これから始める脆弱性診断 クラスメソッド株式会社 中川翔太

2 ⾃⼰紹介 中川 翔太 • クラスメソッド株式会社 • AWS事業本部 コンサルティング部 • 2020 APN AWS Top Engineers • 好きなAWSサービス • Amazon CloudWatch • AWS Systems Manager

3 アジェンダ • 脆弱性診断の必要性と背景 • 脆弱性診断の考え⽅ • 脆弱性診断オプション

4 脆弱性診断の必要性と背景

5 脆弱性とは 総務省: 国⺠のための情報セキュリティサイト http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html コンピュータのOSやソフトウェアにおいて プログラムの不具合や設計上のミスが原因となって 発⽣した情報セキュリティ上の⽋陥

6 脆弱性とは 総務省: 国⺠のための情報セキュリティサイト http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html 脆弱性が残された状態でコンピュータを利⽤していると 不正アクセスに利⽤されたり ウイルスに感染したりする危険性がある

7 脆弱性を狙われた攻撃の例 脆弱性を悪⽤されることによって 情報流出やサイト改ざんの被害は起こっている サイバーセキュリティ.com https://cybersecurity-jp.com/news

8 脆弱性は⽇々発⾒されている IPA: 脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第1四半期（1⽉〜3⽉）] https://www.ipa.go.jp/security/vuln/report/JVNiPedia2020q1.html

9 脆弱性診断の必要性 IPA: 脆弱性検査と脆弱性対策に関するレポート http://www.ipa.go.jp/about/technicalwatch/20130808.html ソフトウェアの脆弱性を放置すると、⾃組織が攻撃されてしまう事態や、製品や システムの利⽤者が攻撃されてしまうことになる。このような事態を回避するため、 予め脆弱性に対する対策をしておくことが望まれる。 （中略）有効な⼿段のひとつに脆弱性検査がある。 IPA 独⽴⾏政法⼈ 情報処理推進機構 脆弱性検査と脆弱性対策に関するレポート

10 脆弱性診断の考え⽅

11 脆弱性診断の種類 ⼤きく2種類 種類 プラットフォーム診断 Webアプリケーション診断 対象 説明 既知の脆弱性(CVE)を診断 独⾃作成の部分は脆弱性が存在しても検 知できない 独⾃作成のWebアプリに存在する共通脆 弱性パターン(CWE)を検知 CVEについては診断しない 脆弱性の例 POODLE, Apache Struts 2等 XSS, SQLインジェクション等

12 脆弱性診断の種類 種類 プラットフォーム診断 Webアプリケーション診断 診断 タイミング 常時 (デイリー等) Webアプリケーションのリリース毎 理由 OS/ミドルウェアの脆弱性は、 どんどん新しいものが出てきたり、 既存のバージョンでも発⾒されるため Webアプリケーションの脆弱性は 実装時に作り込まれるため (基本的にアプリケーションの改修がなけ れば新しい脆弱性が⽣まれないため) それぞれ診断サイクルが異なる

13 脆弱性診断から管理へ 脆弱性診断は対象を単発で診断します。 しかし脆弱性は毎⽇新しいものが出てきます。 その⽇診断したら終わりではありません。 継続的な脆弱性管理が必要です

14 クラスメソッドが考える脆弱性管理 脆弱性の管理は銀の弾丸が存在しません。 診断・管理するソフトウェアも様々な種類があり 対象となるレイヤー・向き不向きも異なります。 単発のものもあれば⻑く運⽤で利⽤するものもあります。 クラスメソッドではお客様の状況に合わせて 最適な脆弱性管理のソリューションを提案します

15 脆弱性診断オプション

16 脆弱性診断オプション 全体像 プラットフォーム診断 Webアプリケーション診断 API診断/IoT診断/ ネイティブアプリ診断 ツール診断 F-Secure Radar - ⼿動診断 イエラエセキュリティ 脆弱性管理運⽤コンサルティング プラットフォーム脆弱性管理 Webアプリケーション脆弱性管理 FutureVuls導⼊/運⽤⽀援 F-Secure Radar導⼊/運⽤⽀援 スポット脆弱性診断

17 ツール診断と⼿動診断の違い • 早い、安い、⼀定の品質 • 単純な構成、機密性の⾼い情報が ないサイト向き ツール診断 • ⾼品質、⾒つけにくい脆弱性の発⾒が可能 • 複雑な構成、クレジットカード情報などの 重要な情報があるサイト向き ⼿動診断 • クレジットカード情報などの重要な情報を扱う場合 • 深く診断できる⼿動診断を⾏うべき • JavaScriptによるフォームからの通信や画⾯遷移がある場合 • ツールでJavaScriptが評価できないため ツール診断が難しい条件

