Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
で始めよう
DevSecOps!
Future Architect, Inc.
Takayuki Ushida
OSC2017 Tokyo/Spring
2017.3.10
自己紹介
• 牛田 隆之(Ushida Takayuki)
• Future Architect, Inc.
• Technology Innovation Group
• @usiusi360
あなたのイメージする
セキュリティ対策は?
参照
https://www.nict.go.jp/cyber/research.html
セキュリティ対策の現実
セキュリティ対策の現実
情報収集
テスト
対策適用 該当サーバ
調査
対応方法調査
泥臭い手作業の
オンパレード 超大変
脆弱性番号(Cve-ID)
約7000件/年
インストールされたパッケージ
400個~/1サーバ
CveIDを元に、該当するアプリを特定!
しかし、ほとんどは自システムに関係ない
脆弱性影響調査のつらみ
サーバ台数(種類)
VULnarability Scanner
脆弱性 スキャナー
Vuls概要
• OSS(GPLv3)
• エージェントレス(SSH)
• 非破壊スキャン
• 主要ディストリビューションのスキャン可能
Vulsの高い検知精度
• Vulsは、他の製品やサービスの比べ高い検知を誇ります。
120
140
160
180
200
Amazon Inspector OpenVAS Vuls
検知数
検知数
※下グラフはAmazonLinuxの場合
...
11
Slack
豊富なレポート手段
TUI
日本語でレポート可能!
12
豊富なレポート手段
WebUI(VulsRepo)
ピボットテーブル的に集計・分析できます!
13
Excel
豊富なレポート手段
ElasticSearch+Kibana
監査の
報告資料として!
大規模環境での
全体可視化に!
14
脆弱性検知は自動チェックツールを使って運用を楽に!
• 脆弱性対策の第一歩はシステムに潜在する脆弱性
を可視化することです。
• 脆弱性検知は一回行って終わりではありません。
継続的に実施することが必要です。
OSSなので無料で使えます!...
15
Go製脆弱性スキャナー「Vuls」をバズらせたコツとは?
エンプラで培った秘伝のSQL開発手法をOSS化!
エンプラでSPAで最新UI!?よし、作ってOSS化!
このあと、14:00-14:45 202教室
展示ブース:201教室
オンラ...
16
Vuls祭り#2
2017/03/24(金) 19:00 〜 22:30
直近イベント
今日時点で124人の申し込み
キャンセル待ちが出てますが
諦めずに申し込みを!
にて募集中!
Upcoming SlideShare
Loading in …5
×

Vulsで始めよう!DevSecOps!

2,606 views

Published on

OSC2017(https://www.ospn.jp/osc2017-spring/modules/eguide/event.php?eid=12)の資料です

Published in: Software
  • Be the first to comment

Vulsで始めよう!DevSecOps!

  1. 1. で始めよう DevSecOps! Future Architect, Inc. Takayuki Ushida OSC2017 Tokyo/Spring 2017.3.10
  2. 2. 自己紹介 • 牛田 隆之(Ushida Takayuki) • Future Architect, Inc. • Technology Innovation Group • @usiusi360
  3. 3. あなたのイメージする セキュリティ対策は?
  4. 4. 参照 https://www.nict.go.jp/cyber/research.html
  5. 5. セキュリティ対策の現実
  6. 6. セキュリティ対策の現実 情報収集 テスト 対策適用 該当サーバ 調査 対応方法調査 泥臭い手作業の オンパレード 超大変
  7. 7. 脆弱性番号(Cve-ID) 約7000件/年 インストールされたパッケージ 400個~/1サーバ CveIDを元に、該当するアプリを特定! しかし、ほとんどは自システムに関係ない 脆弱性影響調査のつらみ サーバ台数(種類)
  8. 8. VULnarability Scanner 脆弱性 スキャナー
  9. 9. Vuls概要 • OSS(GPLv3) • エージェントレス(SSH) • 非破壊スキャン • 主要ディストリビューションのスキャン可能
  10. 10. Vulsの高い検知精度 • Vulsは、他の製品やサービスの比べ高い検知を誇ります。 120 140 160 180 200 Amazon Inspector OpenVAS Vuls 検知数 検知数 ※下グラフはAmazonLinuxの場合 Qiita:Vuls・OpenVAS・Amazon Inspectorを徹底比較
  11. 11. 11 Slack 豊富なレポート手段 TUI 日本語でレポート可能!
  12. 12. 12 豊富なレポート手段 WebUI(VulsRepo) ピボットテーブル的に集計・分析できます!
  13. 13. 13 Excel 豊富なレポート手段 ElasticSearch+Kibana 監査の 報告資料として! 大規模環境での 全体可視化に!
  14. 14. 14 脆弱性検知は自動チェックツールを使って運用を楽に! • 脆弱性対策の第一歩はシステムに潜在する脆弱性 を可視化することです。 • 脆弱性検知は一回行って終わりではありません。 継続的に実施することが必要です。 OSSなので無料で使えます! • 検知機能だけでなく、可視化ツールも含めて全ての機 能がOSSだけで構成できます。 • 規模や運用条件に合わせて柔軟に構成できます。
  15. 15. 15 Go製脆弱性スキャナー「Vuls」をバズらせたコツとは? エンプラで培った秘伝のSQL開発手法をOSS化! エンプラでSPAで最新UI!?よし、作ってOSS化! このあと、14:00-14:45 202教室 展示ブース:201教室 オンラインデモあります
  16. 16. 16 Vuls祭り#2 2017/03/24(金) 19:00 〜 22:30 直近イベント 今日時点で124人の申し込み キャンセル待ちが出てますが 諦めずに申し込みを! にて募集中!

×