岡⽥良太郎 [email protected] @okdt Asterisk Research, Inc. 今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜 SNS投稿は終了後に

本⽇の講演概要 昨年、情報システム・セキュリティ関連で最も聞かれた⾔葉に「脆弱性（ぜいじゃくせい）」が あります。 オープンソースのバージョンがどうだとか、サイバー攻撃の対象になるだとか、ベンダーのパッ チをあてろだとか、ものものしい⽂脈で語られるこの⾔葉。 案外、対策・対応とセットでクリアに整理し、理解することに追いついていないのではないで しょうか。⼀⼝に対応すると⾔っても、いつもいつも「ベンダーパッチのアップデート」だけな のでしょうか。 本講演は、⽶国⼤統領令で⽰された「SBOM」など、この「脆弱性」対応にまつわる情勢に注意 を向けつつ、実際の取り組みに役⽴つ視点と実践に移すことのできるプラクティスを紹介します。

͸͡Ί·ͯ͠ Ԭా ྑଠ࿠Ͱ ͍͟͝·͢ɻ ೥ɺΞϓϦέʔγϣϯηΩϡϦςΟɾΨόφϯεʹؔΘΔϦαʔνͱاۀͷηΩϡϦ ςΟڧԽͷΞυόΠβϦͳͲΛߦ͏ ג ΞελϦεΫɾϦαʔνΛ૑ۀɻاۀͷηΩϡϦ ςΟ࣮ફΛखֻ͚Δɻ େֶɺاۀɺ੓෎ͷݚڀػؔɺ࢈׭ֶ࿈ܞͨ͠ίϛϡχςΟʹΑΓɺϓϩϑΣογϣφϧਓ ࡐͷҭ੒ʹܞΘ͍ͬͯΔɻ೥݄ʹग़൛͞Εͨʮ$*40ϋϯυϒοΫʯͷࣥචऀͷதʹ ໊Λ࿈ͶΔɻ גࣜձࣾΞελϦεΫɾϦαʔν ΤάθΫςΟϒ ΞυόΠβ Ԭాྑଠ࿠ ΁ͷ͓ͨΑΓ͸ͪ͜Β·ͰɿSJPUBSP!STSDIKQ

ΞελϦεΫɾϦαʔν اۀʹ͓͚ΔηΩϡϦςΟ࣮ફࢧԉاۀ BTUFSJTLSFTFBSDIDPN (c) Riotaro OKADA / Asterisk Research, Inc. 4 Professional Tools 実践段階のQCDを⾼める道具 ・トレーニング ・Eラーニング ・開発環境向けツール(CI/CD) ・トレーニングイベントデザイン ・リスクプロファイルトレーニング ・脅威分析トレーニング Advisory Service 経営陣の⾼速な意思決定を実現するアドバイザリ ・PSIRT/CSIRT Advisory ・DevOps Transformation ・セキュリティ・スコアカード分析 ・エグゼクティブ向けブリーフィング ・CISO, CTO, CROハンズオン Security Test Managed Service セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis ・コンポーネント分析 SCA ・ソースコード分析 SAST ・システム脆弱性テスト DAST ・プラットフォームテスト NST

2022/12

2022/12

͍·͞Βฉ͚ͳ͍ηΩϡϦςΟ ʮ੬ऑੑͬͯͳʹʁʯ

*5γεςϜͷ7VMOFSBCJMJUZʁ • ʮߦ੓ػؔͷ71/૷ஔʹ੬ऑੑ͕์ஔ͞Ε͍ͯͨͷͰ৵ೖ͞Εͨʯ • ʮಉࣾ΢ΣϒαΠτͷ੬ऑੑ͕ಥ͔Εͯ৘ใ࿙Ӯ͕͋ͬͨʯ • ʮถࠃ$*4"ʹΑΔͱMPHKͷ੬ऑੑ͕࠷΋߈ܸʹѱ༻͞Εͨʯ • ʮͦͷΞϓϦ͸੬ऑੑ͕͋ΔͷͰ௚ͪʹΞοϓσʔτ͍ͯͩ͘͠͞ʯ

