Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
Search
Riotaro OKADA
PRO
August 31, 2024
Research
4
770
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
まだ脆弱性診断頼みでセキュリティ消耗してるの?
20240831 塩尻サイバーセキュリティ勉強会
Riotaro OKADA
PRO
August 31, 2024
Tweet
Share
More Decks by Riotaro OKADA
See All by Riotaro OKADA
Vulnerabilities and the Future
okdt
PRO
1
220
How Application Security Will Change with the Rise of AI
okdt
PRO
1
70
脆弱性とこれからの話 - ソフトウェアサプライチェインリスク
okdt
PRO
7
1.5k
ソフトウェアセキュリティはAIの登場でどう変わるか - OWASP LLM Top 10
okdt
PRO
14
7.8k
今から取り組む企業のための脆弱性対応~大丈夫、みんなよく分かっていないから~
okdt
PRO
1
150
DXとセキュリティ - IPA Digital Symposium 2021
okdt
PRO
0
110
SHIFT LEFT PATH at AWS DEV DAY3 General Session
okdt
PRO
3
1.2k
Post DevOps What Should We Shift-Left
okdt
PRO
0
4
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
okdt
PRO
0
10
Other Decks in Research
See All in Research
言語と数理の交差点:テキストの埋め込みと構造のモデル化 (IBIS 2024 チュートリアル)
yukiar
4
920
アプリケーションから知るモデルマージ
maguro27
0
180
Tietovuoto Social Design Agency (SDA) -trollitehtaasta
hponka
0
3k
Practical The One Person Framework
asonas
1
1.8k
[ECCV2024読み会] 衛星画像からの地上画像生成
elith
1
910
さんかくのテスト.pdf
sankaku0724
0
520
Embers of Autoregression: Understanding Large Language Models Through the Problem They are Trained to Solve
eumesy
PRO
7
1.2k
Weekly AI Agents News! 9月号 論文のアーカイブ
masatoto
1
150
論文読み会 KDD2024 | Relevance meets Diversity: A User-Centric Framework for Knowledge Exploration through Recommendations
cocomoff
0
110
Leveraging LLMs for Unsupervised Dense Retriever Ranking (SIGIR 2024)
kampersanda
2
250
The Relevance of UX for Conversion and Monetisation
itasohaakhib1
0
120
FOSS4G 山陰 Meetup 2024@砂丘 はじめの挨拶
wata909
1
120
Featured
See All Featured
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
2
170
4 Signs Your Business is Dying
shpigford
181
21k
Unsuck your backbone
ammeep
669
57k
The Cost Of JavaScript in 2023
addyosmani
45
7k
For a Future-Friendly Web
brad_frost
175
9.4k
A Philosophy of Restraint
colly
203
16k
The Pragmatic Product Professional
lauravandoore
32
6.3k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
127
18k
How GitHub (no longer) Works
holman
311
140k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
0
98
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
What's in a price? How to price your products and services
michaelherold
243
12k
Transcript
秘伝: 脆弱性診断を うまく活⽤してセキュ リティを確保するには まだ脆弱性診断頼みでセキュリティ消耗してるの? by Riotaro OKADA
セキュリティ診断を過信していないか セキュリティを診断の時点で はじめて検討 多くの企業が脆弱性診断だけでセキュ リティ対策が完了すると誤解していま す。 診断コスト積算⽅式の弊害: テスト範囲の限定 コストや効率性のためにテスト範囲が 限定されています。
ブラックボックステストの性 質 システム全体の脆弱性を⼗分にカバー できません。 「コンポーネント」や「設定」 などの⾒過ごされがちなエア ポケット サプライチェインや設定ミスや不適切 な管理が重要なリスクとなっていま す。 エキスパートテストの限界 無限のリソースとコラボレーションの ある攻撃サイド VS 限られた時間とリ ソースで⾏うテスト
リスクに基づいてセキュリテ ィを診断する視点とは 可⽤性 システムの可⽤性に関するリスクを評価します。 機密性 データの機密性に関する脅威を特定します。 完全性 システムの完全性を脅かす要因を分析します。
想定脅威(外側の⼒)に対する、 対策·対応⼒(内側の⼒)の⽬標 設定 1 脅威の特定 さまざまな情報から、その事業への具体的な脅威をリストに します。 2 対策⼒の⽬標設定 各脅威に対する対応·対策⼒の⽬標レベルを設定します。対
応レベルの設定にあたっては、コンプライアンスが役⽴つこ ともある。 3 テスト計画の⽴案 脅威対応⽬標に基づいたテスト計画を作成します。対応⼒を 検証するためにどんなテストが必要なのかを組み⽴てます。 4 テストサービスの選定 仮説検証の⼿段を組み⽴てます
不正アクセス対策検証の組み⽴て 脅威 機密データへの不正アクセス 攻撃⾯ フルスタック、サプライチェイン、内部の実装、外部の 環境 対策⽬標 攻撃⾯への不正アクセス試⾏の⾃動的な検知と遮断 テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏
期待結果 検知率と遮断率の測定 検知が漏れるケースの発⾒
アプリケーション脆弱性への攻撃対策診断の例 脅威 アプリケーション機能の悪⽤、システムの破壊、妨害⾏ 為のエントリーポイントの発⾒ 攻撃⾯ フルスタック、クラウド設定、DNSなど環境 対策⽬標 攻撃⾯を突破されないこと テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏
期待結果 突破されるケースの発⾒ 脆弱な設定の発⾒ システム上の⽋陥
開発段階の脆弱性を発⾒する 脅威 ソースコードに内在するコーディングの脆弱性 サプライチェインに内在する脆弱性への攻撃 シークレットの盗難 攻撃⾯ コード(10%) OSSコンポーネント(90%) コードレポジトリ、開発者アカウント(Github) 対策⽬標
攻撃⾯を悪⽤されないこと シークレットが漏洩しないこと システムが破壊されないこと テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏と 脆弱性が潜在する情報収集 期待結果 不具合により突破されるケースの発⾒ 脆弱なコード、設定の発⾒ システム上の⽋陥の発⾒
システムの概要提供 ネットワーク構成 ネットワークの全体像を提供します。 環境に関する情報 使⽤しているサーバーなど環境を共有します。 ビジネスの構成と資産 情報資産、リスクを説明します。 遵守するべきコンプライアンスもわかります。
結果の活⽤計画 1 結果の分析 診断結果を詳細に分析します。 2 優先順位付け リスクの重要度に基づいて優先順位を決定します。 3 改善プロジェクト 具体的な改善策を策定します。
4 実施と評価 改善策を実施し、効果を評価します。
まとめ 1 ビジネスリスクベースで診断を リスクに基づいたオーダーの重要性を再確認する 2 脅威に対応するシステム能⼒向上 システム構成の概要提供が効果的なテストの鍵です。 3 構築能⼒の獲得、⽀援構造の構築 改善⾏動から、スキルの獲得や脅威·対策情報や組織の組み⽅に関す
るノウハウの獲得のためのパイプを確⽴すること