Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security.Any #2
Search
snowwhite
January 23, 2025
1
120
Security.Any #2
Security.Anyの登壇資料になります。
snowwhite
January 23, 2025
Tweet
Share
More Decks by snowwhite
See All by snowwhite
20250601_storage_and_bigdate_JAWS
yuri_snowwhite
1
39
250226_SecurityJAWS
yuri_snowwhite
2
440
20250521 yumemi_grow _ finatext
yuri_snowwhite
2
240
JAWS-UG IoT_Switchbot Notify To Discord
yuri_snowwhite
1
570
20241024_an_real_horror_story_for_for_engineer
yuri_snowwhite
0
56
20240712_JAWSUG-FUKUOKA_Cloudgirl
yuri_snowwhite
0
70
2024/05/23_SecurityJAWS登壇
yuri_snowwhite
1
830
20240414_cloudgirl_ec2_costdown
yuri_snowwhite
1
150
2024_storageJAWS_EBSonLVM_created
yuri_snowwhite
0
310
Featured
See All Featured
We Have a Design System, Now What?
morganepeng
52
7.6k
Being A Developer After 40
akosma
91
590k
Into the Great Unknown - MozCon
thekraken
39
1.8k
Why You Should Never Use an ORM
jnunemaker
PRO
56
9.4k
Fontdeck: Realign not Redesign
paulrobertlloyd
84
5.5k
The Cost Of JavaScript in 2023
addyosmani
49
8.1k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
252
21k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
137
34k
Rails Girls Zürich Keynote
gr2m
94
13k
Agile that works and the tools we love
rasmusluckow
329
21k
It's Worth the Effort
3n
184
28k
Building Adaptive Systems
keathley
41
2.6k
Transcript
あの発言の真意 ~現代の脆弱性対策とは~ 2025/01/25 株式会社ゆめみ 白 " 雪姫 "
はじめに 本スライドは、一部ページは書き換えや非 公表にして公開されます。 また、個人的には、供養登壇でもあります。 撮影などはご遠慮ください。
自己紹介 - SUNAOKA YUKI a.k.a 白 " 雪姫 " -
雪(ちゃん or さん)もしくはしらゆきで呼 んでもらっています - 株式会社ゆめみ所属 - セキュリティエンジニア - 保有資格 - CLF/SAA/SAPro/ANS/SCS ) - 決済代行事業のシステム構築・保守・運用を 10 年弱実施後 2023 年にゆめみに入社 - 現在は、 AWS をメインにセキュリティエンジニ アをしている - X - @yuri_snowwhite - blog - https://qiita.com/yuri_snowwhite
今回話すこと ❖ 昨年会ったインシデント ❖ バズった話の供養 ❖ 分析って何するの? ❖ 企業でセキュリティ移り変わり ❖
まとめ
昨年あったインシデント 覚えてますか?
あの大きいインシデントの発生直後に こんな脆弱性出てたんだよ ~!! CVE-2024-6387 - OpenSSH のコンポーネントの脆弱性 - glibc ベースの
Linux では公表時点で攻 撃が成功する (PoC 公開あり ) - 特権でリモートから認証なしの任意 コード発令可能 - アップデートで回避できる というとんでもない脆弱性。
軽率にこんなこと呟きました 中小・大企業それぞれどこにでも一人くらいいるで しょみたいな軽い感覚で起きたときに軽くこんなこと 呟いたら大変なことになりました。 今でもちょっとずつ伸び続けてます。
ぶっちゃけ まじでみんなある程度やってると思っ てたんだって! ( 本音 ) 企業の問題とかメンテできないとか私 もあったけど、 ある程度やってたし! (
お客さんに怒られながら月一で止め てメンテしてた ) - こう思ってました - 使ってる機器の脆弱性情報位 RSSなり メールで取るよね - 最低限JPCERTは取得してるよね - 少なくとも保守担当してる機材の機種くら いは把握してるよね・・・・? - つまり、超軽率だった!(後悔)
供養したので ちゃんと書くと・・・・ - 脆弱性情報引っ張ってたので、 「あー、これ大きい脆弱性かー、 件のこともあるし、今って脆弱性 分析どうしてるのかな?」 って思ってました
具体的に分析ってどうするの? 必要な情報 • とりあえず、使ってるハードとミドルウェア何 買ってたかくらいはリスト ◦ ハードウェアメーカ ◦ ミドルウェア ◦
OS ◦ 利用言語 • 対象の脆弱性かどうか判断 ◦ 対象バージョン ◦ 影響範囲 ◦ 影響する場合のネットワークの場所 適用の時間とかでメンテナンス時間を決める • 適用する目処をどうするか ◦ 再起動有無 ◦ システム停止時間 ◦ 適用にかかる時間 • 適用した後は今まで動いてたものが動くか確認! ◦ これほんとにたまにあるのだけど ▪ ログが出ない(権限書き換わる) ▪ 言語が、その書き方を捨てることで脆弱性対策と いう場合もあって使えなくなることも。 ◦ 結論 ▪ 確認ちゃんとしましょう。
ひとまずやばいと 思ったら、社内で声 あげる
企業の昔と今のセキュリティ対策の比較(一般) 昔 - 業務端末は持ち出さない - お酒を飲む席には業務端末を持って行かない - パスワードは 3 ヶ月に
1 回変えて、自分だけが覚えら れるものに - パブリックスペースでの会話に気をつけること などなど・・・ ISMS や P マークチックな感じが主流 今 - コード不備は無いか? - 自動化して、セキュリティスキャンかけた? - インフラで必要なポートのみにしてるか - 上記に加えて、クラウドセキュリティに当てはめ てる? - 昔のは基本でできるよね?? - セキュリティ情報常に取り入れてる? ISMS や P マークに加えて、 CISA や OWASP が入ってる
まとめ ❖ 脆弱性がないシステムなんてない ➢ しっかり対策をちゃんとしましょう ❖ 魔法で防げるなんてことはない ➢ 魔法なんてありえません、そういうシステムは対策が しっかりしてます。
❖ ゼロデイは防げるものじゃない ➢ ゼロデイはしっかり対策してても起きる可能性がありま す。情報収集はしっかりしておきましょう
ご静聴ありがとうござ いました。