Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Pr...
Search
okuken
June 17, 2019
Technology
2
2.4k
プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Product Security Team
プロダクトセキュリティチームの立上げにおいて、Vulsを導入した経緯から、実際にどのように活用しているかまでをご紹介します。
okuken
June 17, 2019
Tweet
Share
More Decks by okuken
See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
410
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
390
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
810
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
640
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
510
Dangerous usage of JNDI
okuken
0
430
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
450
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
okuken
0
2.8k
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.5k
Other Decks in Technology
See All in Technology
Function Body Macros で、SwiftUI の View に Accessibility Identifier を自動付与する/Function Body Macros: Autogenerate accessibility identifiers for SwiftUI Views
miichan
2
110
TypeScript入門
recruitengineers
PRO
33
11k
mruby(PicoRuby)で ファミコン音楽を奏でる
kishima
2
490
努力家なスクラムマスターが陥る「傍観者」という罠と乗り越えた先に信頼があった話 / 20250830 Takahiro Sasaki
shift_evolve
PRO
2
120
Vault meets Kubernetes
mochizuki875
0
140
JavaScript 研修
recruitengineers
PRO
6
1.3k
コスト削減の基本の「キ」~ コスト消費3大リソースへの対策 ~
smt7174
2
300
kubellが考える戦略と実行を繋ぐ活用ファーストのデータ分析基盤
kubell_hr
0
100
実運用で考える PGO
kworkdev
PRO
0
120
ヘブンバーンズレッドのレンダリングパイプライン刷新
gree_tech
PRO
0
390
ZOZOマッチのアーキテクチャと技術構成
zozotech
PRO
2
610
まだ間に合う! StrandsとBedrock AgentCoreでAIエージェント構築に入門しよう
minorun365
PRO
10
620
Featured
See All Featured
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
185
54k
How GitHub (no longer) Works
holman
315
140k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
31
2.2k
GraphQLの誤解/rethinking-graphql
sonatard
71
11k
Optimizing for Happiness
mojombo
379
70k
jQuery: Nuts, Bolts and Bling
dougneiner
64
7.9k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
34
3.1k
A Modern Web Designer's Workflow
chriscoyier
696
190k
Gamification - CAS2011
davidbonilla
81
5.4k
Speed Design
sergeychernyshev
32
1.1k
How to Think Like a Performance Engineer
csswizardry
26
1.8k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
131
19k
Transcript
プロダクトセキュリティチーム立上げにおける Vulsの活用 株式会社ウエディングパーク 奥野 健一 2019.06.17 Vuls祭り#5
Agenda 1. 自己紹介 2. Vulsの導入経緯 3. Vulsの導入 4. Vulsの実用途 5.
まとめ
自己紹介
奥野 健一 @okuken3 情報系の修士卒 SIer、業務パッケージベンダーを経て 2018年12月 株式会社ウエディングパーク 入社 プロダクトセキュリティチーム立上げ
株式会社 ウエディングパーク 式場探しの決めてが見つかる クチコミサイト「ウエディングパーク」 をはじめとする、結婚にまつわる WEBサービスの企画・運営
サービスラインナップ
No.1 Bridal Tech Team By→20 “2020年までに ブライダル業界でNo.1の技術者集団になろう” 社外向け勉強会 https://weddingpark.connpass.com/ 技術ブログ
https://engineers.weddingpark.co.jp/
なぜウエパがVuls祭りに?
2019年4月某日 ↑技術広報 Sさん
enjoy!インハウス、 たくさんの人に 来て欲しいの! https://weddingpark.connpass.com/
まいったなぁ… 登壇も初めてだし、 セキュリティ界隈の 知り合いも少ないし 何か良い手は…
キーワードをたくさんいれる とイイらしいですよ!
・・・
キーワード ・・・か
・・・・・
脆 弱 性 診 断 Vuls Burp Suite サイバー脅威インテリジェンス SCAP
C V E ISMS JPCERT/CC CSIRT Metasploit W A F IDS/IPS NVD JVN SIEM NIST Mitre Nmap SOC ペネトレーションテスト EDR OWASP JNSA Vuls Burp Suite C V E JPCERT/CC OWASP
無事、盛況でした!
