Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
preview:第0回 脆弱性対応勉強会 資料
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
hogehuga
November 25, 2018
Technology
130
0
Share
preview:第0回 脆弱性対応勉強会 資料
どのような勉強会にするのか、の概要が分かるように、用意する資料の概要(前半)を開示します。これをもとに、内容が薄いから参加取りやめなどがあれば検討ください。
hogehuga
November 25, 2018
More Decks by hogehuga
See All by hogehuga
認知戦の理解と、市民としての対抗策
hogehuga
0
780
vuls祭り6: 脆弱性対応指標としてのSSVC
hogehuga
0
450
フライングガーデンLT
hogehuga
0
250
第34回 総関西サイバーセキュリティLT大会
hogehuga
0
120
第09回脆弱性対応勉強会(脆弱性管理製品を知る)
hogehuga
1
540
最近のドローン界隈(仮)
hogehuga
0
130
サウナととのい と 水風呂ととのい
hogehuga
0
180
脆弱性対応勉強会Vol.2 Vulsハンズオン
hogehuga
0
1.6k
IoTSecJP_Tokyo_#5-DroneCollection2019
hogehuga
1
2.3k
Other Decks in Technology
See All in Technology
ファインディの事業拡大を支える 拡張可能なデータ基盤へのリアーキテクチャ
hiracky16
0
760
Shipping AI Agents — Lessons from Production
vvatanabe
0
310
Percolatorを廃止し、マルチ検索サービスへ刷新した話 / Search Engineering Tech Talk 2026 Spring
visional_engineering_and_design
0
230
「SaaSの次の時代」に重要性を増すステークホルダーマネジメントの要諦 ~解像度を圧倒的に高めPdMの価値を最大化させる方法~
kakehashi
PRO
3
3.5k
音声言語モデル手法に関する発表の紹介
kzinmr
0
160
【技術書典20】OpenFOAM(自宅で深める流体解析)流れと熱移動(2)
kamakiri1225
0
360
AI バイブコーティングでキーボード不要?!
samakada
0
670
Fabric MCPの紹介と使い分け
ryomaru0825
1
110
Modernizing Your HCL Connections Experience: Visual Report to chain, Profile Enhancements, and AI Integration
wannesrams
0
250
ServiceNow Knowledge 26 の歩き方
manarobot
0
300
「誰一人取り残されない」 AIエージェント時代のプロダクト設計思想 Product Management Summit 2026
mizushimac
1
2.7k
Angular Architecture Revisited Modernizing Angular Architectural Patterns
rainerhahnekamp
0
120
Featured
See All Featured
Navigating Team Friction
lara
192
16k
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
170
Balancing Empowerment & Direction
lara
6
1.1k
Highjacked: Video Game Concept Design
rkendrick25
PRO
1
350
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
150
Scaling GitHub
holman
464
140k
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.8k
What does AI have to do with Human Rights?
axbom
PRO
1
2.1k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
kimpetersen
PRO
0
320
AI Search: Where Are We & What Can We Do About It?
aleyda
0
7.4k
Abbi's Birthday
coloredviolet
2
7.4k
Transcript
第0回脆弱性対応勉強会 2018/12/08-
発言は個人の見解であり、所属組織を代表 するものではありません。 また、所属組織の情報をもとにした見解で はなく、過去の経験や他のインシデントを 観察し、得た知見です。
脆弱性対応研 究会、とは サーバ等の運用をしていると、脆弱性対 応を定期的に実施する必要があるとおも います。 しかしながらこれらについて、 「どのように脆弱性を発見し、影響を判 断するのか」 がまとまった情報が少なく、そのノウハ ウを共有したく、この勉強会を作りまし
た。 特に、OSやフレームワークやライブラ リの階層について検討したいと思います。
本日の進め方 脆弱性対応の基礎知識部分を復習し、特定のCVE番号が振られた脆弱 性について考えてみようと思います。 • 脆弱性対応の基礎知識 ➢CVE、CVSS v2/v3、CVSS[Score|Vector|Environment]、脆弱性の報告経路、 OSSとパッケージのOSS ➢脆弱性情報の収集、とは ➢脆弱性情報の調査方法
➢自組織への適用判断 • 脆弱性対応ロールプレイ ➢CVE-2016-1000031; Apache Struts2 commons-fileupload library ✓ https://www.us-cert.gov/ncas/current-activity/2018/11/05/Apache-Releases- Security-Advisory-Apache-Struts
脆弱性対応の基礎復習
An overview of this section ここでは、脆弱性対応に関する知識の復 習をしようと思います。 • 使っている定義の再確認 •
CVE, CVSS, CVSS[ Score | Vector | Environment ] • 脆弱性発見後の、通常の報告経路 • どのようなフローで対応するのか • フローごとの検討事項 • 情報収集、脆弱性認知 • 脆弱性の詳細確認 • 自組織への適用判定 • 適用と、適用情報の管理
脆弱性対応のフロー 脆弱性対応をする際に、一般的には以下のような 対応フローが存在します。 • 脆弱性情報の収集 ➢脆弱性が発見されたことを認知 • 脆弱性の調査 ➢どのような脆弱性かを調査 •
管理対象への影響評価と決定 ➢管理対象への影響と適用要否の決定 • 実対応 ➢実サーバに適用をし、適用管理する 情報収集 脆弱性 の調査 対象への影響調査 /適用可否 更新と 更新管理
SiteGround - Reliable hosting with speed, security, and support you can count on.
hogehuga
hiracky16
vvatanabe
visional_engineering_and_design
kakehashi
kzinmr
kamakiri1225
samakada
ryomaru0825
wannesrams
manarobot
mizushimac
rainerhahnekamp
lara
sabderemane
rkendrick25
techseoconnect
holman
jnunemaker
axbom
smashingmag
kimpetersen
aleyda
coloredviolet
![本日の進め方 脆弱性対応の基礎知識部分を復習し、特定のCVE番号が振られた脆弱 性について考えてみようと思います。 • 脆弱性対応の基礎知識 ➢CVE、CVSS v2/v3、CVSS[Score|Vector|Environment]、脆弱性の報告経路、 OSSとパッケージのOSS ➢脆弱性情報の収集、とは ➢脆弱性情報の調査方法](https://files.speakerdeck.com/presentations/db815495dfd04e92857c1ab7ad748f7d/slide_3.jpg){kind=link}