CISA’s Top 15 Routinely Exploited Vulnerabilities of 2021 (c) Riotaro OKADA 11 CVE 脆弱性名 ベンダーと製品 タイプ CVSS 3.0/2.0 CVE-2021-44228 Log4Shell Apache Log4j リモートコード実⾏（RCE） 10/9.3 CVE-2021-40539 Zoho ManageEngine AD SelfService Plus RCE 9.8/7.3 CVE-2021-34523 ProxyShell Microsoft Exchange Server 特権の昇格 9.8/7.5 CVE-2021-34473 ProxyShell Microsoft Exchange Server RCE 9.8/10.0 CVE-2021-31207 ProxyShell Microsoft Exchange Server セキュリティ機能のバイパス 7.2/6.5 CVE-2021-27065 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8 CVE-2021-26858 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8 CVE-2021-26857 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8 CVE-2021-26855 ProxyLogon Microsoft Exchange Server RCE 9.8/7.5 CVE-2021-26084 AtlassianConfluence 任意のコードの実⾏ 9.8/7.5 CVE-2021-21972 VMwarevSphere RCE 10.0/9.3 CVE-2020-1472 ZeroLogon Microsoft Netlogon（MS-NRPC） 特権の昇格 9.8/10.0 CVE-2020-0688 Microsoft Exchange Server RCE 8.8/9.0 CVE-2019-11510 Pulse Secure 任意のファイルの読み取り 10.0/7.5 CVE-2018-13379 FortiOSおよびFortiProxy パストラバーサル 9.8/5.0

ʮ੬ऑੑʯͬͯͳʹʁ • ͍ͥ͡Ό͍ͤ͘ ʲ੬ऑੑʳই͚ͭΒΕ΍͍͢͜ͱɻ ˠόϧωϥϏϦςΟʔ • όϧωϥϏϦςΟʔ WVMOFSBCJMJUZ ᶃ ই͚ͭΒΕ΍͢ ͍͜ͱɻ੬ऑʢ͍ͥ͡΍͘ʣੑɻᶄ ίϯϐϡʔλʔࣾ ձͷ΋ͭ੬ऑੑɻᶅ ৺ཧֶͰɼ߈ܸΛड͚΍͍͢͜ͱɻ ߈ܸ༠ൃੑɻ

WVMOFSBCJMJUZ • ੬ऑੑ ˌWʌ ə SəˈCɪɪ̇ʢऑ͍෦෼ • ໊ࢺʢෳ਺ܗWVMOFSBCJMJUJFTʣ෺ཧత·ͨ͸ײ ৘తʹ߈ܸ͞ΕͨΓই͚ͭΒΕͨΓ͢ΔՄೳੑʹ ͞Β͞Ε͍ͯΔ࣭·ͨ͸ঢ়ଶɿ • ྫจɿอޢ౰ہ͸஍Ҭॅຽͷ੬ऑੑʹؾ෇͍ͨʛ൴͸ ײછʹର͢Δ੬ऑੑͷͨΊʹִ཭͞Ε͍ͯΔʛ࠮ٗࢣ ͸ࢲͨͪͷ੬ऑੑΛݟൈ͘ͷ͕ಘҙͰ͋Δɻ

