Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱性診断の移り変わり

Avatar for Secure Sky Technology Secure Sky Technology
November 18, 2020
Technology
0
580

 脆弱性診断の移り変わり

Avatar for Secure Sky Technology

Secure Sky Technology

November 18, 2020
Tweet

More Decks by Secure Sky Technology

See All by Secure Sky Technology
自社の常識を疑い変化を恐れずセキュリティと向き合う!
Avatar for Secure Sky Technology sst
0
300
『Apache Log4j 脆弱性の影響緩和のために今できること』
Avatar for Secure Sky Technology sst
1
6.1k
Webセキュリティ技術のキャッチアップ
Avatar for Secure Sky Technology sst
6
4.7k
2020年度SST入社式 CTOからのメッセージ
Avatar for Secure Sky Technology sst
0
950
「セキュリティ専門家からみた認証における課題と不正アクセス対策 」緊急セミナー
Avatar for Secure Sky Technology sst
0
890
サイバー攻撃者による不正な仮想通貨マイニングの実態
Avatar for Secure Sky Technology sst
0
520
HTTP2ことはじめ
Avatar for Secure Sky Technology sst
0
1k
我々はAWS WAFを研究している
Avatar for Secure Sky Technology sst
0
1.7k

Other Decks in Technology

See All in Technology
AWS環境のリソース調査を Claude Code で効率化 / aws investigate with cc devio2025
Avatar for MasahiroKawahara masahirokawahara
2
1.3k
ここ一年のCCoEとしてのAWSコスト最適化を振り返る / CCoE AWS Cost Optimization devio2025
Avatar for MasahiroKawahara masahirokawahara
1
1.4k
データアナリストからアナリティクスエンジニアになった話
Avatar for hatsu hiyokko_data
2
420
なぜスクラムはこうなったのか?歴史が教えてくれたこと/Shall we explore the roots of Scrum
Avatar for Genki Sano sanogemaru
3
910
絶対に失敗できないキャンペーンページの高速かつ安全な開発、WINTICKET × microCMS の開発事例
Avatar for microCMS microcms
0
390
まだ間に合う! StrandsとBedrock AgentCoreでAIエージェント構築に入門しよう
Avatar for みのるん minorun365
PRO
11
910
Automating Web Accessibility Testing with AI Agents
Avatar for South maminami373
0
1k
Skrub: machine-learning with dataframes
Avatar for Gael Varoquaux gaelvaroquaux
0
120
AI エージェントとはそもそも何か? - 技術背景から Amazon Bedrock AgentCore での実装まで- / AI Agent Unicorn Day 2025
Avatar for Yoshitaka Haribara hariby
4
1.1k
【 LLMエンジニアがヒューマノイド開発に挑んでみた 】 - 第104回 Machine Learning 15minutes! Hybrid
Avatar for soneo1127 soneo1127
0
280
機械学習を扱うプラットフォーム開発と運用事例
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
140
BPaaSにおける人と協働する前提のAIエージェント-AWS登壇資料
Avatar for KentaroFujii kentarofujii
0
120

Featured

See All Featured
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
70
4.8k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
54
11k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
77
5.9k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
57
5.8k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
1.1k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
268
13k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.8k
How GitHub (no longer) Works
Avatar for Zach Holman holman
315
140k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
Scaling GitHub
Avatar for Zach Holman holman
463
140k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
8
520

Transcript

  1. 1 脆弱性診断の移り 変わり 株式会社セキュアスカイ・テクノロジー 技術開発部 鈴木大二郎

  2. Secure Sky Technology Inc. 2 自己紹介 鈴木 大二郎 (すずき だいじろう)

    l 非エンジニアとして入社 l 初プログラミングはRuby l 脆弱性診断員 (2017年~) お客様の声が私の原動力!

