Upgrade to Pro — share decks privately, control downloads, hide ads and more …

自社の常識を疑い変化を恐れずセキュリティと向き合う!

 自社の常識を疑い変化を恐れずセキュリティと向き合う!

Secure Sky Technology

February 24, 2023
Tweet

More Decks by Secure Sky Technology

Other Decks in Technology

Transcript

  1. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ 長谷川陽介 (はせがわようすけ) (株)セキュアスカイ・テクノロジー 取締役CTO セキュリティ・キャンプ協議会代表理事 千葉大学 非常勤講師 OWASP

    Kansai ボードメンバー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメ ンバー Internet Explorer、Mozilla FirefoxをはじめWebアプリケー ションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/
  2. セキュアスカイ・テクノロジー インターネットを安全にする アドバイザリー 防御サービス 脆弱性診断サービス 教育・支援サービス 今すぐ守る 公開/稼働前から守る 設計/開発前に守る お客様の身近なアドバイザー

    運用フェーズ テスト・改修フェーズ 要件定義・設計・開発 フェーズ セキュリティ対策全般 我々の提供する Webセキュリティ対策 https://www.securesky-tech.com/
  3. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ プログラミング、できると楽しいですよね <?PHP echo "Hello, World"; ?> public class

    Main { public static void main(String[] args){ System.out.println("Hello, world"); } } fn main() { println!("Hello, world"); } PHP Java Rust package main import "fmt" func main() { fmt.Printf("Hello World") } Go print "Hello, World" Python
  4. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ JavaScript ゚ω゚ノ= /`m´)ノ ~┻━┻ //*´∇`*/ ['_']; o=(゚ー゚) =_=3;

    c=(゚Θ゚) =(゚ー゚)-(゚ー゚); (゚Д゚) =(゚Θ゚)= (o^_^o)/ (o^_^o);(゚Д゚)={゚Θ゚: '_' ,゚ω゚ノ : ((゚ω゚ノ==3) +'_') [゚Θ゚] ,゚ー゚ノ :(゚ω゚ノ+ '_')[o^_^o -(゚Θ゚)] ,゚ Д゚ノ:((゚ー゚==3) +'_')[゚ー゚] }; (゚Д゚) [゚Θ゚] =((゚ω゚ノ==3) +'_') [c^_^o];(゚Д゚) ['c'] = ((゚Д゚)+'_') [ (゚ー゚)+(゚ー゚)-(゚Θ゚) ];(゚Д゚) ['o'] = ((゚Д゚)+'_') [゚Θ゚];(゚o゚)=(゚Д゚) ['c']+(゚Д゚) ['o']+(゚ω゚ノ +'_')[゚ Θ゚]+ ((゚ω゚ノ==3) +'_') [゚ー゚] + ((゚Д゚) +'_') [(゚ー゚)+(゚ー゚)]+ ((゚ー゚==3) +'_') [゚Θ゚]+((゚ー゚==3) +'_') [(゚ー゚) - (゚Θ゚)]+(゚Д゚) ['c']+((゚Д゚)+'_') [(゚ー゚)+(゚ー゚)]+ (゚Д゚) ['o']+((゚ー゚==3) +'_') [゚Θ゚];(゚Д゚) ['_'] =(o^_^o) [゚o゚] [゚o゚];(゚ε゚)=((゚ー゚==3) +'_') [゚Θ゚]+ (゚Д゚) .゚Д゚ノ+((゚Д゚)+'_') [(゚ー゚) + (゚ー゚)]+((゚ー゚==3) +'_') [o^_^o -゚Θ゚]+((゚ー゚==3) +'_') [゚Θ゚]+ (゚ω゚ノ +'_') [゚Θ゚]; (゚ー゚)+=(゚Θ゚); (゚Д゚)[゚ε゚]='¥¥'; (゚ Д゚).゚Θ゚ノ=(゚Д゚+ ゚ー゚)[o^_^o -(゚Θ゚)];(o゚ー゚o)=(゚ω゚ノ +'_')[c^_^o];(゚Д゚) [゚o゚]='¥"';(゚Д゚) ['_'] ( (゚Д゚) ['_'] (゚ε゚+(゚Д゚)[゚o゚]+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚ー゚)+ (o^_^o)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((゚ー゚) + (゚Θ゚))+ ((゚ー゚) + (o^_^o))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((゚ー゚) + (゚Θ゚))+ ((o^_^o) +(o^_^o))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((o^_^o) +(o^_^o))+ (o^_^o)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((゚ー゚) + (゚Θ゚))+ ((゚ー゚) + (o^_^o))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((゚ー゚) + (゚Θ゚))+ (゚ー゚)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚ー゚)+ ((゚ー゚) + (゚Θ゚))+ (゚Д゚)[゚ε゚]+((゚ー゚) + (゚Θ゚))+ ((o^_^o) +(o^_^o))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((゚ー゚) + (゚Θ゚))+ (゚ー゚)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((゚ー゚) + (゚Θ゚))+ ((゚ー゚) + (o^_^o))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚ー゚)+ ((゚ー゚) + (o^_^o))+ (゚Д゚)[゚ε゚]+((゚ー゚) + (゚Θ゚))+ (c^_^o)+ (゚Д゚)[゚ ε゚]+(゚ー゚)+ ((o^_^o) - (゚Θ゚))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚Θ゚)+ (c^_^o)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚ー゚)+ ((゚ー゚) + (゚Θ゚))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((゚ー゚) + (゚Θ゚))+ (゚ー゚)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((゚ー゚) + (゚Θ゚))+ (゚ー゚)+ (゚ Д゚)[゚ε゚]+(゚Θ゚)+ ((゚ー゚) + (゚Θ゚))+ ((゚ー゚) + (o^_^o))+ (゚Д゚)[゚ε゚]+((゚ー゚) + (゚Θ゚))+ (゚ー゚)+ (゚Д゚)[゚ ε゚]+(゚ー゚)+ (c^_^o)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((o^_^o) - (゚Θ゚))+ ((゚ー゚) + (o^_^o))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((゚ー゚) + (゚Θ゚))+ ((゚ー゚) + (o^_^o))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((o^_^o) +(o^_^o))+ ((o^_^o) - (゚Θ゚))+ (゚Д゚)[゚ ε゚]+(゚Θ゚)+ ((゚ー゚) + (゚Θ゚))+ (゚ー゚)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚ー゚)+ (゚ー゚)+ (゚Д゚)[゚ε゚]+(゚ー゚)+ ((o^_^o) - (゚ Θ゚))+ (゚Д゚)[゚ε゚]+((゚ー゚) + (゚Θ゚))+ (゚Θ゚)+ (゚Д゚)[゚o゚]) (゚Θ゚)) ('_'); JavaScript https://utf-8.jp/public/aaencode.html
  5. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ セキュリティコミュニティと つながる 安定稼働を脅かすバグ「脆弱性」 への興味  勉強会やメーリングリストなどのコ ミュニティ活動に積極的に参加 自分でも脆弱性を発見

