Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
まじめな技術者のためのWEBフィルタリング回避術
Search
Tomohiko Morita
December 04, 2016
Technology
1.3k
1
Share
まじめな技術者のためのWEBフィルタリング回避術
オワスプナイトカンサイ ~OWASPローカルチャプターミーティング in 関西 8th~での発表資料です
Tomohiko Morita
December 04, 2016
More Decks by Tomohiko Morita
See All by Tomohiko Morita
OWASP Kansai DAY 2025.09: OSINTにふれてみよう
deka_morita
0
330
(会社ライフ)ハッカーになろう / Let's Become a Corporate-life-hacker
deka_morita
0
990
ガンダム × ネーミング
deka_morita
0
750
クレジットカードを不正利用された話
deka_morita
0
1.5k
ガンダム勉強会@関西アンケート集計
deka_morita
0
810
ガンダム勉強会@サイド2開催にあたって
deka_morita
0
700
物理なポチポチ操作自動化
deka_morita
1
300
Other Decks in Technology
See All in Technology
鹿野さんに聞く!CSSの最新トレンド Ver.2026
tonkotsuboy_com
6
2.9k
AI時代の品質はテストプロセスの作り直し #scrumniigata
kyonmm
PRO
4
1.5k
PdM・Eng・QAで進めるAI駆動開発の現在地/aidd-with-pdm-eng-qa
shota_kusaba
0
210
試作とデモンストレーション / Prototyping and Demonstrations
ks91
PRO
0
200
ServiceによるKubernetes通信制御ーClusterIPを例に
miku01
1
160
毎日の作業を Claude Code 経由にしたら、 ノウハウがコードになった
kossykinto
1
1.3k
みんなの考えた最強のデータ基盤アーキテクチャ'26前期〜前夜祭〜ルーキーズ_資料_遠藤な
endonanana
0
310
AIエージェントの支払い基盤 AgentCore Payments概要
kmiya84377
2
170
Oracle AI Database@Azure:サービス概要のご紹介
oracle4engineer
PRO
6
1.6k
Purview Endpoint DLP 動かしてみた
kozakigh
0
360
Modernizing Your HCL Connections Experience: Visual Report to chain, Profile Enhancements, and AI Integration
wannesrams
0
300
(きっとたぶん)人材育成や教育のような何かの話
sejima
0
720
Featured
See All Featured
How GitHub (no longer) Works
holman
316
150k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
118
110k
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
270
The #1 spot is gone: here's how to win anyway
tamaranovitovic
2
1k
Navigating Weather and Climate Data
rabernat
0
190
ラッコキーワード サービス紹介資料
rakko
1
3.3M
Evolving SEO for Evolving Search Engines
ryanjones
0
190
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.2k
Heart Work Chapter 1 - Part 1
lfama
PRO
6
35k
Paper Plane
katiecoart
PRO
1
50k
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
160
Making Projects Easy
brettharned
120
6.6k
Transcript
まじめな技術者のための WEBフィルタリング 回避術 OWASP オワスプナイト カンサイ in 8th
今日お話しすること ・特に難しい技術の話はしません 特殊なツールは不要な簡単な方法 ・あくまでもまじめな技術者のため 用法・容量を守って 悪用は厳禁
だれ? 森田 智彦 某電機メーカの セキュリティ診断チームで 自社製品の診断業務に従事 組込み機器 サーバ/Webアプリ
WEBフィルタリング http://www.atmarkit.co.jp/ait/articles/1404/02/news002.html
業務を阻害する場合も マニアックな機器を購入したい、スペックが知りたい ⇒クリックしたらオークションサイトであり URLブラックリストで弾かれる セキュリティ診断の情報収集、ツール取得 ⇒怪しげな闇サイトとして カテゴリフィルタリングで弾かれる
どうにかして、回避したい
簡単な方法で! 外部プロキシの利用による フィルタリング回避 社内イントラ 端末 大手検索サービス によるページ翻訳 目的のサイトへ アクセス 社内プロキシ
サーバ
どうすりゃいいの? ・ベンダさん ⇒技術的な観点 ⇒設定的な観点 ・社内情シスさん ⇒業務効率的な観点 まじめな技術者のために
ベンダ対策:部分一致のチェック http://www.jra.go.jp/ https://translate.google.co.jp/translate? sl=bs&tl=ja&js=y&prev=_t&hl=ja&ie=UTF-8 &u=http%3A%2F%2Fwww.jra.go.jp%2F &edit-text=&act=url ⇒URLしか見ていない クエリパラメータも ちゃんとチェックしよう
ベンダ対策:優先度の検討 ホワイトリスト、 ブラックリストで 同じURLが設定された場合は、 ホワイトリストの設定が優先 ⇒ホワイトリストを信用し過ぎ 外部プロキシになりえ るURLはグレー判定
情シス対策:従業員の生産性 業務効率や生産性とのバランスが取れ たセキュリティ対策を実施すべきだ セキュリティ偏重の判断は、業務の現 場に不便さをもたらし、柔軟な発想や 機敏性を損なわせ、イノベーションの 機会を潰してしまう http://ascii.jp/elem/000/001/260/1260611/ CODE BLUE
2016基調講演 「How much security is too much? 」 カルステン・ノール氏
情シス対策:従業員の生産性 業務上、急いで アクセスしなければ ならない場合も多いので・・・ こんなボタンを新設しては いかがでしょうか 上司に通知 上司通知に同意してアクセスする 上司に通知 http://www.owasp.hoge.org/
× ‼ Warning ‼ このページは許可されていません‼ 悪質な場合は上司に報告します。 すべてのログは収拾されており 端末の特定も可能です。 云々、、、 上司に通知 してアクセス 上司の理解と信頼 があれば・・・
ディスカッション? http://www.irasutoya.com/
deka_morita
tonkotsuboy_com
kyonmm
.jpg){kind=avatar}
shota_kusaba
ks91
miku01
kossykinto
endonanana
kmiya84377
oracle4engineer
kozakigh
wannesrams
sejima
holman
twada
tamaranovitovic
rabernat
rakko
ryanjones
aleyda
lfama
katiecoart
techseoconnect
brettharned