© Asterisk Research, Inc. 14

15

“クラウド” “Serverless” プラットフォーム

アプリケーション プレゼンテーション セッション トランスポート ネットワーク データリンク 物理層

アプリケーション バックエンド Web service 仮想/クラウド Platform

ソフトウェア ソフトウェア ソフトウェア ソフトウェア ソフトウェア ソフトウェア ソフトウェア

脆弱性の対応マップ 脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト デスクトップやスマートフォン デバイスのOSに問題があり、保護が⼿ 薄、あるいは脆弱な状態になっている プラットフォーマ (Apple, Googleなど) アップデート適⽤、 設定調整 ⾃動アップデート活⽤、 更新情報プロセス強化 アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社 アップデート適⽤、設定 調整、 アップデートあるいは アンインストール ネットワーク機器、デバイス 装置のファームウェアが古いあるいは 悪⽤されやすい設定になっているため 脆弱な状態 メーカー アップデート適⽤ ネットワーク機器や 構成の⾒直し システム：オープンソースや サードパーティAPIなど システムで利⽤しているOSで使われて いるOSSのソースコードに問題が発⾒ され脆弱性があるということが広く知 られる システム：プログラムコード ⾃社あるいはSIerが開発したコードに問 題があり、脆弱になっている システム：クラウドサービス、 アプリケーションの設定 コンフィギュレーションの問題で、 データが侵害されやすい状態などで脆 弱になっている ユーザ、オペレータ 利⽤が許可されている機能あるいは データの取り扱いを誤⽤してしまう Enabling Security with "シフトレフト" © Asterisk Research, Inc. 20

γεςϜͷ੬ऑੑͷରԠʁ ʮλΠϛϯάͱεϐʔυʯͷ࿩ (c) Riotaro OKADA 21

チャット系 グループウェア オンライン会議系 社内SNS インストール型 総合 ナレッジ共有 日報 社内報 総合 ワークフロー 総合 エンジニア コンサル マーケティング プラットフォーム型 Webサイト クラウドソーシング型 総合 クリエイティブ テスター・入力 翻訳・ライティング・編集 オンラインセミナー・イベント 人事 コミュニケーション 営業 周辺ツール ホワイトボード ノーコード iPaaS HP ECサイト フォーム ハード系 MA / CRMツール 名刺管理 メール 商談関連 フォームアタック D セールス支援 顧客管理 セールス セールス HR系 人事評価 エンゲージメント向上 エンゲージメント測定ツール 日程調整 デザイン 採用関連 人事関連 オンライン1on1 オンライン福利厚生 リモート人材活用 エージェント型 エンジニア 2021/02/08 現在 (c) Riotaro OKADA / Asterisk Research, Inc. ノーコード︖ローコード︖連携︖

ઃܭͷ໰୊ͱɺ࣮૷ͷ໰୊ͷ྆ํͱ΋ɺ੬ऑੑͷݪҼʹͳΔɻ %FTJHO r ઃܭ *NQMFNFOUr ࣮૷ © Asterisk Research, Inc. ⼊⼒データ信頼の 条件 採⽤する認証メカ ニズム 認証と認可 データと制御の分 離 暗号化と機密デー タの識別 外部 コンポーネント ログ、エラー 想定脅威 データベース アクセス エンコーディング とエスケープ ⼊⼒値検証 IDと認証管理 アクセス制御 データ保護 モニタリング 機能 エラー処理と 例外処理

γεςϜͷॏେͳηΩϡϦςΟ໰୊τοϓ೥൛ • A01:2021 – アクセス制御の不備 • A02:2021 – 暗号化の失敗 • A03:2021 – インジェクション • A04:2021 – 安全が確認されない不安な設計 • A05:2021 – セキュリティの設定ミス • A06:2021 – 脆弱で古くなったコンポーネント • A07:2021 – 識別と認証の失敗 • A08:2021 – ソフトウェアとデータの整合性の不具合 • A09:2021 – セキュリティログとモニタリングの失敗 • A10:2021 – サーバーサイドリクエストフォージェリ (SSRF)

(c) Riotaro OKADA / Asterisk Research, Inc. 25 Up 5項⽬ • A01 アクセス制御の不備 • A02 暗号化の失敗 • A05 セキュリティの設定ミス • A06 脆弱で古くなったコンポーネント • A09セキュリティログとモニタリングの失敗

(c) Riotaro OKADA / Asterisk Research, Inc. 26 New ３項⽬ • A04 安全が確認されない不安な設計 • A08ソフトウェアとデータの整合性の不具合 • A10サーバーサイド・リクエスト・フォージェリ

