脆弱性診断の移り変わり

1 脆弱性診断の移り変わり株式会社セキュアスカイ・テクノロジー技術開発部鈴木大二郎

Secure Sky Technology Inc. 2 自己紹介鈴木大二郎 (すずきだいじろう)
l 非エンジニアとして入社 l 初プログラミングはRuby l 脆弱性診断員 (2017年~) お客様の声が私の原動力！

Secure Sky Technology Inc. 3 セキュアスカイ・テクノロジーについて SSTは「Webセキュリティに関する専⾨企業」「無害化する」 Web Application
Firewall 「見つける」脆弱性診断「作らない」セキュアな開発のための教育脆弱性を

Secure Sky Technology Inc. 4 アジェンダ l 脆弱性診断とは l 脆弱性検出数
l 脆弱性診断の変化 l SSTとしてなにができるか

Secure Sky Technology Inc. 5 脆弱性診断とは

Secure Sky Technology Inc. 6 脆弱性・脆弱性診断とは脆弱性とは Webアプリケーションを開発する過程で⽣まれるセキュリティ上の⽋陥のこと。攻撃者は、この「脆弱性」を狙って攻撃を仕掛けてくる。脆弱性診断とは
お客様のシステム（Webアプリケーション、OS、ミドルウェア等）に対し、セキュリティ上の問題点を攻撃者の視点で診断し、潜在的な「脆弱性」を検出すること。システムに存在する脆弱性を検出することで、お客様に対策の実施を促し、セキュリティ事故の発⽣防⽌をお⼿伝いできる。

Secure Sky Technology Inc. 7 脆弱性診断の方法診断サーバセキュリティエンジニア診断対象のWebサーバリモート
診断インターネット

Secure Sky Technology Inc. 8 脆弱性診断の手法ツール診断・⾃社開発の診断ツール・百数⼗パターンの疑似攻撃リクエストによる検査
・パターンを短期間で正確に実施可能診断ツールを⽤いて機械的に脆弱性を検出診断ツールでは検出が困難な脆弱性を検出⼿動診断・なりすまし等、正常通信と変わらない場合に効果を発揮・人の目で判断しなければ検出できない脆弱性も検出可能

Secure Sky Technology Inc. 9 脆弱性診断の変化

Secure Sky Technology Inc. 10 脆弱性診断の変化数年前までは l リクエストに対してHTMLを返す簡単な作り l
診断しやすい！ HTTPリクエスト HTTPレスポンス

Secure Sky Technology Inc. 11 脆弱性診断の変化～現在 l 様々なシーンで脆弱性診断が求められる l
スマホアプリの診断 l クライアントアプリの診断 l WebAPIの診断

Secure Sky Technology Inc. 12 脆弱性診断の変化～現在 l サービス毎の仕様を理解するコストが増加 l
WebUI以外からHTTP通信を確認する必要がある l お客様との調整コスト増加

Secure Sky Technology Inc. 13 脆弱性診断の変化サービス毎の仕様を理解するコストが増加 l API仕様書でパラメータや挙動を知る l
サービス構成図などで全体感を把握する l APIとWebサイト側のデータ連携箇所を確認する

Secure Sky Technology Inc. 14 脆弱性診断の変化 WebUI以外からHTTP通信を確認する必要がある l Androidアプリはroot化が必要（Android7以降） l
ローカルプロキシツール利用時の設定 l curlやREST APIクライアントのノウハウ

Secure Sky Technology Inc. 15 脆弱性診断の変化お客様との調整コスト増加 l 各種資料提供 l
疎通確認 l スマートフォンアプリの準備

Secure Sky Technology Inc. 16 脆弱性診断の変化診断現場の工夫 l 専任担当者による診断ツール開発 l
機能追加 l 機能改善 l 作業フローなどの見直し診断作業コストが低下

