Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Webセキュリティ技術のキャッチアップ

Avatar for Secure Sky Technology Secure Sky Technology
October 29, 2021
Technology
6
4.7k

 Webセキュリティ技術のキャッチアップ

Avatar for Secure Sky Technology

Secure Sky Technology

October 29, 2021
Tweet

More Decks by Secure Sky Technology

See All by Secure Sky Technology
自社の常識を疑い変化を恐れずセキュリティと向き合う!
Avatar for Secure Sky Technology sst
0
310
『Apache Log4j 脆弱性の影響緩和のために今できること』
Avatar for Secure Sky Technology sst
1
6.1k
脆弱性診断の移り変わり
Avatar for Secure Sky Technology sst
0
590
2020年度SST入社式 CTOからのメッセージ
Avatar for Secure Sky Technology sst
0
960
「セキュリティ専門家からみた認証における課題と不正アクセス対策 」緊急セミナー
Avatar for Secure Sky Technology sst
0
910
サイバー攻撃者による不正な仮想通貨マイニングの実態
Avatar for Secure Sky Technology sst
0
530
HTTP2ことはじめ
Avatar for Secure Sky Technology sst
0
1k
我々はAWS WAFを研究している
Avatar for Secure Sky Technology sst
0
1.7k

Other Decks in Technology

See All in Technology
GPUをつかってベクトル検索を 扱う手法のお話し ~NVIDIA cuVSとCAGRA~
Avatar for fshuhe fshuhe
0
380
abema-trace-sampling-observability-cost-optimization
Avatar for tetsuya28 tetsuya28
0
470
MCP サーバーの基礎から実践レベルの知識まで
Avatar for azukiazusa azukiazusa1
13
5.6k
戦えるAIエージェントの作り方
Avatar for Takuya Akiba iwiwi
22
11k
AI-ready"のための"データ基盤 〜 LLMOpsで事業貢献するための基盤づくり
Avatar for Izumu KUSUNOKI ismk
0
110
NOT A HOTEL SOFTWARE DECK (2025/11/06)
Avatar for NOT A HOTEL notahotel
0
2.9k
LLM APIを2年間本番運用して苦労した話
Avatar for 株式会社IVRy(社員登壇資料) ivry_presentationmaterials
9
7.4k
AIがコードを書いてくれるなら、新米エンジニアは何をする? / komekaigi2025
Avatar for Yukiya Nakagawa nkzn
25
17k
激動の時代を爆速リチーミングで乗り越えろ
Avatar for SansanTech sansantech
PRO
1
250
なぜ新機能リリース翌日に モニタリング可能なのか? 〜リードタイム短縮とリソース問題を「自走」で改善した話〜 / data_summit_findy_Session_2
Avatar for Sansan R&D sansan_randd
1
110
[AWS 秋のオブザーバビリティ祭り 2025 〜最新アップデートと生成 AI × オブザーバビリティ〜] Amazon Bedrock AgentCore で実現!お手軽 AI エージェントオブザーバビリティ
Avatar for Hajime Onishi 0nihajim
1
330
今から間に合う re:Invent 準備グッズと現地の地図、その他ラスベガスを周る際の Tips/reinvent-preparation-guide
Avatar for emi emiki
1
270

Featured

See All Featured
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.7k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
34
2.5k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
29
5.6k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
72
4.9k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
23
1.5k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9.1k
The Language of Interfaces
Avatar for Des Traynor destraynor
162
25k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
127
54k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
116
20k

Transcript

  1. 1 Webセキュリティ技術の キャッチアップ 株式会社セキュアスカイ・テクノロジー 技術開発部 岩間 湧

  2. Secure Sky Technology Inc. 2 自己紹介 岩間 湧 (いわま ゆう)

    ▶ 脆弱性診断(2018年~) ▶ 業務の合間でWebセキュリティ調査 ▶ I ♡ Burp Suite ▶ 最近クロスバイクを購入しました

  3. Secure Sky Technology Inc. 3 セキュアスカイ・テクノロジーについて SSTは「Webセキュリティに関する専門企業」 「無害化する」 Web Application

    Firewall
 「見つける」 脆弱性診断
 「作らない」 セキュアな開発の
 ための教育 脆 弱 性 を

  4. Secure Sky Technology Inc. 4 今日の想定ターゲット ▶ 自社で脆弱性診断をしている ◼ または始めたいと考えている

    ▶ 従来的な脆弱性対策だけでなく新しいものも知りたい ▶ 新しい攻撃手法が知りたい ◼ 自社のセキュリティ強化に取り入れたい ▶ Webアプリケーションセキュリティについて新しいことが知りたい

