݅ ʴ ʴ ʴ ΫϨδοτΧʔυ৘ใ &NBJMΞυϨεͱύεϫʔυ ੑผࢦఆ ۚ༥ػؔࣝผ൪߸

9. ϒϥοΫϚʔέοτͷଘࡏͱ໨త ԯ ສԁ ԯɹສԁ ʴ ԯ ສԁ ݸਓޱ࠲
   ඃ֐ֹ ๏ਓޱ࠲
   ඃ֐ֹ ෆਖ਼ૹۚ
   ඃ֐ֹ

   ೥݄೔
   ܯࢹிൃද
   ೥౓ඃ֐ اۀαΠτ΍ϙʔλϧαΠτΛվ͟Μ͠ɺ
   ύεϫʔυ΍ೝূ৘ใΛࡡऔ͢ΔͨΊͷ΢ΟϧεΛઃஔ͍ͯ͠Δ

10. ରࡦ
    DPVOUFSQMBO

11. ৘ใηΩϡϦςΟରࡦͷશ༰ ϦεΫͷ೺Ѳ ϧʔϧࡦఆ ੬ऑੑରࡦ ๷ޚ ݕ஌ ڭҭ ࣄނରԠ ϦεΫΞηεϝϯτɺ༧ࢉԽ ηΩϡϦςΟϙϦγʔɾཁ݅ͷݟ௚͠

    ੬ऑੑ਍அɺόʔδϣϯ؅ཧ '8ɺ8"'ɺ*14ɺΞϯν΢Οϧε ෆਖ਼ΞΫηεݕ஌ɺෆਖ਼௨৴؂ࢹ ηΩϡϦςΟڭҭɺඪతܕ߈ܸϝʔϧ܇࿅ ࣄނରԠϚχϡΞϧ࡞੒ɺγεςϜϩάอଘ
    ࣄނରԠνʔϜମ੍ߏங ମ
 ੍
 ͷ
 ҡ
 ࣋

12. ৘ใηΩϡϦςΟରࡦͷશ༰ ϦεΫͷ೺Ѳ ϧʔϧࡦఆ ੬ऑੑରࡦ ๷ޚ ݕ஌ ڭҭ ࣄނରԠ ϦεΫΞηεϝϯτɺ༧ࢉԽ ηΩϡϦςΟϙϦγʔɾཁ݅ͷݟ௚͠

    ੬ऑੑ਍அɺόʔδϣϯ؅ཧ '8ɺ8"'ɺ*14ɺΞϯν΢Οϧε ෆਖ਼ΞΫηεݕ஌ɺෆਖ਼௨৴؂ࢹ ηΩϡϦςΟڭҭɺඪతܕ߈ܸϝʔϧ܇࿅ ࣄނରԠϚχϡΞϧ࡞੒ɺγεςϜϩάอଘ
    ࣄނରԠνʔϜମ੍ߏங ମ
 ੍
 ͷ
 ҡ
 ࣋

13. ϑΟογϯάαΠτ
  Πϯγσϯτ෼ྨɹ೥݄d݄ εΩϟϯ
 
  ݅ 8FCαΠτվ͟Μ
  

    ݅ ϑΟογϯάαΠτ
  Ϛϧ΢ΣΞαΠτ
  ඪతܕ߈ܸ
  %P%%%P4
  +1$&35$$
    ೥݄ൃද 
 ΠϯγσϯτใࠂରԠϨϙʔτ
 IUUQTXXXKQDFSUPSKQJSSFQPSUIUNM ߈ܸ͸εΩϟϯʹΑΔ
 ੬ऑੑ୳ࡧʢఁ࡯ʣޙʹ࣮ࢪ ܭ ݅

