Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

脆弱性スキャナVulsを使ってDevSecOpsを実践!

6 fév. 2017
3 j’aime 4 084 vues
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Prochain SlideShare
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Chargement dans…3
×

Consultez-les par la suite

「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
Citrix Systems Japan
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
Hibino Hisashi
企業のデジタル変革とサイバーリスク
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断研究会
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
1 sur 18 Publicité

脆弱性スキャナVulsを使ってDevSecOpsを実践!

6 fév. 2017
3 j’aime 4 084 vues

Télécharger pour lire hors ligne

Logiciels

第2回 セキュリティ共有勉強会(https://intra-security.connpass.com/event/47638/)の資料です。

第2回 セキュリティ共有勉強会(https://intra-security.connpass.com/event/47638/)の資料です。

Logiciels
Publicité

Suggestions

脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
9.2k vues
36 diapositives
脆弱性スキャナVulsのAWS環境への融合
Takayuki Ushida
3k vues
17 diapositives
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
Takayuki Ushida
5.2k vues
23 diapositives
Vulsで始めよう!DevSecOps!
Takayuki Ushida
3.5k vues
16 diapositives
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
2.6k vues
42 diapositives
脆弱性スキャナVuls(入門編)
Takayuki Ushida
11.8k vues
34 diapositives
Vuls×deep security
一輝 長澤
1.8k vues
11 diapositives
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Takayuki Ushida
3.6k vues
30 diapositives
Publicité

Plus De Contenu Connexe

Diaporamas pour vous (20)

「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
1.5k vues
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
1.7k vues
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
Citrix Systems Japan
1.1k vues
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
Hibino Hisashi
1.8k vues
企業のデジタル変革とサイバーリスク
Riotaro OKADA
986 vues
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
2.6k vues
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断研究会
1.9k vues
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
1.3k vues
I2NSF updates [ISOC-JP event, 2015/08/27]
Takeshi Takahashi
437 vues
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
31.5k vues
2019 1009 f-secure_ali_eater_tokyo13_slideshare
Shinichiro Kawano
165 vues
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
1k vues
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
12k vues
【Log Analytics Tech Meetup】Beatsファミリーの紹介
Hibino Hisashi
2.7k vues
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
1.2k vues
脆弱性情報はこうしてやってくる
JPCERT Coordination Center
3.8k vues
進化するWebトラッキングの話 #ssmjp
sonickun
29.3k vues
Career - design, adaption and diversity - for EMC I&D event
Miya Kohno
1.9k vues
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
Insight Technology, Inc.
1k vues
Amazon Elasticsearch Service & Open Distro for Elasticsearch Meetup
Hibino Hisashi
417 vues
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
1.5k vues
19 diapositives
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
1.7k vues
43 diapositives
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
Citrix Systems Japan
1.1k vues
13 diapositives
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
Hibino Hisashi
1.8k vues
40 diapositives
企業のデジタル変革とサイバーリスク
Riotaro OKADA
986 vues
28 diapositives
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
2.6k vues
14 diapositives

Similaire à 脆弱性スキャナVulsを使ってDevSecOpsを実践! (20)

【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース
Hibino Hisashi
9.5k vues
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
Hibino Hisashi
1.3k vues
みんなが安全にクラウドを使うために色々考えた結果
Masamitsu Maehara
1.3k vues
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
Hibino Hisashi
3k vues
1)空気を読む家』のこれまでの取り組み
aitc_jp
18 vues
IoT デバイス開発のアプローチ
Takashi Matsuoka
2k vues
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP Nagoya
306 vues
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件
Hibino Hisashi
854 vues
組込み(IoT)機器開発者目線の情報セキュリティについて
Tetsuo Furuichi
507 vues
Oculus Quest 2 on Mixed Reality Toolkit V2.5.0~ ハンドトラッキングする方法 ~
Takahiro Miyaura
771 vues
Durable Functions (Core) 気になっていたことを勉強がてら実装してみた
朋志 佐々木
1.8k vues
Dockerのネットワークについて
Nobuyuki Matsui
16.4k vues
Io t security-suzki-20170224
Kuniyasu Suzaki
1.2k vues
「開発者とセキュリティのお付き合い」5パターン
Toshi Aizawa
6 vues
VIOPS10: クラウドのつぎに起こるコト
VIOPS Virtualized Infrastructure Operators group ARCHIVES
601 vues
VIOPS WORKSHOP 10 クラウドの次に起こるコト
Kazumi Hirose
1.7k vues
空回りのクラウド基盤導入
irix_jp
1.7k vues
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
FumieNakayama
99 vues
MUGT02 - vamp demo
Tetsuya Sodo
745 vues
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
NHN テコラス株式会社
1.9k vues
【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース
Hibino Hisashi
9.5k vues
58 diapositives
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
Hibino Hisashi
1.3k vues
28 diapositives
みんなが安全にクラウドを使うために色々考えた結果
Masamitsu Maehara
1.3k vues
29 diapositives
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
Hibino Hisashi
3k vues
38 diapositives
1)空気を読む家』のこれまでの取り組み
aitc_jp
18 vues
28 diapositives
IoT デバイス開発のアプローチ
Takashi Matsuoka
2k vues
18 diapositives
Publicité

