Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
オープンソースで始める
Linuxサーバー脆弱性診断入門
Linuxサーバーの
サイバーセキュリティ対策
©2017 Shinichiro Ohhara 12017/9/2
大原 慎一郎
ohhara@shiojiri.com
(有)トラストネットワークス
長野県塩尻市 塩尻インキュベーションプラザ108号室
●ITシステムに関するネットワークインフラ構築、サーバー構築、クラウド構築
●及びその運用管理、付随するI...
©2017 Shinichiro Ohhara2017/9/2 3
アジェンダ
2017/9/2 ©2017 Shinichiro Ohhara 4
• 脆弱性とは?
• セキュリティ・アップデート
• Windowsやスマートフォンのアップデート方法
• Linuxサーバーのアップデート方法
• セキュリティ...
脆弱性とは?
2017/9/2 ©2017 Shinichiro Ohhara 5
• 一般的には「もろくて弱い」事を指しますが、コ
ンピュータ・ネットワークの分野ではソフトウェア
の欠陥・弱点として「セキュリティホール」とも呼
ばれます。
•...
脆弱性とは?
2017/9/2 ©2017 Shinichiro Ohhara 6
• 脆弱性の原因
– システム設計の不備
– 想定外の方法に対する対策不足
– プログラムコードのミス
– 故意に仕掛けられたもの
– 管理運用の人為的なミス
...
セキュリティ対策ソフトの現状
2017/9/2 ©2017 Shinichiro Ohhara 7
• マルウェアは主要なセキュリティ対策ソフトで検出されない事を
確認して作成される
• 対策する更新ファイルが出たら、さらに検出されない亜種が
...
ゼロデイ攻撃
2017/9/2 ©2017 Shinichiro Ohhara 8
• 脆弱性を解決する修正対策が出る前に行われ
るサイバー攻撃
• 修正対策が出来るまでの期間は脆弱性のある
無防備な状態
• 開発者も知らない未知の脆弱性が闇市...
セキュリティ・アップデート
2017/9/2 ©2017 Shinichiro Ohhara 9
• ソフトウェアのアップデート
– 常に最新状態に更新(セキュリティパッチ適用)
– サイバーセキュリティ対策の最優先事項
– セキュリティ専門家...
Windowsやスマートフォンのアップデート方法
2017/9/2 ©2017 Shinichiro Ohhara 10
 Windows10 セキュリティ更新プログラム
 Windows や Office などのマイクロソフト製品について...
Windowsやスマートフォンのアップデート方法
2017/9/2 ©2017 Shinichiro Ohhara 11
 Windows10 セキュリティ更新プログラム
 セキュリティ更新プログラムは通常、米国日付の毎月第
2 火曜日に公...
Windowsやスマートフォンのアップデート方法
2017/9/2 ©2017 Shinichiro Ohhara 12
 Windows10 セキュリティ更新プログラム
 毎月のリリース サイクルには多数の利点があります
 予測可能なス...
Windowsやスマートフォンのアップデート方法
2017/9/2 ©2017 Shinichiro Ohhara 13
 Windows10 セキュリティ更新プログラム
 Windows Server Update Services (W...
Windowsやスマートフォンのアップデート方法
2017/9/2 ©2017 Shinichiro Ohhara 14
 Apple
 iPhone、iPad、iPod touch の iOS ソフトウェアをアップデート
する
https...
Linuxサーバーのアップデート
2017/9/2 ©2017 Shinichiro Ohhara 15
• 企業等の業務用のエンタープライズ版Linux
RHEL,SUSE LE,Ubuntu(Canonical)
各社サブサポートベンダ...
Linuxサーバーのアップデート方法
2017/9/2 ©2017 Shinichiro Ohhara 16
• Ubuntu 16.04LTSの場合
– デフォルトでセキュリティパッケージは自動更新
• CentOS 7の場合
– デフォルト...