ϓϩάϥϚ͕ηΩϡϦςΟΛ޷͖Ͱ͸ͳ͍ཧ༝τοϓ 4FD࿈த͸ɺݱ৔Λཧղ͍ͯ͠ͳ͍͠ɺͨͿΜίʔυͷॻ͖ํ΋஌Βͳ͍ɻ ୭΋ηΩϡϦςΟΛ΍Δํ๏Λڭ͑ͯ͘Εͳ͍ɻ ͜͜·ͰྗΛೖΕɺ࣌ؒΛ͔͚Δ΂͖ཧ༝͕Θ͔Βͳ͍ɻ ϓϩηε͕೉͍͠ɺ·ͨ͸ͪΌΜͱܾ·͍ͬͯͳ͍ɻ มԽ͕ܹ͘͠ɺ͍ͭ΋ݴ͏͜ͱ͕ҧ͏ɻ े෼஫ҙΛ෷͏͕࣌ؒ଍Γͳ͍ɻ ಥવݱΕͯ͸ɺ໳൪ͷΑ͏ʹߦ͘खͷअຐΛ͢Δɻ ѻΘͳ͚Ε͹ͳΒͳ͍ྔ͕ଟ͘ͳΓɺରԠ͕͍ͨ΁Μɻ ͲΜΑΓɻ͔͠΋ɺ੒ޭΛॕΘΕΔ͜ͱ͸ͳ͍ɻ πʔϧ͸ɺ͏Δ͍͞͠ɺෆ༇շͩ͠ɺ͔͠΋ɺਖ਼֬͡Όͳ͍ɻ 2023年 By Chris Romeo, 2021

4#0. Software Bill Of Materials

Bill Of Materials = 部品表 • ੡଄ۀʹ͓͍ͯ੡඼Λ੡଄͢Δ্Ͱඞཁͳ෦඼ ৘ใ΍ɺͲͷΑ͏ͳߏ੒Ͱ૊Έ্͕͍ͬͯΔͷ ͔Λ೺Ѳ͢ΔͨΊͷجຊ৘ใ • ઃܭ෦໳͔Βߪങ෦໳ɺ੡଄෦໳΁ͱҾ͖౉͞ Εɺௐୡεέδϡʔϧ΍޻ఔ؅ཧɺ͞ΒʹݪՁ ؅ཧʹ͓͍ͯ΋ෆՄܽ • ੡଄͢Δ੡඼ʹඞཁͳ෦඼؅ཧΛޮ཰తʹߦ͏ ͜ͱΛ໨త https://www.techs-s.com/media/show/7

SBOM︓Software Bill Of Materials • SBOM（Software Bill Of Materials︓ソフトウェア 部品表）とは、特定の製品に含まれるすべて（プロ プライエタリおよびオープンソースなど）のソフト ウェアコンポーネント、ライセンス、依存関係を⼀ 覧化したもの

64େ౷ྖྩ • 2021年7⽉12⽇、⽶国連邦政府は、バイデ ン政権の⼤統領令に準拠するためのSBOM における最低限必要な要素を発表しました。 EO14028 • このガイドラインは、連邦政府と取引のあ る組織にのみ適⽤。

ιϑτ΢ΤΞʹ҆શج४ ೔ถɺαΠόʔ๷ӴͰ֮ॻ΁ • ʮ೔ຊ΋४ڌ͢Δʯ • ೔ຊ͸24೥ʹ΋ಋೖ͢Δํ޲

4#0.͸ ࢖͍ํ࣍ୈ • ಁ໌ੑͷδϨϯϚ • ޓ׵ੑͷδϨϯϚ • Մ༻ੑͷδϨϯϚ (c) Riotaro OKADA 33 https://www.techs-s.com/media/show/7

