Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性診断の移り変わり
Search
Secure Sky Technology
November 18, 2020
Technology
0
450
脆弱性診断の移り変わり
Secure Sky Technology
November 18, 2020
Tweet
Share
More Decks by Secure Sky Technology
See All by Secure Sky Technology
自社の常識を疑い変化を恐れずセキュリティと向き合う!
sst
0
220
『Apache Log4j 脆弱性の影響緩和のために今できること』
sst
1
6k
Webセキュリティ技術のキャッチアップ
sst
6
4.3k
2020年度SST入社式 CTOからのメッセージ
sst
0
830
「セキュリティ専門家からみた認証における課題と不正アクセス対策 」緊急セミナー
sst
0
710
サイバー攻撃者による不正な仮想通貨マイニングの実態
sst
0
450
HTTP2ことはじめ
sst
0
820
我々はAWS WAFを研究している
sst
0
1.5k
Other Decks in Technology
See All in Technology
最近たまに見かけるTiDBってなんだ? - Findy
pingcap0315
2
750
レガシーをぶっ壊せ。AEONで始めるDevRelの話 / Qiita Night 2024-2-22
aeonpeople
3
1.2k
ChatworkのSRE部って実は 半分くらいPlatform Engineering部かもしれない
saramune
0
150
プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8
taishin
0
320
自動生成を活用した、運用保守コストを抑える Error/Alert/Runbook の一元集約管理 / Centralized management of Error/Alert/Runbook to minimize operational costs using automated code generation
biwashi
13
2.3k
ユーザーストーリーのレビューを自動化したみたの
bun913
1
390
Kernel MemoryでAzure OpenAI Serviceとお手軽データソース連携
mitsuzono
1
170
FrontDoorとWebAppsを組み合わせた際のリダイレクト処理の注意点
kenichirokimura
1
460
プロトタイピングによる不確実性の低減 / Reducing Uncertainty through Prototyping
ohbarye
5
370
Databricks:『生成AI World Cup』のご案内
databricksjapan
2
170
コンパウンドスタートアップのためのスケーラブルでセキュアなInfrastructure as Codeパイプラインを考える / Scalable and Secure Infrastructure as Code Pipeline for a Compound Startup
yuyatakeyama
3
4.6k
データベース02: データベースの概念
trycycle
0
140
Featured
See All Featured
Producing Creativity
orderedlist
PRO
336
39k
Reflections from 52 weeks, 52 projects
jeffersonlam
344
19k
Building Better People: How to give real-time feedback that sticks.
wjessup
354
18k
Design by the Numbers
sachag
274
18k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
104
6.6k
Building Applications with DynamoDB
mza
88
5.6k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
154
14k
RailsConf 2023
tenderlove
2
530
What's new in Ruby 2.0
geeforr
337
31k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
20
1.6k
Mobile First: as difficult as doing things right
swwweet
216
8.6k
In The Pink: A Labor of Love
frogandcode
138
21k
Transcript
1 脆弱性診断の移り 変わり 株式会社セキュアスカイ・テクノロジー 技術開発部 鈴木大二郎
Secure Sky Technology Inc. 2 自己紹介 鈴木 大二郎 (すずき だいじろう)
l 非エンジニアとして入社 l 初プログラミングはRuby l 脆弱性診断員 (2017年~) お客様の声が私の原動力!