セキュリティパッチの適用箇所
2017/9/2 ©2017 Shinichiro Ohhara 17
• ネットワーク配置に応じて対応が違う
– インターネット(グローバルIPアドレス)
– イントラネット(プライベートIPアドレス)
インター...
セキュリティパッチの適用箇所
2017/9/2 ©2017 Shinichiro Ohhara 18
• システム構成に応じて対応が違う
– ホストOS
– 仮想マシンOS
– Dockerなどのコンテナ
ホストOS
仮想マシンOS コンテナ
...
脆弱性データベース
2017/9/2 ©2017 Shinichiro Ohhara 19
• National Vulnerability Database (NVD)
https://nvd.nist.gov/
アメリカ国立標準技術研究所(...
脆弱性データベース
2017/9/2 ©2017 Shinichiro Ohhara 20
• 共通脆弱性識別子(CVE)
Common Vulnerabilities and Exposures
米国政府の支援を受けた非営利団体のMITRE社...
脆弱性データベース
2017/9/2 ©2017 Shinichiro Ohhara 21
• 共通脆弱性評価システム(CVSS)
Common Vulnerability Scoring System
脆弱性の固有の深刻度を数値で示す
• C...
脆弱性診断
2017/9/2 ©2017 Shinichiro Ohhara 22
• 注意事項!
本資料に記載の行為を自身の管理外のネットワー
クやコンピューターに実行した場合には、サイバー
攻撃と判断され法的責任を負う場合があります。
...
脆弱性診断
2017/9/2 ©2017 Shinichiro Ohhara 23
• 脆弱性診断スキャナ
セキュリティ対策パッチの適用状況を調査
脆弱性データベースに基いて集計
他にWebアプリケーションの動作調査などもある
• 定期的...
脆弱性診断
2017/9/2 ©2017 Shinichiro Ohhara 24
• サーバー・ネットワーク脆弱性診断スキャナ
Nmap
Metasploit
Nessus
OpenVAS
Vuls
• Webアプリケーション脆弱性...
脆弱性診断
2017/9/2 ©2017 Shinichiro Ohhara 25
• Nmap
https://nmap.org/
TCP/IPのサービスポートのポートスキャナー
• nmap –p対象サービスポート –sS –A 対象I...
脆弱性診断
2017/9/2 ©2017 Shinichiro Ohhara 26
• Vuls
脆弱性診断
2017/9/2 ©2017 Shinichiro Ohhara 27
• VULnerability Scanner (Vuls)
https://github.com/future-
architect/vuls/blob/m...
脆弱性診断
2017/9/2 ©2017 Shinichiro Ohhara 28
• 脆弱性診断運用方法
Vuls専用サーバーを用意
個別に脆弱性診断が可能
定期的に対象Linuxサーバーを診断可能
診断結果を集計してレポート作成
...
脆弱性診断
2017/9/2 ©2017 Shinichiro Ohhara 29
脆弱性診断サーバー 統合監視サーバー
監視対象サーバー
定期的にスキャン
診断結果を送信
脆弱性発見時にアラート通知
脆弱性診断
2017/9/2 ©2017 Shinichiro Ohhara 30
• 診断結果レポート
web画面
脆弱性診断
2017/9/2 ©2017 Shinichiro Ohhara 31
• 診断結果レポート
web画面
脆弱性診断
2017/9/2 ©2017 Shinichiro Ohhara 32
• 診断結果レポート
CVSファイル ー Excel出力
脆弱性診断
2017/9/2 ©2017 Shinichiro Ohhara 33
• 診断結果レポート
CVSファイル ー Excel出力
Prochain SlideShare
Chargement dans…5
×
Prochain SlideShare
(Vulsで)脆弱性対策をもっと楽に!
Suivant
Télécharger pour lire hors ligne et voir en mode plein écran

