SlideShare une entreprise Scribd logo

ツールを用いた脆弱性リスクの管理・低減

MKT International Inc.
MKT International Inc.

ランサムウェアでも、システム内にある既存の脆弱性を利用しているものが増加してきています。最近話題に上がったSamsamでもJBossの既存の脆弱性を利用しています。このようなランサムウェアなどのリスクからシステムを守る為にはシステム内にある脆弱性を把握し必要な所にパッチを当てるなどの対処が必要になります。このセッションでは、Rapid7のnexposeを用いたシステムに対する脆弱性リスク管理とその重要性をご紹介します。

Périphériques & matériel
1  sur  23
Télécharger pour lire hors ligne
ツールを用いた脆弱性リスクの管理・低減 ~防御ベースセキュリティーから リスクベースセキュリティーへ~ Rapid7 Japan 牛込 秀樹 2016年6月15日 脆弱性情報管理, 侵入テスト, リスク管理, ユーザ行動分析, コンプライアンス
社名: Rapid7 Inc. (NASDAQ: RPD) CEO: Corey E. Thomas 設立: 2000年1月 本社: 米国ボストン 事業内容: 世界的に著名な情報セキュリティ研究者 による次世代セキュリティ製品開発、 フィルタやサービス提供 顧客数: 5,000社+ 従業員数: 800人+ 売上: $150M+ (2015 44%成長) 日本オフィス: 港区赤坂、アーク森ビル(2014年3月) Rapid7 会社概要 2 nexpose 脆弱性管理・可視化ソリューション metasploit 業界標準侵入テストソリューション appspider Webアプリケーションスキャナ・仮想パッチ insightIDR ユーザ行動分析・管理・可視化 主要ソリューション 第三者評価 2000 ボストンにてAllan Matthews, Chad Loder, Tas Giakouminakisにより「Rapid7」を創業 2003 HD Moore「metasploit」を創設 2009 metasploitプロジェクトを買収 2009 グローバル展開開始 2015 NT OBJECTives社を買収、appspider提供開始 2015 logentriesを買収 2016 Intel SecurityよりMVM移譲, nexposeMVM提供開始 2016 次世代UEBA製品 insightIDR提供開始 沿革 Corey E. Thomas HD Moore
• 標的型攻撃…マルウェア対策、サンドボックスの回避手法が進化 • 85%のサイバー攻撃は脆弱性対策で防げる(IPA/JVN) • 2013年に検知された脆弱性の50%は2004年から2011年に発見されたもの(NTTcom) • サーバーやエンドポイントだけでなく、ネットワーク機器、セキュリティ機器、プリンタ ーも攻撃対象となっている(サイバーセキュリティ支援センター) • 2016年1月:Juiper ScreenOSバックドア、CVSS深刻度10 • 2016年1月:CiscoアクセスポイントAironet、パスワードの脆弱性、CVSS深刻度10 • 2016年1月:Fortinet(4.x~5.0.7)にSSHバックドア発覚 • 2016年1月:Rockwell、スタックオーバーフロー、CVE-2016-0868(製造業、重要インフラ) • 2016年2月:Cisco ASAシリーズ、UDPパケットの悪用、CVSS深刻度10 • 2016年2月:Lexmarkプリンター、認証回避の脆弱性、CVSS深刻度10 • 2016年2月:Netgearルーター、無制限アップロード脆弱性、CVSS深刻度8.8 • 2016年2月:glibc getaddressinfo()、遠隔から任意コードの実行、CVSS深刻度8.1 Confidential and Proprietary 3 市場・セキュリティ動向
JBoss の脆弱性を突く攻撃ツール「Jexboss」を利用 • CVE-2010-0738 (https://www.rapid7.com/db/vulnerabilities/http-jboss-cve-2010-0738) • CVSS: 5 • 暗号化型ランサムウェア「SAMAS」をベースに作成された暗号化型ランサムウェアの新種 • 攻撃者は、JBoss の脆弱性を突く攻撃ツール「Jexboss」を利用して各組織のネットワーク に侵入 • 秘密鍵暗号化アルゴリズム「Rijndael」を使い、数百種類もあるファイルタイプに合わせた 暗号化 • 2016年3月、SAMSAM は米国ケンタッキー州の病院を攻撃した際、ネットワーク上のファ イルを含むすべてのファイルを暗号化 • 「コンピュータ1台当たり3ビットコイン(1250ドル相当)、コンピュータ全台ならば45ビ ットコイン(1万8500ドル相当)」の身代金を要求 • 4月、医療業界から教育機関に標的を移す Confidential and Proprietary 4 市場・セキュリティ動向/ランサムウェア SamSam(SAMAS)
Flashの脆弱性を悪用 • CVE-2016-1019 (https://www.rapid7.com/db/vulnerabilities/flash_player-cve-2016-1019) • CVSS: 10 • 脆弱性「CVE-2016-1019」は「type confusion(型の取り違え)」が原因 となる脆弱性 • Magnitude Exploit Kit によるゼロデイ攻撃が可能 • 暗号化型ランサムウェア「Locky」に誘導 • 米国の病院のシステムを感染させ高額な身代金を要求したことでも知られる 暗号化型ランサムウェア Confidential and Proprietary 5 市場・セキュリティ動向/ランサムウェア Locky
市場・セキュリティ動向 JPCERT/CC(2016年1月発表) インシデント・カテゴリ分類 • “スキャン”に分類されるシステムの脆弱性を 探索(偵察)するインシデントが約半数を占 め1985件(3ヵ月)が確認された • Webサイト改ざんに分類されるインシデント は26.1%を占める • スキャンとWebサイト改ざんの占める割合は おおよそ75% • 実際の標的型攻撃はこの“スキャン”による探 索(偵察)後に実施される • ポート別スキャンでは80(http), 25(smtp), 22(ssh)が大多数を占める スキャン 48.2% Webサイト改ざん 26.1% フィッシングサイト 15.0% マルウェアサイト 2.7% 標的型攻撃 0.4% その他 7.1% 制御システム関連 0.4% DoS/DDos 0.3%
市場・セキュリティ動向 0.0% 2.0% 4.0% 6.0% 8.0% 10.0% 12.0% 14.0% 16.0% その他 ゲートウェイ型情報漏洩対策 セキュリティ公的認証取得 ユーザープロビジョニング 情報漏洩対策(暗号化以外) 情報漏洩対策(暗号化) ポリシー管理とGRC Webセキュリティ モバイルセキュリティ(認証システム) メッセージングセキュリティ モバイルデバイス管理 非シグネチャ型脅威対策 認証システム モバイルセキュリティ(ウィルス対策) セキュリティ情報/イベント管理 ウィルス対策 情報セキュリティ教育 脆弱性管理 ネットワークセキュリティ 全体(n=688) IDC Japan発表(2016年4月14日) 情報セキュリティ投資動向 • 外部脅威対策に比べ内部脅威対策の導入が遅延 • 「ネットワークセキュリティ」「脆弱性管理」「情報 セキュリティ教育」への投資が上位に • リスクの低減を図ろうとする動きも加速 • 経営者に対する情報セキュリティ状況の報告頻度は「 セキュリティ被害発生時」(23.0%)が最多で、「 月1回」(23.5%)、「四半期に1回」(14.4%)、 「週1回」(9.0%)の順 • セキュリティ対策導入の現状は、業種や従業員規模に よって、進んでいる企業と遅れている企業とに二極化 • CIO/CSO設置による定期的な報告体制の整備とセキ ュリティリスクの把握を通じて、セキュリティ対策へ の見直しを迅速に図ることが重要
