Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
Search
Riotaro OKADA
PRO
August 31, 2024
Research
4
860
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
まだ脆弱性診断頼みでセキュリティ消耗してるの?
20240831 塩尻サイバーセキュリティ勉強会
Riotaro OKADA
PRO
August 31, 2024
Tweet
Share
More Decks by Riotaro OKADA
See All by Riotaro OKADA
開発運用のセキュリティ実践を”デザイン”する
okdt
PRO
0
41
品質管理とセキュリティの新基準:ブラックボックス化から脱却するソフトウェア透明性
okdt
PRO
0
47
Perfect Enterprise Security Practice?
okdt
PRO
1
290
Vulnerabilities and the Future
okdt
PRO
1
260
How Application Security Will Change with the Rise of AI
okdt
PRO
1
100
脆弱性とこれからの話 - ソフトウェアサプライチェインリスク
okdt
PRO
7
1.7k
ソフトウェアセキュリティはAIの登場でどう変わるか - OWASP LLM Top 10
okdt
PRO
14
8.8k
今から取り組む企業のための脆弱性対応~大丈夫、みんなよく分かっていないから~
okdt
PRO
1
170
DXとセキュリティ - IPA Digital Symposium 2021
okdt
PRO
0
150
Other Decks in Research
See All in Research
SSII2025 [SS1] レンズレスカメラ
ssii
PRO
2
870
定性データ、どう活かす? 〜定性データのための分析基盤、はじめました〜 / How to utilize qualitative data? ~We have launched an analysis platform for qualitative data~
kaminashi
6
1k
利用シーンを意識した推薦システム〜SpotifyとAmazonの事例から〜
kuri8ive
1
200
SSII2025 [TS1] 光学・物理原理に基づく深層画像生成
ssii
PRO
3
3.2k
CARMUI-NET:自動運転車遠隔監視のためのバーチャル都市プラットフォームにおける通信品質変動機能の開発と評価 / UBI85
yumulab
0
230
ノンパラメトリック分布表現を用いた位置尤度場周辺化によるRTK-GNSSの整数アンビギュイティ推定
aoki_nosse
0
310
SSII2025 [TS2] リモートセンシング画像処理の最前線
ssii
PRO
7
2.6k
NLP2025参加報告会 LT資料
hargon24
1
310
Weekly AI Agents News! 2月号 アーカイブ
masatoto
1
200
Weekly AI Agents News!
masatoto
33
67k
実行環境に中立なWebAssemblyライブマイグレーション機構/techtalk-2025spring
chikuwait
0
210
SI-D案内資料_京都文教大学
ryojitakeuchi1116
0
1.6k
Featured
See All Featured
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.9k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
4
120
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
For a Future-Friendly Web
brad_frost
179
9.8k
A designer walks into a library…
pauljervisheath
206
24k
Documentation Writing (for coders)
carmenintech
71
4.9k
The Cost Of JavaScript in 2023
addyosmani
50
8.3k
Music & Morning Musume
bryan
46
6.6k
Reflections from 52 weeks, 52 projects
jeffersonlam
349
20k
Done Done
chrislema
184
16k
Designing for humans not robots
tammielis
253
25k
Speed Design
sergeychernyshev
30
990
Transcript
秘伝: 脆弱性診断を うまく活⽤してセキュ リティを確保するには まだ脆弱性診断頼みでセキュリティ消耗してるの? by Riotaro OKADA
セキュリティ診断を過信していないか セキュリティを診断の時点で はじめて検討 多くの企業が脆弱性診断だけでセキュ リティ対策が完了すると誤解していま す。 診断コスト積算⽅式の弊害: テスト範囲の限定 コストや効率性のためにテスト範囲が 限定されています。
ブラックボックステストの性 質 システム全体の脆弱性を⼗分にカバー できません。 「コンポーネント」や「設定」 などの⾒過ごされがちなエア ポケット サプライチェインや設定ミスや不適切 な管理が重要なリスクとなっていま す。 エキスパートテストの限界 無限のリソースとコラボレーションの ある攻撃サイド VS 限られた時間とリ ソースで⾏うテスト
リスクに基づいてセキュリテ ィを診断する視点とは 可⽤性 システムの可⽤性に関するリスクを評価します。 機密性 データの機密性に関する脅威を特定します。 完全性 システムの完全性を脅かす要因を分析します。
想定脅威(外側の⼒)に対する、 対策·対応⼒(内側の⼒)の⽬標 設定 1 脅威の特定 さまざまな情報から、その事業への具体的な脅威をリストに します。 2 対策⼒の⽬標設定 各脅威に対する対応·対策⼒の⽬標レベルを設定します。対
応レベルの設定にあたっては、コンプライアンスが役⽴つこ ともある。 3 テスト計画の⽴案 脅威対応⽬標に基づいたテスト計画を作成します。対応⼒を 検証するためにどんなテストが必要なのかを組み⽴てます。 4 テストサービスの選定 仮説検証の⼿段を組み⽴てます
不正アクセス対策検証の組み⽴て 脅威 機密データへの不正アクセス 攻撃⾯ フルスタック、サプライチェイン、内部の実装、外部の 環境 対策⽬標 攻撃⾯への不正アクセス試⾏の⾃動的な検知と遮断 テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏
期待結果 検知率と遮断率の測定 検知が漏れるケースの発⾒
アプリケーション脆弱性への攻撃対策診断の例 脅威 アプリケーション機能の悪⽤、システムの破壊、妨害⾏ 為のエントリーポイントの発⾒ 攻撃⾯ フルスタック、クラウド設定、DNSなど環境 対策⽬標 攻撃⾯を突破されないこと テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏
期待結果 突破されるケースの発⾒ 脆弱な設定の発⾒ システム上の⽋陥
開発段階の脆弱性を発⾒する 脅威 ソースコードに内在するコーディングの脆弱性 サプライチェインに内在する脆弱性への攻撃 シークレットの盗難 攻撃⾯ コード(10%) OSSコンポーネント(90%) コードレポジトリ、開発者アカウント(Github) 対策⽬標
攻撃⾯を悪⽤されないこと シークレットが漏洩しないこと システムが破壊されないこと テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏と 脆弱性が潜在する情報収集 期待結果 不具合により突破されるケースの発⾒ 脆弱なコード、設定の発⾒ システム上の⽋陥の発⾒
システムの概要提供 ネットワーク構成 ネットワークの全体像を提供します。 環境に関する情報 使⽤しているサーバーなど環境を共有します。 ビジネスの構成と資産 情報資産、リスクを説明します。 遵守するべきコンプライアンスもわかります。
結果の活⽤計画 1 結果の分析 診断結果を詳細に分析します。 2 優先順位付け リスクの重要度に基づいて優先順位を決定します。 3 改善プロジェクト 具体的な改善策を策定します。
4 実施と評価 改善策を実施し、効果を評価します。
まとめ 1 ビジネスリスクベースで診断を リスクに基づいたオーダーの重要性を再確認する 2 脅威に対応するシステム能⼒向上 システム構成の概要提供が効果的なテストの鍵です。 3 構築能⼒の獲得、⽀援構造の構築 改善⾏動から、スキルの獲得や脅威·対策情報や組織の組み⽅に関す
るノウハウの獲得のためのパイプを確⽴すること