6

Partager

Télécharger pour lire hors ligne

オープンソースで始めるLinuxサーバー脆弱性診断入門

Télécharger pour lire hors ligne

オープンソースで始めるLinuxサーバーの脆弱性診断入門
https://atnd.org/events/90079
会場では実際にデモとしてラズパイを使って実演してみました。

Livres associés

Gratuit avec un essai de 30 jours de Scribd

Tout voir

オープンソースで始めるLinuxサーバー脆弱性診断入門

  1. 1. オープンソースで始める Linuxサーバー脆弱性診断入門 Linuxサーバーの サイバーセキュリティ対策 ©2017 Shinichiro Ohhara 12017/9/2
  2. 2. 大原 慎一郎 ohhara@shiojiri.com (有)トラストネットワークス 長野県塩尻市 塩尻インキュベーションプラザ108号室 ●ITシステムに関するネットワークインフラ構築、サーバー構築、クラウド構築 ●及びその運用管理、付随するITセキュリティ対応 自己紹介 ©2017 Shinichiro Ohhara IPA登録のセキュリティプレゼンター 一般社団法人セキュリティ対策推進協議会 セキュリティサポーター サイバーセキュリティ普及啓発の一環として、毎年2月から3月にかけて官民連携サ イバーセキュリティ月間を政府の内閣サイバーセキュリティセンターが中心となって 行っています。 長野県塩尻市にて関連イベントとして2016年3月、2017年2月にサイバーセキュ リティ勉強会を関係各所のご協力にて開催しました。 また発起人として情報セキュリティの講師も担当。 2017/9/2 2
  3. 3. ©2017 Shinichiro Ohhara2017/9/2 3
  4. 4. アジェンダ 2017/9/2 ©2017 Shinichiro Ohhara 4 • 脆弱性とは? • セキュリティ・アップデート • Windowsやスマートフォンのアップデート方法 • Linuxサーバーのアップデート方法 • セキュリティパッチの適用箇所 • 脆弱性データベース • 脆弱性診断
  5. 5. 脆弱性とは? 2017/9/2 ©2017 Shinichiro Ohhara 5 • 一般的には「もろくて弱い」事を指しますが、コ ンピュータ・ネットワークの分野ではソフトウェア の欠陥・弱点として「セキュリティホール」とも呼 ばれます。 • 脆弱性を悪用してマルウェア(悪意を持ったソ フトウェアの総称)などで悪意を持ったハッカー によりサイバー攻撃が仕掛けられます。
  6. 6. 脆弱性とは? 2017/9/2 ©2017 Shinichiro Ohhara 6 • 脆弱性の原因 – システム設計の不備 – 想定外の方法に対する対策不足 – プログラムコードのミス – 故意に仕掛けられたもの – 管理運用の人為的なミス • 人間が作成する以上は脆弱性は無くならない
  7. 7. セキュリティ対策ソフトの現状 2017/9/2 ©2017 Shinichiro Ohhara 7 • マルウェアは主要なセキュリティ対策ソフトで検出されない事を 確認して作成される • 対策する更新ファイルが出たら、さらに検出されない亜種が 作成される • 更新ファイルより新種のマルウェア亜種の出現速度が早く種 類も多い • 標的型攻撃に使用されるマルウェアは特注なので汎用的な 更新ファイルには検知されない • 既存の更新ファイルで検出されるマルウェアは半数以下とも 言われている • 振る舞い検知(ヒューリスティック)で未知のマルウェアに対応 • 不審な動作を隠してヒューリスティック検知を回避するマルウェ ア • ユーザーが不審なファイルに注意する事が重要
  8. 8. ゼロデイ攻撃 2017/9/2 ©2017 Shinichiro Ohhara 8 • 脆弱性を解決する修正対策が出る前に行われ るサイバー攻撃 • 修正対策が出来るまでの期間は脆弱性のある 無防備な状態 • 開発者も知らない未知の脆弱性が闇市場で高 値で売買されている • 未知の脆弱性を悪用したマルウェア • ゼロデイ攻撃を想定して多層防御を準備 • 常に最新のセキュリティ情報を収集
  9. 9. セキュリティ・アップデート 2017/9/2 ©2017 Shinichiro Ohhara 9 • ソフトウェアのアップデート – 常に最新状態に更新(セキュリティパッチ適用) – サイバーセキュリティ対策の最優先事項 – セキュリティ専門家が重視している対策方法 – 基本ソフト(OS)のWindowsなどを真っ先に対策 – 次に各アプリケーションソフト • 使用しないソフトウェアは削除 • サポート期間が終わったソフトウェアは使用し ない