IPA 『企業のCISOやCSIRTに関する実態調査2016』(2016年5月10日) Confidential and Proprietary 8 市場・セキュリティ動向 地 域 経営層として CISO任命 CISO無 経営層が参加する情報セキ ュリティに関する意思決定 の場がある 日 米 欧 89.3% 77.4% 78.0% 37.3% 39.4% 36.1% リスク分析を実施している 日 米 欧 84.9% 83.5% 78.0% 43.3% 46.8% 42.6% サイバー攻撃が発生した場 合を想定した被害額を推定 している 日 米 欧 71.6% 69.4% 81.2% 34.7% 27.7% 27.9% CISOの任命と情報セキュリティ対策推進状況の関係(IPA) • 日本でのCISO設置は上場企業で20%以下 • 欧米は60%以上の企業がCISOを設置済み 2倍 しかし…
2020年までに, 60% の企業の情報セキュ リティ予算は 迅速な検知と 対応を行う アプローチ に割り当てられる。 2015年時点では20% 以下。 - Gartner セキュリティは”リスクベースのアプローチへシフト” 防御ベースセキュリティ “Block and Protect” 従来のモデル: リスクベースセキュリティ 新たなモデル: 改善 検知 改善 検知 防御 データ & 解析 防御 市場・セキュリティ動向
Confidential and Proprietary 10 セキュリティ・ソリューション Endpoint Security Encryption Device Control Authentication C&C detector DLP Server, Desktop, Mobile, Router, Switch, Printer, AWS, etc Unix, Linux, Windows, iOS, Android, Embedded Linux, Vmware, etc SIEM Incident & Response Firewall IPS WAF DDos protector Email Security Web Security Sandbox Vulnerability Management User & Entity Behavior Analytics リスクベース・セキュリティ
総務省 • 脆弱性とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが 原因となって発生した情報セキュリティ上の欠陥 • 脆弱性が発見されると、多くの場合、ソフトウェアを開発したメーカーが更新プログラムを作成して 提供。しかし、脆弱性は完全に対策を施すことが困難であり、次々と新たな脆弱性が発見されている IT用語辞典 • 脆弱性とは、コンピュータやソフトウェア、ネットワークなどが抱える保安上の弱点。正規の管理者 や利用者など以外の第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩など) に利用できる可能性のある欠陥や仕様上の問題点 • 開発者が予想しなかった利用形態や設計段階での見落としなど、形式的には欠陥とはならない潜在 的な問題点が脆弱性として後から認知されることも多い Confidential and Proprietary 11 Vulnerability・脆弱性とは?
北米動向 • FISMA(Federal Information Security Management Act)では、連邦政府機関が情報セキュリティを強化 することを義務付け、NIST(National Institute of Standards and Technology)に対し、そのための規格や ガイドラインの開発を義務付けています。NISTは情報セキュリティ対策の自動化と標準化を目指したSCAP( Security Content Automation Protocol:セキュリティ設定共通化手順)を開発し特に重要インフラ企業に対して 推奨しています。(事実上義務化) • 国内IPAでも推奨(https://www.ipa.go.jp/security/vuln/SCAP.html) SCAP(Security Content Automation Protocol) • CVE:Common Vulnerabilities and Exposures:共通脆弱性識別子 • CCE:Common Configuration Enumeration:共通セキュリティ設定一覧 • CPE:Common Platform Enumeration:共通プラットフォーム一覧 • CVSS:Common Vulnerability Scoring System:共通脆弱性評価システム • XCCDF:eXtensible Configuration Checklist Description Format:セキュリティ設定チェックリスト記述形式 • OVAL:Open Vulnerability and Assessment Language:セキュリティ検査言語 CVSS(Common Vulnerability Scoring System) • CVSSはFIRST(Forum of Incident Response and Security Teams)により管理 • FISRTはコンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをする CSIRT(Computer Security Incident Response Team)の連合体(http://www.first.org/) • CVSSの管理はCSIRTの重要な要素 Confidential and Proprietary 12 Vulnerability・脆弱性に対して…
脆弱性診断 Vulnerability Assessment • the process of identifying, quantifying, and prioritizing (or ranking) the vulnerabilities • 年1回、半期等、定期的な診断 • 外部ベンダーに委託(する事が多い) • 時点診断 • 時点分析 • 問題点:  重要な脆弱性が発生した際の迅速対応が困難  システム構成変更に対応することが困難  時系列なリスクの把握が困難  脆弱性問題対処後の確認が困難 Confidential and Proprietary 13 脆弱性診断と脆弱性情報管理の違い… 脆弱性”リスク(情報)管理” Vulnerability Management • the cyclical practice of identifying, classifying, remediating, and mitigating vulnerabilities • 定期的&オンデマンドのスキャン • 内製化(CSIRTの1要素、SCAPの実践) • 継続診断(Continuous Monitoring) • ベースライン(リスク)分析, リスク数値化 • 例:  過去1年間の会社全体の脆弱性リスク変化  Windows機器だけの検査、リスク変化  Linux機器だけの検査、リスク変化  仮想環境だけの検査、リスク変化  特定の脆弱性に関する管理  拠点、支店、部門 単位の検査  自動スケジュールスキャン・自動レポーティング