18 スポット診断

19 F-Secure Radar (スポット診断) • プラットフォーム/Webアプリケーションを診断 • 診断結果についてレポート(英語)を提出 • 3ヶ⽉間で複数回スキャン可能 早く・安くレポートを提出 • 重要な情報を扱わないサイトの診断 • リリースまで時間がない時 • これまで脆弱性診断が⾼くて⼿が出せなかった場合 こんな場合に おすすめ

20 F-Secure Radar (スポット診断) メニュー • SQL インジェクション • クロスサイトスクリプティング • ディレクトリリスティング • パストラバーサル • ファイル名の推測 など 脆弱性診断ツールを利⽤し、Webアプリケー ションの脆弱性を診断いたします。 Webスキャン 診断項⽬ • Webサーバ • メールサーバ • DNSサーバ など 脆弱性診断ツールを利⽤し、ポートスキャン、 システムやソフトウェアの既知の脆弱性、設定 不備を識別するスキャンなどプラットフォーム の脆弱性を診断いたします。 システムスキャン スキャン対象

21 F-Secure Radar (スポット診断) サンプル

23 イエラエセキュリティ (スポット診断) • 技術⼒のあるホワイトハッカーによる⼿動診断 • 動的ページの診断時に効果を発揮 • 診断は動的ページ、静的ページのどちらも可 確かな技術⼒と適切な価格 • セキュリティ要件の⾼いサイトの診断 • ネイティブアプリやIoT機器等の診断 こんな場合に おすすめ 幅広い対象の診断が可能 事前調査やスケジュール確保等で必要期間は4-6週程度

24 イエラエセキュリティ (スポット診断) ネットワーク経由で情報漏洩、サービス不能に悪⽤可能な脆弱性、 セッション管理・⼀般的な脆弱性などがないかWebアプリケーション、 Web APIに対しツール、⼿動により実際に攻撃を⾏い診断いたします。 Webアプリケーション診断 クロスサイトスクリプティング、 SQLインジェクション、 ディレクトリトラバーサル など 診断対象脆弱性の例 実際に稼働中のシステムのOSやサービスでネットワーク経由で攻撃可 能な脆弱性がないか診断し、診断対象にどのようなリスクがあるかを 洗い出します。 ネットワーク診断 • ネットワーク診断 （ブラックボックステスト） • ペネトレーションテスト （シナリオ／ブラックボックステスト） 診断項⽬の例 スマートフォンアプリのロジック、ソースコードに関す る脆弱性の診断や、送受信パラメータ、端末内データに 関する診断をいたします。 ネイティブアプリ診断（iOS、Android） 異常なリクエストなどが⾏われないよう機器で利⽤する プロトコルの診断や、DoSが発⽣しないかなどの診断を いたします。 IoT診断

25 イエラエセキュリティ (スポット診断) サンプル

27 どれを使ったらいいか – スポット診断 状態 対応 API診断 / IoT診断 / ネイティブアプリ診断を実施したい イエラエ クレジットカード等重要情報を扱う イエラエ Webフォームの送信にJavaScriptを利⽤している イエラエ 納期が1-2ヶ⽉以内希望 F-Secure Radar

28 F-Secure Radar A社 事例 1. 診断の背景 新規公開サイトのリリース前に脆弱性診断が求められ。 AWS環境で、短期間のスケジュールで実施する必要があったため、 F-Secrure Radar のスポット診断を申し込むことにした。 2. 診断の結果、対策の実施について 修繕対応が必要な箇所が⾒つかり、効果ありました。 仮に結果が0でも、問題ない根拠を得られるので効果あったと思う。 修繕が必要な箇所については、すべてではないが対策済み。

29 イエラエセキュリティ B社 事例 1. 診断の背景 ECを含むサービスなので、リリース前の脆弱性診断が必要でした。 2. 診断の結果について 診断レポートは、担当者およびステークホルダーが理解する為の資料 として効果あった。 致命的なものは発⾒されなかったこと、低リスクではあるけれども 脆弱性が存在していること、事象を捉える意識そのものを関係者に 芽⽣えさせることに意味があったと考えている。

30 脆弱性診断コンサルティング診断

31 コンサルティング詳細 • FutureVuls初期設定⽀援 ・OSへのインストール ・SSMセットアップ • 運⽤設計⽀援 FutureVuls 導⼊/運⽤⽀援 • CI/CDフロー組み込み⽀援 • F-Secure Radar設定・活⽤⽀援 F-Secure Radar 導⼊/運⽤⽀援 脆弱性管理運⽤コンサルティング

32 FutureVuls OS上の脆弱性管理SaaSツール • ⽇々の脆弱性情報収集とサーバの脆弱性管理 • パッチ適⽤のチケッティング こんな場合に おすすめ IPAでも紹介している脆弱性管理ツールVulsのSaaS版 トリアージやチケットシステム等の運⽤機能が豊富 AWS連携で簡単なパッチ適⽤が可能 オプションにより専⾨家相談が可能

