Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性診断の移り変わり
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
Secure Sky Technology
November 18, 2020
Technology
0
610
脆弱性診断の移り変わり
Secure Sky Technology
November 18, 2020
Tweet
Share
More Decks by Secure Sky Technology
See All by Secure Sky Technology
自社の常識を疑い変化を恐れずセキュリティと向き合う!
sst
0
340
『Apache Log4j 脆弱性の影響緩和のために今できること』
sst
1
6.1k
Webセキュリティ技術のキャッチアップ
sst
6
4.7k
2020年度SST入社式 CTOからのメッセージ
sst
0
980
「セキュリティ専門家からみた認証における課題と不正アクセス対策 」緊急セミナー
sst
0
950
サイバー攻撃者による不正な仮想通貨マイニングの実態
sst
0
550
HTTP2ことはじめ
sst
0
1.1k
我々はAWS WAFを研究している
sst
0
1.8k
Other Decks in Technology
See All in Technology
Astro Islandsの 内部実装を 「日本で一番わかりやすく」 ざっくり解説!
knj
0
220
Phase10_組織浸透_データ活用
overflowinc
0
1.3k
Visional 28新卒プロダクト職(エンジニア/デザイナー)向け 会社説明資料 / Visional Company Briefing for Newgrads 28
visional_engineering_and_design
1
130
2026年もソフトウェアサプライチェーンのリスクに立ち向かうために / Product Security Square #3
flatt_security
1
750
品質を経営にどう語るか #jassttokyo / Communicating the Strategic Value of Quality to Executive Leadership
kyonmm
PRO
2
1.2k
【Λ(らむだ)】最近のアプデ情報 / RPALT20260318
lambda
0
160
スピンアウト講座06_認証系(API-OAuth-MCP)入門
overflowinc
0
900
Bill One 開発エンジニア 紹介資料
sansan33
PRO
5
18k
SLI/SLO 導入で 避けるべきこと3選
yagikota
0
140
テストプロセスにおけるAI活用 :人間とAIの共存
hacomono
PRO
0
140
欠陥分析(ODC分析)における生成AIの活用プロセスと実践事例 / 20260320 Suguru Ishii & Naoki Yamakoshi & Mayu Yoshizawa
shift_evolve
PRO
0
330
The Rise of Browser Automation: AI-Powered Web Interaction in 2026
marcthompson_seo
0
300
Featured
See All Featured
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
150
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.7k
Agile Actions for Facilitating Distributed Teams - ADO2019
mkilby
0
150
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2.1k
Tips & Tricks on How to Get Your First Job In Tech
honzajavorek
0
460
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
aleyda
1
1.9k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.6k
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
davidcarrasco
3
81
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
1
1.4k
Designing for Timeless Needs
cassininazir
0
170
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
2.5k
How to Think Like a Performance Engineer
csswizardry
28
2.5k
Transcript
1 脆弱性診断の移り 変わり 株式会社セキュアスカイ・テクノロジー 技術開発部 鈴木大二郎
Secure Sky Technology Inc. 2 自己紹介 鈴木 大二郎 (すずき だいじろう)
l 非エンジニアとして入社 l 初プログラミングはRuby l 脆弱性診断員 (2017年~) お客様の声が私の原動力!
