セキュリティのお仕事: インターネット屋さん編 / LOCAL DEVELOPER DAY '19 Security

Transcript

1. ηΩϡϦςΟͷ͓࢓ࣄ
   લઆ

2. ʮηΩϡϦςΟͷ͓࢓ࣄʯ
   ͱฉ͍ͯʜ
   Πϝʔδ͢Δ΋ͷ͸ʁ

3. ! "

4. ʮηΩϡϦςΟͷ͓࢓ࣄʯ
   Πϝʔδྫ
   ૝ఆ w ੡඼ϕϯμ
   ϋʔυ
   ιϑτ
   w '8

   
   *14
   w 4BOECPY
   &NBJM
   w "OUJ7
   &%3
   w 4*&.
   w αʔϏεఏڙऀ
   w ϚωʔδυαʔϏε
   40$ w Ϋϥ΢υαʔϏεఏڙଆ
   w "84
   "[VSF
   w ։ൃ
   4*FS
   w ݕࠪ
   ΞϓϦ
   ੡඼
   w ؂ࠪ
   w ΠϯςϦδΣϯε
   w ίϯαϧ
   ڭҭ

5. $4*35
   γʔαʔτ
   ΋ͬͱଟ͘ͷ૊৫ʹඞཁͳ
   ͢΂ͯͷ૊৫ʹʁ
   ηΩϡϦςΟରԠͷ͓࿩Ͱ͢

6. $4*35ͷ؆୯ͳઆ໌ w $PNQVUFS
   4FDVSJUZ
   *ODJEFOU
   3FTQPOTF
   5FBN
   w *ODJEFOU
   ॏେࣄނ΍ɺॏେࣄނʹͳΓ͏Δࣄଶ
   w 3FTQPOTF
   5FBN
   ରԠνʔϜ
   w ఆΊͨൣғͷΠϯγσϯτରԠΛߦ͏
   w

   ಺֎ͷ࿈བྷ૭ޱͱͳΓɺద੾ͳରԠΛ͢Δ
   w ফ๷ஂɺࣗܯஂɺ࣏ࣗձͷΑ͏ͳ΋ͷ

7. ηΩϡϦςΟͷ͓࢓ࣄ
   Πϯλʔωοτ԰͞Μฤ גࣜձࣾΠϯλʔωοτΠχγΞςΟϒ
   ηΩϡϦςΟຊ෦
   ηΩϡϦςΟ৘ใ౷ׅࣨ
   ΋΋͍΍͢ͳΓ
   NPNP!JJKBEKQ

8. ࣗݾ঺հ w ΋΋͍΍͢ͳΓ
   w 5XJUUFS
   !TCH
   
   'BDFCPPL
   ZNPNPJ
   w ։ൃɺηΩϡϦςΟ
   w Πϯλʔωοτɺαʔό
   w

   ίϛϡχςΟ׆ಈɺษڧձ
   w ৯΂΋ͷɺϔϰΟϝλϧɺͶ͜
   

9. *OUFSOFU
   *OGSBTUSVDUVSF
   3FWJFX w **+ͷ೺Ѳͨ͠ηΩϡϦςΟ৘ใ΍؍ଌ݁Ռɺ **+ͷηΩϡϦςΟରࡦ׆ಈΛ·ͱΊͯެද͢ Δ͜ͱͰɺΠϯλʔωοτ্ͷΠϯγσϯτ ൃੜঢ়گΛ೺Ѳͯ͠΋Β͏ͨΊͷϨϙʔτɻ ೥݄ΑΓɺ࢛൒ظʹҰճൃߦɻ
   w ࠷৽൛͸7PM ೥݄ൃߦ