33 FutureVuls 検出した脆弱性の情報を1画面で集約管理 脆弱性DBのスコアや攻撃の特徴を元にフィルタリング 脆弱性の収集からパッチ適⽤をFutureVuls上で実施

34 デモ

35 Amazon Inspectorとの違い • ⼿軽に低コストで脆弱性診断ができます • 脆弱性以外の診断もできます ・ネットワーク到達可能性 ・CISベンチマークの評価 など Amazon Inspector • 診断からパッチ適⽤までできます ・トリアージ ・チケット管理 ・パッチ適⽤（要AWS連携） • 詳細は以下のブログを参考ください FutureVuls https://dev.classmethod.jp/etc/futurevuls-vulnerability- manegement/ より楽な運⽤や脆弱性管理にまつわる負荷を軽減する場合には FutureVulsの利⽤が適切です

36 どれを使ったらいいか - プラットフォーム管理 状態 対応 ⾃分たちで脆弱性管理できている 必要なし 脆弱性情報収集できてトリアージができてAmazon Inspectorを 使いこなせる Amazon Inspector 脆弱性管理を⾏っていない FutureVuls コンサル

37 FutureVuls 導⼊/運⽤⽀援プラン • 導⼊サポート • SSMサポート 導⼊サポートプラン(ミニマム) お客様の段階に応じて3種類のプランを提供 • 導⼊サポートプランの内容 • 初回スキャンのサポート • トリアージサポート トリアージサポートプラン • トリアージサポートプランの内容 • パッチ適⽤サポート • 運⽤設計サポート • アーキテクチャ相談 運⽤サポートプラン

39 FutureVuls導⼊ C社 事例 1. 導⼊の背景 全社的にセキュリティ全般に対する興味を以前から持っていた。 FutureVulsによる脆弱性管理はその⼀環。 2. 導⼊した効果について 脆弱性チェックと対応が簡単にできるので、とても効果的と思ってる。 同じ作業を⼿作業でやることを考えると、時間短縮は⼤きい 3. FutureVulsの運⽤をどのようにされているか 定期的に、コンソールを確認とトリアージを⾏っている。

40 F-Secure Radar による脆弱性管理 F-Secure RadarによるCI/CDと連携したWebアプリケー ションの⾃動診断 CI/CDに組み込むことにより速度を損なわずに脆弱性診断を組み込める • Webアプリケーションのリリースが頻繁にある場合 • CI/CDの環境がすでにある場合 こんな場合に おすすめ ポリシーに応じてリリースを許可する状態を決められる

41 F-Secure Radar 導⼊後の姿 F-Secure Radarで脆弱性管理 ※導⼊⽀援を⾏いますが、お客様環境の設定はお客様にお願いしています 管理画⾯上で脆弱性スキャン設定の管理を実施 CI/CDへのAPI組み込み パイプラインにAPIを呼び出すLambdaを組み込み、 デプロイ時に⾃動でスキャンを⾏う仕組みの導⼊

42 F-Secure Radar 導⼊後の姿 DeveloperがGitにCommit パイプラインが⾛ってデプロイ Lambdaを経由して Webスキャンが実⾏ CI/CDへのAPI組み込み例 1 2 3

43 参考︓F-Secure Radar 導⼊後の姿 WordPress 環境を作成し、F-Secure Radar で作成した 環境をスキャンする⼿順が記されたブログです。 F-Secure Radar 管理画⾯でのスキャン設定⽅法がキャ プチャ付きで理解出来ます。 F-Secure Radar API を CodePipeline に組み込んでみ たブログです。 使⽤したソースコードも記載されている為、F-Secure Radar API を使⽤する際には是⾮ご参照下さい。 F-Secure Radarに関する弊社ブログもご活⽤下さい https://dev.classmethod.jp/cloud/aws/fsecure-radar-scan-lightsail/ https://dev.classmethod.jp/cloud/aws/auto-vulscan-with-pipeline/

44 どれを使ったらいいか - Webアプリ脆弱性管理 状態 対応 Webアプリのリリース頻度が3ヶ⽉以上 もしくは今後追加リリースしない 必要なし CI/CDフローがある F-SecureコンサルでCI/CDに 脆弱性管理を組み込む CI/CDフローがないけど⼿動で診断を回したい F-Secureコンサルで 導⼊⽀援 CI/CDフローがないけどフローづくりからやってみたい 別途CI/CDのコンサルを検討 (本オプション外)

46 まとめ

47 まとめ • 脆弱性の対策に銀の弾丸は存在しません • レイヤごとに対策やサイクルを考えます • 致命的な脆弱性がないか、リリース前に診断したい • F-Secure Radar/イエラエセキュリティのスポット診断 • 継続的な脆弱性管理をしたい • FutureVuls / F-Secure Radarの導⼊（必要に応じてコンサル⽀援）

No content