JPCERT • インシデントレスポンスの能力を計測する基準として、CERT/CC では『Detect(検知・認知)』として以下が提 唱されている。 • サーバとネットワークの状態を監視及び検知する能力 • 脆弱性情報や脅威(攻撃)などを収集及び把握する能力 Confidential and Proprietary 14 Vulnerability・脆弱性に対して… 必要とされるサービス • インシデント対応コーディネーション • 脆弱性情報ハンドリング(nexpose) • 人為事象ハンドリング(insightIDR) • アラート発行(insightIDR) • 教育、トレーニング (metasploit) • セキュリティツール開発 • 監視、監査(insightIDR) • 侵入検知(insightIDR) • セキュリティ情報サービス(nexpose) • 情報分析など(nexpose) 脆弱性情報を収集し、自組織のシステムに対す る脅威を分析して、必要に応じてパッチ(修正 ソフト)の適用や設定変更を行う(JPCERT) 脆弱性管理 アセット管理 トリアージ レポート リスク評価
重要インフラの情報セキュリティに係る第3次行動計画 • 13業種+5省庁の密連携 • 情報通信/金融/航空/電力/鉄道/ガス/政府・行政・地方公共団体 • 医療/水道/物流/化学/クレジット/石油 • 金融庁/総務省/経産省/厚労省/国交省 • NICT/IPA/JPCERT • 安全基準の整備・浸透 • 情報共有体制の強化 • 障害対応体制の強化 • 防護基盤の強化 • リスクマネジメント Confidential and Proprietary 15 官民連携重要インフラ防護(NISC:内閣サイバーセキュリティセンター) • CSIRT, CISO設置の加速 • サイバー攻撃によるリスクを把握・管理(開示) • M2M機器、IoTの脆弱性調査 • ソフトウェア等の脆弱性関連情報の収集 • 制御システムセキュリティの強化 • ペネトレーションテスト等を通じたセキュリティ対策を徹底
脆弱性診断 Confidential and Proprietary 16 求められる脆弱性管理とは… 脆弱性情報管理 脆弱性リスク管理
• 経営層による情報セキュリティの定量的かつ定期的な状 況把握/施策意思決定… • CVSS値 • 機器重要度 本番サーバー vs. 開発サーバー • 機器重要度 サーバー vs. クライアント vs. ネットワーク機器 • 情報重要度 従業員情報 vs. 顧客情報 • 部門重要度 人事部門 vs. 営業部門 vs. 開発部門 • 職務重要度 役員 vs. 部長 vs. 一般職 • 脆弱性問題経過日数 1週間 vs. 6カ月 • 脆弱性への侵入容易性 簡単 vs. 困難 • 脆弱性へのマルウェア 存在 vs. 不在 Confidential and Proprietary 17 脆弱性“リスク”管理とは?
Confidential and Proprietary 18 セキュリティ・ソリューション Endpoint Security Encryption Device Control Authentication C&C detector DLP Server, Desktop, Mobile, Router, Switch, Printer, AWS, etc Unix, Linux, Windows, iOS, Android, Embedded Linux, Vmware, etc SIEM Incident & Response Firewall IPS WAF DDos protector Email Security Web Security Sandbox Vulnerability Risk Management User & Entity Behavior Analytics リスクベース・セキュリティ CSIRT / SOC
Confidential and Proprietary 19 Rapid7 ソリューション概要 Nexpose(脆弱性情報管理) Metasploit(侵入テスト) • エージェントレスアクティブスキャナー • SCAP(Security Content Automation Protocol )の実践 • Windows, Linux, Unix, Mobile, Network, Printer, 仮想環境, ク ラウド、データベース、等を対象 • クレデンシャルスキャン機能 • 静的&動的アセット管理・分類・脆弱性評価&可視化 • RealRisk™、CVSS等によるリスク評価・優先順位付け • ベースライン・ヒストリカル分析 • 20種以上コンプライアンススキャンテンプレート • 30種以上のレポートテンプレート • 世界標準のペネトレーションテストソリューション • 世界最大規模のエクスプロイトライブラリ • 効果的・効率的なペネトレーションテストを実現 • VPNピボット技術によりFirewallを通過 • ステージエンコーディング技術によりIPSを通過 • ダイナミックペイロードにて主要アンチマルウェアを回避 • ファイルコピー、キーロガー等200以上のポストエクスプロイト • テスト手法・過程、防御技術の有効性を検査・試験 • ワークフロー機能によるテストの均一化・平準化 • フィッシングキャンペーン機能 • PCI DSS、FISMA等レポートテンプレート提供 Appspider(Webアプリケーションスキャナー) insightIDR(ユーザ行動分析) • 最先端技術に対応する高速アプリケーション・スキャナー • ユニバーサルトランスレータによりテクノロジギャップを解消 • AJAX, Web3.0, JSON, GWT, REST, AMP, 等 • Jenkins, Seleniumとの高い親和性 • アプリケーションの弱点を把握 • XSS, SQL injection, URL rewriting, Redirect, Cookie, CSRF, 等 • 対応課題の優先付け • アプリケーション内セキュリティ状態の改善 • WAF/IPSへの仮想パッチ生成 • コンプライアンス要件(PCI,FISMA,SOX,OWASP等)への適合 • 次世代UEBA(User & Entity Behavior Analytics)ソリューション • Endpoint~Cloudアプリケーションまでをカバーするユーザ行動 分析&管理 • ログイン(位置情報・頻度・特権変更) • サーバー・ファイルアクセス • クラウドログイン・アクセス、クラウドデータコピー • フィッシング・ハニークレデンシャル • Office365,Box,Salesforce,Okta,Netsuite等主要クラウドアプリ ケーションとの高い親和性(API連携) • PaloAlto Wildfire / Fireeye TAPと連動可能
Confidential and Proprietary 20 nexpose(脆弱性情報管理)
Confidential and Proprietary 21 metasploit(侵入テストソリューション)
• Nexpose ハンズオンワークショップ 7月14日(木) • Metasploitハンズオンワークショップ 7月15日(金) 参加ご希望の方は以下までご連絡ください。 お問い合わせ先: 03-4360-9327 メール: japanoffice@rapid7.com Confidential and Proprietary 24
Confidential and Proprietary 25 ご清聴ありがとうございました。 お問い合わせ先: 03-4360-9327 メール: japanoffice@rapid7.com