   ɻτϐοΫ ͸ϒϩοΫνΣʔϯٕज़Λϕʔεͱͨ͠ΞΠσ ϯςΟςΟ؅ཧɾྲྀ௨ͷಈ޲ղઆͱF4*.ɻ
   w 1%'൛Λ8FC͔ΒແྉͰμ΢ϯϩʔυՄೳɻ
   w ӳޠ൛΋͋Γ·͢ʂ
   ؤுͬͯ·͢ʂ
   w ʮ
   **+
   **3
   ʯͰݕࡧʂ
   

10. **+
    4FDVSJUZ
    %JBSZ w **+άϧʔϓͷ$4*35 νʔϜɺ**+4&$5ʹΑ Δ৘ใൃ৴αΠτ
    w ಛఆͷࣄ৅ʹؔ͢Δৄ ࡉͳௐࠪݚڀɺϋχʔ ϙοτ΍Ϋϩʔϥʔͳ Ͳಠࣗͷ؍ଌ݁ՌΛج

    ʹͨ͠৘ใΛఏڙ
    w IUUQTTFDUJJKBEKQ
    

11. 8J[4BGF
    4FDVSJUZ
    4JHOBM w **+͕ఏڙ͢ΔηΩϡϦςΟ ࣄۀʮXJ[4BGFʯʹ͓͚Δ ࣮ࡍͷ߈ܸ΍ࣄҊͷ؍ଌ৘ ใ΍ɺͦΕΒͷ෼ੳ݁ՌΛ جʹͨ͠৘ใൃ৴αΠτ
    w ηΩϡϦςΟΦϖϨʔγϣ ϯηϯλʔͷ޿ൣͰ໢ཏత

    ͳ৘ใΛجʹ෼ੳͨ͠಺༰ ΛλΠϜϦʔʹൃ৴
    w IUUQTXJ[TBGFJJKBEKQ
    

12. ຊ೔ͷ͓୊
    ηΩϡϦςΟ͸૯߹֨ಆٕ

13. ηΩϡϦςΟͷ͓࢓ࣄ

14. ηΩϡϦςΟ͸෯޿͍ w ηΩϡϦςΟؔ܎ͷ࢓ࣄͱ͍͏ͱʁ
    w ಄ʹʮαΠόʔʯ͕͍ͭͨΒͲ͏͔ʁ
    w ࠓ೔͸$4*35
    γʔαʔτ ʹয఺Λ౰ͯ·͢
    w

    40$ΛؚΜͰ͍ͨΓ΋͠·͢
    w ηΩϡϦςΟରԠ૊৫
    

15. $4*35ͷ׆ಈ w $4*35ͷ׆ಈશൠ
    w ʮඇৗ࣌ʯͱʮฏ࣌ʯ +1$&35$$ʮ$4*35ΨΠυʯΑΓ
    

16. $4*35͕ఏڙ͢Δػೳ ηΩϡϦςΟରԠ૊৫ͷػೳʹΑΔ෼ྨ (ISOG-JʮηΩϡϦςΟରԠ૊৫ͷڭՊॻ v2.1ʯ) ηΩϡϦςΟରԠ૊৫ӡӦ ϦΞϧλΠϜΞφϦγε (ଈ࣌෼ੳ) σΟʔϓΞφϦγε (ਂ۷෼ੳ) ΠϯγσϯτରԠ

    ηΩϡϦςΟରԠঢ়گͷ਍அͱධՁ ڴҖ৘ใͷऩू͓Αͼ෼ੳͱධՁ ηΩϡϦςΟରԠγεςϜӡ༻ɾ։ൃ ಺෦౷੍ɾ಺෦ෆਖ਼ରԠࢧԉ ֎෦૊৫ͱͷੵۃత࿈ܞ
    

17. $4*35ʹؔΘΔਓʑ

18. $4*35૊৫ʹਖ਼ղ͸ͳ͍ w $4*35ػೳͷ࣮૷ํ๏͸༷ʑ
    w ࣮૷͸มԽ͢Δ
    w ૊৫ͷঢ়گɺਓࡐɺ༧ࢉ
    w $4*35ͷߏஙϑΣʔζ
    ن໛

