Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性診断の移り変わり
Search
Secure Sky Technology
November 18, 2020
Technology
0
540
脆弱性診断の移り変わり
Secure Sky Technology
November 18, 2020
Tweet
Share
More Decks by Secure Sky Technology
See All by Secure Sky Technology
自社の常識を疑い変化を恐れずセキュリティと向き合う!
sst
0
280
『Apache Log4j 脆弱性の影響緩和のために今できること』
sst
1
6.1k
Webセキュリティ技術のキャッチアップ
sst
6
4.6k
2020年度SST入社式 CTOからのメッセージ
sst
0
920
「セキュリティ専門家からみた認証における課題と不正アクセス対策 」緊急セミナー
sst
0
840
サイバー攻撃者による不正な仮想通貨マイニングの実態
sst
0
490
HTTP2ことはじめ
sst
0
940
我々はAWS WAFを研究している
sst
0
1.6k
Other Decks in Technology
See All in Technology
AIエージェント時代のエンジニアになろう #jawsug #jawsdays2025 / 20250301 Agentic AI Engineering
yoshidashingo
9
4.2k
生成AI×財務経理:PoCで挑むSlack AI Bot開発と現場巻き込みのリアル
pohdccoe
1
840
MIMEと文字コードの闇
hirachan
2
1.5k
アジリティを高めるテストマネジメント #QiitaQualityForward
makky_tyuyan
1
480
手を動かしてレベルアップしよう!
maruto
0
260
Snowflakeの開発・運用コストをApache Icebergで効率化しよう!~機能と活用例のご紹介~
sagara
1
540
事業モメンタムを生み出すプロダクト開発
macchiitaka
0
110
結果的にこうなった。から見える メカニズムのようなもの。
recruitengineers
PRO
1
120
開発者のための FinOps/FinOps for Engineers
oracle4engineer
PRO
2
270
プルリクエストレビューを終わらせるためのチーム体制 / The Team for Completing Pull Request Reviews
nekonenene
3
1.8k
目標と時間軸 〜ベイビーステップでケイパビリティを高めよう〜
kakehashi
PRO
8
1.1k
自分のやることに価値を見出だせるようになり、挑戦する勇気をもらったベイトソンの考え / Scrum Fest Fukuoka 2025
bonbon0605
0
130
Featured
See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Measuring & Analyzing Core Web Vitals
bluesmoon
6
260
Typedesign – Prime Four
hannesfritz
41
2.5k
GraphQLの誤解/rethinking-graphql
sonatard
69
10k
Code Reviewing Like a Champion
maltzj
521
39k
A Tale of Four Properties
chriscoyier
158
23k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.5k
Faster Mobile Websites
deanohume
306
31k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
33
2.8k
Facilitating Awesome Meetings
lara
53
6.3k
Thoughts on Productivity
jonyablonski
69
4.5k
Documentation Writing (for coders)
carmenintech
69
4.6k
Transcript
1 脆弱性診断の移り 変わり 株式会社セキュアスカイ・テクノロジー 技術開発部 鈴木大二郎
Secure Sky Technology Inc. 2 自己紹介 鈴木 大二郎 (すずき だいじろう)
l 非エンジニアとして入社 l 初プログラミングはRuby l 脆弱性診断員 (2017年~) お客様の声が私の原動力!
