Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security.Any #2
Search
snowwhite
January 23, 2025
0
110
Security.Any #2
Security.Anyの登壇資料になります。
snowwhite
January 23, 2025
Tweet
Share
More Decks by snowwhite
See All by snowwhite
JAWS-UG IoT_Switchbot Notify To Discord
yuri_snowwhite
0
540
20241024_an_real_horror_story_for_for_engineer
yuri_snowwhite
0
47
20240712_JAWSUG-FUKUOKA_Cloudgirl
yuri_snowwhite
0
65
2024/05/23_SecurityJAWS登壇
yuri_snowwhite
1
800
20240414_cloudgirl_ec2_costdown
yuri_snowwhite
1
140
2024_storageJAWS_EBSonLVM_created
yuri_snowwhite
0
310
初めてでも分かるPCIDSS,PCI3DSとは
yuri_snowwhite
0
160
AWSの世界観が変わったお話
yuri_snowwhite
0
1.3k
Featured
See All Featured
Building Applications with DynamoDB
mza
94
6.3k
RailsConf 2023
tenderlove
30
1.1k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
Six Lessons from altMBA
skipperchong
27
3.7k
Thoughts on Productivity
jonyablonski
69
4.6k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k
Unsuck your backbone
ammeep
670
57k
Faster Mobile Websites
deanohume
306
31k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Testing 201, or: Great Expectations
jmmastey
42
7.5k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
13
680
Transcript
あの発言の真意 ~現代の脆弱性対策とは~ 2025/01/25 株式会社ゆめみ 白 " 雪姫 "
はじめに 本スライドは、一部ページは書き換えや非 公表にして公開されます。 また、個人的には、供養登壇でもあります。 撮影などはご遠慮ください。
自己紹介 - SUNAOKA YUKI a.k.a 白 " 雪姫 " -
雪(ちゃん or さん)もしくはしらゆきで呼 んでもらっています - 株式会社ゆめみ所属 - セキュリティエンジニア - 保有資格 - CLF/SAA/SAPro/ANS/SCS ) - 決済代行事業のシステム構築・保守・運用を 10 年弱実施後 2023 年にゆめみに入社 - 現在は、 AWS をメインにセキュリティエンジニ アをしている - X - @yuri_snowwhite - blog - https://qiita.com/yuri_snowwhite
今回話すこと ❖ 昨年会ったインシデント ❖ バズった話の供養 ❖ 分析って何するの? ❖ 企業でセキュリティ移り変わり ❖
まとめ
昨年あったインシデント 覚えてますか?
あの大きいインシデントの発生直後に こんな脆弱性出てたんだよ ~!! CVE-2024-6387 - OpenSSH のコンポーネントの脆弱性 - glibc ベースの
Linux では公表時点で攻 撃が成功する (PoC 公開あり ) - 特権でリモートから認証なしの任意 コード発令可能 - アップデートで回避できる というとんでもない脆弱性。
軽率にこんなこと呟きました 中小・大企業それぞれどこにでも一人くらいいるで しょみたいな軽い感覚で起きたときに軽くこんなこと 呟いたら大変なことになりました。 今でもちょっとずつ伸び続けてます。
ぶっちゃけ まじでみんなある程度やってると思っ てたんだって! ( 本音 ) 企業の問題とかメンテできないとか私 もあったけど、 ある程度やってたし! (
お客さんに怒られながら月一で止め てメンテしてた ) - こう思ってました - 使ってる機器の脆弱性情報位 RSSなり メールで取るよね - 最低限JPCERTは取得してるよね - 少なくとも保守担当してる機材の機種くら いは把握してるよね・・・・? - つまり、超軽率だった!(後悔)
供養したので ちゃんと書くと・・・・ - 脆弱性情報引っ張ってたので、 「あー、これ大きい脆弱性かー、 件のこともあるし、今って脆弱性 分析どうしてるのかな?」 って思ってました
具体的に分析ってどうするの? 必要な情報 • とりあえず、使ってるハードとミドルウェア何 買ってたかくらいはリスト ◦ ハードウェアメーカ ◦ ミドルウェア ◦
OS ◦ 利用言語 • 対象の脆弱性かどうか判断 ◦ 対象バージョン ◦ 影響範囲 ◦ 影響する場合のネットワークの場所 適用の時間とかでメンテナンス時間を決める • 適用する目処をどうするか ◦ 再起動有無 ◦ システム停止時間 ◦ 適用にかかる時間 • 適用した後は今まで動いてたものが動くか確認! ◦ これほんとにたまにあるのだけど ▪ ログが出ない(権限書き換わる) ▪ 言語が、その書き方を捨てることで脆弱性対策と いう場合もあって使えなくなることも。 ◦ 結論 ▪ 確認ちゃんとしましょう。
ひとまずやばいと 思ったら、社内で声 あげる
企業の昔と今のセキュリティ対策の比較(一般) 昔 - 業務端末は持ち出さない - お酒を飲む席には業務端末を持って行かない - パスワードは 3 ヶ月に
1 回変えて、自分だけが覚えら れるものに - パブリックスペースでの会話に気をつけること などなど・・・ ISMS や P マークチックな感じが主流 今 - コード不備は無いか? - 自動化して、セキュリティスキャンかけた? - インフラで必要なポートのみにしてるか - 上記に加えて、クラウドセキュリティに当てはめ てる? - 昔のは基本でできるよね?? - セキュリティ情報常に取り入れてる? ISMS や P マークに加えて、 CISA や OWASP が入ってる
まとめ ❖ 脆弱性がないシステムなんてない ➢ しっかり対策をちゃんとしましょう ❖ 魔法で防げるなんてことはない ➢ 魔法なんてありえません、そういうシステムは対策が しっかりしてます。
❖ ゼロデイは防げるものじゃない ➢ ゼロデイはしっかり対策してても起きる可能性がありま す。情報収集はしっかりしておきましょう
ご静聴ありがとうござ いました。