脆弱性の対応マップ 脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト デスクトップやスマートフォン デバイスのOSに問題があり、保護が⼿ 薄、あるいは脆弱な状態になっている プラットフォーマ (Apple, Googleなど) アップデート適⽤、 設定調整 ⾃動アップデート活⽤、 更新情報プロセス強化 アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社 アップデート適⽤、設定 調整、 アップデートあるいは アンインストール ネットワーク機器、デバイス 装置のファームウェアが古いあるいは 悪⽤されやすい設定になっているため 脆弱な状態 メーカー アップデート適⽤ ネットワーク機器や 構成の⾒直し システム：オープンソースや サードパーティAPIなど システムで利⽤しているOSで使われて いるOSSのソースコードに問題が発⾒ され脆弱性があるということが広く知 られる OSSプロジェクト、 LinuxやMicrosoftなど OSベンダー 動作検証と アップデート適⽤ ソフトウェア構成分析SCA の導⼊、SBOM システム：プログラムコード ⾃社あるいはSIerが開発したコードに問 題があり、脆弱になっている コードを書いた⼈ない し、開発プロジェクト チーム プログラムの修正 SAST、ハンズオン 教育訓練、検査ツールの強 化など⽣産技術的強化 システム：クラウドサービス、 アプリケーションの設定 コンフィギュレーションの問題で、 データが侵害されやすい状態などで脆 弱になっている クラウドベンダーある いはその先進的なユー ザ 設定の修正 適切な脆弱性検査や モニタリングの強化 ユーザ、オペレータ 利⽤が許可されている機能あるいは データの取り扱いを誤⽤してしまう Enabling Security with "シフトレフト" © Asterisk Research, Inc. 34

γεςϜͷ੬ऑੑରԠͰऴΘΒͳ͍ཧ༝ ਓɺࣾձ؀ڥͷ੬ऑੑ Asterisk Research, Inc. (c) 35

৘ใηΩϡϦςΟେڴҖ ৘ใॲཧਪਐػߏൃද 前年 個⼈ 順位 組織 前年 1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位 2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位 3位 メールやSMS等を使った脅迫・詐欺の⼿⼝ による⾦銭要求 3位 標的型攻撃による機密情報の窃取 2位 4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位 5位 スマホ決済の不正利⽤ 5位 テレワーク等の ニューノーマルな働き⽅を 狙った攻撃 4位 7位 不正アプリによる スマートフォン利⽤者への被害 6位 修正プログラムの公開前を狙う攻撃 （ゼロデイ攻撃） 7位 6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位 8位 インターネット上のサービスからの 個⼈情報の窃取 8位 脆弱性対策情報の公開に伴う悪⽤増加 6位 10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位 圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位 犯罪のビジネス化 （アンダーグラウンドサービス） 圏外

前年 個⼈ 順位 組織 前年 1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位 2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位 3位 メールやSMS等を使った脅迫・詐欺の⼿⼝ による⾦銭要求 3位 標的型攻撃による機密情報の窃取 2位 4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位 5位 スマホ決済の不正利⽤ 5位 テレワーク等の ニューノーマルな働き⽅を 狙った攻撃 4位 7位 不正アプリによる スマートフォン利⽤者への被害 6位 修正プログラムの公開前を狙う攻撃 （ゼロデイ攻撃） 7位 6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位 8位 インターネット上のサービスからの 個⼈情報の窃取 8位 脆弱性対策情報の公開に伴う悪⽤増加 6位 10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位 圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位 犯罪のビジネス化 （アンダーグラウンドサービス） 圏外 ৘ใηΩϡϦςΟେڴҖ ৘ใॲཧਪਐػߏൃද システムの問題 - ソフトウェアの脆弱性 - 連携の複雑性 - 適切でない施策 - 複雑な構造による管理負荷の問題 - ネットワークの拡⼤ - 放置、丸投げ、思い込みで悪化

