Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Pr...
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
okuken
June 17, 2019
Technology
2
2.5k
プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Product Security Team
プロダクトセキュリティチームの立上げにおいて、Vulsを導入した経緯から、実際にどのように活用しているかまでをご紹介します。
okuken
June 17, 2019
Tweet
Share
More Decks by okuken
See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
460
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
420
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
830
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
680
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
540
Dangerous usage of JNDI
okuken
0
450
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
470
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
okuken
0
2.9k
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.6k
Other Decks in Technology
See All in Technology
セキュリティについて学ぶ会 / 2026 01 25 Takamatsu WordPress Meetup
rocketmartue
1
300
こんなところでも(地味に)活躍するImage Modeさんを知ってるかい?- Image Mode for OpenShift -
tsukaman
0
140
Embedded SREの終わりを設計する 「なんとなく」から計画的な自立支援へ
sansantech
PRO
3
2.5k
Oracle Cloud Observability and Management Platform - OCI 運用監視サービス概要 -
oracle4engineer
PRO
2
14k
usermode linux without MMU - fosdem2026 kernel devroom
thehajime
0
240
Contract One Engineering Unit 紹介資料
sansan33
PRO
0
13k
Frontier Agents (Kiro autonomous agent / AWS Security Agent / AWS DevOps Agent) の紹介
msysh
3
180
What happened to RubyGems and what can we learn?
mikemcquaid
0
300
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
6
68k
OWASP Top 10:2025 リリースと 少しの日本語化にまつわる裏話
okdt
PRO
3
800
Context Engineeringの取り組み
nutslove
0
360
学生・新卒・ジュニアから目指すSRE
hiroyaonoe
2
630
Featured
See All Featured
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
0
260
Google's AI Overviews - The New Search
badams
0
910
Designing for Performance
lara
610
70k
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
180
Accessibility Awareness
sabderemane
0
52
Game over? The fight for quality and originality in the time of robots
wayneb77
1
120
Abbi's Birthday
coloredviolet
1
4.8k
Designing for humans not robots
tammielis
254
26k
[SF Ruby Conf 2025] Rails X
palkan
1
760
It's Worth the Effort
3n
188
29k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.2k
Done Done
chrislema
186
16k
Transcript
プロダクトセキュリティチーム立上げにおける Vulsの活用 株式会社ウエディングパーク 奥野 健一 2019.06.17 Vuls祭り#5
Agenda 1. 自己紹介 2. Vulsの導入経緯 3. Vulsの導入 4. Vulsの実用途 5.
まとめ
自己紹介
奥野 健一 @okuken3 情報系の修士卒 SIer、業務パッケージベンダーを経て 2018年12月 株式会社ウエディングパーク 入社 プロダクトセキュリティチーム立上げ
株式会社 ウエディングパーク 式場探しの決めてが見つかる クチコミサイト「ウエディングパーク」 をはじめとする、結婚にまつわる WEBサービスの企画・運営
サービスラインナップ
No.1 Bridal Tech Team By→20 “2020年までに ブライダル業界でNo.1の技術者集団になろう” 社外向け勉強会 https://weddingpark.connpass.com/ 技術ブログ
https://engineers.weddingpark.co.jp/
なぜウエパがVuls祭りに?
2019年4月某日 ↑技術広報 Sさん
enjoy!インハウス、 たくさんの人に 来て欲しいの! https://weddingpark.connpass.com/
まいったなぁ… 登壇も初めてだし、 セキュリティ界隈の 知り合いも少ないし 何か良い手は…
キーワードをたくさんいれる とイイらしいですよ!
・・・
キーワード ・・・か
・・・・・
脆 弱 性 診 断 Vuls Burp Suite サイバー脅威インテリジェンス SCAP
C V E ISMS JPCERT/CC CSIRT Metasploit W A F IDS/IPS NVD JVN SIEM NIST Mitre Nmap SOC ペネトレーションテスト EDR OWASP JNSA Vuls Burp Suite C V E JPCERT/CC OWASP
無事、盛況でした!
None
None
https://vuls-jp.connpass.com/event/131960/ Vuls祭り#5 登壇決定! Who’s Using This? に掲載! https://vuls.io/ 感激パ…!
