Successfully reported this slideshow.
Your SlideShare is downloading. ×

2017年にモテる方法

Feb. 10, 2017
1 like 1,023 views
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
Spc2015 33
Spc2015 33
Loading in …3
×

Check these out next

なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
I-C-I Webセキュリティサービスのご紹介
Mitsuhiro Kouta
予測の不確かさのユーザー調査
tmtm otm
Webアプリケーション脆弱性診断について
tobaru_yuta
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
スマートフォンとクラウドで日本を変える5つの試み
Cybozucommunity
Ethics of AI - AIの倫理-
Daiyu Hatakeyama
1 of 17 Ad

2017年にモテる方法

Feb. 10, 2017
1 like 1,023 views

Download to read offline

Technology

20170208 総関西サイバーセキュリティLT大会(第1回)で発表した内容です。

[Connpass]総関西サイバーセキュリティLT大会
https://sec-kansai.connpass.com/


内容は「Web脆弱性診断サービス」についてです。


■見積もり箇所をしっかり診断している
良いサービスは「見積り箇所をしっかり診断できているサービスを選ぶ」
当たり前じゃないかと思いますが、診断中に診断方法が悩ましい箇所って結構あるんです。
そういった箇所への診断アプローチ方法がしっかりしていることが大切だと思います。

■見積り時にアクセス出来た画面がエラー画面になっている
診断が大変というよりも手間がかかる箇所です。
普通は診断中にベンダーから「エラーになってます」と質問をすると思います。
マニュアルの診断なら確認するところですが、自動ツール診断だと見逃してしまう可能性もあるのでは!
見逃されれば、本来の診断したかった箇所は診断できずに終わってしまう!?

■ログインユーザが一度しか実行できないような機能がある
一度してしまうとエラーになってしまう。診断が大変ですね。
一度しかできない制限を外してもらうことは難しいならば、
複数ユーザを時準備して最低限の診断をするしかない。
送信するパラメータの役割も判断したいの!
どうやって脆弱性の検証を絞ればいいのか。

■自動診断ツール診断できない項目や機能がある!?
自動診断ツールでは「権限に関する脆弱性」「退会機能」「CAPTCHA画像が存在する機能」などなど

退会機能の場合、機能を実行するごとに新規会員登録を実施して新規ユーザで診断を継続するようにマルチステップを組むという方法もあるが、
新規会員登録をメールに記載されたURL経由で行う場合、ツールはメールに記載されたURLを自動で取得できないため診断できない。
また、このようなマルチステップを組むとリクエスト数も増加するため診断時間が長くなる。

見積り内容を確認して「ここは出来ませんよ。」と確認できればいいですが、
自動診断なので見積もりで言われた通り設定してスキャンを流せば、気が付かないかもしれないですね。

■まとめ
現在、私たち診断メンバはお客様とのヒアリングの充実度に力を入れています。

事前チェックシートやヒアリングシートには、
実際にめんどうな問題が起こってしまう前にできるだけ対応できるような質問項目を追加しています。

また、チェックシートやヒアリングシートが膨れ上がるとお客様の負担も重たくなるため、
さらに診断員が直接ヒ

20170208 総関西サイバーセキュリティLT大会(第1回)で発表した内容です。

[Connpass]総関西サイバーセキュリティLT大会
https://sec-kansai.connpass.com/


内容は「Web脆弱性診断サービス」についてです。


■見積もり箇所をしっかり診断している
良いサービスは「見積り箇所をしっかり診断できているサービスを選ぶ」
当たり前じゃないかと思いますが、診断中に診断方法が悩ましい箇所って結構あるんです。
そういった箇所への診断アプローチ方法がしっかりしていることが大切だと思います。

■見積り時にアクセス出来た画面がエラー画面になっている
診断が大変というよりも手間がかかる箇所です。
普通は診断中にベンダーから「エラーになってます」と質問をすると思います。
マニュアルの診断なら確認するところですが、自動ツール診断だと見逃してしまう可能性もあるのでは!
見逃されれば、本来の診断したかった箇所は診断できずに終わってしまう!?