Recommandé

デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)
デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)
デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)Developers Summit
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)Sen Ueno
 
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)Sen Ueno
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)JPCERT Coordination Center
 
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチInternet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチTomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」Sen Ueno
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 
Webプラットフォームのセキュリティ
WebプラットフォームのセキュリティWebプラットフォームのセキュリティ
WebプラットフォームのセキュリティMuneaki Nishimura
 

Recommandé

デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)
デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)
デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)Developers Summit
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)Sen Ueno
 
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)Sen Ueno
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)JPCERT Coordination Center
 
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチInternet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチTomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」Sen Ueno
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 
Webプラットフォームのセキュリティ
WebプラットフォームのセキュリティWebプラットフォームのセキュリティ
WebプラットフォームのセキュリティMuneaki Nishimura
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】Tomoyoshi Amano
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~scalaconfjp
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~Minoru Sakai
 
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
ランサムウェアをサーバー側から対策する
ランサムウェアをサーバー側から対策するランサムウェアをサーバー側から対策する
ランサムウェアをサーバー側から対策するMKT International Inc.
 
User and entity behavior analytics: building an effective solution
User and entity behavior analytics: building an effective solutionUser and entity behavior analytics: building an effective solution
User and entity behavior analytics: building an effective solutionYolanta Beresna
 
神戸大学MBA修了生勉強会資料
神戸大学MBA修了生勉強会資料神戸大学MBA修了生勉強会資料
神戸大学MBA修了生勉強会資料MKT International Inc.
 
LTO/オートローダー/仮想テープライブラリの基礎知識
LTO/オートローダー/仮想テープライブラリの基礎知識LTO/オートローダー/仮想テープライブラリの基礎知識
LTO/オートローダー/仮想テープライブラリの基礎知識MKT International Inc.
 
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜MKT International Inc.
 
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)JPCERT Coordination Center
 
UserEntityandBehaviorAnalyticsFriedman
UserEntityandBehaviorAnalyticsFriedmanUserEntityandBehaviorAnalyticsFriedman
UserEntityandBehaviorAnalyticsFriedmanAaron Friedman
 

Contenu connexe

Tendances

アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】Tomoyoshi Amano
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~scalaconfjp
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~Minoru Sakai
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 

Tendances (15)

アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
 
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
 
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
 
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
 
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
 

En vedette

ランサムウェアをサーバー側から対策する
ランサムウェアをサーバー側から対策するランサムウェアをサーバー側から対策する
ランサムウェアをサーバー側から対策するMKT International Inc.
 
User and entity behavior analytics: building an effective solution
User and entity behavior analytics: building an effective solutionUser and entity behavior analytics: building an effective solution
User and entity behavior analytics: building an effective solutionYolanta Beresna
 
神戸大学MBA修了生勉強会資料
神戸大学MBA修了生勉強会資料神戸大学MBA修了生勉強会資料
神戸大学MBA修了生勉強会資料MKT International Inc.
 
LTO/オートローダー/仮想テープライブラリの基礎知識
LTO/オートローダー/仮想テープライブラリの基礎知識LTO/オートローダー/仮想テープライブラリの基礎知識
LTO/オートローダー/仮想テープライブラリの基礎知識MKT International Inc.
 
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜MKT International Inc.
 
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)JPCERT Coordination Center
 
UserEntityandBehaviorAnalyticsFriedman
UserEntityandBehaviorAnalyticsFriedmanUserEntityandBehaviorAnalyticsFriedman
UserEntityandBehaviorAnalyticsFriedmanAaron Friedman
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)JPCERT Coordination Center
 
Gov & Education Day 2015 - User Behavior Analytics
Gov & Education Day 2015 - User Behavior AnalyticsGov & Education Day 2015 - User Behavior Analytics
Gov & Education Day 2015 - User Behavior AnalyticsSplunk
 
AWSクラウド利用料算出の参考資料
AWSクラウド利用料算出の参考資料AWSクラウド利用料算出の参考資料
AWSクラウド利用料算出の参考資料SORACOM, INC
 

En vedette (13)

ランサムウェアをサーバー側から対策する
ランサムウェアをサーバー側から対策するランサムウェアをサーバー側から対策する
ランサムウェアをサーバー側から対策する
 
User and entity behavior analytics: building an effective solution
User and entity behavior analytics: building an effective solutionUser and entity behavior analytics: building an effective solution
User and entity behavior analytics: building an effective solution
 
神戸大学MBA修了生勉強会資料
神戸大学MBA修了生勉強会資料神戸大学MBA修了生勉強会資料
神戸大学MBA修了生勉強会資料
 
LTO/オートローダー/仮想テープライブラリの基礎知識
LTO/オートローダー/仮想テープライブラリの基礎知識LTO/オートローダー/仮想テープライブラリの基礎知識
LTO/オートローダー/仮想テープライブラリの基礎知識
 
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
 
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
 
UserEntityandBehaviorAnalyticsFriedman
UserEntityandBehaviorAnalyticsFriedmanUserEntityandBehaviorAnalyticsFriedman
UserEntityandBehaviorAnalyticsFriedman
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
 
E-Trident 高度なフィルタリング機能
E-Trident 高度なフィルタリング機能E-Trident 高度なフィルタリング機能
E-Trident 高度なフィルタリング機能
 
Gov & Education Day 2015 - User Behavior Analytics
Gov & Education Day 2015 - User Behavior AnalyticsGov & Education Day 2015 - User Behavior Analytics
Gov & Education Day 2015 - User Behavior Analytics
 
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる
 
AWSクラウド利用料算出の参考資料
AWSクラウド利用料算出の参考資料AWSクラウド利用料算出の参考資料
AWSクラウド利用料算出の参考資料
 
Tornado en San Pedro, Misiones
Tornado en San Pedro, MisionesTornado en San Pedro, Misiones
Tornado en San Pedro, Misiones
 

Similaire à ツールを用いた脆弱性リスクの管理・低減

フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 Tomoyoshi Amano
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由グローバルセキュリティエキスパート株式会社(GSX)
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
情報セキュリティと標準化I 第2回-公開用
情報セキュリティと標準化I 第2回-公開用情報セキュリティと標準化I 第2回-公開用
情報セキュリティと標準化I 第2回-公開用Ruo Ando
 
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Takayoshi Takaoka
 
情報セキュリティと標準化I 第7回-公開用
情報セキュリティと標準化I 第7回-公開用情報セキュリティと標準化I 第7回-公開用
情報セキュリティと標準化I 第7回-公開用Ruo Ando
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会Hayato Kiriyama
 
情報セキュリティと標準化I 第13回
情報セキュリティと標準化I 第13回情報セキュリティと標準化I 第13回
情報セキュリティと標準化I 第13回Ruo Ando
 
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査Hironori Washizaki
 
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査Hironori Washizaki
 
情報セキュリティと標準化I 第11回
情報セキュリティと標準化I 第11回情報セキュリティと標準化I 第11回
情報セキュリティと標準化I 第11回Ruo Ando
 
情報セキュリティと標準化I 第9回-公開用
情報セキュリティと標準化I 第9回-公開用情報セキュリティと標準化I 第9回-公開用
情報セキュリティと標準化I 第9回-公開用Ruo Ando
 
情報セキュリティと標準化I 第10回-公開用
情報セキュリティと標準化I 第10回-公開用情報セキュリティと標準化I 第10回-公開用
情報セキュリティと標準化I 第10回-公開用Ruo Ando
 
情報セキュリティと標準化I 第14回
情報セキュリティと標準化I 第14回情報セキュリティと標準化I 第14回
情報セキュリティと標準化I 第14回Ruo Ando
 
情報セキュリティと標準化I 第8回-公開用
情報セキュリティと標準化I 第8回-公開用情報セキュリティと標準化I 第8回-公開用
情報セキュリティと標準化I 第8回-公開用Ruo Ando
 
