Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性診断の移り変わり
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Secure Sky Technology
November 18, 2020
Technology
620
0
Share
脆弱性診断の移り変わり
Secure Sky Technology
November 18, 2020
More Decks by Secure Sky Technology
See All by Secure Sky Technology
自社の常識を疑い変化を恐れずセキュリティと向き合う!
sst
0
350
『Apache Log4j 脆弱性の影響緩和のために今できること』
sst
1
6.2k
Webセキュリティ技術のキャッチアップ
sst
6
4.8k
2020年度SST入社式 CTOからのメッセージ
sst
0
990
「セキュリティ専門家からみた認証における課題と不正アクセス対策 」緊急セミナー
sst
0
960
サイバー攻撃者による不正な仮想通貨マイニングの実態
sst
0
560
HTTP2ことはじめ
sst
0
1.1k
我々はAWS WAFを研究している
sst
0
1.8k
Other Decks in Technology
See All in Technology
AI時代から振り返るTerraform drift運用の歴史 / AI Age Reflections on the History of Terraform Drift Operations
aeonpeople
0
590
個人AIからチームAIへ:開発における品質と生産性の再設計
moongift
PRO
0
310
Amazon CloudFrontにおけるAIボットアクセス制御のポイント
kizawa2020
5
310
権限管理設計を完全に理解した
rsugi
2
240
Gradle×GitHub_ActionsでCI時間を約50%短縮 ジョブ分割の設計と落とし穴 / Cutting CI Time by ~50% with Gradle and GitHub Actions: Job-Splitting Design and Pitfalls
takatty
0
540
AIガバナンス実践 - 生成AIコネクタのデータ漏洩リスクと実務対策
knishioka
0
140
APIテストとは?
nagix
0
160
Spring AI × MCP 入門〜AIエージェントへのツール公開、境界設計から始める最小構成 〜
yuyamiyamoto
0
180
『家族アルバム みてね』における インシデント対応との向き合い方 / Approach incident response in Family Album
kohbis
2
270
Dynamic Workersについて
yusukebe
2
470
NFLコンペ2026 解法
lycorptech_jp
PRO
0
130
イベントで大活躍する電子ペーパー名札 〜その3〜 / ビジュアルプログラミングIoTLT vol.23
you
PRO
0
170
Featured
See All Featured
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3.5k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
Why Our Code Smells
bkeepers
PRO
340
58k
WENDY [Excerpt]
tessaabrams
11
38k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.9k
Faster Mobile Websites
deanohume
310
31k
For a Future-Friendly Web
brad_frost
183
10k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
tomoyanonymous
2
830
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3.4k
Believing is Seeing
oripsolob
1
130
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
190
Embracing the Ebb and Flow
colly
88
5.1k
Transcript
1 脆弱性診断の移り 変わり 株式会社セキュアスカイ・テクノロジー 技術開発部 鈴木大二郎
Secure Sky Technology Inc. 2 自己紹介 鈴木 大二郎 (すずき だいじろう)
l 非エンジニアとして入社 l 初プログラミングはRuby l 脆弱性診断員 (2017年~) お客様の声が私の原動力!