14. ੬ऑੑͷछྨ 04ϛυϧ΢ΣΞͷ੬ऑੑ ΞϓϦέʔγϣϯͷ੬ऑੑ ɾαʔό্ͷܽؕ΍໰୊఺
    ɾଟ͘͸αʔόΛߏங͢Δࡍͷ
 ઃఆϛε΍ઃܭ্ͷߟྀෆ଍ɺ
 ֤ιϑτ΢ΣΞͷόʔδϣϯ؅ཧ౳ɺ
 ӡ༻ͷܽؕʹΑͬͯੜ͡·͢ɻ ɾ8FCαΠτ্ͷܽؕ΍໰୊఺
 ɾଟ͘͸8FCαΠτΛߏங͢Δࡍͷ


    ෆ۩߹ɺόάͰɺ
 ϓϩάϥϛϯάϛε΍ɺ
 γεςϜͷઃఆϛεɺ
 γεςϜઃܭ্ͷߟྀෆ଍
 ʹΑͬͯੜ͡·͢ɻ

15. 04ϛυϧ΢ΣΞ੬ऑੑ਍அͷछྨ ಺෦઀ଓ਍அ
 αʔόʔ਍அ
    γεςϜͷࠜຊతͳηΩϡϦςΟ޲্Λ໨తͱͯ͠ɺ
 γεςϜͷ಺෦ΞΧ΢ϯτΛ࢖༻ͯ͠ɺ
 γεςϜશମʹΞΫηε͠ɺ಺ࡏ͍ͯ͠Δ੬ऑੑ΋ؚΊ
 શͯͷ੬ऑੑ༗ແΛ਍அ͠·͢ɻ ֎෦઀ଓ਍அ
 ωοτϫʔΫ਍அ
    γεςϜʹ৵ೖͰ͖Δ੬ऑੑ͕ͳ͍͔ൃݟ͢Δ͜ͱΛ໨తͱ͠ɺ

    ௨ৗͷΠϯλʔωοτΛ௨ͯ͠ಘΒΕΔൣғͷ৘ใͷΈͰ
 αʔόͷ੬ऑੑ༗ແΛ਍அ͠·͢ɻ

16. 04ϛυϧ΢ΣΞ੬ऑੑ਍அͷछྨ ಺෦઀ଓ਍அ
 αʔόʔ਍அ ֎෦઀ଓ਍அ
 ωοτϫʔΫ਍அ

17.   04ϛυϧ΢ΣΞ੬ऑੑ਍அͷछྨ ಺෦઀ଓ਍அʹΑΔ ੬ऑੑݕग़ͷׂ߹ɿ 90.5% ֎෦઀ଓ਍அʹΑΔ ੬ऑੑݕग़ͷׂ߹ɿ9.5% ग़యɿITPROʮ“಺ࡏ͢Δ੬ऑੑ”ʹ஫໨ͤΑʙ੬ऑੑ਍அΛղઆ͢Δʙ ʯ

18. ੬ऑੑͷछྨ 04ϛυϧ΢ΣΞͷ੬ऑੑ ΞϓϦέʔγϣϯͷ੬ऑੑ ɾαʔό্ͷܽؕ΍໰୊఺
    ɾଟ͘͸αʔόΛߏங͢Δࡍͷ
 ઃఆϛε΍ઃܭ্ͷߟྀෆ଍ɺ
 ֤ιϑτ΢ΣΞͷόʔδϣϯ؅ཧ౳ɺ
 ӡ༻ͷܽؕʹΑͬͯੜ͡·͢ɻ ɾ8FCαΠτ্ͷܽؕ΍໰୊఺
    ɾଟ͘͸8FCαΠτΛߏங͢Δࡍͷ


