Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Pr...
Search
okuken
June 17, 2019
Technology
2
2.4k
プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Product Security Team
プロダクトセキュリティチームの立上げにおいて、Vulsを導入した経緯から、実際にどのように活用しているかまでをご紹介します。
okuken
June 17, 2019
Tweet
Share
More Decks by okuken
See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
390
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
380
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
780
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
620
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
500
Dangerous usage of JNDI
okuken
0
420
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
440
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
okuken
0
2.8k
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.4k
Other Decks in Technology
See All in Technology
Model Mondays S2E02: Model Context Protocol
nitya
0
200
登壇ネタの見つけ方 / How to find talk topics
pinkumohikan
3
330
Oracle Audit Vault and Database Firewall 20 概要
oracle4engineer
PRO
3
1.7k
菸酒生在 LINE Taiwan 的後端雙刀流
line_developers_tw
PRO
0
1.1k
プロダクトエンジニアリング組織への歩み、その現在地 / Our journey to becoming a product engineering organization
hiro_torii
0
120
Observability infrastructure behind the trillion-messages scale Kafka platform
lycorptech_jp
PRO
0
130
より良いプロダクトの開発を目指して - 情報を中心としたプロダクト開発 #phpcon #phpcon2025
bengo4com
1
430
25分で解説する「最小権限の原則」を実現するための AWS「ポリシー」大全 / 20250625-aws-summit-aws-policy
opelab
8
900
GeminiとNotebookLMによる金融実務の業務革新
abenben
0
180
[TechNight #90-1] 本当に使える?ZDMの新機能を実践検証してみた
oracle4engineer
PRO
3
140
生成AIでwebアプリケーションを作ってみた
tajimon
2
140
BigQuery Remote FunctionでLooker Studioをインタラクティブ化
cuebic9bic
2
240
Featured
See All Featured
Designing for Performance
lara
609
69k
Statistics for Hackers
jakevdp
799
220k
BBQ
matthewcrist
89
9.7k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Side Projects
sachag
455
42k
Site-Speed That Sticks
csswizardry
10
650
Automating Front-end Workflow
addyosmani
1370
200k
Building Adaptive Systems
keathley
43
2.6k
The Cost Of JavaScript in 2023
addyosmani
51
8.4k
Designing for humans not robots
tammielis
253
25k
Measuring & Analyzing Core Web Vitals
bluesmoon
7
490
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.3k
Transcript
プロダクトセキュリティチーム立上げにおける Vulsの活用 株式会社ウエディングパーク 奥野 健一 2019.06.17 Vuls祭り#5
Agenda 1. 自己紹介 2. Vulsの導入経緯 3. Vulsの導入 4. Vulsの実用途 5.
まとめ
自己紹介
奥野 健一 @okuken3 情報系の修士卒 SIer、業務パッケージベンダーを経て 2018年12月 株式会社ウエディングパーク 入社 プロダクトセキュリティチーム立上げ
株式会社 ウエディングパーク 式場探しの決めてが見つかる クチコミサイト「ウエディングパーク」 をはじめとする、結婚にまつわる WEBサービスの企画・運営
サービスラインナップ
No.1 Bridal Tech Team By→20 “2020年までに ブライダル業界でNo.1の技術者集団になろう” 社外向け勉強会 https://weddingpark.connpass.com/ 技術ブログ
https://engineers.weddingpark.co.jp/
なぜウエパがVuls祭りに?
2019年4月某日 ↑技術広報 Sさん
enjoy!インハウス、 たくさんの人に 来て欲しいの! https://weddingpark.connpass.com/
まいったなぁ… 登壇も初めてだし、 セキュリティ界隈の 知り合いも少ないし 何か良い手は…
キーワードをたくさんいれる とイイらしいですよ!
・・・
キーワード ・・・か
・・・・・
脆 弱 性 診 断 Vuls Burp Suite サイバー脅威インテリジェンス SCAP
C V E ISMS JPCERT/CC CSIRT Metasploit W A F IDS/IPS NVD JVN SIEM NIST Mitre Nmap SOC ペネトレーションテスト EDR OWASP JNSA Vuls Burp Suite C V E JPCERT/CC OWASP
無事、盛況でした!