     特定ブラウザーの独自挙動に基づ きWebアプリに発生する脆弱性の 扱いの難解さ  「知っている人だけが知っている」 が、広く公表する危険性もあり悩ま しい  セキュリティのコミュニティに何度も 相談
  6. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ セキュリティの専門性の細分化 ITの普及、技術の進化とともにセキュリティに関連する職種も細 分化され、それぞれの専門性が高まっている 戦略マネージメント セキュリティ監査 施設管理・物理セキュリ ティ 内部犯行対策

    リスクアセスメント ポリシー・ガイドライン 策定・管理 サイバーセキュリティ 教育 セキュアアーキテクチャ 設計 脆弱性対応 セキュアシステム 要件定義 インシデント ハンドリング セキュア プログラミング セキュアソフトウェア 方式設計 ペネトレーションテスト 脆弱性診断 セキュリティツールの 導入・運用 監視・検知・対応 インシデントレスポンス フォレンジック マルウェア解析 脅威・脆弱性情報の 収集・分析・活用 セキュリティ理論研究 セキュリティ技術研究 設計・開発・テスト 運用・保守 研究開発 「ITSS+(セキュリティ領域)」より一部抜粋 https://www.ipa.go.jp/jinzai/itss/itssplus.html#section1-6
  7. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ あらゆる領域で求められる セキュリティ  もともとITは業務を効率化するため の補助的な位置づけだった  インターネットが止まっても事業が止まる ことはなかった

     いまは事業そのものがITの上に存在 している  インターネットが止まると事業そのものが 止まる  特定の事業が止まると社会の広範囲に波 及的に影響が及ぶことも珍しくない  業務のあらゆるところでセキュリティ が求められる
  8. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ あらゆる領域で求められる セキュリティ  「プログラミングが少しでもできると業務の効 率化ができる」と同じ構図がセキュリティに求 められる  自分の業務に加えてセキュリティのことが少しわか

    ると仕事の質が上がる  千葉大学バグハンティングコンテスト  園芸学部の学生の入賞(2017年、2019年)  「漁業、農業はITにより効率化が進められているが、 林業はこれからIT化が進む。そのときに備えてセ キュリティのことを知っておきたい」(本人談)
  9. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ あらゆる領域で求められる セキュリティ 分野だけでなくレイヤーも拡大  セキュリティが対象とするレイヤーも拡大  PC単体のウイルス対策 →

    社内ネット ワークの防御 → 社内システム全体の防御 → サプライチェーンも含む防御  より抽象度の高い領域に対してのセキュ リティの取り組みが求められる 「セキュリティ」の求められる対象領域 が情報技術だけで対応できる範囲を超 える  他者との関係性、人を動かす技術、組織間 での連携も必要
  10. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ あらゆる領域で求められる セキュリティ 対象とするレイヤーに応じた技術が求 められる  マルウェア解析 - アセンブラ