Secure Sky Technology Inc. 3 セキュアスカイ・テクノロジーについて SSTは「Webセキュリティに関する専⾨企業」 「無害化する」 Web Application
Firewall 「見つける」 脆弱性診断 「作らない」 セキュアな開発の ための教育 脆 弱 性 を
Secure Sky Technology Inc. 4 アジェンダ l 脆弱性診断とは l 脆弱性検出数
l 脆弱性診断の変化 l SSTとしてなにができるか
Secure Sky Technology Inc. 5 脆弱性診断とは
Secure Sky Technology Inc. 6 脆弱性・脆弱性診断とは 脆弱性とは Webアプリケーションを開発する過程で⽣まれるセキュリティ上の⽋ 陥のこと。攻撃者は、この「脆弱性」を狙って攻撃を仕掛けてくる。 脆弱性診断とは
お客様のシステム(Webアプリケーション、OS、ミドルウェア等) に対し、セキュリティ上の問題点を攻撃者の視点で診断し、潜在的な 「脆弱性」を検出すること。 システムに存在する脆弱性を検出することで、お客様に対策の実施を 促し、セキュリティ事故の発⽣防⽌をお⼿伝いできる。
Secure Sky Technology Inc. 7 脆弱性診断の方法 診断サーバ セキュリティエンジニア 診断対象のWebサーバ リモート
診断 インターネット
Secure Sky Technology Inc. 8 脆弱性診断の手法 ツール診断 ・⾃社開発の診断ツール ・百数⼗パターンの疑似攻撃リク エストによる検査
・パターンを短期間で正確に実施 可能 診断ツールを⽤いて 機械的に脆弱性を検出 診断ツールでは 検出が困難な脆弱性を検出 ⼿動診断 ・なりすまし等、正常通信と変わ らない場合に効果を発揮 ・人の目で判断しなければ検出で きない脆弱性も検出可能
Secure Sky Technology Inc. 9 脆弱性診断の変化
Secure Sky Technology Inc. 10 脆弱性診断の変化 数年前までは l リクエストに対してHTMLを返す簡単な作り l
診断しやすい! HTTPリクエスト HTTPレスポンス
Secure Sky Technology Inc. 11 脆弱性診断の変化 ~現在 l 様々なシーンで脆弱性診断が求められる l
スマホアプリの診断 l クライアントアプリの診断 l WebAPIの診断
Secure Sky Technology Inc. 12 脆弱性診断の変化 ~現在 l サービス毎の仕様を理解するコストが増加 l
WebUI以外からHTTP通信を確認する必要がある l お客様との調整コスト増加
Secure Sky Technology Inc. 13 脆弱性診断の変化 サービス毎の仕様を理解するコストが増加 l API仕様書でパラメータや挙動を知る l
サービス構成図などで全体感を把握する l APIとWebサイト側のデータ連携箇所を確認する
Secure Sky Technology Inc. 14 脆弱性診断の変化 WebUI以外からHTTP通信を確認する必要がある l Androidアプリはroot化が必要(Android7以降) l
ローカルプロキシツール利用時の設定 l curlやREST APIクライアントのノウハウ
Secure Sky Technology Inc. 15 脆弱性診断の変化 お客様との調整コスト増加 l 各種資料提供 l
疎通確認 l スマートフォンアプリの準備
Secure Sky Technology Inc. 16 脆弱性診断の変化 診断現場の工夫 l 専任担当者による診断ツール開発 l
機能追加 l 機能改善 l 作業フローなどの見直し 診断作業コストが低下
Secure Sky Technology Inc. 17 脆弱性診断の変化 まとめ l スマホアプリやAPIの診断が増加 l
資料の確認など準備のコストが増加 l お客様への確認や依頼などの調整コスト増加 l 診断ツール開発などの内部改善によるコスト削減
Secure Sky Technology Inc. 18 SSTとしてなにができるか
Secure Sky Technology Inc. 19 ちょっと宣伝 脆弱性診断サービスlite というサービスをアイレットさんと提供中 l 様々なコストに対応
l 診断対象に関するやりとり l 診断にかかる時間 l 診断の費用
Secure Sky Technology Inc. 20 脆弱性診断サービスliteさらっと紹介 診断対象に関するやりとり l 4つの機能から必要な機能を選んで診断! l
少ないやりとりで診断可能 診断にかかる時間 l 対象機能が決まっているため、調査の時間を省略可能 l 「ツール診断&手動診断」で幅広く脆弱性を検出 診断の費用 l 1機能あたり固定した料金プランだから分かりやすい l 機能を絞っているから通常よりもお安め