More Related Content Similar to 今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜 (20) More from Riotaro OKADA (20) 今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜4. アスタリスク・リサーチ 企業におけるセキュリティ実践支援企業
asteriskresearch.com
(c) Riotaro OKADA / Asterisk Research, Inc. 4
Professional Tools
実践段階のQCDを⾼める道具
・トレーニング
・Eラーニング
・開発環境向けツール(CI/CD)
・トレーニングイベントデザイン
・リスクプロファイルトレーニング
・脅威分析トレーニング
Advisory Service
経営陣の⾼速な意思決定を実現するアドバイザリ
・PSIRT/CSIRT Advisory
・DevOps Transformation
・セキュリティ・スコアカード分析
・エグゼクティブ向けブリーフィング
・CISO, CTO, CROハンズオン
Security Test Managed Service
セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis
・コンポーネント分析 SCA
・ソースコード分析 SAST
・システム脆弱性テスト DAST
・プラットフォームテスト NST
9. CISA’s Top 15 Routinely Exploited Vulnerabilities of 2021
(c)
Riotaro
OKADA
11
CVE 脆弱性名 ベンダーと製品 タイプ CVSS 3.0/2.0
CVE-2021-44228 Log4Shell Apache Log4j リモートコード実⾏(RCE) 10/9.3
CVE-2021-40539 Zoho ManageEngine AD SelfService Plus RCE 9.8/7.3
CVE-2021-34523 ProxyShell Microsoft Exchange Server 特権の昇格 9.8/7.5
CVE-2021-34473 ProxyShell Microsoft Exchange Server RCE 9.8/10.0
CVE-2021-31207 ProxyShell Microsoft Exchange Server セキュリティ機能のバイパス 7.2/6.5
CVE-2021-27065 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8
CVE-2021-26858 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8
CVE-2021-26857 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8
CVE-2021-26855 ProxyLogon Microsoft Exchange Server RCE 9.8/7.5
CVE-2021-26084 AtlassianConfluence 任意のコードの実⾏ 9.8/7.5
CVE-2021-21972 VMwarevSphere RCE 10.0/9.3
CVE-2020-1472 ZeroLogon Microsoft Netlogon(MS-NRPC) 特権の昇格 9.8/10.0
CVE-2020-0688 Microsoft Exchange Server RCE 8.8/9.0
CVE-2019-11510 Pulse Secure 任意のファイルの読み取り 10.0/7.5
CVE-2018-13379 FortiOSおよびFortiProxy パストラバーサル 9.8/5.0
11. vulnerability
• 脆弱性 /ˌvʌ(ə)rəˈbɪɪ/ ♪(弱い部分
• 名詞(複数形vulnerabilities)物理的または感
情的に攻撃されたり傷つけられたりする可能性に
さらされている質または状態:
• 例文:保護当局は地域住民の脆弱性に気付いた|彼は
感染に対する脆弱性のために隔離されている|詐欺師
は私たちの脆弱性を見抜くのが得意である。
18. 脆弱性の対応マップ
脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
デスクトップやスマートフォン
デバイスのOSに問題があり、保護が⼿
薄、あるいは脆弱な状態になっている
プラットフォーマ
(Apple, Googleなど)
アップデート適⽤、
設定調整
⾃動アップデート活⽤、
更新情報プロセス強化
アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
アップデート適⽤、設定
調整、
アップデートあるいは
アンインストール
ネットワーク機器、デバイス
装置のファームウェアが古いあるいは
悪⽤されやすい設定になっているため
脆弱な状態
メーカー アップデート適⽤
ネットワーク機器や
構成の⾒直し
システム:オープンソースや
サードパーティAPIなど
システムで利⽤しているOSで使われて
いるOSSのソースコードに問題が発⾒
され脆弱性があるということが広く知
られる
システム:プログラムコード
⾃社あるいはSIerが開発したコードに問
題があり、脆弱になっている
システム:クラウドサービス、
アプリケーションの設定
コンフィギュレーションの問題で、
データが侵害されやすい状態などで脆
弱になっている
ユーザ、オペレータ
利⽤が許可されている機能あるいは
データの取り扱いを誤⽤してしまう
Enabling Security with "シフトレフト" © Asterisk Research, Inc. 20
20. チャット系
グループウェア
オンライン会議系
社内SNS
インストール型
総合 ナレッジ共有
日報 社内報
総合
ワークフロー
総合
エンジニア コンサル
マーケティング
プラットフォーム型
Webサイト
クラウドソーシング型
総合 クリエイティブ テスター・入力
翻訳・ライティング・編集
オンラインセミナー・イベント
人事
コミュニケーション
営業
周辺ツール ホワイトボード
ノーコード
iPaaS HP ECサイト
フォーム
ハード系
MA / CRMツール
名刺管理
メール
商談関連
フォームアタック
D
セールス支援
顧客管理
セールス
セールス
HR系
人事評価 エンゲージメント向上
エンゲージメント測定ツール
日程調整
デザイン
採用関連 人事関連
オンライン1on1 オンライン福利厚生
リモート人材活用
エージェント型
エンジニア
2021/02/08 現在
(c) Riotaro OKADA / Asterisk Research, Inc.