    ෆ۩߹ɺόάͰɺ
 ϓϩάϥϛϯάϛε΍ɺ
 γεςϜͷઃఆϛεɺ
 γεςϜઃܭ্ͷߟྀෆ଍
 ʹΑͬͯੜ͡·͢ɻ

19. ੬ऑੑ͕ଘࡏ͢Δ͜ͱʹΑͬͯඃΔ୅දతͳඃ֐ྫ –ݸਓ৘ใɺػີ৘ใͷ࿙͍͑
    8FCαΠτͰ؅ཧ͍ͯ͠Δݸਓ৘ใ΍ࣾ಺ͷॏཁͳ৘ใ͕࿙͍͑͠·͢ɻ
 –ձһ΍؅ཧऀ΁ͷ੒Γ͢·͠
    8FCαΠτͷձһʹ੒Γ͢·ͯ͠ൃ஫Λ͞ΕͨΓ͠·͢ɻ
    ·ͨɺ؅ཧऀʹ੒Γ͢·͠ɺ8FCαΠτΛ৐ͬऔΒΕͯ͠·͍·͢ɻ
 –ޡ৘ใΛܝࡌ͞ΕΔ
    8FCαΠτΛউखʹվ͟Μ͞Εͯɺޡ৘ใΛܝࡌ͞Εͯ͠·͍·͢ɻ
 –ଞαʔόΛ߈ܸ͢Δ౿Έ୆ʹ͞ΕΔ
    αʔόͷηΩϡϦςΟɾϗʔϧΛѱ༻͞ΕεύϜϝʔϧͷൃ৴ݩʹɻ
    

    ෆਖ਼ߦҝΛߦ͏ͨΊͷதܧ఺ͱͯ͠ར༻͞Εͯ͠·͍·͢ɻ

20. ΞϓϦέʔγϣϯ੬ऑੑ਍அͷछྨ πʔϧ਍அ
    ࢢൢͷπʔϧ΍SaaSͳͲΛར༻ͯ͠਍அ࡞ۀΛߦ͍·͢ɻ
 πʔϧʹΑΓࣗಈͰ਍அΛ࣮ࢪ͢ΔαʔϏεͱɺ πʔϧΛར༻ͯ͠खಈͰ਍அ͢ΔαʔϏε͕͋Γ·͢ɻ ϚχϡΞϧ਍அ
    ௨ৗϢʔβͱಉ͘͡֎෦͔ΒΞΫηε͠ط஌ͷ߈ܸํ๏ͳͲΛ
    
    ༻͍ٖͯࣅతͳ߈ܸΛߦ͍਍அ͢Δํ๏΍ɺ

    ର৅αΠτͷιʔείʔυΛެ։͠ɺઐ໳ݕࠪһ͕໨ࢹʹͯ
    
    ਍அ͢Δํ๏ͳͲΛ૊Έ߹Θͤͯ਍அΛߦ͍·͢ɻ

21. ਍அ߲໨ *1"ج४ʢ߲̎̌໨਍அʣ ܦࡁ࢈ۀলॴ؅ͷಠཱߦ੓๏ਓͰ͋Δɺ*1"ʢಠཱߦ੓๏ਓ৘ใॲཧਪਐػߏʣ͕ൃߦ͢Δ
    ʮ҆શͳ΢ΣϒαΠτͷ࡞Γํʯ
 ʢIUUQXXXJQBHPKQTFDVSJUZWVMOXFCTFDVSJUZIUNMʣ
    ʹهࡌ͞Ε͍ͯΔ8FCΞϓϦέʔγϣϯͷ੬ऑੑʹ͍ͭͯௐࠪக͠·͢ɻ ܦࡁ࢈ۀলج४ʢ߲̏̌໨਍அʣ ܦࡁ࢈ۀলͷΨΠυϥΠϯʹج͖ͮ࡞੒ͨ͠਍அ߲໨Ͱ͢ɻ
    ܦࡁ࢈ۀলʮ৘ใγεςϜͷ৴པੑ޲্ʹؔ͢ΔΨΠυϥΠϯʯͷதͰൃද͞Εͨ
 ʮʰ৘ใγεςϜͷ৴པੑ޲্ͷͨΊͷऔҾ׳ߦɾܖ໿ʹؔ͢ΔݚڀձʱใࠂॻʵϞσϧऔҾɾܖ໿ॻ௥ิ൛ʵʯͷ