None
None
https://vuls-jp.connpass.com/event/131960/ Vuls祭り#5 登壇決定! Who’s Using This? に掲載! https://vuls.io/ 感激パ…!
Vulsの導入経緯
プロダクトセキュリティチームの立上げ ・ 企業規模の拡大に合わせて、 プロダクトセキュリティ専門チームを立上げ ・ 脆弱性診断の一部内製化が最初のミッション
脆弱性診断の一部内製化 ・ 外部のセキュリティ事業者による定期診断は継続 ・ 一部の診断を内製化することで、以下を達成する - ノウハウの蓄積 - ホワイトボックス観点での診断 -
柔軟なスケジューリング
レイヤー毎の診断ツール レイヤー 自動診断 手動診断 診断ツール WEBアプリケーション 〇 〇 Burp Suite
フレームワーク / ライブラリ 〇 - Vuls プログラミング言語 〇 - Vuls ミドルウェア 〇 - Vuls OS 〇 - Vuls サーバー(ハードウェア) 〇 - Vuls ネットワーク 〇 〇 Nmap あくまで手始めパ! アプリケーション診断 プラットフォーム診断
Vulsの選定理由 ・ プラットフォーム診断の手始めとして - 既知の危険な脆弱性を含むバージョンを使用していないかのチェックから始める (攻撃を伴うプラットフォーム診断の内製化(OpenVAS等を使用)は次の一手) ・ Vulsの魅力 - 高い検知精度(複数の脆弱性情報源による)
- エージェントレス - 国産で勢いのあるOSS
Vulsの導入
構成 CVE 等 ⑤詳細確認 (VulsRepo) ①日次フェッチ ④日次差分通知 ③日次レポート ②日次スキャン ・・・
Vuls導入 ・導入手順(公式) https://vuls.io/docs/ja/install-manually-centos.html https://vuls.io/docs/ja/vulsrepo.html ⇒ dep ensure -update で解消
⇒ 下記の削除で解消 $GOPATH/pkg/dep $GOPATH/pkg/linux_amd64/github.com/golang/dep $GOPATH/pkg/linux_amd64/github.com/golang/dep.a ・ go-exploitdb の make install でエラー (dep ensure で “failed to export~”) ・ vuls の make install でエラー (dep ensure で “Failed to write~”)
ほんの少しOSS貢献 ・ VulsRepoに脆弱性が表示されない不具合 - cpe指定で検出されたもの全てが対象 - エラーではなくスルーなので致命的
- 諸事情で、弊社の主たる用途はcpe指定 ⇒ 必要に迫られて自ら改修! ★Vulsのレポートのデータ構造は変化しがち(らしい) https://github.com/usiusi360/vulsrepo/pull/71
Vulsの実用途
脆弱性スキャン 1.PHPやLaravel等の脆弱性情報チェック(※1) - 基本的に、cpe直指定 かつ type="pseudo"でスキャン(※2) - 弊社ではサービス毎に使用バージョンが異なるので、該当バージョンを全て列挙
(※1:この要件だけなら他にもツールはあるが、Vulsに一本化したかった。) (※2:PHPもcpe直指定なのは、弊社諸事情でパッケージマネージャ管理にできていないため。 ちなみに、簡易なスクリプトにて自動でバージョン情報を収集しています。) 2.OSの定期セキュリティアップデートの前後で、該当CVE数の減少を確認 今後はもっと活用して いきたいパよ!
脆弱性情報対応MTG(週次/臨時) ・ 各サービスのシステム責任者を集め、脆弱性情報を連携 - Vulsで検出したLaravelやPHPの脆弱性を中心として - CVEをプロダクトセキュリティチームで咀嚼して説明 ・
サービス毎に影響有無を確認し、対応要否・スケジュールを検討 - 対応方針、対応結果のレビュー
まとめ
まとめ ・ プロダクトセキュリティチーム立上げ、脆弱性診断の一部内製化 ・ プラットフォーム診断ツールの一翼としてVuls導入、日次スキャン ・ Vulsで検出したCVEに解釈を添えて、システム責任者に連携、対応 キーワードの詰め込み は恥だが役に立つパ!
ご清聴ありがとうございました!