Secure Sky Technology Inc. 3 セキュアスカイ・テクノロジーについて SSTは「Webセキュリティに関する専⾨企業」 「無害化する」 Web Application
Firewall 「見つける」 脆弱性診断 「作らない」 セキュアな開発の ための教育 脆 弱 性 を
Secure Sky Technology Inc. 4 アジェンダ l 脆弱性診断とは l 脆弱性検出数
l 脆弱性診断の変化 l SSTとしてなにができるか
Secure Sky Technology Inc. 5 脆弱性診断とは
Secure Sky Technology Inc. 6 脆弱性・脆弱性診断とは 脆弱性とは Webアプリケーションを開発する過程で⽣まれるセキュリティ上の⽋ 陥のこと。攻撃者は、この「脆弱性」を狙って攻撃を仕掛けてくる。 脆弱性診断とは
お客様のシステム(Webアプリケーション、OS、ミドルウェア等) に対し、セキュリティ上の問題点を攻撃者の視点で診断し、潜在的な 「脆弱性」を検出すること。 システムに存在する脆弱性を検出することで、お客様に対策の実施を 促し、セキュリティ事故の発⽣防⽌をお⼿伝いできる。
Secure Sky Technology Inc. 7 脆弱性診断の方法 診断サーバ セキュリティエンジニア 診断対象のWebサーバ リモート
診断 インターネット
Secure Sky Technology Inc. 8 脆弱性診断の手法 ツール診断 ・⾃社開発の診断ツール ・百数⼗パターンの疑似攻撃リク エストによる検査
・パターンを短期間で正確に実施 可能 診断ツールを⽤いて 機械的に脆弱性を検出 診断ツールでは 検出が困難な脆弱性を検出 ⼿動診断 ・なりすまし等、正常通信と変わ らない場合に効果を発揮 ・人の目で判断しなければ検出で きない脆弱性も検出可能
Secure Sky Technology Inc. 9 脆弱性診断の変化
Secure Sky Technology Inc. 10 脆弱性診断の変化 数年前までは l リクエストに対してHTMLを返す簡単な作り l
診断しやすい! HTTPリクエスト HTTPレスポンス
Secure Sky Technology Inc. 11 脆弱性診断の変化 ~現在 l 様々なシーンで脆弱性診断が求められる l
スマホアプリの診断 l クライアントアプリの診断 l WebAPIの診断
Secure Sky Technology Inc. 12 脆弱性診断の変化 ~現在 l サービス毎の仕様を理解するコストが増加 l
WebUI以外からHTTP通信を確認する必要がある l お客様との調整コスト増加
Secure Sky Technology Inc. 13 脆弱性診断の変化 サービス毎の仕様を理解するコストが増加 l API仕様書でパラメータや挙動を知る l
サービス構成図などで全体感を把握する l APIとWebサイト側のデータ連携箇所を確認する
Secure Sky Technology Inc. 14 脆弱性診断の変化 WebUI以外からHTTP通信を確認する必要がある l Androidアプリはroot化が必要(Android7以降) l
ローカルプロキシツール利用時の設定 l curlやREST APIクライアントのノウハウ
Secure Sky Technology Inc. 15 脆弱性診断の変化 お客様との調整コスト増加 l 各種資料提供 l
疎通確認 l スマートフォンアプリの準備
Secure Sky Technology Inc. 16 脆弱性診断の変化 診断現場の工夫 l 専任担当者による診断ツール開発 l
機能追加 l 機能改善 l 作業フローなどの見直し 診断作業コストが低下
Secure Sky Technology Inc. 17 脆弱性診断の変化 まとめ l スマホアプリやAPIの診断が増加 l
資料の確認など準備のコストが増加 l お客様への確認や依頼などの調整コスト増加 l 診断ツール開発などの内部改善によるコスト削減
Secure Sky Technology Inc. 18 SSTとしてなにができるか
Secure Sky Technology Inc. 19 ちょっと宣伝 脆弱性診断サービスlite というサービスをアイレットさんと提供中 l 様々なコストに対応
l 診断対象に関するやりとり l 診断にかかる時間 l 診断の費用
Secure Sky Technology Inc. 20 脆弱性診断サービスliteさらっと紹介 診断対象に関するやりとり l 4つの機能から必要な機能を選んで診断! l
少ないやりとりで診断可能 診断にかかる時間 l 対象機能が決まっているため、調査の時間を省略可能 l 「ツール診断&手動診断」で幅広く脆弱性を検出 診断の費用 l 1機能あたり固定した料金プランだから分かりやすい l 機能を絞っているから通常よりもお安め