    
    w ੈؒͷ৘੎
    +1$&35$$ʮ$4*35ΨΠυʯΑΓ

19. ηΩϡϦςΟରԠͷ໾ׂҰཡ

20. $4*35ਓࡐͷఆٛͱ֬อ w $4*35ʹٻΊΒΕΔ໾ׂͱਓࡐʹΑΔ෼ྨ
    /$"ʮ$4*35ਓࡐͷఆٛͱ֬อ7FSʯ
    w 1P$ 1PJOU
    PG
    $POUBDU
    w

    ϦʔΨϧΞυόΠβʔ
    w ϊʔςΟϑΟέʔγϣϯ୲౰
    w Ϧαʔνϟʔ
    w ΩϡϨʔλʔ
    w ੬ऑੑ਍அ࢜
    w ηϧϑΞηεϝϯτ୲౰
    w ιϦϡʔγϣϯΞφϦετ
    w ίϚϯμʔ
    w ΠϯγσϯτϚωʔδϟʔ
    w Πϯγσϯτϋϯυϥʔ
    w ΠϯϕεςΟήʔλʔ
    w τϦΞʔδ୲౰
    w ϑΥϨϯδοΫ୲౰
    w ڭҭ୲౰
21. None
22. None
23. None
24. None

25. ໾ׂ෼୲ w ΈΜͳͰࣄʹ͋ͨΔɺ໾ׂ෼୲
    w εʔύʔϚϯ͸͍ͳ͍
    w Ծʹ͍ͨͱͯ͠΋࣌ؒʹ͸ݶΓ͕͋Δ
    w ୭͔͕ൈ͚͚ͨͩͰ่յͯ͠͸ࠔΔ
    

    

26. ࣮ࡍʹ͍Ζ͍Ζͳਓ͕͍·͢ w ֎͔Βݟ͑΍͍͢ਓͨͪ
    w 1P$ɺϦαʔνϟʔɺτϨʔφʔ
    w Τʔε ΞφϦετɺΤόϯδΣϦετ
    w ݟ͑ʹ͍͘ਓͨͪ
    

    w ΞφϦετɺௐࠪνʔϜ
    w ΦϖϨʔλʔɺج൫։ൃɺӡ༻ɺνʔϜӡӦ
    w ৘ใγεςϜɺ؅ཧɺ؂ࠪ
    

27. ηΩϡϦςΟͷ͓࢓ࣄΛ͢Δ

28. ηΩϡϦςΟͷ࢓ࣄʹͭ͘ʁ w ෯޿͍໾ׂͷͲΕ͔Λ୲͑Δ
    w ઐ໳εΩϧΛຏ͘
    ྖҬ***
    *7
    w ྖҬ*

    
    **͸ʜʁ

29. *5ܕਓࡐ w ͋Δઐ໳෼໺ʹಛԽͨ͠ਓ
    *ܕਓࡐ
    w ηΩϡϦςΟۀքɺઈର਺͸গͳ͍
    w ҰൠاۀͰ͸Ϛον͠ͳ͍ʁ
    w *5ܕਓࡐ
    w

    ݱۀ຿ͷεΩϧΛϕʔεʹ͢Δ
    w ηΩϡϦςΟΛ޿ֶ͘Ϳ
    w ηΩϡϦςΟͷ෼໺Λ۷ΓԼ͛Δ ISOG-JʮηΩϡϦςΟରԠ૊৫ͷڭՊॻ v2.1ʯ

30. νʔϜϝϯόʔͷεΩϧηοτྫ

31. ࢲ͕৮Ε͖ͯͨ͜ͱ

32. ܭࢉػՊֶʹ৮ΕΔ w جૅతͳ਺ֶ
    w σʔλߏ଄ͱΞϧΰϦζϜ
    w ܭࢉྔͱ͔
    w ௨৴΍ωοτϫʔΫͷཧ࿦
    

    