ノーコード︖ローコード︖連携︖
21. 設計の問題と、実装の問題の両方とも、脆弱性の原因になる。
Design ‒ 設計 Implement ‒ 実装
© Asterisk Research, Inc. 23
⼊⼒データ信頼の
条件
採⽤する認証メカ
ニズム
認証と認可 データと制御の分
離
暗号化と機密デー
タの識別
外部
コンポーネント
ログ、エラー 想定脅威
データベース
アクセス
エンコーディング
とエスケープ
⼊⼒値検証 IDと認証管理
アクセス制御 データ保護 モニタリング
機能
エラー処理と
例外処理
22. システムの重大なセキュリティ問題トップ10 / 2021年版
• A01:2021 – アクセス制御の不備
• A02:2021 – 暗号化の失敗
• A03:2021 – インジェクション
• A04:2021 – 安全が確認されない不安な設計
• A05:2021 – セキュリティの設定ミス
• A06:2021 – 脆弱で古くなったコンポーネント
• A07:2021 – 識別と認証の失敗
• A08:2021 – ソフトウェアとデータの整合性の不具合
• A09:2021 – セキュリティログとモニタリングの失敗
• A10:2021 – サーバーサイドリクエストフォージェリ (SSRF)
24
23. (c) Riotaro OKADA / Asterisk Research, Inc.
25
Up 5項⽬
• A01 アクセス制御の不備
• A02 暗号化の失敗
• A05 セキュリティの設定ミス
• A06 脆弱で古くなったコンポーネント
• A09セキュリティログとモニタリングの失敗
24. (c) Riotaro OKADA / Asterisk Research, Inc.
26
New 3項⽬
• A04 安全が確認されない不安な設計
• A08ソフトウェアとデータの整合性の不具合
• A10サーバーサイド・リクエスト・フォージェリ
27. Bill Of Materials = 部品表
• 製造業において製品を製造する上で必要な部品
情報や、どのような構成で組み上がっているの
かを把握するための基本情報
• 設計部門から購買部門、製造部門へと引き渡さ
れ、調達スケジュールや工程管理、さらに原価
管理においても不可欠
• 製造する製品に必要な部品管理を効率的に行う
ことを目的
https://www.techs-s.com/media/show/7
28. SBOM︓Software Bill Of Materials
• SBOM(Software Bill Of Materials︓ソフトウェア
部品表)とは、特定の製品に含まれるすべて(プロ
プライエタリおよびオープンソースなど)のソフト
ウェアコンポーネント、ライセンス、依存関係を⼀
覧化したもの
32. 脆弱性の対応マップ
脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
デスクトップやスマートフォン
デバイスのOSに問題があり、保護が⼿
薄、あるいは脆弱な状態になっている
プラットフォーマ
(Apple, Googleなど)
アップデート適⽤、
設定調整
⾃動アップデート活⽤、
更新情報プロセス強化
アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
アップデート適⽤、設定
調整、
アップデートあるいは
アンインストール
ネットワーク機器、デバイス
装置のファームウェアが古いあるいは
悪⽤されやすい設定になっているため
脆弱な状態
メーカー アップデート適⽤
ネットワーク機器や
構成の⾒直し
システム:オープンソースや
サードパーティAPIなど
システムで利⽤しているOSで使われて
いるOSSのソースコードに問題が発⾒
され脆弱性があるということが広く知
られる
OSSプロジェクト、
LinuxやMicrosoftなど
OSベンダー
動作検証と
アップデート適⽤
ソフトウェア構成分析SCA
の導⼊、SBOM
システム:プログラムコード
⾃社あるいはSIerが開発したコードに問
題があり、脆弱になっている
コードを書いた⼈ない
し、開発プロジェクト
チーム
プログラムの修正
SAST、ハンズオン
教育訓練、検査ツールの強
化など⽣産技術的強化
システム:クラウドサービス、
アプリケーションの設定
コンフィギュレーションの問題で、
データが侵害されやすい状態などで脆
弱になっている
クラウドベンダーある
いはその先進的なユー
ザ
設定の修正
適切な脆弱性検査や
モニタリングの強化
ユーザ、オペレータ
利⽤が許可されている機能あるいは
データの取り扱いを誤⽤してしまう
Enabling Security with "シフトレフト" © Asterisk Research, Inc. 34
34. 情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位
不正アプリによる
スマートフォン利⽤者への被害
6位
修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位
インターネット上のサービスからの
個⼈情報の窃取
8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
(アンダーグラウンドサービス)
圏外
35. 前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位
不正アプリによる
スマートフォン利⽤者への被害
6位
修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位
インターネット上のサービスからの
個⼈情報の窃取
8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
(アンダーグラウンドサービス)
圏外
情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
システムの問題
- ソフトウェアの脆弱性