Secure Sky Technology Inc. 3 セキュアスカイ・テクノロジーについて SSTは「Webセキュリティに関する専⾨企業」 「無害化する」 Web Application
Firewall 「見つける」 脆弱性診断 「作らない」 セキュアな開発の ための教育 脆 弱 性 を
Secure Sky Technology Inc. 4 アジェンダ l 脆弱性診断とは l 脆弱性検出数
l 脆弱性診断の変化 l SSTとしてなにができるか
Secure Sky Technology Inc. 5 脆弱性診断とは
Secure Sky Technology Inc. 6 脆弱性・脆弱性診断とは 脆弱性とは Webアプリケーションを開発する過程で⽣まれるセキュリティ上の⽋ 陥のこと。攻撃者は、この「脆弱性」を狙って攻撃を仕掛けてくる。 脆弱性診断とは
お客様のシステム(Webアプリケーション、OS、ミドルウェア等) に対し、セキュリティ上の問題点を攻撃者の視点で診断し、潜在的な 「脆弱性」を検出すること。 システムに存在する脆弱性を検出することで、お客様に対策の実施を 促し、セキュリティ事故の発⽣防⽌をお⼿伝いできる。
Secure Sky Technology Inc. 7 脆弱性診断の方法 診断サーバ セキュリティエンジニア 診断対象のWebサーバ リモート
診断 インターネット
Secure Sky Technology Inc. 8 脆弱性診断の手法 ツール診断 ・⾃社開発の診断ツール ・百数⼗パターンの疑似攻撃リク エストによる検査
・パターンを短期間で正確に実施 可能 診断ツールを⽤いて 機械的に脆弱性を検出 診断ツールでは 検出が困難な脆弱性を検出 ⼿動診断 ・なりすまし等、正常通信と変わ らない場合に効果を発揮 ・人の目で判断しなければ検出で きない脆弱性も検出可能
Secure Sky Technology Inc. 9 脆弱性診断の変化
Secure Sky Technology Inc. 10 脆弱性診断の変化 数年前までは l リクエストに対してHTMLを返す簡単な作り l
診断しやすい! HTTPリクエスト HTTPレスポンス
Secure Sky Technology Inc. 11 脆弱性診断の変化 ~現在 l 様々なシーンで脆弱性診断が求められる l
スマホアプリの診断 l クライアントアプリの診断 l WebAPIの診断
Secure Sky Technology Inc. 12 脆弱性診断の変化 ~現在 l サービス毎の仕様を理解するコストが増加 l
WebUI以外からHTTP通信を確認する必要がある l お客様との調整コスト増加
Secure Sky Technology Inc. 13 脆弱性診断の変化 サービス毎の仕様を理解するコストが増加 l API仕様書でパラメータや挙動を知る l
サービス構成図などで全体感を把握する l APIとWebサイト側のデータ連携箇所を確認する
Secure Sky Technology Inc. 14 脆弱性診断の変化 WebUI以外からHTTP通信を確認する必要がある l Androidアプリはroot化が必要(Android7以降) l
ローカルプロキシツール利用時の設定 l curlやREST APIクライアントのノウハウ
Secure Sky Technology Inc. 15 脆弱性診断の変化 お客様との調整コスト増加 l 各種資料提供 l
疎通確認 l スマートフォンアプリの準備
Secure Sky Technology Inc. 16 脆弱性診断の変化 診断現場の工夫 l 専任担当者による診断ツール開発 l
機能追加 l 機能改善 l 作業フローなどの見直し 診断作業コストが低下
Secure Sky Technology Inc. 17 脆弱性診断の変化 まとめ l スマホアプリやAPIの診断が増加 l
資料の確認など準備のコストが増加 l お客様への確認や依頼などの調整コスト増加 l 診断ツール開発などの内部改善によるコスト削減
Secure Sky Technology Inc. 18 SSTとしてなにができるか
Secure Sky Technology Inc. 19 ちょっと宣伝 脆弱性診断サービスlite というサービスをアイレットさんと提供中 l 様々なコストに対応
l 診断対象に関するやりとり l 診断にかかる時間 l 診断の費用
Secure Sky Technology Inc. 20 脆弱性診断サービスliteさらっと紹介 診断対象に関するやりとり l 4つの機能から必要な機能を選んで診断! l
少ないやりとりで診断可能 診断にかかる時間 l 対象機能が決まっているため、調査の時間を省略可能 l 「ツール診断&手動診断」で幅広く脆弱性を検出 診断の費用 l 1機能あたり固定した料金プランだから分かりやすい l 機能を絞っているから通常よりもお安め
sst
aeonpeople
moongift
kizawa2020
rsugi
takatty
knishioka
nagix
yuyamiyamoto
kohbis
yusukebe
lycorptech_jp
you
inesmontani
morganepeng
bkeepers
tessaabrams
honnibal
deanohume
brad_frost
tomoyanonymous
tammyeverts
oripsolob
sabderemane
colly