33. Πϯλʔωοτͱ5$1*1 w ωοτϫʔΫΛ࢖͏
    w ෳ਺ͷϚγϯͰ෼ࢄॲཧ
    w 04*
    ֊૚ͱ͔
    w &NBJM
    /FU/FXT
    

    w 8FCग़ݱ
    

34. 04΍αʔόʹ৮ΕΔ w ϑϦʔιϑτ
    w Φʔϓϯιʔε
    w #4%
    .*/*9
    -JOVY
    w

    98JOEPX
    w 4IFMM
    1FSM
    5DM5L
    

35. αʔόߏங΍ӡ༻Λͯ͠ΈΔ w ֶੜڞ༻ͷιϑτ΢ΣΞΛ؅ཧ
    w ֶੜ༻αʔόʹྖҬͱݖݶΛ΋Βͬͨ
    w ݚڀࣨωοτϫʔΫΛߏஙɺӡ༻
    w %/4
    &NBJM

    
    8FCͳͲΛߏஙɺӡ༻
    

36. ϓϩάϥϜͷษڧΛ͢Δ w େ͖ͳϓϩάϥϜΛॻͨ͘Ίͷཧ۶ΛֶͿ
    w ߏ଄ԽɺΦϒδΣΫτࢦ޲
    w όάΛ͋·Γग़͞ͳ͍ͨΊͷํ๏࿦
    w 5SBQT
    
    1JUGBMMT
    w

    ੬ऑੑʹ΋ͭͳ͕Δ
    

37. ݚڀͱ͍͏΋ͷͱग़ձ͏ w 8*%&ݚڀձ
    w ଞେֶ΍اۀͷ͍͢͝ਓͨͪʹձ͏
    w ݚڀͷ·Ͷ͝ͱΛ͢Δ
    

38. $"%ͷ։ൃձࣾʹब৬ w ۀ຿஌ࣝ͸
    ͋ͨΓ·͑
    w $"%ͷσʔλߏ଄Λཧղ͢Δ
    w ܗঢ়σʔλ
    
    τϙϩδʔ
    

    w ΠϯλʔωοτΛͭͳ͙
    w ωοτϫʔΫҕһձΛ࡞Δ
    

39. Πϯλʔωοτͷձࣾʹब৬ w ηΩϡϦςΟͷ෦ॺͰ͍Ζ͍Ζ࡞Δ
    w αʔϏεͷόοΫΤϯυɺ*%4
    w ෆ۩߹௥ٻͰ͍Ζ͍ΖֶͿ
    w ৽͘͠ग़͖ͯͨ΋ͷΛ࢖͏ௐ΂Δ
    w

    ษڧձ΍׆ಈͷࢧԉ
    

40. ηΩϡϦςΟʹؔΘΔ

41. ։ൃͰֶΜͩ͜ͱ w ۀ຿෼ੳɺཁ݅ఆٛɺઃܭ
    w ໰୊ͷ෼ղɺ୯७ԽɺఆࣜԽ
    w ਓؒ޻ֶɺ৺ཧֶͳͲͷॳา
    w ωοτϫʔΫ΍04ͷ͘͠Έ
    w

    τϥϒϧγϡʔτେࣄ
    w ޻ఔ؅ཧɺνʔϜӡӦ

42. ηΩϡϦςΟ͸ʜ޿͍ w ৘ใཧ࿦ɺ҉߸
    w ౷ܭֶɺࣾձֶ
    w ۓٸରԠɺࡂ֐ରԠɺ๷ࡂ
    w ๏཯ɺ๷Ӵ
    w

    ֶशɺڭҭɺ৺ཧֶ
    w ҆શ޻ֶɺࣦഊֶ

43. ։ൃऀͳΒͰ͖Δ͜ͱ w ৽͍͠؀ڥ΍πʔϧͷςετɺಋೖ
    w σόοάɺτϥϒϧγϡʔτ
    w ϓϩτλΠϐϯά
    w ࣗಈԽ
    w