৘ใηΩϡϦςΟେڴҖ ৘ใॲཧਪਐػߏൃද 前年 個⼈ 順位 組織 前年 1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位 2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位 3位 メールやSMS等を使った脅迫・詐欺の⼿⼝ による⾦銭要求 3位 標的型攻撃による機密情報の窃取 2位 4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位 5位 スマホ決済の不正利⽤ 5位 テレワーク等の ニューノーマルな働き⽅を 狙った攻撃 4位 7位 不正アプリによる スマートフォン利⽤者への被害 6位 修正プログラムの公開前を狙う攻撃 （ゼロデイ攻撃） 7位 6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位 8位 インターネット上のサービスからの 個⼈情報の窃取 8位 脆弱性対策情報の公開に伴う悪⽤増加 6位 10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位 圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位 犯罪のビジネス化 （アンダーグラウンドサービス） 圏外 ⼈の脆弱性 - 低い優先度 - 無知・無関⼼ - 技術不⾜ - コスト - 資産の認識不⾜ - モラル - 思い込み

৘ใηΩϡϦςΟେڴҖ ৘ใॲཧਪਐػߏൃද 前年 個⼈ 順位 組織 前年 1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位 2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位 3位 メールやSMS等を使った脅迫・詐欺の⼿⼝ による⾦銭要求 3位 標的型攻撃による機密情報の窃取 2位 4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位 5位 スマホ決済の不正利⽤ 5位 テレワーク等の ニューノーマルな働き⽅を 狙った攻撃 4位 7位 不正アプリによる スマートフォン利⽤者への被害 6位 修正プログラムの公開前を狙う攻撃 （ゼロデイ攻撃） 7位 6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位 8位 インターネット上のサービスからの 個⼈情報の窃取 8位 脆弱性対策情報の公開に伴う悪⽤増加 6位 10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位 圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位 犯罪のビジネス化 （アンダーグラウンドサービス） 圏外 社会の脆弱性 - 広範囲な活動領域 - 標的へのアクセスがどこからでも簡単 - ソフトウェア量産にともない脆弱性も - 「⾼収益な仕事」礼賛傾向 - 攻撃⼿段の容易な調達 - ⽴ち遅れる取り締まり、罰則

ݪҼ τοϓΛཧղ͢Δ 1. ηΩϡϦςΟ໰୊ͷܰࢹ 2. ແ஌ͱແؔ৺ 3. ٕज़తखஈͷෆ଍ 4. ίετͷ໰୊ 5. ৘ใࢿ࢈ͷೝࣝෆ଍ Asterisk Research, Inc. (c) 40

ݪҼ r τοϓʹ֦͛Δ 6. ϙϦγʔ΍खॱͷ໰୊ 7. ܧଓతରࡦͷܽ೗ 8. γεςϜͷෆద੾ͳߏங 9. ਓͷΤϥʔ 10. ๏཯ɾن੍ͷ९कͷܽؕ Asterisk Research, Inc. (c) 41 1. ηΩϡϦςΟ໰୊ͷܰࢹ 2. ແ஌ͱແؔ৺ 3. ٕज़తखஈͷෆ଍ 4. ίετͷ໰୊ 5. ৘ใࢿ࢈ͷೝࣝෆ଍

脆弱性の対応マップ 脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト デスクトップやスマートフォン デバイスのOSに問題があり、保護が⼿ 薄、あるいは脆弱な状態になっている プラットフォーマ (Apple, Googleなど) アップデート適⽤、 設定調整 ⾃動アップデート活⽤、 更新情報プロセス強化 アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社 アップデート適⽤、設定 調整、 アップデートあるいは アンインストール ネットワーク機器、デバイス 装置のファームウェアが古いあるいは 悪⽤されやすい設定になっているため 脆弱な状態 メーカー アップデート適⽤ ネットワーク機器や 構成の⾒直し システム：オープンソースや サードパーティAPIなど システムで利⽤しているOSで使われて いるOSSのソースコードに問題が発⾒ され脆弱性があるということが広く知 られる OSSプロジェクト、 LinuxやMicrosoftなど OSベンダー 動作検証と アップデート適⽤ ソフトウェア構成分析SCA の導⼊、SBOM システム：プログラムコード ⾃社あるいはSIerが開発したコードに問 題があり、脆弱になっている コードを書いた⼈ない し、開発プロジェクト チーム プログラムの修正 SAST、ハンズオン 教育訓練、検査ツールの強 化など⽣産技術的強化 システム：クラウドサービス、 アプリケーションの設定 コンフィギュレーションの問題で、 データが侵害されやすい状態などで脆 弱になっている クラウドベンダーある いはその先進的なユー ザ 設定の修正 適切な脆弱性検査や モニタリングの強化 ユーザ、オペレータ 利⽤が許可されている機能あるいは データの取り扱いを誤⽤してしまう ユーザ⾃⾝、ならびに その組織 応急対応と原因究明 ⾮常事態の対応訓練 業務データ取り扱い訓練 ユーザビリティ向上 モニタリングの強化 Enabling Security with "シフトレフト" © Asterisk Research, Inc. 42