■ログインユーザが一度しか実行できないような機能がある
一度してしまうとエラーになってしまう。診断が大変ですね。
一度しかできない制限を外してもらうことは難しいならば、
複数ユーザを時準備して最低限の診断をするしかない。
送信するパラメータの役割も判断したいの!
どうやって脆弱性の検証を絞ればいいのか。

■自動診断ツール診断できない項目や機能がある!?
自動診断ツールでは「権限に関する脆弱性」「退会機能」「CAPTCHA画像が存在する機能」などなど

退会機能の場合、機能を実行するごとに新規会員登録を実施して新規ユーザで診断を継続するようにマルチステップを組むという方法もあるが、
新規会員登録をメールに記載されたURL経由で行う場合、ツールはメールに記載されたURLを自動で取得できないため診断できない。
また、このようなマルチステップを組むとリクエスト数も増加するため診断時間が長くなる。

見積り内容を確認して「ここは出来ませんよ。」と確認できればいいですが、
自動診断なので見積もりで言われた通り設定してスキャンを流せば、気が付かないかもしれないですね。

■まとめ
現在、私たち診断メンバはお客様とのヒアリングの充実度に力を入れています。

事前チェックシートやヒアリングシートには、
実際にめんどうな問題が起こってしまう前にできるだけ対応できるような質問項目を追加しています。

また、チェックシートやヒアリングシートが膨れ上がるとお客様の負担も重たくなるため、
さらに診断員が直接ヒ

Technology
Advertisement

Recommended

Spc2015 33
Kaigi Senden
929 views
10 slides
GoogleのSHA-1のはなし
MITSUNARI Shigeo
44.9k views
21 slides
ブラウザとWebサーバとXSSの話@Shibuya.xss
Toshiharu Sugiyama
4.1k views
15 slides
ログイン前セッションフィクセイション攻撃の脅威と対策
Hiroshi Tokumaru
19.8k views
16 slides
IoTって何が良いの? 〜言うてるオレもわからんわ〜 #kinoko_iot
Kazuhito Miura
2.1k views
57 slides
0からのウェブディレクション講座:設計編 v5.3
Yasuji Takase
165.3k views
49 slides
DeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組み
Toshiharu Sugiyama
7.8k views
50 slides
PostgreSQLクエリ実行の基礎知識 ~Explainを読み解こう~
Miki Shimogai
113.2k views
88 slides
Advertisement

More Related Content

Similar to 2017年にモテる方法 (20)

なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
15.5k views
I-C-I Webセキュリティサービスのご紹介
Mitsuhiro Kouta
804 views
予測の不確かさのユーザー調査
tmtm otm
28 views
Webアプリケーション脆弱性診断について
tobaru_yuta
699 views
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
31.5k views
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
560 views
スマートフォンとクラウドで日本を変える5つの試み
Cybozucommunity
752 views
Ethics of AI - AIの倫理-
Daiyu Hatakeyama
367 views
20180224 azure securitycenter
Masakazu Kishima
159 views
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
Developers Summit
1.3k views
密度比推定による時系列データの異常検知
- Core Concept Technologies
3.8k views
alliance forum capy
Japan IT Patent Association
572 views
Mix Leap 0214 security
adachi tomohiro
153 views
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
Hiroshi Tokumaru
8.9k views
Kobe sec#11 summary
Yukio NAGAO
317 views
最近の事例におけるサイバー攻撃の傾向と対策
itforum-roundtable
5.5k views
分析のリアルがここに!現場で使えるデータ分析(1限目) 先生:吉永 恵一
schoowebcampus
7.6k views
ニュースレター2012年01号
HealthcareBitStation
44k views
インシデント被害額推定ってどうやるの?
歩 奥山
576 views
日経コンピュータ主催:さわってわかる機械学習 Azure Machine Learning 実践セミナー
Hiroshi Senga
463 views
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
15.5k views
54 slides
I-C-I Webセキュリティサービスのご紹介
Mitsuhiro Kouta
804 views
43 slides
予測の不確かさのユーザー調査
tmtm otm
28 views
38 slides
Webアプリケーション脆弱性診断について
tobaru_yuta
699 views
10 slides
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
31.5k views
94 slides
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
560 views
30 slides

Recently uploaded (20)