Secure Sky Technology Inc. 17 脆弱性診断の変化まとめ l スマホアプリやAPIの診断が増加 l
資料の確認など準備のコストが増加 l お客様への確認や依頼などの調整コスト増加 l 診断ツール開発などの内部改善によるコスト削減

Secure Sky Technology Inc. 18 SSTとしてなにができるか

Secure Sky Technology Inc. 19 ちょっと宣伝脆弱性診断サービスlite というサービスをアイレットさんと提供中 l 様々なコストに対応
l 診断対象に関するやりとり l 診断にかかる時間 l 診断の費用

Secure Sky Technology Inc. 20 脆弱性診断サービスliteさらっと紹介診断対象に関するやりとり l 4つの機能から必要な機能を選んで診断！ l
少ないやりとりで診断可能診断にかかる時間 l 対象機能が決まっているため、調査の時間を省略可能 l 「ツール診断＆手動診断」で幅広く脆弱性を検出診断の費用 l 1機能あたり固定した料金プランだから分かりやすい l 機能を絞っているから通常よりもお安め

脆弱性診断の移り変わり

脆弱性診断の移り変わり

Secure Sky Technology

More Decks by Secure Sky Technology

Other Decks in Technology

Featured

Transcript

1 脆弱性診断の移り変わり株式会社セキュアスカイ・テクノロジー技術開発部鈴木大二郎

Secure Sky Technology Inc. 2 自己紹介鈴木大二郎 (すずきだいじろう)

Secure Sky Technology Inc. 3 セキュアスカイ・テクノロジーについて SSTは「Webセキュリティに関する専⾨企業」「無害化する」 Web Application

Secure Sky Technology Inc. 4 アジェンダ l 脆弱性診断とは l 脆弱性検出数

Secure Sky Technology Inc. 5 脆弱性診断とは

Secure Sky Technology Inc. 6 脆弱性・脆弱性診断とは脆弱性とは Webアプリケーションを開発する過程で⽣まれるセキュリティ上の⽋陥のこと。攻撃者は、この「脆弱性」を狙って攻撃を仕掛けてくる。脆弱性診断とは

Secure Sky Technology Inc. 7 脆弱性診断の方法診断サーバセキュリティエンジニア診断対象のWebサーバリモート

Secure Sky Technology Inc. 8 脆弱性診断の手法ツール診断・⾃社開発の診断ツール・百数⼗パターンの疑似攻撃リクエストによる検査

Secure Sky Technology Inc. 9 脆弱性診断の変化

Secure Sky Technology Inc. 10 脆弱性診断の変化数年前までは l リクエストに対してHTMLを返す簡単な作り l

Secure Sky Technology Inc. 11 脆弱性診断の変化～現在 l 様々なシーンで脆弱性診断が求められる l

Secure Sky Technology Inc. 12 脆弱性診断の変化～現在 l サービス毎の仕様を理解するコストが増加 l

Secure Sky Technology Inc. 13 脆弱性診断の変化サービス毎の仕様を理解するコストが増加 l API仕様書でパラメータや挙動を知る l

Secure Sky Technology Inc. 14 脆弱性診断の変化 WebUI以外からHTTP通信を確認する必要がある l Androidアプリはroot化が必要（Android7以降） l

Secure Sky Technology Inc. 15 脆弱性診断の変化お客様との調整コスト増加 l 各種資料提供 l

Secure Sky Technology Inc. 16 脆弱性診断の変化診断現場の工夫 l 専任担当者による診断ツール開発 l

Secure Sky Technology Inc. 17 脆弱性診断の変化まとめ l スマホアプリやAPIの診断が増加 l

Secure Sky Technology Inc. 18 SSTとしてなにができるか

Secure Sky Technology Inc. 19 ちょっと宣伝脆弱性診断サービスlite というサービスをアイレットさんと提供中 l 様々なコストに対応

Secure Sky Technology Inc. 20 脆弱性診断サービスliteさらっと紹介診断対象に関するやりとり l 4つの機能から必要な機能を選んで診断！ l