  3. Secure Sky Technology Inc. 3 セキュアスカイ・テクノロジーについて SSTは「Webセキュリティに関する専⾨企業」 「無害化する」 Web Application

    Firewall 「見つける」 脆弱性診断 「作らない」 セキュアな開発の ための教育 脆 弱 性 を

  4. Secure Sky Technology Inc. 4 アジェンダ l 脆弱性診断とは l 脆弱性検出数

    l 脆弱性診断の変化 l SSTとしてなにができるか

  5. Secure Sky Technology Inc. 5 脆弱性診断とは

  6. Secure Sky Technology Inc. 6 脆弱性・脆弱性診断とは 脆弱性とは Webアプリケーションを開発する過程で⽣まれるセキュリティ上の⽋ 陥のこと。攻撃者は、この「脆弱性」を狙って攻撃を仕掛けてくる。 脆弱性診断とは

    お客様のシステム(Webアプリケーション、OS、ミドルウェア等) に対し、セキュリティ上の問題点を攻撃者の視点で診断し、潜在的な 「脆弱性」を検出すること。 システムに存在する脆弱性を検出することで、お客様に対策の実施を 促し、セキュリティ事故の発⽣防⽌をお⼿伝いできる。

  7. Secure Sky Technology Inc. 7 脆弱性診断の方法 診断サーバ セキュリティエンジニア 診断対象のWebサーバ リモート

    診断 インターネット

  8. Secure Sky Technology Inc. 8 脆弱性診断の手法 ツール診断 ・⾃社開発の診断ツール ・百数⼗パターンの疑似攻撃リク エストによる検査

    ・パターンを短期間で正確に実施 可能 診断ツールを⽤いて 機械的に脆弱性を検出 診断ツールでは 検出が困難な脆弱性を検出 ⼿動診断 ・なりすまし等、正常通信と変わ らない場合に効果を発揮 ・人の目で判断しなければ検出で きない脆弱性も検出可能

  9. Secure Sky Technology Inc. 9 脆弱性診断の変化

  10. Secure Sky Technology Inc. 10 脆弱性診断の変化 数年前までは l リクエストに対してHTMLを返す簡単な作り l

    診断しやすい! HTTPリクエスト HTTPレスポンス

  11. Secure Sky Technology Inc. 11 脆弱性診断の変化 ~現在 l 様々なシーンで脆弱性診断が求められる l

    スマホアプリの診断 l クライアントアプリの診断 l WebAPIの診断

  12. Secure Sky Technology Inc. 12 脆弱性診断の変化 ~現在 l サービス毎の仕様を理解するコストが増加 l

    WebUI以外からHTTP通信を確認する必要がある l お客様との調整コスト増加

  13. Secure Sky Technology Inc. 13 脆弱性診断の変化 サービス毎の仕様を理解するコストが増加 l API仕様書でパラメータや挙動を知る l

    サービス構成図などで全体感を把握する l APIとWebサイト側のデータ連携箇所を確認する

  14. Secure Sky Technology Inc. 14 脆弱性診断の変化 WebUI以外からHTTP通信を確認する必要がある l Androidアプリはroot化が必要(Android7以降) l

    ローカルプロキシツール利用時の設定 l curlやREST APIクライアントのノウハウ

  15. Secure Sky Technology Inc. 15 脆弱性診断の変化 お客様との調整コスト増加 l 各種資料提供 l

    疎通確認 l スマートフォンアプリの準備

  16. Secure Sky Technology Inc. 16 脆弱性診断の変化 診断現場の工夫 l 専任担当者による診断ツール開発 l

    機能追加 l 機能改善 l 作業フローなどの見直し 診断作業コストが低下

  17. Secure Sky Technology Inc. 17 脆弱性診断の変化 まとめ l スマホアプリやAPIの診断が増加 l

    資料の確認など準備のコストが増加 l お客様への確認や依頼などの調整コスト増加 l 診断ツール開発などの内部改善によるコスト削減

  18. Secure Sky Technology Inc. 18 SSTとしてなにができるか

  19. Secure Sky Technology Inc. 19 ちょっと宣伝 脆弱性診断サービスlite というサービスをアイレットさんと提供中 l 様々なコストに対応

    l 診断対象に関するやりとり l 診断にかかる時間 l 診断の費用

  20. Secure Sky Technology Inc. 20 脆弱性診断サービスliteさらっと紹介 診断対象に関するやりとり l 4つの機能から必要な機能を選んで診断! l

    少ないやりとりで診断可能 診断にかかる時間 l 対象機能が決まっているため、調査の時間を省略可能 l 「ツール診断&手動診断」で幅広く脆弱性を検出 診断の費用 l 1機能あたり固定した料金プランだから分かりやすい l 機能を絞っているから通常よりもお安め