- 連携の複雑性
- 適切でない施策
- 複雑な構造による管理負荷の問題
- ネットワークの拡⼤
- 放置、丸投げ、思い込みで悪化
36. 情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位 不正アプリによる スマートフォン利⽤者への被害 6位
修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位 インターネット上のサービスからの 個⼈情報の窃取 8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
(アンダーグラウンドサービス)
圏外
⼈の脆弱性
- 低い優先度
- 無知・無関⼼
- 技術不⾜
- コスト
- 資産の認識不⾜
- モラル
- 思い込み
37. 情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位 不正アプリによる スマートフォン利⽤者への被害 6位
修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位 インターネット上のサービスからの 個⼈情報の窃取 8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
(アンダーグラウンドサービス)
圏外
社会の脆弱性
- 広範囲な活動領域
- 標的へのアクセスがどこからでも簡単
- ソフトウェア量産にともない脆弱性も
- 「⾼収益な仕事」礼賛傾向
- 攻撃⼿段の容易な調達
- ⽴ち遅れる取り締まり、罰則
38. 原因 - トップ5を理解する
1. セキュリティ問題の軽視
2. 無知と無関心
3. 技術的手段の不足
4. コストの問題
5. 情報資産の認識不足
Asterisk Research, Inc. (c) 40
39. 原因 ‒ トップ10に拡げる
6. ポリシーや手順の問題
7. 継続的対策の欠如
8. システムの不適切な構築
9. 人のエラー
10. 法律・規制の遵守の欠陥
Asterisk Research, Inc. (c) 41
1. セキュリティ問題の軽視
2. 無知と無関心
3. 技術的手段の不足
4. コストの問題
5. 情報資産の認識不足
40. 脆弱性の対応マップ
脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
デスクトップやスマートフォン
デバイスのOSに問題があり、保護が⼿
薄、あるいは脆弱な状態になっている
プラットフォーマ
(Apple, Googleなど)
アップデート適⽤、
設定調整
⾃動アップデート活⽤、
更新情報プロセス強化
アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
アップデート適⽤、設定
調整、
アップデートあるいは
アンインストール
ネットワーク機器、デバイス
装置のファームウェアが古いあるいは
悪⽤されやすい設定になっているため
脆弱な状態
メーカー アップデート適⽤
ネットワーク機器や
構成の⾒直し
システム:オープンソースや
サードパーティAPIなど
システムで利⽤しているOSで使われて
いるOSSのソースコードに問題が発⾒
され脆弱性があるということが広く知
られる
OSSプロジェクト、
LinuxやMicrosoftなど
OSベンダー
動作検証と
アップデート適⽤
ソフトウェア構成分析SCA
の導⼊、SBOM
システム:プログラムコード
⾃社あるいはSIerが開発したコードに問
題があり、脆弱になっている
コードを書いた⼈ない
し、開発プロジェクト
チーム
プログラムの修正
SAST、ハンズオン
教育訓練、検査ツールの強
化など⽣産技術的強化
システム:クラウドサービス、
アプリケーションの設定
コンフィギュレーションの問題で、
データが侵害されやすい状態などで脆
弱になっている
クラウドベンダーある
いはその先進的なユー
ザ
設定の修正
適切な脆弱性検査や
モニタリングの強化
ユーザ、オペレータ
利⽤が許可されている機能あるいは
データの取り扱いを誤⽤してしまう
ユーザ⾃⾝、ならびに
その組織
応急対応と原因究明
⾮常事態の対応訓練
業務データ取り扱い訓練
ユーザビリティ向上
モニタリングの強化
Enabling Security with "シフトレフト" © Asterisk Research, Inc. 42
43. すぐはじめよう
• 自社で開発をする企業の場合++
• Learning First。脆弱性指摘されても意味がわかるように、まず学ぼうよ
• SBOMの前に(に、備えて)ソフトウェア構成分析(Software Composition
Analysis)
• SASTはやったほうがいい
• 脆弱性検査は改善アドバイスをどれだけ得られるかがキモ
(c) Riotaro OKADA 49
48. アスタリスク・リサーチ 企業におけるセキュリティ実践⽀援企業
asteriskresearch.com
(c) Riotaro OKADA / Asterisk Research, Inc.
55
Professional Tools
実践段階のQCDを⾼める道具
・トレーニング
・Eラーニング
・開発環境向けツール(CI/CD)
・トレーニングイベントデザイン
・リスクプロファイルトレーニング
・脅威分析トレーニング
Advisory Service
経営陣の⾼速な意思決定を実現するアドバイザリ
・PSIRT/CSIRT Advisory
・DevOps Transformation
・セキュリティ・スコアカード分析
・エグゼクティブ向けブリーフィング
・CISO, CTO, CROハンズオン
Security Test Managed Service
セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis
・コンポーネント分析 SCA
・ソースコード分析 SAST
・システム脆弱性テスト DAST
・プラットフォームテスト NST