Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
preview:第0回 脆弱性対応勉強会 資料
Search
hogehuga
November 25, 2018
Technology
130
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
preview:第0回 脆弱性対応勉強会 資料
どのような勉強会にするのか、の概要が分かるように、用意する資料の概要(前半)を開示します。これをもとに、内容が薄いから参加取りやめなどがあれば検討ください。
hogehuga
November 25, 2018
More Decks by hogehuga
See All by hogehuga
認知戦の理解と、市民としての対抗策
hogehuga
0
800
vuls祭り6: 脆弱性対応指標としてのSSVC
hogehuga
0
460
フライングガーデンLT
hogehuga
0
250
第34回 総関西サイバーセキュリティLT大会
hogehuga
0
130
第09回脆弱性対応勉強会(脆弱性管理製品を知る)
hogehuga
1
540
最近のドローン界隈(仮)
hogehuga
0
140
サウナととのい と 水風呂ととのい
hogehuga
0
180
脆弱性対応勉強会Vol.2 Vulsハンズオン
hogehuga
0
1.6k
IoTSecJP_Tokyo_#5-DroneCollection2019
hogehuga
1
2.3k
Other Decks in Technology
See All in Technology
連合学習と機密コンピューティング
lycorptech_jp
PRO
0
100
AWSシリコン最前線 〜AI時代のチップ選択を読み解く〜
htokoyo
2
460
失敗を資産に変えるClaude Code
shinyasaita
0
440
Android の公式 Skill / Android skills
yanzm
0
130
チームで進めるAI駆動アジャイル×ウォーターフォール
kumaiu
0
150
FinOps × AIエージェントで実現する コストインシデントの自動調査
oasis1994liveforever
0
130
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.5k
Socrates × Looker 〜セマンティックレイヤーで進化するデータ分析エージェント〜
hanon52_
3
2.1k
NAB Show 2026 動画技術関連レポート / NAB Show 2026 Report
cyberagentdevelopers
PRO
0
170
Oracle AI Database@AWS:サービス概要のご紹介
oracle4engineer
PRO
4
2.9k
失敗を経て、Harness Engineering で 大切にしたいことを考える / Learning from Failure: What Matters in Harness Engineering
bitkey
PRO
1
310
Chainlitで作るお手軽チャットUI
ynt0485
0
200
Featured
See All Featured
The Cost Of JavaScript in 2023
addyosmani
55
10k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
231
23k
Mobile First: as difficult as doing things right
swwweet
225
10k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
400
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
140
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
180
Building an army of robots
kneath
306
46k
YesSQL, Process and Tooling at Scale
rocio
174
15k
What the history of the web can teach us about the future of AI
inesmontani
PRO
1
610
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
720
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
200
Transcript
第0回脆弱性対応勉強会 2018/12/08-
発言は個人の見解であり、所属組織を代表 するものではありません。 また、所属組織の情報をもとにした見解で はなく、過去の経験や他のインシデントを 観察し、得た知見です。
脆弱性対応研 究会、とは サーバ等の運用をしていると、脆弱性対 応を定期的に実施する必要があるとおも います。 しかしながらこれらについて、 「どのように脆弱性を発見し、影響を判 断するのか」 がまとまった情報が少なく、そのノウハ ウを共有したく、この勉強会を作りまし
た。 特に、OSやフレームワークやライブラ リの階層について検討したいと思います。
本日の進め方 脆弱性対応の基礎知識部分を復習し、特定のCVE番号が振られた脆弱 性について考えてみようと思います。 • 脆弱性対応の基礎知識 ➢CVE、CVSS v2/v3、CVSS[Score|Vector|Environment]、脆弱性の報告経路、 OSSとパッケージのOSS ➢脆弱性情報の収集、とは ➢脆弱性情報の調査方法
➢自組織への適用判断 • 脆弱性対応ロールプレイ ➢CVE-2016-1000031; Apache Struts2 commons-fileupload library ✓ https://www.us-cert.gov/ncas/current-activity/2018/11/05/Apache-Releases- Security-Advisory-Apache-Struts
脆弱性対応の基礎復習
An overview of this section ここでは、脆弱性対応に関する知識の復 習をしようと思います。 • 使っている定義の再確認 •
CVE, CVSS, CVSS[ Score | Vector | Environment ] • 脆弱性発見後の、通常の報告経路 • どのようなフローで対応するのか • フローごとの検討事項 • 情報収集、脆弱性認知 • 脆弱性の詳細確認 • 自組織への適用判定 • 適用と、適用情報の管理
脆弱性対応のフロー 脆弱性対応をする際に、一般的には以下のような 対応フローが存在します。 • 脆弱性情報の収集 ➢脆弱性が発見されたことを認知 • 脆弱性の調査 ➢どのような脆弱性かを調査 •
管理対象への影響評価と決定 ➢管理対象への影響と適用要否の決定 • 実対応 ➢実サーバに適用をし、適用管理する 情報収集 脆弱性 の調査 対象への影響調査 /適用可否 更新と 更新管理
hogehuga
lycorptech_jp
htokoyo
shinyasaita
yanzm
kumaiu
oasis1994liveforever
oracle4engineer
hanon52_
cyberagentdevelopers
bitkey
ynt0485
addyosmani
danielanewman
swwweet
baasie
eileencodes
marketingsoph
techseoconnect
kneath
rocio
inesmontani
kimpetersen
jdejongh
![本日の進め方 脆弱性対応の基礎知識部分を復習し、特定のCVE番号が振られた脆弱 性について考えてみようと思います。 • 脆弱性対応の基礎知識 ➢CVE、CVSS v2/v3、CVSS[Score|Vector|Environment]、脆弱性の報告経路、 OSSとパッケージのOSS ➢脆弱性情報の収集、とは ➢脆弱性情報の調査方法](https://files.speakerdeck.com/presentations/db815495dfd04e92857c1ab7ad748f7d/slide_3.jpg){kind=link}