情報セキュリティと標準化I 第15回
情報セキュリティと標準化I 第15回情報セキュリティと標準化I 第15回
情報セキュリティと標準化I 第15回Ruo Ando
 
情報セキュリティと標準化I 第5回-公開用
情報セキュリティと標準化I 第5回-公開用情報セキュリティと標準化I 第5回-公開用
情報セキュリティと標準化I 第5回-公開用Ruo Ando
 

Similaire à ツールを用いた脆弱性リスクの管理・低減 (20)

フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
情報セキュリティと標準化I 第2回-公開用
情報セキュリティと標準化I 第2回-公開用情報セキュリティと標準化I 第2回-公開用
情報セキュリティと標準化I 第2回-公開用
 
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1
 
情報セキュリティと標準化I 第7回-公開用
情報セキュリティと標準化I 第7回-公開用情報セキュリティと標準化I 第7回-公開用
情報セキュリティと標準化I 第7回-公開用
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
 
情報セキュリティと標準化I 第13回
情報セキュリティと標準化I 第13回情報セキュリティと標準化I 第13回
情報セキュリティと標準化I 第13回
 
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
 
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
 
情報セキュリティと標準化I 第11回
情報セキュリティと標準化I 第11回情報セキュリティと標準化I 第11回
情報セキュリティと標準化I 第11回
 
情報セキュリティと標準化I 第9回-公開用
情報セキュリティと標準化I 第9回-公開用情報セキュリティと標準化I 第9回-公開用
情報セキュリティと標準化I 第9回-公開用
 
情報セキュリティと標準化I 第10回-公開用
情報セキュリティと標準化I 第10回-公開用情報セキュリティと標準化I 第10回-公開用
情報セキュリティと標準化I 第10回-公開用
 
情報セキュリティと標準化I 第14回
情報セキュリティと標準化I 第14回情報セキュリティと標準化I 第14回
情報セキュリティと標準化I 第14回
 
情報セキュリティと標準化I 第8回-公開用
情報セキュリティと標準化I 第8回-公開用情報セキュリティと標準化I 第8回-公開用
情報セキュリティと標準化I 第8回-公開用
 
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
 
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
 
Certified network defender
Certified network defenderCertified network defender
Certified network defender
 
情報セキュリティと標準化I 第15回
情報セキュリティと標準化I 第15回情報セキュリティと標準化I 第15回
情報セキュリティと標準化I 第15回
 
情報セキュリティと標準化I 第5回-公開用
情報セキュリティと標準化I 第5回-公開用情報セキュリティと標準化I 第5回-公開用
情報セキュリティと標準化I 第5回-公開用
 

Plus de MKT International Inc.

サーバーサイドにおけるOSSセキュリティ市場動向について
サーバーサイドにおけるOSSセキュリティ市場動向についてサーバーサイドにおけるOSSセキュリティ市場動向について
サーバーサイドにおけるOSSセキュリティ市場動向についてMKT International Inc.
 
自分にあった英語学習法を探してみよう!
自分にあった英語学習法を探してみよう!自分にあった英語学習法を探してみよう!
自分にあった英語学習法を探してみよう!MKT International Inc.
 
求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?MKT International Inc.
 
求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?MKT International Inc.
 
グローバル時代に求められるキャリアと生き方(有賀さん)
グローバル時代に求められるキャリアと生き方(有賀さん)グローバル時代に求められるキャリアと生き方(有賀さん)
グローバル時代に求められるキャリアと生き方(有賀さん)MKT International Inc.
 
経済を理解する数字の見方、上司が見たい数字の見せ方
経済を理解する数字の見方、上司が見たい数字の見せ方経済を理解する数字の見方、上司が見たい数字の見せ方
経済を理解する数字の見方、上司が見たい数字の見せ方MKT International Inc.
 
グローバル時代に求められるキャリアと生き方(全体資料)
グローバル時代に求められるキャリアと生き方(全体資料)グローバル時代に求められるキャリアと生き方(全体資料)
グローバル時代に求められるキャリアと生き方(全体資料)MKT International Inc.
 
グローバル時代に求められるキャリアと生き方(高岡さん)
グローバル時代に求められるキャリアと生き方(高岡さん)グローバル時代に求められるキャリアと生き方(高岡さん)
グローバル時代に求められるキャリアと生き方(高岡さん)MKT International Inc.
 
グローバル時代に求められるキャリアと生き方(梶山さん)
グローバル時代に求められるキャリアと生き方(梶山さん)グローバル時代に求められるキャリアと生き方(梶山さん)
グローバル時代に求められるキャリアと生き方(梶山さん)MKT International Inc.
 
エンジニアのキャリアを考える
エンジニアのキャリアを考えるエンジニアのキャリアを考える
エンジニアのキャリアを考えるMKT International Inc.
 
提案に役に立つ情報 (teianlab 勉強会)
提案に役に立つ情報 (teianlab 勉強会)提案に役に立つ情報 (teianlab 勉強会)
提案に役に立つ情報 (teianlab 勉強会)MKT International Inc.
 
[キャリア支援]失敗しない! 初めての起業のステップABC
[キャリア支援]失敗しない! 初めての起業のステップABC[キャリア支援]失敗しない! 初めての起業のステップABC
[キャリア支援]失敗しない! 初めての起業のステップABCMKT International Inc.
 
バックアップ勉強会資料: システムバックアップのすすめ
バックアップ勉強会資料: システムバックアップのすすめバックアップ勉強会資料: システムバックアップのすすめ
バックアップ勉強会資料: システムバックアップのすすめMKT International Inc.
 
バックアップ勉強会#1 バックアップ基礎
バックアップ勉強会#1 バックアップ基礎バックアップ勉強会#1 バックアップ基礎
バックアップ勉強会#1 バックアップ基礎MKT International Inc.
 

Plus de MKT International Inc. (20)

サーバーサイドにおけるOSSセキュリティ市場動向について
サーバーサイドにおけるOSSセキュリティ市場動向についてサーバーサイドにおけるOSSセキュリティ市場動向について
サーバーサイドにおけるOSSセキュリティ市場動向について
 
MySQLはじめの第一歩
MySQLはじめの第一歩MySQLはじめの第一歩
MySQLはじめの第一歩
 
自分にあった英語学習法を探してみよう!
自分にあった英語学習法を探してみよう!自分にあった英語学習法を探してみよう!
自分にあった英語学習法を探してみよう!
 
求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?
 
求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?
 