  10. 10. Windowsやスマートフォンのアップデート方法 2017/9/2 ©2017 Shinichiro Ohhara 10  Windows10 セキュリティ更新プログラム  Windows や Office などのマイクロソフト製品については、Windows Update / Microsoft Update の自動更新機能を使うことで、自動 的に更新が適用され常に最新の状態に保つことができます。 出典:セキュリティ基本対策 5 か条 1. 最新の状態で利用する https://support.microsoft.com/ja-jp/help/12373/windows-update-faq
  11. 11. Windowsやスマートフォンのアップデート方法 2017/9/2 ©2017 Shinichiro Ohhara 11  Windows10 セキュリティ更新プログラム  セキュリティ更新プログラムは通常、米国日付の毎月第 2 火曜日に公開します。日本では、時差の関係上、毎 月第 2 火曜日の翌日 (第 2 水曜または第 3 水曜) に公開を行います。ただし、ウイルス、ワームによる攻撃、 またはそのほかの悪質な活動により、即時の危険を被 ると判断した場合は下記のリリース スケジュールに従わ ず例外措置をとり、セキュリティ更新プログラムを可能な 限り迅速に公開します。 出典:セキュリティ更新プログラム リリース スケジュール https://technet.microsoft.com/ja-jp/security/hh224643  定例もしくは月例の更新と呼ばれます。  この他に緊急実施される定例外更新があります。
  12. 12. Windowsやスマートフォンのアップデート方法 2017/9/2 ©2017 Shinichiro Ohhara 12  Windows10 セキュリティ更新プログラム  毎月のリリース サイクルには多数の利点があります  予測可能なスケジュールで、お客様がセキュリティ更新プログラ ムの適用プランを立てられる  問題、および更新プログラムを極力まとめ、更新をより少なくす る  セキュリティ情報の全体的な品質を改善する。予測可能なリリー ススケジュールと併せて、これにより、より洗練されたプロダク ション、および検証プロセスを行うことが可能  出典:セキュリティ更新プログラムのライフサイクル https://technet.microsoft.com/ja-jp/security/dn436305
  13. 13. Windowsやスマートフォンのアップデート方法 2017/9/2 ©2017 Shinichiro Ohhara 13  Windows10 セキュリティ更新プログラム  Windows Server Update Services (WSUS) を使用す ると、IT 管理者は Microsoft 製品の最新の更新プログ ラムを展開できます。  1 台の WSUS サーバーを、組織内にある他の WSUS サーバー用の更新プログラムの供給元として運用できま す。 更新プログラムの供給元として機能する WSUS サーバーは、"アップストリーム サーバー" と呼ばれます。  更新プログラム管理の一元化  更新プログラム管理の自動化  出典:Windows Server Update Services の概要 https://msdn.microsoft.com/ja-jp/library/hh852345(v=ws.11).aspx#WSUS サーバーの 役割の説明
  14. 14. Windowsやスマートフォンのアップデート方法 2017/9/2 ©2017 Shinichiro Ohhara 14  Apple  iPhone、iPad、iPod touch の iOS ソフトウェアをアップデート する https://support.apple.com/ja-jp/ht204204  Mac のソフトウェアをアップデートする https://support.apple.com/ja-jp/HT201541  Android  NTT DoCoMo https://www.nttdocomo.co.jp/support/utilization/product_update/list/update/i ndex.html  AU https://www.au.com/information/notice_mobile/update/os-update/  SoftBank https://www.softbank.jp/mobile/support/smartphone/software_update/security -update/  Android アプリの更新 https://support.google.com/googleplay/answer/113412?hl=ja
