Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
まじめな技術者のためのWEBフィルタリング回避術
Search
Tomohiko Morita
December 04, 2016
Technology
1
1k
まじめな技術者のためのWEBフィルタリング回避術
オワスプナイトカンサイ ~OWASPローカルチャプターミーティング in 関西 8th~での発表資料です
Tomohiko Morita
December 04, 2016
Tweet
Share
More Decks by Tomohiko Morita
See All by Tomohiko Morita
OWASP Kansai DAY 2025.09: OSINTにふれてみよう
deka_morita
0
240
(会社ライフ)ハッカーになろう / Let's Become a Corporate-life-hacker
deka_morita
0
960
ガンダム × ネーミング
deka_morita
0
710
クレジットカードを不正利用された話
deka_morita
0
1.5k
ガンダム勉強会@関西アンケート集計
deka_morita
0
790
ガンダム勉強会@サイド2開催にあたって
deka_morita
0
680
物理なポチポチ操作自動化
deka_morita
1
280
Other Decks in Technology
See All in Technology
Why Governance Matters: The Key to Reducing Risk Without Slowing Down
sarahjwells
0
110
神回のメカニズムと再現方法/Mechanisms and Playbook for Kamikai scrumat2025
moriyuya
4
600
OpenAI gpt-oss ファインチューニング入門
kmotohas
2
1k
小学4年生夏休みの自由研究「ぼくと Copilot エージェント」
taichinakamura
0
500
o11yで育てる、強い内製開発組織
_awache
3
120
extension 現場で使えるXcodeショートカット一覧
ktombow
0
220
E2Eテスト設計_自動化のリアル___Playwrightでの実践とMCPの試み__AIによるテスト観点作成_.pdf
findy_eventslides
1
490
20201008_ファインディ_品質意識を育てる役目は人かAIか___2_.pdf
findy_eventslides
1
520
LLMアプリケーション開発におけるセキュリティリスクと対策 / LLM Application Security
flatt_security
7
1.9k
AI時代だからこそ考える、僕らが本当につくりたいスクラムチーム / A Scrum Team we really want to create in this AI era
takaking22
6
3.7k
いま注目しているデータエンジニアリングの論点
ikkimiyazaki
0
610
Large Vision Language Modelを用いた 文書画像データ化作業自動化の検証、運用 / shibuya_AI
sansan_randd
0
110
Featured
See All Featured
Rails Girls Zürich Keynote
gr2m
95
14k
Learning to Love Humans: Emotional Interface Design
aarron
274
40k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
657
61k
A better future with KSS
kneath
239
17k
Principles of Awesome APIs and How to Build Them.
keavy
127
17k
Why Our Code Smells
bkeepers
PRO
339
57k
The Art of Programming - Codeland 2020
erikaheidi
56
14k
Art, The Web, and Tiny UX
lynnandtonic
303
21k
Context Engineering - Making Every Token Count
addyosmani
5
200
Fireside Chat
paigeccino
40
3.7k
YesSQL, Process and Tooling at Scale
rocio
173
14k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.1k
Transcript
まじめな技術者のための WEBフィルタリング 回避術 OWASP オワスプナイト カンサイ in 8th
今日お話しすること ・特に難しい技術の話はしません 特殊なツールは不要な簡単な方法 ・あくまでもまじめな技術者のため 用法・容量を守って 悪用は厳禁
だれ? 森田 智彦 某電機メーカの セキュリティ診断チームで 自社製品の診断業務に従事 組込み機器 サーバ/Webアプリ
WEBフィルタリング http://www.atmarkit.co.jp/ait/articles/1404/02/news002.html
業務を阻害する場合も マニアックな機器を購入したい、スペックが知りたい ⇒クリックしたらオークションサイトであり URLブラックリストで弾かれる セキュリティ診断の情報収集、ツール取得 ⇒怪しげな闇サイトとして カテゴリフィルタリングで弾かれる
どうにかして、回避したい
簡単な方法で! 外部プロキシの利用による フィルタリング回避 社内イントラ 端末 大手検索サービス によるページ翻訳 目的のサイトへ アクセス 社内プロキシ
サーバ
どうすりゃいいの? ・ベンダさん ⇒技術的な観点 ⇒設定的な観点 ・社内情シスさん ⇒業務効率的な観点 まじめな技術者のために
ベンダ対策:部分一致のチェック http://www.jra.go.jp/ https://translate.google.co.jp/translate? sl=bs&tl=ja&js=y&prev=_t&hl=ja&ie=UTF-8 &u=http%3A%2F%2Fwww.jra.go.jp%2F &edit-text=&act=url ⇒URLしか見ていない クエリパラメータも ちゃんとチェックしよう
ベンダ対策:優先度の検討 ホワイトリスト、 ブラックリストで 同じURLが設定された場合は、 ホワイトリストの設定が優先 ⇒ホワイトリストを信用し過ぎ 外部プロキシになりえ るURLはグレー判定
情シス対策:従業員の生産性 業務効率や生産性とのバランスが取れ たセキュリティ対策を実施すべきだ セキュリティ偏重の判断は、業務の現 場に不便さをもたらし、柔軟な発想や 機敏性を損なわせ、イノベーションの 機会を潰してしまう http://ascii.jp/elem/000/001/260/1260611/ CODE BLUE
2016基調講演 「How much security is too much? 」 カルステン・ノール氏
情シス対策:従業員の生産性 業務上、急いで アクセスしなければ ならない場合も多いので・・・ こんなボタンを新設しては いかがでしょうか 上司に通知 上司通知に同意してアクセスする 上司に通知 http://www.owasp.hoge.org/
× ‼ Warning ‼ このページは許可されていません‼ 悪質な場合は上司に報告します。 すべてのログは収拾されており 端末の特定も可能です。 云々、、、 上司に通知 してアクセス 上司の理解と信頼 があれば・・・
ディスカッション? http://www.irasutoya.com/