Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性診断の移り変わり
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
Secure Sky Technology
November 18, 2020
Technology
610
0
Share
脆弱性診断の移り変わり
Secure Sky Technology
November 18, 2020
More Decks by Secure Sky Technology
See All by Secure Sky Technology
自社の常識を疑い変化を恐れずセキュリティと向き合う!
sst
0
340
『Apache Log4j 脆弱性の影響緩和のために今できること』
sst
1
6.1k
Webセキュリティ技術のキャッチアップ
sst
6
4.8k
2020年度SST入社式 CTOからのメッセージ
sst
0
990
「セキュリティ専門家からみた認証における課題と不正アクセス対策 」緊急セミナー
sst
0
960
サイバー攻撃者による不正な仮想通貨マイニングの実態
sst
0
550
HTTP2ことはじめ
sst
0
1.1k
我々はAWS WAFを研究している
sst
0
1.8k
Other Decks in Technology
See All in Technology
申請待ちゼロへ!AWS × Entra IDで実現した「権限付与」のセルフサービス化
mhrtech
1
270
Proxmox超入門
devops_vtj
0
160
デシリアライゼーションを理解する / Inside Deserialization
tomzoh
0
230
DevOpsDays2026 Tokyo Cross-border practices to connect "safety" and "DX" in healthcare
hokkai7go
0
110
AI時代に新卒採用、はじめました/junior-engineer-never-die
dmnlk
0
230
Kubernetes基盤における開発者体験 とセキュリティの両⽴ / Balancing developer experience and security in a Kubernetes-based environment
chmikata
0
220
プロンプトエンジニアリングを超えて:自由と統制のあいだでつくる Platform × Context Engineering
yuriemori
0
150
Hooks, Filters & Now Context: Why MCPs Are the “Hooks” of the AI Era
miriamschwab
0
130
レガシーシステムをどう次世代に受け継ぐか
tachiiri
0
330
Strands Agents × Amazon Bedrock AgentCoreで パーソナルAIエージェントを作ろう
yokomachi
2
260
試されDATA SAPPORO [LT]Claude Codeで「ゆっくりデータ分析」
ishikawa_satoru
0
340
Cortex Code君、今日から内製化支援担当ね。
coco_se
0
320
Featured
See All Featured
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Git: the NoSQL Database
bkeepers
PRO
432
67k
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
1
340
Are puppies a ranking factor?
jonoalderson
1
3.3k
Navigating Team Friction
lara
192
16k
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
100
Designing Experiences People Love
moore
143
24k
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
330
Designing Powerful Visuals for Engaging Learning
tmiket
1
330
How to Think Like a Performance Engineer
csswizardry
28
2.5k
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
720
エンジニアに許された特別な時間の終わり
watany
106
240k
Transcript
1 脆弱性診断の移り 変わり 株式会社セキュアスカイ・テクノロジー 技術開発部 鈴木大二郎
Secure Sky Technology Inc. 2 自己紹介 鈴木 大二郎 (すずき だいじろう)
l 非エンジニアとして入社 l 初プログラミングはRuby l 脆弱性診断員 (2017年~) お客様の声が私の原動力!
