ベトナムでのセキュリティセミナー資料（学生向け）。 ITエンジニアのセキュリティ対策や学習方法について、全体像を紹介しています。目的はセキュリティ対策の必要性と学習方法を学生に学んでもらうこと。

1. ITエンジニアの
セキュリティ対策
IT Engineer Security Measures
GMOインターネット株式会社
次世代システム研究室

2. 自己紹介
GMOインターネット株式会社
次世代システム研究室 S.I
航空会社や銀行、証券、ゲームなど様々な領域での開発とマ
ネジメント経験を経てGMOへ入社。
Joined GMO after developing and managing experience in various areas
such as airlines, banks, securities, and games.
現在はGMOグループをつなぐプラットフォーム開発の技術
領域を担当している。
Currently, I am in charge of the technical area of ​​platform development in
the GMO group.

3. アジェンダ
ITエンジニアのセキュリティ対策
・最近のセキュリティ脅威
・そのとき何が起こる？
セキュリティ対策について
・エンジニアにできること
・エンジニアにできないこと
IT Engineer Security Measures
・ Recent Security Threats
・ What happens then?
About security measures
・ What an engineer can do
・ What an engineer can not do

4. 今日はセキュリティ対策全体
の概要を紹介します。
Today I will give an overview of the overall
security measures.

5. ゴール
セキュリティ対策についての正しい知識
と認識を持ってもらうこと。
The goal is to have the correct knowledge and
awareness of security measures.

6. 突然ですが！？
It is sudden! ?

7. 5,420,299件
なんの数値かわかりますか？
Do you know what numbers?

8. 我々のサービスで一ヶ月間に受信した
不正な通信の数です。
The number of malformed requests received
over one month in our service.

9. 主な攻撃
• 特定IPから様々な攻撃（Various attacks from specific IP ）
• 不審なログイン試行（Incorrect login attempt ）
• 不審な通信の増加（Suspicious communication increase ）
• コマンド実行の試み（Command execution attempt ）
• Microsoft IISの脆弱性を狙った攻撃（Attacks targeting
Microsoft IIS vulnerabilities ）

10. サイバー攻撃は今も起きている
ロシアのセキュリティソフト会社が運営するサ
イバー攻撃の可視化サイト。
https://cybermap.kaspersky.com/
A cyber attack visualization site
operated by a Russian security
software company. Cyber ​​attacks
are still happening.

11. アジェンダ
ITエンジニアのセキュリティ対策
・最近のセキュリティ脅威
・そのとき何が起こる？
セキュリティ対策について
・エンジニアにできること
・エンジニアにできないこと
IT Engineer Security Measures
・ Recent Security Threats
・ What happens then?
About security measures
・ What an engineer can do
・ What an engineer can not do

12. 最近のセキュリティ脅威
Recent security threats

13. 2017年：WannaCry
「 WannaCry 」はワーム型ランサムウェアです。
150か国、23万台以上のコンピュータに感染した。
Microsoft Windowsの脆弱性が利用され、身代金とし
て暗号通貨ビットコインを要求された。
"WannaCry" is a worm-type ransomware.
Infected more than 230,000 computers in
150 countries. A vulnerability in Microsoft
Windows was exploited that required
cryptocurrency bitcoins as a ransom.

14. 実演デモ動画
IPAJPが紹介しているデモ動画です。同じネット
ワークにつながった2台のパソコンで感染が拡大
する様子をデモンストレーションしています。
Ipajp 「WannaCry (WannaCryptor)」感染実演デモ
https://www.youtube.com/watch?v=duN9dYG4q3s
A B
network
This is a demonstration video
introduced by IPAJP. It
demonstrates how the infection
spreads on two PCs connected to
the same network.

15. ランサムウエア被害実態調査
JPCERT 国内の重要インフラの184組織におけるアンケート
https://www.jpcert.or.jp/research/Ransom-survey.pdf
What is the cause of the infection?

16. ランサムウエア被害実態調査
JPCERT 国内の重要インフラの184組織におけるアンケート
https://www.jpcert.or.jp/research/Ransom-survey.pdf
What kind of influence did you have when it was damaged?

17. ランサムウエア被害実態調査
JPCERT 国内の重要インフラの184組織におけるアンケート
https://www.jpcert.or.jp/research/Ransom-survey.pdf
Are there any measures taken as a ransomware precautionary measure?

18. 2018年：Crypto Jacking
第三者が勝手に個人もしくは企業のPCのCPUリソ
ースを利用して暗号通貨のマイニングを行う。暗号
通貨には、ASICなどの特別な回路が不要で匿名性の
高い「Monero」が利用された。主な手法は二つ。
A third party arbitrarily uses the CPU resources of the
personal or corporate PC to mine the cryptocurrency.
The cryptocurrency used the highly anonymous
"Monero" without the need for special circuits such as
ASICs.

19. 手法①プール型
Mining
Pool
3.Conect to the mining pool
被害者が直接マイニングプールへ接続する。
4. Receiving a reward
1.Attack
2.Mining
Victims connect directly to the mining pool.
Address
LAC 公開サーバを狙った仮想通貨の採掘を強要する攻撃について
https://jsac.jpcert.or.jp/archive/2019/pdf/JSAC2019_7_nishibe_jp.pdf

20. 手法②プロキシ型
Mining
Pool
攻撃者を経由してマイニングプールへ接続する。
1.Attack
3.Conect to the proxy
4.Conect to the mining pool
5. Receiving a reward
2.Mining
Connect to the mining pool via an attacker.
Address
LAC 公開サーバを狙った仮想通貨の採掘を強要する攻撃について
https://jsac.jpcert.or.jp/archive/2019/pdf/JSAC2019_7_nishibe_jp.pdf

21. そのとき何が起こる？
What happens then?