Secure Sky Technology Inc. 3 セキュアスカイ・テクノロジーについて SSTは「Webセキュリティに関する専⾨企業」 「無害化する」 Web Application
Firewall 「見つける」 脆弱性診断 「作らない」 セキュアな開発の ための教育 脆 弱 性 を
Secure Sky Technology Inc. 4 アジェンダ l 脆弱性診断とは l 脆弱性検出数
l 脆弱性診断の変化 l SSTとしてなにができるか
Secure Sky Technology Inc. 5 脆弱性診断とは
Secure Sky Technology Inc. 6 脆弱性・脆弱性診断とは 脆弱性とは Webアプリケーションを開発する過程で⽣まれるセキュリティ上の⽋ 陥のこと。攻撃者は、この「脆弱性」を狙って攻撃を仕掛けてくる。 脆弱性診断とは
お客様のシステム(Webアプリケーション、OS、ミドルウェア等) に対し、セキュリティ上の問題点を攻撃者の視点で診断し、潜在的な 「脆弱性」を検出すること。 システムに存在する脆弱性を検出することで、お客様に対策の実施を 促し、セキュリティ事故の発⽣防⽌をお⼿伝いできる。
Secure Sky Technology Inc. 7 脆弱性診断の方法 診断サーバ セキュリティエンジニア 診断対象のWebサーバ リモート
診断 インターネット
Secure Sky Technology Inc. 8 脆弱性診断の手法 ツール診断 ・⾃社開発の診断ツール ・百数⼗パターンの疑似攻撃リク エストによる検査
・パターンを短期間で正確に実施 可能 診断ツールを⽤いて 機械的に脆弱性を検出 診断ツールでは 検出が困難な脆弱性を検出 ⼿動診断 ・なりすまし等、正常通信と変わ らない場合に効果を発揮 ・人の目で判断しなければ検出で きない脆弱性も検出可能
Secure Sky Technology Inc. 9 脆弱性診断の変化
Secure Sky Technology Inc. 10 脆弱性診断の変化 数年前までは l リクエストに対してHTMLを返す簡単な作り l
診断しやすい! HTTPリクエスト HTTPレスポンス
Secure Sky Technology Inc. 11 脆弱性診断の変化 ~現在 l 様々なシーンで脆弱性診断が求められる l
スマホアプリの診断 l クライアントアプリの診断 l WebAPIの診断
Secure Sky Technology Inc. 12 脆弱性診断の変化 ~現在 l サービス毎の仕様を理解するコストが増加 l
WebUI以外からHTTP通信を確認する必要がある l お客様との調整コスト増加
Secure Sky Technology Inc. 13 脆弱性診断の変化 サービス毎の仕様を理解するコストが増加 l API仕様書でパラメータや挙動を知る l
サービス構成図などで全体感を把握する l APIとWebサイト側のデータ連携箇所を確認する
Secure Sky Technology Inc. 14 脆弱性診断の変化 WebUI以外からHTTP通信を確認する必要がある l Androidアプリはroot化が必要(Android7以降) l
ローカルプロキシツール利用時の設定 l curlやREST APIクライアントのノウハウ
Secure Sky Technology Inc. 15 脆弱性診断の変化 お客様との調整コスト増加 l 各種資料提供 l
疎通確認 l スマートフォンアプリの準備
Secure Sky Technology Inc. 16 脆弱性診断の変化 診断現場の工夫 l 専任担当者による診断ツール開発 l
機能追加 l 機能改善 l 作業フローなどの見直し 診断作業コストが低下
Secure Sky Technology Inc. 17 脆弱性診断の変化 まとめ l スマホアプリやAPIの診断が増加 l
資料の確認など準備のコストが増加 l お客様への確認や依頼などの調整コスト増加 l 診断ツール開発などの内部改善によるコスト削減
Secure Sky Technology Inc. 18 SSTとしてなにができるか
Secure Sky Technology Inc. 19 ちょっと宣伝 脆弱性診断サービスlite というサービスをアイレットさんと提供中 l 様々なコストに対応
l 診断対象に関するやりとり l 診断にかかる時間 l 診断の費用
Secure Sky Technology Inc. 20 脆弱性診断サービスliteさらっと紹介 診断対象に関するやりとり l 4つの機能から必要な機能を選んで診断! l
少ないやりとりで診断可能 診断にかかる時間 l 対象機能が決まっているため、調査の時間を省略可能 l 「ツール診断&手動診断」で幅広く脆弱性を検出 診断の費用 l 1機能あたり固定した料金プランだから分かりやすい l 機能を絞っているから通常よりもお安め
sst
knj
overflowinc
visional_engineering_and_design
flatt_security
kyonmm
lambda
sansan33
yagikota
hacomono
shift_evolve
marcthompson_seo
katarinadahlin
bcantrill
mkilby
inesmontani
honzajavorek
aleyda
thoeni
davidcarrasco
sarafernandez
cassininazir
garrettdimon
csswizardry