  5. Secure Sky Technology Inc. 5 変化していくWebセキュリティ

  6. Secure Sky Technology Inc. 6 脆弱性のトレンド 注目されるWebアプリケーションに関する脆弱性を例にあげてみる 脆弱性にもトレンドがあり年々変化している ▶ XML

    外部エンティティ参照(XXE: XML External Entity) ▶ 安全でないデシリアライズ ▶ Web Cache Poisoning ▶ Server-Side Request Forgery(SSRF) ▶ HTTP Request Smuggling ▶ プロトタイプ汚染攻撃

  7. Secure Sky Technology Inc. 7 脆弱性のトレンド変化の理由 ▶ 新しい技術の登場と共にリスクが生まれる ▶ 脆弱性の公開で攻撃手法が注目される

    ▶ セキュリティ研究者による発表 など 新規の脆弱性だけでなく、 過去の研究が再注目され新たな攻撃手法やリスクが提案されることもある

  8. Secure Sky Technology Inc. 8 Webセキュリティも年々変化している トレンドをおさえつつ、サービスに反映させていきたい

  9. Secure Sky Technology Inc. 9 Webセキュリティのトレンドは追いにくい? ▶ Webセキュリティは、情報セキュリティの中の一部 ▶ そもそもセキュリティ界隈は人があまり多くない…

    ▶ 業務だけだと数年前の情報で止まってしまう ▶ 英語の資料がほとんど ▶ 開発やNWに比べてセキュリティの情報は少ない

  10. Secure Sky Technology Inc. 10 本題 Webセキュリティのトレンドに追従するための、 弊社でのキャッチアップ方法についてご紹介します

  11. Secure Sky Technology Inc. 11 注意 ▶ 今日紹介する内容はあくまで一例です ▶ 情報収集や分析に正解はありません

    ▶ 個人の主観が含まれる内容もあります ▶ ご自身や組織の中で活用される際にご参考になれば幸いです

  12. Secure Sky Technology Inc. 12 キャッチアップ紹介

  13. Secure Sky Technology Inc. 13 どんな情報を集めるか セキュリティ情報と言っても色々な情報がある ▶ ソフトウェア製品の脆弱性情報 ▶

    官公庁や企業のセキュリティ調査レポート ▶ セキュリティに関連したガイダンス、要件書 ▶ サイバー犯罪の被害情報や犯罪組織の活動情報 ▶ セキュリティ研究者の論文、講演、記事 今回はWebアプリケーション診断に影響のある情報に限定

  14. Secure Sky Technology Inc. 14 標準的な情報を把握する Webセキュリティ業界における標準的な仕様、ガイドなどを把握する ▶ OWASP ASVS

    (Application Security Verification Standard) ◼ https://github.com/OWASP/ASVS/tree/v4.0.2 ▶ OWASP TOP 10 2021 ◼ https://owasp.org/Top10/ja/ 国内の場合、IPAやJNSA(日本ネットワークセキュリティ協会)が公開する資料には 軽く目を通しておく

  15. Secure Sky Technology Inc. 15 Webブラウザ セキュリティ向上やプライバシー保護目的で機能追加や変更がある クライアントの動作に影響するので注視しておきたい ▶ SameSite属性の仕様変更

    ▶ 非HTTPSサイトへの警告表示 ▶ SHA-1証明書の警告表示 ▶ サイト分離(Site Isolation)に関連する機能追加

  16. Secure Sky Technology Inc. 16 セキュリティ専門のカンファレンス 主要なカンファレンスに参加することで、新しい攻撃手法や脆弱性の仕組みについ て触れることができる 講演時のビデオやスライドを見るだけでも参考になる ▶

