Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
Search
Riotaro OKADA
PRO
August 31, 2024
Research
4
860
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
まだ脆弱性診断頼みでセキュリティ消耗してるの?
20240831 塩尻サイバーセキュリティ勉強会
Riotaro OKADA
PRO
August 31, 2024
Tweet
Share
More Decks by Riotaro OKADA
See All by Riotaro OKADA
開発運用のセキュリティ実践を”デザイン”する
okdt
PRO
0
33
品質管理とセキュリティの新基準:ブラックボックス化から脱却するソフトウェア透明性
okdt
PRO
0
46
Perfect Enterprise Security Practice?
okdt
PRO
1
280
Vulnerabilities and the Future
okdt
PRO
1
260
How Application Security Will Change with the Rise of AI
okdt
PRO
1
100
脆弱性とこれからの話 - ソフトウェアサプライチェインリスク
okdt
PRO
7
1.6k
ソフトウェアセキュリティはAIの登場でどう変わるか - OWASP LLM Top 10
okdt
PRO
14
8.8k
今から取り組む企業のための脆弱性対応~大丈夫、みんなよく分かっていないから~
okdt
PRO
1
170
DXとセキュリティ - IPA Digital Symposium 2021
okdt
PRO
0
150
Other Decks in Research
See All in Research
NLP2025参加報告会 LT資料
hargon24
1
310
DeepSeek-R1の論文から読み解く背景技術
personabb
3
620
Agentic AIとMCPを利用したサービス作成入門
mickey_kubo
0
120
2025年度 生成AIの使い方/接し方
hkefka385
1
660
ストレス計測方法の確立に向けたマルチモーダルデータの活用
yurikomium
0
250
CSP: Self-Supervised Contrastive Spatial Pre-Training for Geospatial-Visual Representations
satai
3
150
ASSADS:ASMR動画に合わせて撫でられる感覚を提示するシステムの開発と評価 / ec75-shimizu
yumulab
1
280
LLM-as-a-Judge: 文章をLLMで評価する@教育機関DXシンポ
k141303
3
780
Principled AI ~深層学習時代における課題解決の方法論~
taniai
3
1.2k
Type Theory as a Formal Basis of Natural Language Semantics
daikimatsuoka
1
170
ウッドスタックチャン:木材を用いた小型エージェントロボットの開発と印象評価 / ec75-sato
yumulab
1
330
言語モデルによるAI創薬の進展 / Advancements in AI-Driven Drug Discovery Using Language Models
tsurubee
2
350
Featured
See All Featured
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
The Straight Up "How To Draw Better" Workshop
denniskardys
233
140k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.8k
Fireside Chat
paigeccino
37
3.5k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.9k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
180
53k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
60k
Scaling GitHub
holman
459
140k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
48
5.4k
Designing Experiences People Love
moore
142
24k
Building Better People: How to give real-time feedback that sticks.
wjessup
368
19k
Transcript
秘伝: 脆弱性診断を うまく活⽤してセキュ リティを確保するには まだ脆弱性診断頼みでセキュリティ消耗してるの? by Riotaro OKADA
セキュリティ診断を過信していないか セキュリティを診断の時点で はじめて検討 多くの企業が脆弱性診断だけでセキュ リティ対策が完了すると誤解していま す。 診断コスト積算⽅式の弊害: テスト範囲の限定 コストや効率性のためにテスト範囲が 限定されています。
ブラックボックステストの性 質 システム全体の脆弱性を⼗分にカバー できません。 「コンポーネント」や「設定」 などの⾒過ごされがちなエア ポケット サプライチェインや設定ミスや不適切 な管理が重要なリスクとなっていま す。 エキスパートテストの限界 無限のリソースとコラボレーションの ある攻撃サイド VS 限られた時間とリ ソースで⾏うテスト
リスクに基づいてセキュリテ ィを診断する視点とは 可⽤性 システムの可⽤性に関するリスクを評価します。 機密性 データの機密性に関する脅威を特定します。 完全性 システムの完全性を脅かす要因を分析します。
想定脅威(外側の⼒)に対する、 対策·対応⼒(内側の⼒)の⽬標 設定 1 脅威の特定 さまざまな情報から、その事業への具体的な脅威をリストに します。 2 対策⼒の⽬標設定 各脅威に対する対応·対策⼒の⽬標レベルを設定します。対
応レベルの設定にあたっては、コンプライアンスが役⽴つこ ともある。 3 テスト計画の⽴案 脅威対応⽬標に基づいたテスト計画を作成します。対応⼒を 検証するためにどんなテストが必要なのかを組み⽴てます。 4 テストサービスの選定 仮説検証の⼿段を組み⽴てます
不正アクセス対策検証の組み⽴て 脅威 機密データへの不正アクセス 攻撃⾯ フルスタック、サプライチェイン、内部の実装、外部の 環境 対策⽬標 攻撃⾯への不正アクセス試⾏の⾃動的な検知と遮断 テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏
期待結果 検知率と遮断率の測定 検知が漏れるケースの発⾒
アプリケーション脆弱性への攻撃対策診断の例 脅威 アプリケーション機能の悪⽤、システムの破壊、妨害⾏ 為のエントリーポイントの発⾒ 攻撃⾯ フルスタック、クラウド設定、DNSなど環境 対策⽬標 攻撃⾯を突破されないこと テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏
期待結果 突破されるケースの発⾒ 脆弱な設定の発⾒ システム上の⽋陥
開発段階の脆弱性を発⾒する 脅威 ソースコードに内在するコーディングの脆弱性 サプライチェインに内在する脆弱性への攻撃 シークレットの盗難 攻撃⾯ コード(10%) OSSコンポーネント(90%) コードレポジトリ、開発者アカウント(Github) 対策⽬標
攻撃⾯を悪⽤されないこと シークレットが漏洩しないこと システムが破壊されないこと テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏と 脆弱性が潜在する情報収集 期待結果 不具合により突破されるケースの発⾒ 脆弱なコード、設定の発⾒ システム上の⽋陥の発⾒
システムの概要提供 ネットワーク構成 ネットワークの全体像を提供します。 環境に関する情報 使⽤しているサーバーなど環境を共有します。 ビジネスの構成と資産 情報資産、リスクを説明します。 遵守するべきコンプライアンスもわかります。
結果の活⽤計画 1 結果の分析 診断結果を詳細に分析します。 2 優先順位付け リスクの重要度に基づいて優先順位を決定します。 3 改善プロジェクト 具体的な改善策を策定します。
4 実施と評価 改善策を実施し、効果を評価します。
まとめ 1 ビジネスリスクベースで診断を リスクに基づいたオーダーの重要性を再確認する 2 脅威に対応するシステム能⼒向上 システム構成の概要提供が効果的なテストの鍵です。 3 構築能⼒の獲得、⽀援構造の構築 改善⾏動から、スキルの獲得や脅威·対策情報や組織の組み⽅に関す
るノウハウの獲得のためのパイプを確⽴すること