Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
Search
Riotaro OKADA
PRO
August 31, 2024
Research
4
910
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
まだ脆弱性診断頼みでセキュリティ消耗してるの?
20240831 塩尻サイバーセキュリティ勉強会
Riotaro OKADA
PRO
August 31, 2024
Tweet
Share
More Decks by Riotaro OKADA
See All by Riotaro OKADA
AIドリブンのソフトウェア開発 - うまいやり方とまずいやり方
okdt
PRO
9
1.2k
開発運用のセキュリティ実践を”デザイン”する
okdt
PRO
0
88
品質管理とセキュリティの新基準:ブラックボックス化から脱却するソフトウェア透明性
okdt
PRO
0
73
Perfect Enterprise Security Practice?
okdt
PRO
1
320
Vulnerabilities and the Future
okdt
PRO
1
280
How Application Security Will Change with the Rise of AI
okdt
PRO
1
110
脆弱性とこれからの話 - ソフトウェアサプライチェインリスク
okdt
PRO
6
1.7k
ソフトウェアセキュリティはAIの登場でどう変わるか - OWASP LLM Top 10
okdt
PRO
14
9.3k
今から取り組む企業のための脆弱性対応~大丈夫、みんなよく分かっていないから~
okdt
PRO
1
190
Other Decks in Research
See All in Research
スキマバイトサービスにおける現場起点でのデザインアプローチ
yoshioshingyouji
0
240
Creation and environmental applications of 15-year daily inundation and vegetation maps for Siberia by integrating satellite and meteorological datasets
satai
3
380
SSII2025 [TS3] 医工連携における画像情報学研究
ssii
PRO
3
1.3k
Generative Models 2025
takahashihiroshi
25
13k
最適化と機械学習による問題解決
mickey_kubo
0
180
Remote sensing × Multi-modal meta survey
satai
4
430
Minimax and Bayes Optimal Best-arm Identification: Adaptive Experimental Design for Treatment Choice
masakat0
0
180
GPUを利用したStein Particle Filterによる点群6自由度モンテカルロSLAM
takuminakao
0
350
J-RAGBench: 日本語RAGにおける Generator評価ベンチマークの構築
koki_itai
0
600
大規模な2値整数計画問題に対する 効率的な重み付き局所探索法
mickey_kubo
1
380
VectorLLM: Human-like Extraction of Structured Building Contours via Multimodal LLMs
satai
4
310
EcoWikiRS: Learning Ecological Representation of Satellite Images from Weak Supervision with Species Observation and Wikipedia
satai
3
240
Featured
See All Featured
The Power of CSS Pseudo Elements
geoffreycrofte
79
6k
What’s in a name? Adding method to the madness
productmarketing
PRO
23
3.7k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
51k
GraphQLとの向き合い方2022年版
quramy
49
14k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
6.1k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
19
1.2k
Product Roadmaps are Hard
iamctodd
PRO
54
11k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
A Tale of Four Properties
chriscoyier
160
23k
Producing Creativity
orderedlist
PRO
347
40k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Context Engineering - Making Every Token Count
addyosmani
5
180
Transcript
秘伝: 脆弱性診断を うまく活⽤してセキュ リティを確保するには まだ脆弱性診断頼みでセキュリティ消耗してるの? by Riotaro OKADA
セキュリティ診断を過信していないか セキュリティを診断の時点で はじめて検討 多くの企業が脆弱性診断だけでセキュ リティ対策が完了すると誤解していま す。 診断コスト積算⽅式の弊害: テスト範囲の限定 コストや効率性のためにテスト範囲が 限定されています。
ブラックボックステストの性 質 システム全体の脆弱性を⼗分にカバー できません。 「コンポーネント」や「設定」 などの⾒過ごされがちなエア ポケット サプライチェインや設定ミスや不適切 な管理が重要なリスクとなっていま す。 エキスパートテストの限界 無限のリソースとコラボレーションの ある攻撃サイド VS 限られた時間とリ ソースで⾏うテスト
リスクに基づいてセキュリテ ィを診断する視点とは 可⽤性 システムの可⽤性に関するリスクを評価します。 機密性 データの機密性に関する脅威を特定します。 完全性 システムの完全性を脅かす要因を分析します。
想定脅威(外側の⼒)に対する、 対策·対応⼒(内側の⼒)の⽬標 設定 1 脅威の特定 さまざまな情報から、その事業への具体的な脅威をリストに します。 2 対策⼒の⽬標設定 各脅威に対する対応·対策⼒の⽬標レベルを設定します。対
応レベルの設定にあたっては、コンプライアンスが役⽴つこ ともある。 3 テスト計画の⽴案 脅威対応⽬標に基づいたテスト計画を作成します。対応⼒を 検証するためにどんなテストが必要なのかを組み⽴てます。 4 テストサービスの選定 仮説検証の⼿段を組み⽴てます
不正アクセス対策検証の組み⽴て 脅威 機密データへの不正アクセス 攻撃⾯ フルスタック、サプライチェイン、内部の実装、外部の 環境 対策⽬標 攻撃⾯への不正アクセス試⾏の⾃動的な検知と遮断 テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏
期待結果 検知率と遮断率の測定 検知が漏れるケースの発⾒
アプリケーション脆弱性への攻撃対策診断の例 脅威 アプリケーション機能の悪⽤、システムの破壊、妨害⾏ 為のエントリーポイントの発⾒ 攻撃⾯ フルスタック、クラウド設定、DNSなど環境 対策⽬標 攻撃⾯を突破されないこと テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏
期待結果 突破されるケースの発⾒ 脆弱な設定の発⾒ システム上の⽋陥
開発段階の脆弱性を発⾒する 脅威 ソースコードに内在するコーディングの脆弱性 サプライチェインに内在する脆弱性への攻撃 シークレットの盗難 攻撃⾯ コード(10%) OSSコンポーネント(90%) コードレポジトリ、開発者アカウント(Github) 対策⽬標
攻撃⾯を悪⽤されないこと シークレットが漏洩しないこと システムが破壊されないこと テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏と 脆弱性が潜在する情報収集 期待結果 不具合により突破されるケースの発⾒ 脆弱なコード、設定の発⾒ システム上の⽋陥の発⾒
システムの概要提供 ネットワーク構成 ネットワークの全体像を提供します。 環境に関する情報 使⽤しているサーバーなど環境を共有します。 ビジネスの構成と資産 情報資産、リスクを説明します。 遵守するべきコンプライアンスもわかります。
結果の活⽤計画 1 結果の分析 診断結果を詳細に分析します。 2 優先順位付け リスクの重要度に基づいて優先順位を決定します。 3 改善プロジェクト 具体的な改善策を策定します。
4 実施と評価 改善策を実施し、効果を評価します。
まとめ 1 ビジネスリスクベースで診断を リスクに基づいたオーダーの重要性を再確認する 2 脅威に対応するシステム能⼒向上 システム構成の概要提供が効果的なテストの鍵です。 3 構築能⼒の獲得、⽀援構造の構築 改善⾏動から、スキルの獲得や脅威·対策情報や組織の組み⽅に関す
るノウハウの獲得のためのパイプを確⽴すること