複数の質感を複合的に提示可能な触覚提示デバイス
Matsushita Laboratory
53 views
校内グループ基本操作_20230228.pdf
classicorp
69 views
【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho...
ARISE analytics
21 views
[2023-03-17] エンジニア座談会 Spear 🔱 .pptx
MantarohYoshinaga
104 views
【卒業論文】B2Bオークションにおけるユーザ別 入札行動予測に関する研究
harmonylab
50 views
競輪におけるレーティングシステムを用いた予想記事生成に関する研究
harmonylab
43 views
GitHub Actions と Azure PaaS でプルリクエストごとに環境を ~ Azure Static Web Apps と Containe...
Kazumi IWANAGA
12 views
Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...
ARISE analytics
24 views
2022 01 sightseeing
arts yokohama
62 views
【DL輪読会】Bridge-Prompt: Toward Ordinal Action Understanding in Instructional Vi...
Deep Learning JP
142 views
レプリケーション遅延の監視について(第40回PostgreSQLアンカンファレンス@オンライン 発表資料)
NTT DATA Technology & Innovation
41 views
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
FumieNakayama
99 views
15. Transformerを用いた言語処理技術の発展.pdf
幸太朗 岩澤
3 views
【タガヤス】イベント行動規範_オフライン
タガヤス
14 views
ニューラルネットワークの理論
Kazuma Komiya
24 views
JTEKT_CSR特集.pdf
ssuser7715921
44 views
Azure PlayFab トレーニング資料
Daisuke Masubuchi
35 views
Azure Arc Automanage Machine Configuration による構成の管理と適用
Kazuki Takai
42 views
東芝のデータ処理技術基盤のご紹介(ポスター)
griddb
10 views
PythonでWebDAVサーバーを作ろう②
iPride Co., Ltd.
20 views
複数の質感を複合的に提示可能な触覚提示デバイス
Matsushita Laboratory
53 views
26 slides
校内グループ基本操作_20230228.pdf
classicorp
69 views
19 slides
【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho...
ARISE analytics
21 views
32 slides
[2023-03-17] エンジニア座談会 Spear 🔱 .pptx
MantarohYoshinaga
104 views
20 slides
【卒業論文】B2Bオークションにおけるユーザ別 入札行動予測に関する研究
harmonylab
50 views
34 slides
競輪におけるレーティングシステムを用いた予想記事生成に関する研究
harmonylab
43 views
24 slides
Advertisement

2017年にモテる方法

  1. 1. 神戸デジタル・ラボ セキュリティソリューション事業部 桝谷 昌史 2017年にモテる方法
  2. 2. 自己紹介 ・ 桝谷 昌史 (ますたに まさふみ) ・ 神戸デジタル・ラボ セキュリティソリューション事業部 ・ セキュリティ診断 標的型攻撃メール訓練Masafumi Masutani @madamadaikeru22
  3. 3. この結果 知っていますか?
  4. 4. うしろからギュッとされる 2017年!女性が”胸キュン”する男性の行動BEST3 1 3 2 頭をぽんぽんされる Webアプリケーション脆弱性診断を どの会社に頼めばいいのか教えてくれる
  5. 5. 良い診断サービス
  6. 6. 良い脆弱性診断サービスって 価格脆弱性の検出率 シグネチャ数 報告書の わかりやすさ
  7. 7. 良い脆弱性診断サービスって 価格脆弱性の検出率 シグネチャ数 報告書の わかりやすさ 見積り箇所をきちんと診断しているサービス
  8. 8. 診断が大変な箇所
  9. 9. 見積り時にアクセス出来た画面がエラー画面になっている 見積り時 の画面 診断時の画面
  10. 10. ログインユーザが一度しか実行できないような機能がある ドモ●ルンリンクル の無料お試しセット ドモ●ルンリンクル の無料お試しセット ドモ●ルンリンクル の無料お試しセット はじめてのお客様 2回目のお客様 2回目のお客様
  11. 11. 自動診断ツール診断できない項目や機能がある!? ID PASS システム外の 業務フローがある キャプチャがある SNS 画面遷移に回数 制限がある ポイント、 在庫減
  12. 12. Web脆弱性診断の 選び方
  13. 13. 「診断が難しそうな箇所はありますか」と質問をする
  14. 14. 事前確認段階でベンダーから注意点がある ■見積もり箇所についての注意点 ■事前チェックシートやヒアリングシートの精度 ・開発フレームワーク情報 (脆弱性の検証に関わる) ・開発言語 (脆弱性の検証に関わる) ・十分な商品在庫/認証情報 (診断品質に関わる) ・見積もりとの差異 (診断品質に関わる) ・リンク切れ (診断品質に関わる) ・実装漏れ (診断品質に関わる) ・本番環境の診断注意点 (診断品質に関わる)
  15. 15. まとめ
  16. 16. 2017年にモテるためには 診断前の準備をめんどくさくすること ※あくまで、個人の意見です。
  17. 17. ご清聴ありがとうござい ました。 会場提供ありがとうございました。 ・MOTEXさん 開催ありがとうございました。 ・sosaisecさん

×