ボイストレーニング入門
ボイストレーニング入門ボイストレーニング入門
ボイストレーニング入門
 
グローバル時代に求められるキャリアと生き方(有賀さん)
グローバル時代に求められるキャリアと生き方(有賀さん)グローバル時代に求められるキャリアと生き方(有賀さん)
グローバル時代に求められるキャリアと生き方(有賀さん)
 
経済を理解する数字の見方、上司が見たい数字の見せ方
経済を理解する数字の見方、上司が見たい数字の見せ方経済を理解する数字の見方、上司が見たい数字の見せ方
経済を理解する数字の見方、上司が見たい数字の見せ方
 
グローバル時代に求められるキャリアと生き方(全体資料)
グローバル時代に求められるキャリアと生き方(全体資料)グローバル時代に求められるキャリアと生き方(全体資料)
グローバル時代に求められるキャリアと生き方(全体資料)
 
グローバル時代に求められるキャリアと生き方(高岡さん)
グローバル時代に求められるキャリアと生き方(高岡さん)グローバル時代に求められるキャリアと生き方(高岡さん)
グローバル時代に求められるキャリアと生き方(高岡さん)
 
パーソナルカラー入門
パーソナルカラー入門パーソナルカラー入門
パーソナルカラー入門
 
上司が見たい数字の見せ方
上司が見たい数字の見せ方上司が見たい数字の見せ方
上司が見たい数字の見せ方
 
グローバル時代に求められるキャリアと生き方(梶山さん)
グローバル時代に求められるキャリアと生き方(梶山さん)グローバル時代に求められるキャリアと生き方(梶山さん)
グローバル時代に求められるキャリアと生き方(梶山さん)
 
エンジニアのキャリアを考える
エンジニアのキャリアを考えるエンジニアのキャリアを考える
エンジニアのキャリアを考える
 
提案に役に立つ情報 (teianlab 勉強会)
提案に役に立つ情報 (teianlab 勉強会)提案に役に立つ情報 (teianlab 勉強会)
提案に役に立つ情報 (teianlab 勉強会)
 
[キャリア支援]失敗しない! 初めての起業のステップABC
[キャリア支援]失敗しない! 初めての起業のステップABC[キャリア支援]失敗しない! 初めての起業のステップABC
[キャリア支援]失敗しない! 初めての起業のステップABC
 
バックアップ勉強会資料: システムバックアップのすすめ
バックアップ勉強会資料: システムバックアップのすすめバックアップ勉強会資料: システムバックアップのすすめ
バックアップ勉強会資料: システムバックアップのすすめ
 
バックアップ勉強会#1 バックアップ基礎
バックアップ勉強会#1 バックアップ基礎バックアップ勉強会#1 バックアップ基礎
バックアップ勉強会#1 バックアップ基礎
 
MySQLコミュニティいろいろ
MySQLコミュニティいろいろMySQLコミュニティいろいろ
MySQLコミュニティいろいろ
 
OSS Market Momentum In Japan
OSS Market Momentum In JapanOSS Market Momentum In Japan
OSS Market Momentum In Japan
 