     ネットワーク監視 - プロトコル  Webセキュリティ - 言語、DB、クラウド  部署、会社、組織 - 人や組織を動かす技術 人や組織を動かす  行動経済学 / 社会心理学  哲学 / 社会学 / 経済学 その他  セキュリティのために人文系の知識も必要
  11. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ あらゆる領域で求められるセキュリティ セキュリティ・キャンプでの講義の幅の拡大  将来セキュリティではない道に進む学生にも、その道で使えるセキュリ ティの考え方を学ぶきっかけになって欲しい 心理学の視点から セキュリティを 考えてみよう

    システムを作る「人」、システムへサイバー攻撃をする「人」、サイバー攻撃から守る「人」…サイバーセキュリティの世界に登場する「人」に ついて考えたことはありますか︖本セッションでは、人の心理という側面からサイバーセキュリティを捉えていきます。英語でPsycho (心)-logy(学問・科学)とされているように、心理学では人の考え・感情・行動などを統計的手法を用いて科学的に分析・解明します。科 学的に立証されている心理モデルや理論を用いて、サイバーセキュリティにおける人の行動と心理的背景について説明をしていきます。 人の行動特性を知ることで、「人が使いやすいシステムの開発」や「人が順守しやすいセキュリティ対策」という視点を得ることを目指し ます。 セキュリティ情報を 適切に伝えよう セキュリティの啓蒙・啓発活動はもちろん、脆弱性情報を伝えて警告を発したり、新たな知見を伝えることは、「言葉」を抜きにしてはで きません。情報は発信する人のところに集まり、さらに知見を深めることができますが、セキュリティ関連情報を適切に扱わなければ、 時に他人に害を及ぼしてしまう恐れもあります。 この講義では、皆さんがブログやSNS、あるいはメディアの寄稿記事でセキュリティ情報を公開し、伝えていく際に「何をしてもいいの か」「何をすべきでないのか」、そしてどうすれば多くの人にセキュリティに関心を持ってもらい、より安全な世界を作れるのかを、朝日 新聞社でセキュリティ関連記事を担当する須藤龍也編集委員、Security NEXTの武山知裕編集長とともに考えていきます。なお、も し時間に余裕ができれば、取材時のこぼれ話が紹介できるかもしれません。 本講義の受講に当たって必要なスキル・知識は特にありません。自分のブログやメディアを通じてセキュリティ情報を発信し、正しく伝え ていく際のヒントにしていただきたいと思います。 ハッカーの倫理 前半は、サイバーセキュリティに関連する法律の基礎的な理解をお話しします。後半はパネルディスカッション形式で、園田さんと色々な 事例に基づき、気をつけるべき点をお話しします。 セキュリティ・キャンプ全国大会2022オンライン プログラム:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/jinzai/camp/2022/zenkoku2022_program_list.html
  12. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ あらゆる領域で求められるセキュリティ よく言われる「セキュリティ人材の不足」の掘り下げ  いろんな解釈ができる 例1:セキュリティ会社のリソースが足りない 例1: 社内でセキュリティの仕事をする人が足りない 例3:

    今の業務の中にあるセキュリティに関することがよくわからない 意外と3番目ということも多いのでは?  自分たちの仕事のなかでのセキュリティのことを、自分たち自身でほんの 少しずつでも対応できれば、全体としてよりセキュアな世の中になる いまセキュリティと関わっていない人にとっては新しい領域  心理的、時間的な負担は大きい。…が、それでも前に進まざるを得ない  自分たちでできない・わからないことでも、「できない」「わからない」がわ かるようになれば他の人にお願いすることができる
  13. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ 人材の育成 一方的に知識を教えるものではない  自分の状況、自分の考え方、自分の立場 を理解してもらう  相手の状況、相手の考え方、相手の立場 を理解する

     相互で理解を共有しあうことがまわりま わってお互いの成長へとつながる そのためには、自分の視野の外側や自 分以外の人に対しても常に興味を持 ち続ける必要がある  自分から主体的に!
  14. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ チームで成し遂げる  セキュリティの専門性が高まり、セキュ リティの求められる領域がかつてない ほど広い  当然、一人で何でも対応できるものではな い

     一人が難しくてもチームなら達成できる  チームとして目的・目標を達成するよう にする  自分の技術をチームに対してどう活かすこ とができるか  チームメンバーの能力を引き上げるにはど う行動すればいいか  リーダーだけがチームを作るのではない!
  15. セキュアスカイ・テクノロジー https://www.securesky-tech.com/ まとめ - 今日伝えたかったこと  あらゆる領域でセキュリティが必 要とされる  細分化・深化により一人で閉じるこ

    とが困難になっている  いまセキュリティに関わっていない 人の知識やスキルも伸ばす必要が ある  チームで成し遂げる  自分のスキルをチームのために活 かす、自分以外の人の能力を引き 出す  組織を超えてチームになる