プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Product Security Team

Transcript

1. プロダクトセキュリティチーム立上げにおける
 Vulsの活用
 株式会社ウエディングパーク 
 奥野　健一
 2019.06.17 Vuls祭り#5 


2. Agenda
 1. 自己紹介
 2. Vulsの導入経緯
 3. Vulsの導入
 4. Vulsの実用途
 5.

   まとめ
 


3. 自己紹介


4. 奥野　健一
 @okuken3
 情報系の修士卒
 SIer、業務パッケージベンダーを経て
 2018年12月
 株式会社ウエディングパーク 入社
 プロダクトセキュリティチーム立上げ


5. 株式会社
 ウエディングパーク
 式場探しの決めてが見つかる
 クチコミサイト「ウエディングパーク」
 をはじめとする、結婚にまつわる
 WEBサービスの企画・運営
 


6. サービスラインナップ


7. No.1 Bridal Tech Team By→20 “2020年までに
 ブライダル業界でNo.1の技術者集団になろう”
 社外向け勉強会
 https://weddingpark.connpass.com/ 技術ブログ


   https://engineers.weddingpark.co.jp/

8. なぜウエパがVuls祭りに？


9. 2019年4月某日
 ↑技術広報 Sさん


10. enjoy!インハウス、 たくさんの人に 来て欲しいの！ https://weddingpark.connpass.com/

11. まいったなぁ… 登壇も初めてだし、 セキュリティ界隈の 知り合いも少ないし 何か良い手は…

12. キーワードをたくさんいれる とイイらしいですよ！

13. ・・・

14. キーワード ・・・か

15. ・・・・・

16. 脆 弱 性 診 断
 Vuls
 Burp Suite
 サイバー脅威インテリジェンス
 SCAP


    C V E
 ISMS
 JPCERT/CC
 CSIRT
 Metasploit
 W A F
 IDS/IPS
 NVD
 JVN
 SIEM
 NIST
 Mitre
 Nmap
 SOC
 ペネトレーションテスト
 EDR
 OWASP
 JNSA
 Vuls
 Burp Suite
 C V E
 JPCERT/CC
 OWASP


17. 無事、盛況でした!

18. None
19. None

20. https://vuls-jp.connpass.com/event/131960/ Vuls祭り#5 登壇決定！
 Who’s Using This? に掲載！
 https://vuls.io/ 感激パ…！

21. Vulsの導入経緯


22. プロダクトセキュリティチームの立上げ
 ・ 企業規模の拡大に合わせて、
 　プロダクトセキュリティ専門チームを立上げ
 ・ 脆弱性診断の一部内製化が最初のミッション
 


23. 脆弱性診断の一部内製化
 ・ 外部のセキュリティ事業者による定期診断は継続
 ・ 一部の診断を内製化することで、以下を達成する
 　　- ノウハウの蓄積
 　　- ホワイトボックス観点での診断
 　　-

    柔軟なスケジューリング
 


24. レイヤー毎の診断ツール
 レイヤー 自動診断 手動診断 診断ツール WEBアプリケーション 〇 〇 Burp Suite

    フレームワーク / ライブラリ 〇 - Vuls プログラミング言語 〇 - Vuls ミドルウェア 〇 - Vuls OS 〇 - Vuls サーバー（ハードウェア） 〇 - Vuls ネットワーク 〇 〇 Nmap あくまで手始めパ！ アプリケーション診断 
 プラットフォーム診断 


25. Vulsの選定理由
 ・ プラットフォーム診断の手始めとして
 　　- 既知の危険な脆弱性を含むバージョンを使用していないかのチェックから始める
 　　　(攻撃を伴うプラットフォーム診断の内製化（OpenVAS等を使用）は次の一手)
 ・ Vulsの魅力
 　　- 高い検知精度（複数の脆弱性情報源による）


    　　- エージェントレス
 　　- 国産で勢いのあるOSS


26. Vulsの導入


27. 構成
 CVE 等 ⑤詳細確認 (VulsRepo) ①日次フェッチ ④日次差分通知 ③日次レポート ②日次スキャン ・・・


28. Vuls導入
 ・導入手順（公式）
 　https://vuls.io/docs/ja/install-manually-centos.html
 　https://vuls.io/docs/ja/vulsrepo.html
 ⇒ dep ensure -update で解消
 


    ⇒ 下記の削除で解消
 　$GOPATH/pkg/dep 
 　$GOPATH/pkg/linux_amd64/github.com/golang/dep 
 　$GOPATH/pkg/linux_amd64/github.com/golang/dep.a 
 ・ go-exploitdb の make install でエラー
 　（dep ensure で “failed to export～”）
 ・ vuls の make install でエラー
 　（dep ensure で “Failed to write～”）


29. ほんの少しOSS貢献
 ・ VulsRepoに脆弱性が表示されない不具合 
 　　- cpe指定で検出されたもの全てが対象 
 　　- エラーではなくスルーなので致命的 


    　　- 諸事情で、弊社の主たる用途はcpe指定 
 
 ⇒ 必要に迫られて自ら改修！
 
 ★Vulsのレポートのデータ構造は変化しがち（らしい） 
 https://github.com/usiusi360/vulsrepo/pull/71

30. Vulsの実用途


31. 脆弱性スキャン
 １．PHPやLaravel等の脆弱性情報チェック(※１)
 　　- 基本的に、cpe直指定 かつ type="pseudo"でスキャン(※２) 
 　　- 弊社ではサービス毎に使用バージョンが異なるので、該当バージョンを全て列挙 


    　　（※１：この要件だけなら他にもツールはあるが、Vulsに一本化したかった。） 
 　　（※２：PHPもcpe直指定なのは、弊社諸事情でパッケージマネージャ管理にできていないため。 
 　　　　　 ちなみに、簡易なスクリプトにて自動でバージョン情報を収集しています。） 
 ２．OSの定期セキュリティアップデートの前後で、該当CVE数の減少を確認
 今後はもっと活用して いきたいパよ！

32. 脆弱性情報対応MTG(週次/臨時)
 ・ 各サービスのシステム責任者を集め、脆弱性情報を連携
 　　- Vulsで検出したLaravelやPHPの脆弱性を中心として 
 　　- CVEをプロダクトセキュリティチームで咀嚼して説明 
 ・

    サービス毎に影響有無を確認し、対応要否・スケジュールを検討
 　　- 対応方針、対応結果のレビュー 


33. まとめ


34. まとめ
 ・ プロダクトセキュリティチーム立上げ、脆弱性診断の一部内製化
 ・ プラットフォーム診断ツールの一翼としてVuls導入、日次スキャン
 ・ Vulsで検出したCVEに解釈を添えて、システム責任者に連携、対応
 キーワードの詰め込み は恥だが役に立つパ！

35. ご清聴ありがとうございました！