͙͢͸͡ΊΑ͏ • ࣗࣾͰϓϩάϥϜ։ൃ͍ͯ͠ͳ͍اۀͷ৔߹Ͱ΋΍Δ͜ͱ ͸͋Δ • ਓͷ੬ऑੑ͸Ϣʔβ܇࿅Ͱ࣮ફྗΛߴΊΔ • ηΩϡϦςΟɾϢʔβϏϦςΟΛߴΊΔ • σόΠεɾΞϓϥΠΞϯεɾΞϓϦέʔγϣϯͷΞοϓσʔτঢ়گ • ར༻͍ͯ͠ΔγεςϜɺαʔϏεͷ೺Ѳͱίϛϡχέʔγϣϯʢ์ஔϞϊ ͷഉআʣ • ʮ͋Εʁʯͱࢥͬͨ৔߹ͷϗοτϥΠϯΛߏஙͤΑ (c) Riotaro OKADA 47

͙͢͸͡ΊΑ͏ • ࣗࣾಠࣗγεςϜ͕͋Δ৔߹++ • ݹ௮͚γεςϜ͕͋ΔΜͩΖ͏ • ؾ߹͍ͱࠜੑͰ΍Γ͘Γ͍ͯ͠Δঢ়ଶͷվળΛݕ౼ͤΑ • Ϋϥ΢υҠߦͷ৔߹ʹʮઃఆʯʮߏ੒ʯʮઃܭʯΛͳ͍͕͠Ζʹ͠ ͳ͍Α͏ʹ • (c) Riotaro OKADA 48

͙͢͸͡ΊΑ͏ • ࣗࣾͰ։ൃΛ͢Δاۀͷ৔߹++ • Learning Firstɻ੬ऑੑࢦఠ͞Εͯ΋ҙຯ͕Θ͔ΔΑ͏ʹɺ·ֶͣ΅͏Α • SBOMͷલʹʢʹɺඋ͑ͯʣιϑτ΢ΣΞߏ੒෼ੳʢSoftware Composition Analysisʣ • SAST͸΍ͬͨ΄͏͕͍͍ • ੬ऑੑݕࠪ͸վળΞυόΠεΛͲΕ͚ͩಘΒΕΔ͔͕ΩϞ (c) Riotaro OKADA 49

No content

No content

No content

ΞελϦεΫɾϦαʔν

アスタリスク・リサーチ 企業におけるセキュリティ実践⽀援企業 asteriskresearch.com (c) Riotaro OKADA / Asterisk Research, Inc. 55 Professional Tools 実践段階のQCDを⾼める道具 ・トレーニング ・Eラーニング ・開発環境向けツール(CI/CD) ・トレーニングイベントデザイン ・リスクプロファイルトレーニング ・脅威分析トレーニング Advisory Service 経営陣の⾼速な意思決定を実現するアドバイザリ ・PSIRT/CSIRT Advisory ・DevOps Transformation ・セキュリティ・スコアカード分析 ・エグゼクティブ向けブリーフィング ・CISO, CTO, CROハンズオン Security Test Managed Service セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis ・コンポーネント分析 SCA ・ソースコード分析 SAST ・システム脆弱性テスト DAST ・プラットフォームテスト NST

·ͨɺ͓Ίʹ͔͔Γ ·͠ΐ͏ !PLEU