    8FCΞϓϦέʔγϣϯͷ੬ऑੑʹؔ͢Δ߲໨ʹ४ڌ͢ΔܗͰ਍அΛఏڙ͍͓ͨͯ͠Γ·͢ɻ

22. 8FCΞϓϦέʔγϣϯ੬ऑੑྫ ਍அ
 ΧςΰϦ ೝূʢ"VUIFOUJDBUJPOʣ ਍அ
 ಺༰ ૯౰ͨΓ߈ܸʢ#SVUF
    'PSDFʣ ඃΔඃ֐ *%΍ύεϫʔυ͕؆୯ʹਪଌՄೳͰ͋Γɺ
    ؅ཧऀ΍ଞͷϢʔβʹ੒Γ͢·͞Εͯ͠·͍·͢ɻ

23. 8FCΞϓϦέʔγϣϯ੬ऑੑྫ ਍அ
 ΧςΰϦ ೝূʢ"VUIFOUJDBUJPOʣ ਍அ
 ಺༰ ΋Ζ͍ύεϫʔυ෮ݩͷݕূ
 ʢ8FBL
    1BTTXPSE
    3FDPWFSZ
    7BMJEBUJPOʣ ඃΔඃ֐ Ϣʔβ͕ύεϫʔυΛ๨Εͨࡍͷճ෮ํ๏ʹ໰୊͕

    ͋Γɺύεϫʔυͷ৘ใ͕֎෦ʹ࿙͍͑ͯ͠͠·͍· ͢ɻ

24. 8FCΞϓϦέʔγϣϯ੬ऑੑྫ ਍அ
 ΧςΰϦ ঝೝʢ"VUIPSJ[BUJPOʣ ਍அ
 ಺༰ ηογϣϯͷਪଌʢ4FTTJPO
    1SFEJDUJPOʣ ඃΔඃ֐ ηογϣϯ৘ใ͕ਪଌ͠΍͍͢஋ͷ৔߹ɺ߈ܸऀ͸ ਖ਼͍͠஋Λਪଌ͠ɺ؅ཧऀ΍Ϣʔβʹ੒Γ͢·͢͜

    ͱ͕Ͱ͖·͢ɻ

25. 8FCΞϓϦέʔγϣϯ੬ऑੑྫ ਍அ
 ΧςΰϦ ঝೝʢ"VUIPSJ[BUJPOʣ ਍அ
 ಺༰ ෆద੾ͳηογϣϯظݶʢ*OTV⒏DJFOU
    4FTTJO
    &YQJSBUJPOʣ ඃΔඃ֐ ηογϣϯظݶ͕ෆద੾Ͱ͋Δ৔߹ɺϢʔβͷηο γϣϯ৘ใΛ౪༻͠΍͘͢ͳΓɺ߈ܸऀ͕؅ཧऀ΍

    Ϣʔβʹ੒Γ͢·͢͜ͱ͕Ͱ͖·͢ɻ

26. 8FCΞϓϦέʔγϣϯ੬ऑੑྫ ਍அ
 ΧςΰϦ ΫϥΠΞϯτଆͰͷ߈ܸʢ$MJFOU4JEF"UUBDLTʣ ਍அ
 ಺༰ ίϯςϯπͷ࠮শʢ$POUFOU
    4QPPpOHʣ ඃΔඃ֐ ِͷίϯςϯπΛ͔͋ͨ΋ਖ਼ࣜͳ΋ͷͰ͋Δ͔ͷΑ͏ʹ ૷ͬͯ8FCαΠτΛදࣔ͠ɺϢʔβΛ͖ٗ·͢ɻ͜Εʹ