  15. 15. Linuxサーバーのアップデート 2017/9/2 ©2017 Shinichiro Ohhara 15 • 企業等の業務用のエンタープライズ版Linux RHEL,SUSE LE,Ubuntu(Canonical) 各社サブサポートベンダー ベンダーの有償サポートを利用しましょう • オープンソースのコミュニティ版Linux Fedora,CentOS,Debian,Ubuntu,OpenSUSE セキュリティ対策アップデートしてますか? 脆弱性を放置したLinuxサーバーが多数存在 踏み台として悪用されているLinuxサーバー
  16. 16. Linuxサーバーのアップデート方法 2017/9/2 ©2017 Shinichiro Ohhara 16 • Ubuntu 16.04LTSの場合 – デフォルトでセキュリティパッケージは自動更新 • CentOS 7の場合 – デフォルトではセキュリティパッケージのリポジトリが 無効で対象パッケージが検出されない – CentOS 6までの場合は # yum --security update – 別途セキュリティパッケージのリポジトリを登録 • 本番運用で自動更新を実施しない事も多い
  17. 17. セキュリティパッチの適用箇所 2017/9/2 ©2017 Shinichiro Ohhara 17 • ネットワーク配置に応じて対応が違う – インターネット(グローバルIPアドレス) – イントラネット(プライベートIPアドレス) インターネット イントラネット ファイヤーウォール 内部PC 公開サーバー 内部サーバー
  18. 18. セキュリティパッチの適用箇所 2017/9/2 ©2017 Shinichiro Ohhara 18 • システム構成に応じて対応が違う – ホストOS – 仮想マシンOS – Dockerなどのコンテナ ホストOS 仮想マシンOS コンテナ コンテナ 仮想マシンOS
  19. 19. 脆弱性データベース 2017/9/2 ©2017 Shinichiro Ohhara 19 • National Vulnerability Database (NVD) https://nvd.nist.gov/ アメリカ国立標準技術研究所(National Institute of Standards and Technology、通称NIST)が管理している脆弱性情報データベース • Japan Vulnerability Notes (JVN) http://jvn.jp JPCERT/CCと情報処理推進機構(IPA)が共同で管理している日本国内 でJPCERT/CCに申請のあった脆弱性情報データベース • JVN iPedia http://jvndb.jvn.jp/ JVNと同様に共同管理、国内外問わず脆弱性情報を収集、蓄積すること を目的とした脆弱性情報データベース
  20. 20. 脆弱性データベース 2017/9/2 ©2017 Shinichiro Ohhara 20 • 共通脆弱性識別子(CVE) Common Vulnerabilities and Exposures 米国政府の支援を受けた非営利団体のMITRE社 (http://www.mitre.org/)が主要な脆弱性情報サイ トと連携して脆弱性情報の収集と重複の無い統一な 採番を行っています。 • 採番形式: CVE-西暦-連番 • CVE識別番号管理サイト (http://cve.mitre.org/)
  21. 21. 脆弱性データベース 2017/9/2 ©2017 Shinichiro Ohhara 21 • 共通脆弱性評価システム(CVSS) Common Vulnerability Scoring System 脆弱性の固有の深刻度を数値で示す • CVSSv2と2015年6月10日に公開されたCVSSv3 がある CVSS V2 CVSS V3 注意(LOW) 0.0~3.9 注意(LOW) 0.1~3.9 警告(MEDIUM) 4.0~6.9 警告(MEDIUM) 4.0~6.9 危険(HIGH) 7.0~10.0 重要(HIGH) 7.0~8.9 緊急(CRITICAL) 9.0~10.0
  22. 22. 脆弱性診断 2017/9/2 ©2017 Shinichiro Ohhara 22 • 注意事項! 本資料に記載の行為を自身の管理外のネットワー クやコンピューターに実行した場合には、サイバー 攻撃と判断され法的責任を負う場合があります。 自身の管理下であっても関係者に事前の承諾が 必要になる場合があります。 診断結果もセキュリティ情報になる為、関係者以 外には公開しない事を推奨します。 本資料に関わる行為に一切責任は負いません。