    BlackHat ◼ https://www.blackhat.com/ ▶ DEFCON ◼ https://defcon.org/ ▶ CODEBLUE ◼ https://codeblue.jp/2021/

  17. Secure Sky Technology Inc. 17 研究者の情報を追う セキュリティ研究者個人もしくは所属組織が発行するレポートや技術ブログなどを見 る 研究者を知らない場合は、カンファレンスやSNSを通して知っていく ▶

    PortSwigger Research ◼ https://portswigger.net/research ▶ Orange Tsai ◼ https://blog.orange.tw/

  18. Secure Sky Technology Inc. 18 バグバウンティ バグバウンティとは: ▶ 日本では『バグ報酬金制度』や『脆弱性報酬金制度』と呼ぶことが多い ▶

    脆弱性の報告に対して企業が報酬金や贈り物を送る仕組み ▶ 自社のプロダクトに限定して制度を採用している企業もある ◼ サイボウズ、Googleなど ▶ HackerOneやBugcrowdなどの代行サービスもある ▶ 一部の報告は開示されており、ネット上で読むことが可能 ▶ 専門家が自身のブログで解説している場合もある

  19. Secure Sky Technology Inc. 19 バグバウンティ バグバウンティのレポートに含まれる項目 ▶ 概要 ▶

    再現方法 ▶ リスク ▶ 対策・緩和策 ▶ 企業側のリスク判断 脆弱性診断の報告内容と似た構成なので分かりやすい 報酬金を払わないケースで、企業側の判断理由が記載されていることもある

  20. Secure Sky Technology Inc. 20 診断状況からみる技術動向 日頃の案件から、利用されている技術傾向や動向をを分析する ▶ JavaScript(JS)フレームワークの普及 ◼

    SPA(Single Page Application)構成のサイトが増加 ◼ Vue.js、React、AngularなどのJSフレームワークが利用されている ▶ Web API診断のニーズ増加 ◼ WebサイトのデータをREST API経由で公開 ◼ GraphQLやgRPC等の技術の登場と利用サイトの増加 ▶ Webブラウザベンダーの影響 ◼ HTTPSサイトの増加 ◼ Set-Cookie時のSameSite設定を明示しているサイトの増加

  21. Secure Sky Technology Inc. 21 診断しなくても、なんとなく分かる 診断をしていない場合でも、感覚的に分かる方法 ※あくまでもなんとなくです。 ▶ 技術書典の出展内容

    ▶ 記事関係サービスのトレンドを見る ◼ Qiita、Zenn、note、はてなブログ、Medium など ▶ Githubのトレンド

  22. Secure Sky Technology Inc. 22 キャッチアップの後は…

  23. Secure Sky Technology Inc. 23 積極的な共有が重要 インプットの後は積極的な共有を行う 情報収集は一人よりも複数人で行うほうが効率的 社内での取り組み ▶

    技術カテゴリ毎にチャットカテゴリを分類 ▶ 月一で技術共有の会議

  24. Secure Sky Technology Inc. 24 その他の取り組みにつなげる 調べて終わるのではなく、次につなげる ▶ 検査に導入しサービス向上へ繋げる ▶

    勉強会やハンズオンなどで有識者を増やす 社内での取り組み ▶ 業務時間の10%を研究開発に使える ▶ 診断技術向上のための調査研究活動 ▶ 社内勉強会やブログ記事など 社内調査研究活動(レッドアイ)

  25. Secure Sky Technology Inc. 25 その他の取り組みにつなげる 社内勉強会で利用したスライドの一部を公開しています ▶ SSRF基礎 ◼

    https://www.slideshare.net/ssuser12fe9c/ssrf-248482162 ▶ PHP Object Injection 入門 ◼ https://www.slideshare.net/ssuser12fe9c/php-object-injection-232176005 ▶ Docker導入手順(古め) ◼ https://www.slideshare.net/ssuser12fe9c/docker-232175702

  26. Secure Sky Technology Inc. 26 ご清聴ありがとうございました