Plus récents (20)

cp-3. 計算
kunihikokaneko1
265 vues
20230227 - Verifiable Credentialと画像を用いたSSOの実証と課題点.pdf
Yukishige Nakajo
9 vues
ロボットファイルを解析して保守支援機能を自作する
Masuo Ohara
512 vues
cp-6. 整数データと浮動小数データ
kunihikokaneko1
250 vues
202112 のの会@関数Talk 33rd FunctionTalkInNotesKnowsWorkshop33rd
Satoru Abe
11 vues
cp-12. 文字列
kunihikokaneko1
245 vues
20230226ゆるあさ.pdf
ssuser31cff0
20 vues
cp-7. 配列
kunihikokaneko1
243 vues
co-3. サブクラス、継承
kunihikokaneko1
80 vues
Are Design Patterns Dead?
Yoshitaka Kawashima
340 vues
cp-10. 末尾再帰関数と多重再帰関数
kunihikokaneko1
244 vues
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
NGINX, Inc.
54 vues
How to multiple on-premise AD migrate to single AAD
Michinari Kobuna
54 vues
継承辺りのもしかしたらマイナーかもしれない C#
m ishizaki
12 vues
10分でわかる!SAP Concur 経費精算・請求書管理クラウドシステム
ConcurOrito
33 vues
Cloudbase_サービス概要資料.pdf
ssuser1b6e8b
56 vues
Visual Studio 2013 の起動とプロジェクトの新規作成
kunihikokaneko1
248 vues
継承辺りのもしかしたらマイナーかもしれない C#
m ishizaki
919 vues
cp-9. 再帰関数
kunihikokaneko1
250 vues
cp-5. 繰り返し計算
kunihikokaneko1
252 vues
cp-3. 計算
kunihikokaneko1
265 vues
29 diapositives
20230227 - Verifiable Credentialと画像を用いたSSOの実証と課題点.pdf
Yukishige Nakajo
9 vues
13 diapositives
ロボットファイルを解析して保守支援機能を自作する
Masuo Ohara
512 vues
15 diapositives
cp-6. 整数データと浮動小数データ
kunihikokaneko1
250 vues
34 diapositives
202112 のの会@関数Talk 33rd FunctionTalkInNotesKnowsWorkshop33rd
Satoru Abe
11 vues
26 diapositives
cp-12. 文字列
kunihikokaneko1
245 vues
42 diapositives

脆弱性スキャナVulsを使ってDevSecOpsを実践!