Secure Sky Technology Inc. 3 セキュアスカイ・テクノロジーについて SSTは「Webセキュリティに関する専⾨企業」 「無害化する」 Web Application
Firewall 「見つける」 脆弱性診断 「作らない」 セキュアな開発の ための教育 脆 弱 性 を
Secure Sky Technology Inc. 4 アジェンダ l 脆弱性診断とは l 脆弱性検出数
l 脆弱性診断の変化 l SSTとしてなにができるか
Secure Sky Technology Inc. 5 脆弱性診断とは
Secure Sky Technology Inc. 6 脆弱性・脆弱性診断とは 脆弱性とは Webアプリケーションを開発する過程で⽣まれるセキュリティ上の⽋ 陥のこと。攻撃者は、この「脆弱性」を狙って攻撃を仕掛けてくる。 脆弱性診断とは
お客様のシステム(Webアプリケーション、OS、ミドルウェア等) に対し、セキュリティ上の問題点を攻撃者の視点で診断し、潜在的な 「脆弱性」を検出すること。 システムに存在する脆弱性を検出することで、お客様に対策の実施を 促し、セキュリティ事故の発⽣防⽌をお⼿伝いできる。
Secure Sky Technology Inc. 7 脆弱性診断の方法 診断サーバ セキュリティエンジニア 診断対象のWebサーバ リモート
診断 インターネット
Secure Sky Technology Inc. 8 脆弱性診断の手法 ツール診断 ・⾃社開発の診断ツール ・百数⼗パターンの疑似攻撃リク エストによる検査
・パターンを短期間で正確に実施 可能 診断ツールを⽤いて 機械的に脆弱性を検出 診断ツールでは 検出が困難な脆弱性を検出 ⼿動診断 ・なりすまし等、正常通信と変わ らない場合に効果を発揮 ・人の目で判断しなければ検出で きない脆弱性も検出可能
Secure Sky Technology Inc. 9 脆弱性診断の変化
Secure Sky Technology Inc. 10 脆弱性診断の変化 数年前までは l リクエストに対してHTMLを返す簡単な作り l
診断しやすい! HTTPリクエスト HTTPレスポンス
Secure Sky Technology Inc. 11 脆弱性診断の変化 ~現在 l 様々なシーンで脆弱性診断が求められる l
スマホアプリの診断 l クライアントアプリの診断 l WebAPIの診断
Secure Sky Technology Inc. 12 脆弱性診断の変化 ~現在 l サービス毎の仕様を理解するコストが増加 l
WebUI以外からHTTP通信を確認する必要がある l お客様との調整コスト増加
Secure Sky Technology Inc. 13 脆弱性診断の変化 サービス毎の仕様を理解するコストが増加 l API仕様書でパラメータや挙動を知る l
サービス構成図などで全体感を把握する l APIとWebサイト側のデータ連携箇所を確認する
Secure Sky Technology Inc. 14 脆弱性診断の変化 WebUI以外からHTTP通信を確認する必要がある l Androidアプリはroot化が必要(Android7以降) l
ローカルプロキシツール利用時の設定 l curlやREST APIクライアントのノウハウ
Secure Sky Technology Inc. 15 脆弱性診断の変化 お客様との調整コスト増加 l 各種資料提供 l
疎通確認 l スマートフォンアプリの準備
Secure Sky Technology Inc. 16 脆弱性診断の変化 診断現場の工夫 l 専任担当者による診断ツール開発 l
機能追加 l 機能改善 l 作業フローなどの見直し 診断作業コストが低下
Secure Sky Technology Inc. 17 脆弱性診断の変化 まとめ l スマホアプリやAPIの診断が増加 l
資料の確認など準備のコストが増加 l お客様への確認や依頼などの調整コスト増加 l 診断ツール開発などの内部改善によるコスト削減
Secure Sky Technology Inc. 18 SSTとしてなにができるか
Secure Sky Technology Inc. 19 ちょっと宣伝 脆弱性診断サービスlite というサービスをアイレットさんと提供中 l 様々なコストに対応
l 診断対象に関するやりとり l 診断にかかる時間 l 診断の費用
Secure Sky Technology Inc. 20 脆弱性診断サービスliteさらっと紹介 診断対象に関するやりとり l 4つの機能から必要な機能を選んで診断! l
少ないやりとりで診断可能 診断にかかる時間 l 対象機能が決まっているため、調査の時間を省略可能 l 「ツール診断&手動診断」で幅広く脆弱性を検出 診断の費用 l 1機能あたり固定した料金プランだから分かりやすい l 機能を絞っているから通常よりもお安め
sst
mhrtech
devops_vtj
tomzoh
hokkai7go
dmnlk
chmikata
yuriemori
miriamschwab
tachiiri
yokomachi
ishikawa_satoru
coco_se
samlambert
bkeepers
jct
jonoalderson
lara
marketingsoph
moore
katarinadahlin
tmiket
csswizardry
baasie
watany
