Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
Search
Riotaro OKADA
PRO
August 31, 2024
Research
4
770
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
まだ脆弱性診断頼みでセキュリティ消耗してるの?
20240831 塩尻サイバーセキュリティ勉強会
Riotaro OKADA
PRO
August 31, 2024
Tweet
Share
More Decks by Riotaro OKADA
See All by Riotaro OKADA
Vulnerabilities and the Future
okdt
PRO
1
220
How Application Security Will Change with the Rise of AI
okdt
PRO
1
70
脆弱性とこれからの話 - ソフトウェアサプライチェインリスク
okdt
PRO
7
1.5k
ソフトウェアセキュリティはAIの登場でどう変わるか - OWASP LLM Top 10
okdt
PRO
14
7.8k
今から取り組む企業のための脆弱性対応~大丈夫、みんなよく分かっていないから~
okdt
PRO
1
150
DXとセキュリティ - IPA Digital Symposium 2021
okdt
PRO
0
110
SHIFT LEFT PATH at AWS DEV DAY3 General Session
okdt
PRO
3
1.2k
Post DevOps What Should We Shift-Left
okdt
PRO
0
4
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
okdt
PRO
0
10
Other Decks in Research
See All in Research
Weekly AI Agents News!
masatoto
26
35k
129 2 th
0325
0
250
医療支援AI開発における臨床と情報学の連携を円滑に進めるために
moda0
0
120
チュートリアル:Mamba, Vision Mamba (Vim)
hf149
5
1.6k
[2024.08.30] Gemma-Ko, 오픈 언어모델에 한국어 입히기 @ 머신러닝부트캠프2024
beomi
0
800
論文読み会 KDD2024 | Relevance meets Diversity: A User-Centric Framework for Knowledge Exploration through Recommendations
cocomoff
0
110
ベイズ的方法に基づく統計的因果推論の基礎
holyshun
0
610
言語処理学会30周年記念事業留学支援交流会@YANS2024:「学生のための短期留学」
a1da4
1
260
ダイナミックプライシング とその実例
skmr2348
3
480
研究の進め方 ランダムネスとの付き合い方について
joisino
PRO
56
20k
精度を無視しない推薦多様化の評価指標
kuri8ive
1
290
Neural Fieldの紹介
nnchiba
1
410
Featured
See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
45
2.2k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
How STYLIGHT went responsive
nonsquared
95
5.2k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
The Cost Of JavaScript in 2023
addyosmani
45
7k
Code Review Best Practice
trishagee
65
17k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
365
25k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
Building an army of robots
kneath
302
44k
Faster Mobile Websites
deanohume
305
30k
A designer walks into a library…
pauljervisheath
204
24k
Transcript
秘伝: 脆弱性診断を うまく活⽤してセキュ リティを確保するには まだ脆弱性診断頼みでセキュリティ消耗してるの? by Riotaro OKADA
セキュリティ診断を過信していないか セキュリティを診断の時点で はじめて検討 多くの企業が脆弱性診断だけでセキュ リティ対策が完了すると誤解していま す。 診断コスト積算⽅式の弊害: テスト範囲の限定 コストや効率性のためにテスト範囲が 限定されています。
ブラックボックステストの性 質 システム全体の脆弱性を⼗分にカバー できません。 「コンポーネント」や「設定」 などの⾒過ごされがちなエア ポケット サプライチェインや設定ミスや不適切 な管理が重要なリスクとなっていま す。 エキスパートテストの限界 無限のリソースとコラボレーションの ある攻撃サイド VS 限られた時間とリ ソースで⾏うテスト
リスクに基づいてセキュリテ ィを診断する視点とは 可⽤性 システムの可⽤性に関するリスクを評価します。 機密性 データの機密性に関する脅威を特定します。 完全性 システムの完全性を脅かす要因を分析します。
想定脅威(外側の⼒)に対する、 対策·対応⼒(内側の⼒)の⽬標 設定 1 脅威の特定 さまざまな情報から、その事業への具体的な脅威をリストに します。 2 対策⼒の⽬標設定 各脅威に対する対応·対策⼒の⽬標レベルを設定します。対
応レベルの設定にあたっては、コンプライアンスが役⽴つこ ともある。 3 テスト計画の⽴案 脅威対応⽬標に基づいたテスト計画を作成します。対応⼒を 検証するためにどんなテストが必要なのかを組み⽴てます。 4 テストサービスの選定 仮説検証の⼿段を組み⽴てます
不正アクセス対策検証の組み⽴て 脅威 機密データへの不正アクセス 攻撃⾯ フルスタック、サプライチェイン、内部の実装、外部の 環境 対策⽬標 攻撃⾯への不正アクセス試⾏の⾃動的な検知と遮断 テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏
期待結果 検知率と遮断率の測定 検知が漏れるケースの発⾒
アプリケーション脆弱性への攻撃対策診断の例 脅威 アプリケーション機能の悪⽤、システムの破壊、妨害⾏ 為のエントリーポイントの発⾒ 攻撃⾯ フルスタック、クラウド設定、DNSなど環境 対策⽬標 攻撃⾯を突破されないこと テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏
期待結果 突破されるケースの発⾒ 脆弱な設定の発⾒ システム上の⽋陥
開発段階の脆弱性を発⾒する 脅威 ソースコードに内在するコーディングの脆弱性 サプライチェインに内在する脆弱性への攻撃 シークレットの盗難 攻撃⾯ コード(10%) OSSコンポーネント(90%) コードレポジトリ、開発者アカウント(Github) 対策⽬標
攻撃⾯を悪⽤されないこと シークレットが漏洩しないこと システムが破壊されないこと テスト内容 攻撃⾯ごとに様々な不正アクセス⼿法の試⾏と 脆弱性が潜在する情報収集 期待結果 不具合により突破されるケースの発⾒ 脆弱なコード、設定の発⾒ システム上の⽋陥の発⾒
システムの概要提供 ネットワーク構成 ネットワークの全体像を提供します。 環境に関する情報 使⽤しているサーバーなど環境を共有します。 ビジネスの構成と資産 情報資産、リスクを説明します。 遵守するべきコンプライアンスもわかります。
結果の活⽤計画 1 結果の分析 診断結果を詳細に分析します。 2 優先順位付け リスクの重要度に基づいて優先順位を決定します。 3 改善プロジェクト 具体的な改善策を策定します。
4 実施と評価 改善策を実施し、効果を評価します。
まとめ 1 ビジネスリスクベースで診断を リスクに基づいたオーダーの重要性を再確認する 2 脅威に対応するシステム能⼒向上 システム構成の概要提供が効果的なテストの鍵です。 3 構築能⼒の獲得、⽀援構造の構築 改善⾏動から、スキルの獲得や脅威·対策情報や組織の組み⽅に関す
るノウハウの獲得のためのパイプを確⽴すること