ツールを用いた脆弱性リスクの管理・低減

  • 2. 社名: Rapid7 Inc. (NASDAQ: RPD) CEO: Corey E. Thomas 設立: 2000年1月 本社: 米国ボストン 事業内容: 世界的に著名な情報セキュリティ研究者 による次世代セキュリティ製品開発、 フィルタやサービス提供 顧客数: 5,000社+ 従業員数: 800人+ 売上: $150M+ (2015 44%成長) 日本オフィス: 港区赤坂、アーク森ビル(2014年3月) Rapid7 会社概要 2 nexpose 脆弱性管理・可視化ソリューション metasploit 業界標準侵入テストソリューション appspider Webアプリケーションスキャナ・仮想パッチ insightIDR ユーザ行動分析・管理・可視化 主要ソリューション 第三者評価 2000 ボストンにてAllan Matthews, Chad Loder, Tas Giakouminakisにより「Rapid7」を創業 2003 HD Moore「metasploit」を創設 2009 metasploitプロジェクトを買収 2009 グローバル展開開始 2015 NT OBJECTives社を買収、appspider提供開始 2015 logentriesを買収 2016 Intel SecurityよりMVM移譲, nexposeMVM提供開始 2016 次世代UEBA製品 insightIDR提供開始 沿革 Corey E. Thomas HD Moore
  • 3. • 標的型攻撃…マルウェア対策、サンドボックスの回避手法が進化 • 85%のサイバー攻撃は脆弱性対策で防げる(IPA/JVN) • 2013年に検知された脆弱性の50%は2004年から2011年に発見されたもの(NTTcom) • サーバーやエンドポイントだけでなく、ネットワーク機器、セキュリティ機器、プリンタ ーも攻撃対象となっている(サイバーセキュリティ支援センター) • 2016年1月:Juiper ScreenOSバックドア、CVSS深刻度10 • 2016年1月:CiscoアクセスポイントAironet、パスワードの脆弱性、CVSS深刻度10 • 2016年1月:Fortinet(4.x~5.0.7)にSSHバックドア発覚 • 2016年1月:Rockwell、スタックオーバーフロー、CVE-2016-0868(製造業、重要インフラ) • 2016年2月:Cisco ASAシリーズ、UDPパケットの悪用、CVSS深刻度10 • 2016年2月:Lexmarkプリンター、認証回避の脆弱性、CVSS深刻度10 • 2016年2月:Netgearルーター、無制限アップロード脆弱性、CVSS深刻度8.8 • 2016年2月:glibc getaddressinfo()、遠隔から任意コードの実行、CVSS深刻度8.1 Confidential and Proprietary 3 市場・セキュリティ動向
  • 4. JBoss の脆弱性を突く攻撃ツール「Jexboss」を利用 • CVE-2010-0738 (https://www.rapid7.com/db/vulnerabilities/http-jboss-cve-2010-0738) • CVSS: 5 • 暗号化型ランサムウェア「SAMAS」をベースに作成された暗号化型ランサムウェアの新種 • 攻撃者は、JBoss の脆弱性を突く攻撃ツール「Jexboss」を利用して各組織のネットワーク に侵入 • 秘密鍵暗号化アルゴリズム「Rijndael」を使い、数百種類もあるファイルタイプに合わせた 暗号化 • 2016年3月、SAMSAM は米国ケンタッキー州の病院を攻撃した際、ネットワーク上のファ イルを含むすべてのファイルを暗号化 • 「コンピュータ1台当たり3ビットコイン(1250ドル相当)、コンピュータ全台ならば45ビ ットコイン(1万8500ドル相当)」の身代金を要求 • 4月、医療業界から教育機関に標的を移す Confidential and Proprietary 4 市場・セキュリティ動向/ランサムウェア SamSam(SAMAS)
  • 5. Flashの脆弱性を悪用 • CVE-2016-1019 (https://www.rapid7.com/db/vulnerabilities/flash_player-cve-2016-1019) • CVSS: 10 • 脆弱性「CVE-2016-1019」は「type confusion(型の取り違え)」が原因 となる脆弱性 • Magnitude Exploit Kit によるゼロデイ攻撃が可能 • 暗号化型ランサムウェア「Locky」に誘導 • 米国の病院のシステムを感染させ高額な身代金を要求したことでも知られる 暗号化型ランサムウェア Confidential and Proprietary 5 市場・セキュリティ動向/ランサムウェア Locky
  • 6. 市場・セキュリティ動向 JPCERT/CC(2016年1月発表) インシデント・カテゴリ分類 • “スキャン”に分類されるシステムの脆弱性を 探索(偵察)するインシデントが約半数を占 め1985件(3ヵ月)が確認された • Webサイト改ざんに分類されるインシデント は26.1%を占める • スキャンとWebサイト改ざんの占める割合は おおよそ75% • 実際の標的型攻撃はこの“スキャン”による探 索(偵察)後に実施される • ポート別スキャンでは80(http), 25(smtp), 22(ssh)が大多数を占める スキャン 48.2% Webサイト改ざん 26.1% フィッシングサイト 15.0% マルウェアサイト 2.7% 標的型攻撃 0.4% その他 7.1% 制御システム関連 0.4% DoS/DDos 0.3%
  • 7. 市場・セキュリティ動向 0.0% 2.0% 4.0% 6.0% 8.0% 10.0% 12.0% 14.0% 16.0% その他 ゲートウェイ型情報漏洩対策 セキュリティ公的認証取得 ユーザープロビジョニング 情報漏洩対策(暗号化以外) 情報漏洩対策(暗号化) ポリシー管理とGRC Webセキュリティ モバイルセキュリティ(認証システム) メッセージングセキュリティ モバイルデバイス管理 非シグネチャ型脅威対策 認証システム モバイルセキュリティ(ウィルス対策) セキュリティ情報/イベント管理 ウィルス対策 情報セキュリティ教育 脆弱性管理 ネットワークセキュリティ 全体(n=688) IDC Japan発表(2016年4月14日) 情報セキュリティ投資動向 • 外部脅威対策に比べ内部脅威対策の導入が遅延 • 「ネットワークセキュリティ」「脆弱性管理」「情報 セキュリティ教育」への投資が上位に • リスクの低減を図ろうとする動きも加速 • 経営者に対する情報セキュリティ状況の報告頻度は「 セキュリティ被害発生時」(23.0%)が最多で、「 月1回」(23.5%)、「四半期に1回」(14.4%)、 「週1回」(9.0%)の順 • セキュリティ対策導入の現状は、業種や従業員規模に よって、進んでいる企業と遅れている企業とに二極化 • CIO/CSO設置による定期的な報告体制の整備とセキ ュリティリスクの把握を通じて、セキュリティ対策へ の見直しを迅速に図ることが重要
  • 8. IPA 『企業のCISOやCSIRTに関する実態調査2016』(2016年5月10日) Confidential and Proprietary 8 市場・セキュリティ動向 地 域 経営層として CISO任命 CISO無 経営層が参加する情報セキ ュリティに関する意思決定 の場がある 日 米 欧 89.3% 77.4% 78.0% 37.3% 39.4% 36.1% リスク分析を実施している 日 米 欧 84.9% 83.5% 78.0% 43.3% 46.8% 42.6% サイバー攻撃が発生した場 合を想定した被害額を推定 している 日 米 欧 71.6% 69.4% 81.2% 34.7% 27.7% 27.9% CISOの任命と情報セキュリティ対策推進状況の関係(IPA) • 日本でのCISO設置は上場企業で20%以下 • 欧米は60%以上の企業がCISOを設置済み 2倍 しかし…
  • 10. Confidential and Proprietary 10 セキュリティ・ソリューション Endpoint Security Encryption Device Control Authentication C&C detector DLP Server, Desktop, Mobile, Router, Switch, Printer, AWS, etc Unix, Linux, Windows, iOS, Android, Embedded Linux, Vmware, etc SIEM Incident & Response Firewall IPS WAF DDos protector Email Security Web Security Sandbox Vulnerability Management User & Entity Behavior Analytics リスクベース・セキュリティ
  • 11. 総務省 • 脆弱性とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが 原因となって発生した情報セキュリティ上の欠陥 • 脆弱性が発見されると、多くの場合、ソフトウェアを開発したメーカーが更新プログラムを作成して 提供。しかし、脆弱性は完全に対策を施すことが困難であり、次々と新たな脆弱性が発見されている IT用語辞典 • 脆弱性とは、コンピュータやソフトウェア、ネットワークなどが抱える保安上の弱点。正規の管理者 や利用者など以外の第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩など) に利用できる可能性のある欠陥や仕様上の問題点 • 開発者が予想しなかった利用形態や設計段階での見落としなど、形式的には欠陥とはならない潜在 的な問題点が脆弱性として後から認知されることも多い Confidential and Proprietary 11 Vulnerability・脆弱性とは?