    ੬ऑੑ৘ใΛಡΈղ͘
    w ݪཧɺ1P$

44. ಛʹࠔ͍ͬͯΔ͜ͱ

45. ӳޠͱ਺ֶ

46. ਺ֶ͸ཧ޻ֶͷجૅ w ৘ใཧ࿦ʹ΋ͨ͘͞Μ਺ֶ͕ʜ
    w ৽͍͠෺Λཧղ͢Δʹ͸਺ֶ͕ʜ
    w ػցֶश
    %FFQ
    -FBSOJOH
    "*
    w

    #MPDL
    $IBJO
    #JUDPJO
    w ҉߸·ΘΓ
    

47. '*345
    "OOVBM
    $POGFSFODF

48. '*345೥࣍૯ձʹߦͬͯ·ͨ͠ w '*345ͱ͸ʁ
    w '*345
    JT
    UIF
    HMPCBM
    'PSVN
    PG
    *ODJEFOU
    3FTQPOTF
    BOE
    4FDVSJUZ
    5FBNT
    w ੈքதͷηΩϡϦςΟʹؔΘΔ ૊৫͕ू·ΔϑΥʔϥϜ
    

    w ೥ʹҰ౓ɺେن໛ͳΧϯϑΝϨϯ ε͕։࠵͞ΕΔ
    ࠓ೥͸ճ໨ https://www.first.org
    

49. '*345
    "OOVBM
    $POGFSFODF
    
    ঺հ

50. '*345
    "OOVBM
    $POGFSFODF
    #BORVFU
    *DF
    #SFBLFS
    /FUXPSLJOH w *DF
    #SFBLFS
    w ॳ೔ͷॳࢀՃऀ޲͚ձ߹ޙ
    w $POGFSFODF
    #BORVFU
    

    w ೔ఔਅΜத΁Μͷ໷
    w /FUXPSLJOH
    #SFBL
    w ஥ྑ͘ͳΔͨΊͷ࣌ؒ

51. '*345
    "OOVBM
    $POGFSFODF
    "OOVBM
    (FOFSBM
    .FFUJOH w 'PSVNͷ೥࣍૯ձ
    w ໾һબग़
    w ׆ಈใࠂ
    w ձܭใࠂ
    

    w ن໿มߋ
    

52. '*345
    "OOVBM
    $POGFSFODF
    &WFOUT w '*345
    'PPUCBMM
    $VQ
    w 1IPUP
    8BML
    w #:#
    #SJOH
    :PVS
    #PUUMF
    

    
53. None

54. ͦͷଞηΩϡϦςΟؔ܎ͷ૊৫
    ࢲ͕ؔ܎͍ͯ͠Δ΋ͷ w /$"
    ೔ຊγʔαʔτڠٞձ
    w *4"$
    ෼໺ผͷຽؒ૊৫ͷू·Γ
    

    w *40(+
    ࣄۀऀͷू·Γ
    w ଞɺͱͯ΋ͨ͘͞Μ͋Γ·͢
    

55. ຊ೔ͷ͓୊
    ηΩϡϦςΟ͸૯߹֨ಆٕ

56. ·ͱΊ
    ηΩϡϦςΟ͸޿͍
    ࣄଶ͸ৗʹมԽ͢Δ
    มԽʹڧ͍ࣗ෼Λ࡞Δ
    جૅ͸େࣄ

57. 2"

58. ࣭ٙ w શମΛ௨ͯ͠ɺͳΜͰ΋ฉ͍͍ͯͩ͘͞
    w ग़ͯ͜ͳ͔ͬͨ࿩Ͱ΋େৎ෉Ͱ͢
     ਺ଟ͘ͷࣸਅఏڙ: ͨʹ͌͞Μ