Vulsの導入経緯
プロダクトセキュリティチームの立上げ ・ 企業規模の拡大に合わせて、 プロダクトセキュリティ専門チームを立上げ ・ 脆弱性診断の一部内製化が最初のミッション
脆弱性診断の一部内製化 ・ 外部のセキュリティ事業者による定期診断は継続 ・ 一部の診断を内製化することで、以下を達成する - ノウハウの蓄積 - ホワイトボックス観点での診断 -
柔軟なスケジューリング
レイヤー毎の診断ツール レイヤー 自動診断 手動診断 診断ツール WEBアプリケーション 〇 〇 Burp Suite
フレームワーク / ライブラリ 〇 - Vuls プログラミング言語 〇 - Vuls ミドルウェア 〇 - Vuls OS 〇 - Vuls サーバー(ハードウェア) 〇 - Vuls ネットワーク 〇 〇 Nmap あくまで手始めパ! アプリケーション診断 プラットフォーム診断
Vulsの選定理由 ・ プラットフォーム診断の手始めとして - 既知の危険な脆弱性を含むバージョンを使用していないかのチェックから始める (攻撃を伴うプラットフォーム診断の内製化(OpenVAS等を使用)は次の一手) ・ Vulsの魅力 - 高い検知精度(複数の脆弱性情報源による)
- エージェントレス - 国産で勢いのあるOSS
Vulsの導入
構成 CVE 等 ⑤詳細確認 (VulsRepo) ①日次フェッチ ④日次差分通知 ③日次レポート ②日次スキャン ・・・
Vuls導入 ・導入手順(公式) https://vuls.io/docs/ja/install-manually-centos.html https://vuls.io/docs/ja/vulsrepo.html ⇒ dep ensure -update で解消
⇒ 下記の削除で解消 $GOPATH/pkg/dep $GOPATH/pkg/linux_amd64/github.com/golang/dep $GOPATH/pkg/linux_amd64/github.com/golang/dep.a ・ go-exploitdb の make install でエラー (dep ensure で “failed to export~”) ・ vuls の make install でエラー (dep ensure で “Failed to write~”)
ほんの少しOSS貢献 ・ VulsRepoに脆弱性が表示されない不具合 - cpe指定で検出されたもの全てが対象 - エラーではなくスルーなので致命的
- 諸事情で、弊社の主たる用途はcpe指定 ⇒ 必要に迫られて自ら改修! ★Vulsのレポートのデータ構造は変化しがち(らしい) https://github.com/usiusi360/vulsrepo/pull/71
Vulsの実用途
脆弱性スキャン 1.PHPやLaravel等の脆弱性情報チェック(※1) - 基本的に、cpe直指定 かつ type="pseudo"でスキャン(※2) - 弊社ではサービス毎に使用バージョンが異なるので、該当バージョンを全て列挙
(※1:この要件だけなら他にもツールはあるが、Vulsに一本化したかった。) (※2:PHPもcpe直指定なのは、弊社諸事情でパッケージマネージャ管理にできていないため。 ちなみに、簡易なスクリプトにて自動でバージョン情報を収集しています。) 2.OSの定期セキュリティアップデートの前後で、該当CVE数の減少を確認 今後はもっと活用して いきたいパよ!
脆弱性情報対応MTG(週次/臨時) ・ 各サービスのシステム責任者を集め、脆弱性情報を連携 - Vulsで検出したLaravelやPHPの脆弱性を中心として - CVEをプロダクトセキュリティチームで咀嚼して説明 ・
サービス毎に影響有無を確認し、対応要否・スケジュールを検討 - 対応方針、対応結果のレビュー
まとめ
まとめ ・ プロダクトセキュリティチーム立上げ、脆弱性診断の一部内製化 ・ プラットフォーム診断ツールの一翼としてVuls導入、日次スキャン ・ Vulsで検出したCVEに解釈を添えて、システム責任者に連携、対応 キーワードの詰め込み は恥だが役に立つパ!
ご清聴ありがとうございました!
SiteGround - Reliable hosting with speed, security, and support you can count on.
okuken
rocketmartue
tsukaman
sansantech
oracle4engineer
thehajime
sansan33
msysh
mikemcquaid
okdt
nutslove
hiroyaonoe
reverentgeek
badams
lara
davetheseo
sabderemane
wayneb77
coloredviolet
tammielis
palkan
3n
kastner
chrislema