    ΑΓɺύεϫʔυΛൈ͖औΒΕͨΓɺϑΟογϯά࠮ٗ αΠτ΁༠ಋ͞ΕͨΓ͢Δةݥੑ͕༗Γ·͢ɻ

27. 8FCΞϓϦέʔγϣϯ੬ऑੑྫ ਍அ
 ΧςΰϦ ίϚϯυͷ࣮ߦʢ$PNNBOE
    &YFDVUJPOʣ ਍அ
 ಺༰ 04ͷίϚϯυ࣮ߦʢ04
    $PNNBOEJOHʣ ඃΔඃ֐ αʔόʔ಺ͷ04ͷίϚϯυΛෆਖ਼ʹ࣮ߦ͞Εͯ͠·͍· ͢ɻ͜ΕʹΑΓɺ8FCαΠτ͔Βͷ৘ใ࿙͍͑ɺվ͟Μ

    ͷةݥੑ͕͋Γ·͢ɻ

28. 8FCΞϓϦέʔγϣϯ੬ऑੑྫ ਍அ
 ΧςΰϦ ৘ใ࿙Ӯʢ*OGPSNBUJPO
    -FBLBHFʣ ਍அ
 ಺༰ ਪଌՄೳͳϦιʔεͷҐஔ
 ʢ1SFEJDUBCMF
    3FTPVDF
    -PDBUJPOʣ ඃΔඃ֐ ϑΥϧμ໊΍ϑΝΠϧ໊͕ਪଌՄೳͳ؆୯ͳ໊শʹͳͬ

    ͍ͯΔͳͲɺ಺෦ͷϦιʔεͷ഑ஔ͕ਪଌՄೳͳ৔߹ɺ ॏཁͳ৘ใ΍ػೳ͕֎෦ʹ࿙͍͑͢ΔՄೳੑ͕͋Γ·͢ɻ

29. ৘ใηΩϡϦςΟ౤ࢿಈ޲ ೥౓ *%$
    +BQBOൃදʢ೥݄೔ʣ৘ใηΩϡϦςΟ౤ࢿಈ޲ɹʢOʣ    ೥ʹൺ΂ͯ
 ૿Ճ ݮগ มԽͳ͠

30. ৘ใηΩϡϦςΟ౤ࢿಈ޲ ೥౓ ωοτϫʔΫηΩϡϦςΟ ੬ऑੑ؅ཧ ৘ใηΩϡϦςΟڭҭ ΢Οϧεରࡦ ೝূγεςϜ ϝοηʔδϯάηΩϡϦςΟ ҉߸Խ ηΩϡϦςΟެతೝূऔಘ

         *%$
    +BQBOൃදʢ೥݄೔ʣ৘ใηΩϡϦςΟ౤ࢿಈ޲ɹʢOʣ

31. ܦӦऀʹର͢Δ৘ใηΩϡϦςΟঢ়گͷใࠂස౓ *%$
    +BQBOൃදʢ೥݄೔ʣ৘ใηΩϡϦςΟ౤ࢿಈ޲ɹʢOʣ      ηΩϡϦςΟඃ֐ൃੜ࣌
  ݄ճ

    िճ ࢛൒ظʹճ ʹఆظใࠂͳ͠

32. ·ͱΊ
    $PODMVTJPO

33. ཧ૝͸ࣾ಺Λ၆ᛌͯ͠༏ઌ౓ͷߴ͍ϦεΫ͔Βɺܭըతʹ༧ࢉԽ͠ɺ
 ରࡦΛҰͭҰͭਐΊΔ͜ͱͰ͕͢ɺ
    ࠓͰ͖Δ͜ͱ͔ΒਐΊ͍ͯ͘
 ɾܦӦ૚΁ͷݱঢ়ใࠂ
 ɾ։ൃܖ໿ॻͷݟ௚͠
 ɾ࣍ظ։ൃͷલఏ৚݅ʹ͸ηΩϡϦςΟཁ݅ΛೖΕΔ
 ɾ੬ऑੑ਍அʗηΩϡϦςΟαʔϏεͷݟੵऔಘ
    ɹԿΑΓ΋͝૬ஊ͸ηΩϡϦςΟͷϓϩʹʂ
 ɹηΧϯυΦϐχΦϯʢୈͷҙݟʣ΋ॏཁͰ͢ɻ ·ͱΊ