None
None
https://vuls-jp.connpass.com/event/131960/ Vuls祭り#5 登壇決定! Who’s Using This? に掲載! https://vuls.io/ 感激パ…!
Vulsの導入経緯
プロダクトセキュリティチームの立上げ ・ 企業規模の拡大に合わせて、 プロダクトセキュリティ専門チームを立上げ ・ 脆弱性診断の一部内製化が最初のミッション
脆弱性診断の一部内製化 ・ 外部のセキュリティ事業者による定期診断は継続 ・ 一部の診断を内製化することで、以下を達成する - ノウハウの蓄積 - ホワイトボックス観点での診断 -
柔軟なスケジューリング
レイヤー毎の診断ツール レイヤー 自動診断 手動診断 診断ツール WEBアプリケーション 〇 〇 Burp Suite
フレームワーク / ライブラリ 〇 - Vuls プログラミング言語 〇 - Vuls ミドルウェア 〇 - Vuls OS 〇 - Vuls サーバー(ハードウェア) 〇 - Vuls ネットワーク 〇 〇 Nmap あくまで手始めパ! アプリケーション診断 プラットフォーム診断
Vulsの選定理由 ・ プラットフォーム診断の手始めとして - 既知の危険な脆弱性を含むバージョンを使用していないかのチェックから始める (攻撃を伴うプラットフォーム診断の内製化(OpenVAS等を使用)は次の一手) ・ Vulsの魅力 - 高い検知精度(複数の脆弱性情報源による)
- エージェントレス - 国産で勢いのあるOSS
Vulsの導入
構成 CVE 等 ⑤詳細確認 (VulsRepo) ①日次フェッチ ④日次差分通知 ③日次レポート ②日次スキャン ・・・
Vuls導入 ・導入手順(公式) https://vuls.io/docs/ja/install-manually-centos.html https://vuls.io/docs/ja/vulsrepo.html ⇒ dep ensure -update で解消
⇒ 下記の削除で解消 $GOPATH/pkg/dep $GOPATH/pkg/linux_amd64/github.com/golang/dep $GOPATH/pkg/linux_amd64/github.com/golang/dep.a ・ go-exploitdb の make install でエラー (dep ensure で “failed to export~”) ・ vuls の make install でエラー (dep ensure で “Failed to write~”)
ほんの少しOSS貢献 ・ VulsRepoに脆弱性が表示されない不具合 - cpe指定で検出されたもの全てが対象 - エラーではなくスルーなので致命的
- 諸事情で、弊社の主たる用途はcpe指定 ⇒ 必要に迫られて自ら改修! ★Vulsのレポートのデータ構造は変化しがち(らしい) https://github.com/usiusi360/vulsrepo/pull/71
Vulsの実用途
脆弱性スキャン 1.PHPやLaravel等の脆弱性情報チェック(※1) - 基本的に、cpe直指定 かつ type="pseudo"でスキャン(※2) - 弊社ではサービス毎に使用バージョンが異なるので、該当バージョンを全て列挙
(※1:この要件だけなら他にもツールはあるが、Vulsに一本化したかった。) (※2:PHPもcpe直指定なのは、弊社諸事情でパッケージマネージャ管理にできていないため。 ちなみに、簡易なスクリプトにて自動でバージョン情報を収集しています。) 2.OSの定期セキュリティアップデートの前後で、該当CVE数の減少を確認 今後はもっと活用して いきたいパよ!
脆弱性情報対応MTG(週次/臨時) ・ 各サービスのシステム責任者を集め、脆弱性情報を連携 - Vulsで検出したLaravelやPHPの脆弱性を中心として - CVEをプロダクトセキュリティチームで咀嚼して説明 ・
サービス毎に影響有無を確認し、対応要否・スケジュールを検討 - 対応方針、対応結果のレビュー
まとめ
まとめ ・ プロダクトセキュリティチーム立上げ、脆弱性診断の一部内製化 ・ プラットフォーム診断ツールの一翼としてVuls導入、日次スキャン ・ Vulsで検出したCVEに解釈を添えて、システム責任者に連携、対応 キーワードの詰め込み は恥だが役に立つパ!
ご清聴ありがとうございました!