Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security.Any #2
Search
snowwhite
January 23, 2025
1
120
Security.Any #2
Security.Anyの登壇資料になります。
snowwhite
January 23, 2025
Tweet
Share
More Decks by snowwhite
See All by snowwhite
20250601_storage_and_bigdate_JAWS
yuri_snowwhite
1
52
250226_SecurityJAWS
yuri_snowwhite
2
720
20250521 yumemi_grow _ finatext
yuri_snowwhite
2
260
JAWS-UG IoT_Switchbot Notify To Discord
yuri_snowwhite
1
610
20241024_an_real_horror_story_for_for_engineer
yuri_snowwhite
0
59
20240712_JAWSUG-FUKUOKA_Cloudgirl
yuri_snowwhite
0
72
2024/05/23_SecurityJAWS登壇
yuri_snowwhite
1
850
20240414_cloudgirl_ec2_costdown
yuri_snowwhite
1
150
2024_storageJAWS_EBSonLVM_created
yuri_snowwhite
0
320
Featured
See All Featured
Intergalactic Javascript Robots from Outer Space
tanoku
271
27k
[RailsConf 2023] Rails as a piece of cake
palkan
55
5.7k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
161
15k
The Pragmatic Product Professional
lauravandoore
35
6.7k
Product Roadmaps are Hard
iamctodd
PRO
54
11k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
108
19k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
Typedesign – Prime Four
hannesfritz
42
2.7k
How to Ace a Technical Interview
jacobian
278
23k
A better future with KSS
kneath
238
17k
What’s in a name? Adding method to the madness
productmarketing
PRO
23
3.5k
Fireside Chat
paigeccino
37
3.5k
Transcript
あの発言の真意 ~現代の脆弱性対策とは~ 2025/01/25 株式会社ゆめみ 白 " 雪姫 "
はじめに 本スライドは、一部ページは書き換えや非 公表にして公開されます。 また、個人的には、供養登壇でもあります。 撮影などはご遠慮ください。
自己紹介 - SUNAOKA YUKI a.k.a 白 " 雪姫 " -
雪(ちゃん or さん)もしくはしらゆきで呼 んでもらっています - 株式会社ゆめみ所属 - セキュリティエンジニア - 保有資格 - CLF/SAA/SAPro/ANS/SCS ) - 決済代行事業のシステム構築・保守・運用を 10 年弱実施後 2023 年にゆめみに入社 - 現在は、 AWS をメインにセキュリティエンジニ アをしている - X - @yuri_snowwhite - blog - https://qiita.com/yuri_snowwhite
今回話すこと ❖ 昨年会ったインシデント ❖ バズった話の供養 ❖ 分析って何するの? ❖ 企業でセキュリティ移り変わり ❖
まとめ
昨年あったインシデント 覚えてますか?
あの大きいインシデントの発生直後に こんな脆弱性出てたんだよ ~!! CVE-2024-6387 - OpenSSH のコンポーネントの脆弱性 - glibc ベースの
Linux では公表時点で攻 撃が成功する (PoC 公開あり ) - 特権でリモートから認証なしの任意 コード発令可能 - アップデートで回避できる というとんでもない脆弱性。
軽率にこんなこと呟きました 中小・大企業それぞれどこにでも一人くらいいるで しょみたいな軽い感覚で起きたときに軽くこんなこと 呟いたら大変なことになりました。 今でもちょっとずつ伸び続けてます。
ぶっちゃけ まじでみんなある程度やってると思っ てたんだって! ( 本音 ) 企業の問題とかメンテできないとか私 もあったけど、 ある程度やってたし! (
お客さんに怒られながら月一で止め てメンテしてた ) - こう思ってました - 使ってる機器の脆弱性情報位 RSSなり メールで取るよね - 最低限JPCERTは取得してるよね - 少なくとも保守担当してる機材の機種くら いは把握してるよね・・・・? - つまり、超軽率だった!(後悔)
供養したので ちゃんと書くと・・・・ - 脆弱性情報引っ張ってたので、 「あー、これ大きい脆弱性かー、 件のこともあるし、今って脆弱性 分析どうしてるのかな?」 って思ってました
具体的に分析ってどうするの? 必要な情報 • とりあえず、使ってるハードとミドルウェア何 買ってたかくらいはリスト ◦ ハードウェアメーカ ◦ ミドルウェア ◦
OS ◦ 利用言語 • 対象の脆弱性かどうか判断 ◦ 対象バージョン ◦ 影響範囲 ◦ 影響する場合のネットワークの場所 適用の時間とかでメンテナンス時間を決める • 適用する目処をどうするか ◦ 再起動有無 ◦ システム停止時間 ◦ 適用にかかる時間 • 適用した後は今まで動いてたものが動くか確認! ◦ これほんとにたまにあるのだけど ▪ ログが出ない(権限書き換わる) ▪ 言語が、その書き方を捨てることで脆弱性対策と いう場合もあって使えなくなることも。 ◦ 結論 ▪ 確認ちゃんとしましょう。
ひとまずやばいと 思ったら、社内で声 あげる
企業の昔と今のセキュリティ対策の比較(一般) 昔 - 業務端末は持ち出さない - お酒を飲む席には業務端末を持って行かない - パスワードは 3 ヶ月に
1 回変えて、自分だけが覚えら れるものに - パブリックスペースでの会話に気をつけること などなど・・・ ISMS や P マークチックな感じが主流 今 - コード不備は無いか? - 自動化して、セキュリティスキャンかけた? - インフラで必要なポートのみにしてるか - 上記に加えて、クラウドセキュリティに当てはめ てる? - 昔のは基本でできるよね?? - セキュリティ情報常に取り入れてる? ISMS や P マークに加えて、 CISA や OWASP が入ってる
まとめ ❖ 脆弱性がないシステムなんてない ➢ しっかり対策をちゃんとしましょう ❖ 魔法で防げるなんてことはない ➢ 魔法なんてありえません、そういうシステムは対策が しっかりしてます。
❖ ゼロデイは防げるものじゃない ➢ ゼロデイはしっかり対策してても起きる可能性がありま す。情報収集はしっかりしておきましょう
ご静聴ありがとうござ いました。