  23. 23. 脆弱性診断 2017/9/2 ©2017 Shinichiro Ohhara 23 • 脆弱性診断スキャナ セキュリティ対策パッチの適用状況を調査 脆弱性データベースに基いて集計 他にWebアプリケーションの動作調査などもある • 定期的な実施が望ましい 日々新しい脆弱性が発見される 新たに追加したソフトウェアに診断が必要 緊急時には随時実施 • セキュリティパッチの実施は別手段で
  24. 24. 脆弱性診断 2017/9/2 ©2017 Shinichiro Ohhara 24 • サーバー・ネットワーク脆弱性診断スキャナ Nmap Metasploit Nessus OpenVAS Vuls • Webアプリケーション脆弱性診断スキャナ OWASP Zed Attack Proxy
  25. 25. 脆弱性診断 2017/9/2 ©2017 Shinichiro Ohhara 25 • Nmap https://nmap.org/ TCP/IPのサービスポートのポートスキャナー • nmap –p対象サービスポート –sS –A 対象IPアドレス • 例:nmap –p1-1000 –sS –A 192.168.0.1 脆弱性調査のスクリプト機能 • https://nmap.org/nsedoc/ • nmap –-script カテゴリ名など 対象IPアドレス • 例:nmap -- script malware 192.168.0.1
  26. 26. 脆弱性診断 2017/9/2 ©2017 Shinichiro Ohhara 26 • Vuls
  27. 27. 脆弱性診断 2017/9/2 ©2017 Shinichiro Ohhara 27 • VULnerability Scanner (Vuls) https://github.com/future- architect/vuls/blob/master/README.ja.md Linuxサーバー用の脆弱性スキャナ Ubuntu, Debian, CentOS, Amazon Linux, RHEL, Raspbianに対応 クラウド、オンプレミス、コンテナ(Docker)に対応 エージェントレス 非破壊スキャン(SSHでコマンド発行するだけ) 開発言語go 開発はフューチャーアーキテクト社(Kota Kanbe氏)
  28. 28. 脆弱性診断 2017/9/2 ©2017 Shinichiro Ohhara 28 • 脆弱性診断運用方法 Vuls専用サーバーを用意 個別に脆弱性診断が可能 定期的に対象Linuxサーバーを診断可能 診断結果を集計してレポート作成 診断結果を統合監視Zabbixサーバーへ送信 脆弱性が発見された場合にはzabbixサーバー から警告通知
  29. 29. 脆弱性診断 2017/9/2 ©2017 Shinichiro Ohhara 29 脆弱性診断サーバー 統合監視サーバー 監視対象サーバー 定期的にスキャン 診断結果を送信 脆弱性発見時にアラート通知
  30. 30. 脆弱性診断 2017/9/2 ©2017 Shinichiro Ohhara 30 • 診断結果レポート web画面
  31. 31. 脆弱性診断 2017/9/2 ©2017 Shinichiro Ohhara 31 • 診断結果レポート web画面
  32. 32. 脆弱性診断 2017/9/2 ©2017 Shinichiro Ohhara 32 • 診断結果レポート CVSファイル ー Excel出力
  33. 33. 脆弱性診断 2017/9/2 ©2017 Shinichiro Ohhara 33 • 診断結果レポート CVSファイル ー Excel出力
  • yasuhirogotou

    Jun. 20, 2020
  • yukinishi4

    Oct. 15, 2019
  • soskaykakehi

    Sep. 3, 2017
  • NatsumiTsujimura1

    Sep. 3, 2017
  • kmikage

    Sep. 2, 2017
  • ozawaken

    Sep. 2, 2017

オープンソースで始めるLinuxサーバーの脆弱性診断入門 https://atnd.org/events/90079 会場では実際にデモとしてラズパイを使って実演してみました。

Vues

Nombre de vues

2 547

Sur Slideshare

0

À partir des intégrations

0

Nombre d'intégrations

282

Actions

Téléchargements

10

Partages

0

Commentaires

0

Mentions J'aime

6

×