  • 12. 北米動向 • FISMA(Federal Information Security Management Act)では、連邦政府機関が情報セキュリティを強化 することを義務付け、NIST(National Institute of Standards and Technology)に対し、そのための規格や ガイドラインの開発を義務付けています。NISTは情報セキュリティ対策の自動化と標準化を目指したSCAP( Security Content Automation Protocol:セキュリティ設定共通化手順)を開発し特に重要インフラ企業に対して 推奨しています。(事実上義務化) • 国内IPAでも推奨(https://www.ipa.go.jp/security/vuln/SCAP.html) SCAP(Security Content Automation Protocol) • CVE:Common Vulnerabilities and Exposures:共通脆弱性識別子 • CCE:Common Configuration Enumeration:共通セキュリティ設定一覧 • CPE:Common Platform Enumeration:共通プラットフォーム一覧 • CVSS:Common Vulnerability Scoring System:共通脆弱性評価システム • XCCDF:eXtensible Configuration Checklist Description Format:セキュリティ設定チェックリスト記述形式 • OVAL:Open Vulnerability and Assessment Language:セキュリティ検査言語 CVSS(Common Vulnerability Scoring System) • CVSSはFIRST(Forum of Incident Response and Security Teams)により管理 • FISRTはコンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをする CSIRT(Computer Security Incident Response Team)の連合体(http://www.first.org/) • CVSSの管理はCSIRTの重要な要素 Confidential and Proprietary 12 Vulnerability・脆弱性に対して…
  • 13. 脆弱性診断 Vulnerability Assessment • the process of identifying, quantifying, and prioritizing (or ranking) the vulnerabilities • 年1回、半期等、定期的な診断 • 外部ベンダーに委託(する事が多い) • 時点診断 • 時点分析 • 問題点:  重要な脆弱性が発生した際の迅速対応が困難  システム構成変更に対応することが困難  時系列なリスクの把握が困難  脆弱性問題対処後の確認が困難 Confidential and Proprietary 13 脆弱性診断と脆弱性情報管理の違い… 脆弱性”リスク(情報)管理” Vulnerability Management • the cyclical practice of identifying, classifying, remediating, and mitigating vulnerabilities • 定期的&オンデマンドのスキャン • 内製化(CSIRTの1要素、SCAPの実践) • 継続診断(Continuous Monitoring) • ベースライン(リスク)分析, リスク数値化 • 例:  過去1年間の会社全体の脆弱性リスク変化  Windows機器だけの検査、リスク変化  Linux機器だけの検査、リスク変化  仮想環境だけの検査、リスク変化  特定の脆弱性に関する管理  拠点、支店、部門 単位の検査  自動スケジュールスキャン・自動レポーティング
  • 14. JPCERT • インシデントレスポンスの能力を計測する基準として、CERT/CC では『Detect(検知・認知)』として以下が提 唱されている。 • サーバとネットワークの状態を監視及び検知する能力 • 脆弱性情報や脅威(攻撃)などを収集及び把握する能力 Confidential and Proprietary 14 Vulnerability・脆弱性に対して… 必要とされるサービス • インシデント対応コーディネーション • 脆弱性情報ハンドリング(nexpose) • 人為事象ハンドリング(insightIDR) • アラート発行(insightIDR) • 教育、トレーニング (metasploit) • セキュリティツール開発 • 監視、監査(insightIDR) • 侵入検知(insightIDR) • セキュリティ情報サービス(nexpose) • 情報分析など(nexpose) 脆弱性情報を収集し、自組織のシステムに対す る脅威を分析して、必要に応じてパッチ(修正 ソフト)の適用や設定変更を行う(JPCERT) 脆弱性管理 アセット管理 トリアージ レポート リスク評価
  • 15. 重要インフラの情報セキュリティに係る第3次行動計画 • 13業種+5省庁の密連携 • 情報通信/金融/航空/電力/鉄道/ガス/政府・行政・地方公共団体 • 医療/水道/物流/化学/クレジット/石油 • 金融庁/総務省/経産省/厚労省/国交省 • NICT/IPA/JPCERT • 安全基準の整備・浸透 • 情報共有体制の強化 • 障害対応体制の強化 • 防護基盤の強化 • リスクマネジメント Confidential and Proprietary 15 官民連携重要インフラ防護(NISC:内閣サイバーセキュリティセンター) • CSIRT, CISO設置の加速 • サイバー攻撃によるリスクを把握・管理(開示) • M2M機器、IoTの脆弱性調査 • ソフトウェア等の脆弱性関連情報の収集 • 制御システムセキュリティの強化 • ペネトレーションテスト等を通じたセキュリティ対策を徹底
  • 17. • 経営層による情報セキュリティの定量的かつ定期的な状 況把握/施策意思決定… • CVSS値 • 機器重要度 本番サーバー vs. 開発サーバー • 機器重要度 サーバー vs. クライアント vs. ネットワーク機器 • 情報重要度 従業員情報 vs. 顧客情報 • 部門重要度 人事部門 vs. 営業部門 vs. 開発部門 • 職務重要度 役員 vs. 部長 vs. 一般職 • 脆弱性問題経過日数 1週間 vs. 6カ月 • 脆弱性への侵入容易性 簡単 vs. 困難 • 脆弱性へのマルウェア 存在 vs. 不在 Confidential and Proprietary 17 脆弱性“リスク”管理とは?
  • 18. Confidential and Proprietary 18 セキュリティ・ソリューション Endpoint Security Encryption Device Control Authentication C&C detector DLP Server, Desktop, Mobile, Router, Switch, Printer, AWS, etc Unix, Linux, Windows, iOS, Android, Embedded Linux, Vmware, etc SIEM Incident & Response Firewall IPS WAF DDos protector Email Security Web Security Sandbox Vulnerability Risk Management User & Entity Behavior Analytics リスクベース・セキュリティ CSIRT / SOC
  • 19. Confidential and Proprietary 19 Rapid7 ソリューション概要 Nexpose(脆弱性情報管理) Metasploit(侵入テスト) • エージェントレスアクティブスキャナー • SCAP(Security Content Automation Protocol )の実践 • Windows, Linux, Unix, Mobile, Network, Printer, 仮想環境, ク ラウド、データベース、等を対象 • クレデンシャルスキャン機能 • 静的&動的アセット管理・分類・脆弱性評価&可視化 • RealRisk™、CVSS等によるリスク評価・優先順位付け • ベースライン・ヒストリカル分析 • 20種以上コンプライアンススキャンテンプレート • 30種以上のレポートテンプレート • 世界標準のペネトレーションテストソリューション • 世界最大規模のエクスプロイトライブラリ • 効果的・効率的なペネトレーションテストを実現 • VPNピボット技術によりFirewallを通過 • ステージエンコーディング技術によりIPSを通過 • ダイナミックペイロードにて主要アンチマルウェアを回避 • ファイルコピー、キーロガー等200以上のポストエクスプロイト • テスト手法・過程、防御技術の有効性を検査・試験 • ワークフロー機能によるテストの均一化・平準化 • フィッシングキャンペーン機能 • PCI DSS、FISMA等レポートテンプレート提供 Appspider(Webアプリケーションスキャナー) insightIDR(ユーザ行動分析) • 最先端技術に対応する高速アプリケーション・スキャナー • ユニバーサルトランスレータによりテクノロジギャップを解消 • AJAX, Web3.0, JSON, GWT, REST, AMP, 等 • Jenkins, Seleniumとの高い親和性 • アプリケーションの弱点を把握 • XSS, SQL injection, URL rewriting, Redirect, Cookie, CSRF, 等 • 対応課題の優先付け • アプリケーション内セキュリティ状態の改善 • WAF/IPSへの仮想パッチ生成 • コンプライアンス要件(PCI,FISMA,SOX,OWASP等)への適合 • 次世代UEBA(User & Entity Behavior Analytics)ソリューション • Endpoint~Cloudアプリケーションまでをカバーするユーザ行動 分析&管理 • ログイン(位置情報・頻度・特権変更) • サーバー・ファイルアクセス • クラウドログイン・アクセス、クラウドデータコピー • フィッシング・ハニークレデンシャル • Office365,Box,Salesforce,Okta,Netsuite等主要クラウドアプリ ケーションとの高い親和性(API連携) • PaloAlto Wildfire / Fireeye TAPと連動可能
  • 22. • Nexpose ハンズオンワークショップ 7月14日(木) • Metasploitハンズオンワークショップ 7月15日(金) 参加ご希望の方は以下までご連絡ください。 お問い合わせ先: 03-4360-9327 メール: japanoffice@rapid7.com Confidential and Proprietary 24