  1. 1. 第2回 セキュリティ共有勉強会 2017.2.3 1 脆弱性スキャナVulsを使って DevSecOpsを実践! Future Architect Inc, Takayuki Ushida
  2. 2. 自己紹介  牛田 隆之(Ushida Takayuki)  フューチャーアーキテクト株式会社 Technology Innovation Group セキュリティーソリューション担当 前職ではインフラ運用・監視系  脆弱性スキャナVulsのビューア「VulsRepo」を開発  Twitter/Qiita/GitHub usiusi360 2
  3. 3. 世間はセキュリティインシデントに 関するニュースで一杯 3抜粋)IT Pro http://itpro.nikkeibp.co.jp/security/?itp_lnavi_security システム運用者担当者は明日は我が身と思って ((;゜Д゜)ガクガクブルブル・・・
  4. 4. 毎日脆弱性情報を収集? 4抜粋)IT Pro http://itpro.nikkeibp.co.jp/security/?itp_lnavi_security 昨年(2016)に発表されたCVE-IDの数は約6600件 CVE-IDだけ発行されていて、JVN・NVDに掲載されて いない脆弱性も沢山ある
  5. 5. 脆弱性情報を起点にした人力運用の限界 脆弱性チェックの自動化が必要 5 日々増えていく脆弱性 を人が一つ一つ判断す るのは限界 自分に関係ない情報も 多いのでツライ 情報を見逃したら脆弱 性が放置されたまま残 ってしまう 継続して実施するのは 困難 負の連鎖
  6. 6. 6 VULnarability Scanner 脆弱性 スキャナー
  7. 7. 7 脆弱性対策にまず必要なのは、 「Visibility(可視化)」と、 可視化したセキュリティ状況の「モニタリング」 「見えないことは、コントロール出来ない」 Vulsのカバー範囲 脆弱性情報収集 対象マシン調査 対策、パッチ検証 本番適用 Vuls 対策、パッチ検証 本番適用 現行運用 Vulsでの運用 自動で可視化
  8. 8. 8 特徴  オープンソース(GPLv3)  エージェントレス・エージェントモード モジュール配置するのみ。  非破壊で安全にスキャン。  セットアップ、初期設定が非常に簡単  ディストリビューションパッケージ及びパッケージ以外のソフトウ ェアの脆弱性も検知可能(要CPE登録)  オンプレ、クラウドの両方に対応  幅広いLinuxディストリビューションに対応 (AmazonLinux、CentOS、Ubuntu、RHEL、FreeBSD、・・・)  Dockerコンテナ対応(SSH不要)  日本語でレポート可能  豊富なレポート手段(Slack, e-mail, TUI, WebUI …)
  9. 9. 9 一時1位(/約1,000万)に! GitHub Stars Vulsの認知度
  10. 10. 10 Vulsのスキャン結果通知  Email、Slack通知に対応(日本語で表示可)
  11. 11. 11 Vulsのレポート(分類) レポート提出 コンソール QuickSight ElasticSearch+Kibana 小規模 大規模 クラウド TUI Web(VulsRepo) Excel オンプレ インタラクティブ システム規模と目的に合わせて選択可能
  12. 12. 12 Vuls TUI Vuls TUIで簡単に結果をコンソールで閲覧可能。
  13. 13. 13 VulsRepo VulsRepoでVulsの結果をピボットテーブルのように色々な角 度から集計できる。またグラフ化することもできる。
  14. 14. 14 Excel連携 Qiita:VulsのログをCSVにしてExcelで可視化する - Execlレポートにすることでシステムに直接アクセスできない 監査組織への定期報告に使える
  15. 15. 15 Qiita:VulsのログをElasticSearchに取り込んで可視化する – オンプレ環境で大量のログを集計、可視化する際に有効 ElasticSearch+Kibana連携
  16. 16. 16 他ツール・サービスとの連携  Zabbix連携 • Qiita:脆弱性スキャナVulsのスキャン結果をZabbixへ連携しアラート 通知する • Qiita:Zabbixに登録されたホスト情報を脆弱性スキャナVulsへ自動連 携する  AWS連携 • Qiita:脆弱性スキャナVulsでAmazon EC2をスキャンし脆弱性深刻度 をタグ付けする • EC2のVulsスキャンをほんの少し便利にするツール「ec2-vuls- config」  AWS Lambda • AWS LambdaでVulsを使おうと試みた話
  17. 17. 17 Vuls 参考情報 • GitHub https://github.com/future-architect/vuls/blob/master/README.ja.md ※日本語マニュアルがあります。 • Qiita:脆弱性スキャナVuls 関連リンク集 http://qiita.com/usiusi360/items/aeb3cd3630badfacdb4e • オープンソースカンファレンス2017 Tokyo/Spring 2017-03-10 (金) 14:00-14:45 明星大学 日野キャンパス Go製脆弱性スキャナー「Vuls」をバズらせたコツとは? エンプラで培った秘伝のSQL開発手法をOSS化! エンプラでSPAで最新UI!?よし、作ってOSS化! 検索
  18. 18. 18 まとめ 脆弱性検知は自動チェックツールを使って運用を楽に! • 脆弱性対策の第一歩はシステムに潜在する脆弱性を可視化するこ とです。 • 脆弱性検知は一回行って終わりではありません。継続的に実施す ることが必要です。 OSSなので無料で使えます! • 検知機能だけでなく、可視化ツールも含めて全ての機能がOSSだ けで構成できます。 • 規模や運用条件に合わせて柔軟に構成できます。

×