22. 間接的な収益
以前より攻撃者は大勢の個人情報や認証情報を
盗みその情報の利用や売却で間接的に収益を上
げていた。
• Indirect monetization
Formerly, attackers have stolen many personal and authentication
information, and indirectly made more money by using and selling
that information.

23. 直接的な収益
以前とは異なり、攻撃者は情報を暗号化して仮
想通貨を要求したり、リソースを無断で利用し
て仮想通貨を採掘することで直接的に収益を上
げるようになった。
• Direct revenue
Attackers can generate information directly by encrypting
information to request a virtual currency, or using resources without
permission and mining virtual currency.

24. 収益を上げる手法の変化
以前と比べて「間接的な収益」から「直接的な
収益」へ仮想通貨の普及により変化している傾
向がある。様々な変化はあるが、セキュリティ
対策自体にはあまり大きな変化がない。
Compared with before, there is a tendency to change from "indirect
revenue" to "direct revenue" due to the spread of virtual currency.
Although there are various changes, security measures themselves
have not changed much.

25. まとめ

26. まとめ①
 企業は常に攻撃にさらされている。
 収益を上げる手法に変化がみられる。
 セキュリティ対策自体にあまり変化はない。
• Companies are constantly under attack.
• There is a change in the way we make money.
• Security measures themselves have not
changed much.

27. アジェンダ
ITエンジニアのセキュリティ対策
・最近のセキュリティ脅威
・そのとき何が起こる？
セキュリティ対策について
・エンジニアにできること
・エンジニアにできないこと
IT Engineer Security Measures
・ Recent Security Threats
・ What happens then?
About security measures
・ What an engineer can do
・ What an engineer can not do

28. エンジニアにできること
What an engineer can do

29. エンジニアにできること
以下のすべてを学び実践する必要がある。
 攻撃方法を学習する。
 セキュアな設計を学習する。
 テスト手法を学習する。
You need to learn and practice everything.
• Learn how to attack.
• Learn secure designs.
• Learn test methods.

30. 攻撃方法を学習する
Learn how to attack

31. WEBGOAT
OWASPコミュニティが開発したWebアプリケー
ションのセキュリティを学ぶためのツール。
https://github.com/WebGoat/WebGoat
A tool to learn web application
security developed by OWASP
community.

32. WEBGOAT
Install
curl https://raw.githubusercontent.com/WebGoat/WebGoat/develop/docker-
compose.yml | docker-compose -f - up
Access
http://localhost:8080/WebGoat

33. WEBGOAT
MENU
Result
Hint
Question
Answer

34. セキュア設計を学習する
Learn secure design

35. セキュア設計
• 入力値（Input value）
• データの送受信（Send and receive data）
• セッション管理（Session management）
• ユーザ認証（User authentication）
• 画面表示（Screen display）
• ロギング（Logging）
• 例外処理（Exception handling）

36. セキュア設計
• 入力値（Input value）
• データの送受信（Send and receive data）
• セッション管理（Session management）
• ユーザ認証（User authentication）
• 画面表示（Screen display）
• ロギング（Logging）
• 例外処理（Exception handling）
ここでは説明しません。
I will not explain it here.

37. セキュリティ要件
OWASPZAPのワーキンググループがまとめたセ
キュリティ要件書。セキュア設計を行う上で一
般的に考慮すべき要件をまとめた資料。
OWASP ”Webシステム／Webアプリケーションセキュリティ要件書（2019年1月15日リリース版）”
https://www.owasp.org/index.php/Pentester_Skillmap_Project_JP
Security requirements document
summarized by OWASPZAP working
group. A document that summarizes
the general considerations for secure
design.

38. テスト手法を学習する
Learn test methods

39. Penetration tool
「OWASP ZAP」はセキュリティ診断ツールで
す。Webアプリケーションをスキャンすること
で脆弱性を検知し、レポートを出力することが
できる。
OWASP ZAP is a penetration tool.
By scanning web applications,
vulnerabilities can be detected and
reports can be output.

40. Inspection function
• 動的スキャン
自動で検査する。Webアプリケーションのデータを変更する
可能性があるが精度の高い検査が可能。
• 静的スキャン
自動で検査する。Webアプリケーションのデータを変更せず
スキャンのみを行う。
Getting Started Guide
https://github.com/zaproxy/zaproxy/releases/download/v2.8.0/ZAPGettingStartedGuide-2.8.pdf

41. Inspection function
• 動的スキャン
自動で検査する。Webアプリケーションのデータを変更する
可能性があるが精度の高い検査が可能。
• 静的スキャン
自動で検査する。Webアプリケーションのデータを変更せず
スキャンのみを行う。
Getting Started Guide
https://github.com/zaproxy/zaproxy/releases/download/v2.8.0/ZAPGettingStartedGuide-2.8.pdf
ここでは説明しません。
I will not explain it here.

42. 注意点
「OWASP ZAP」は素晴らしいツールですが万
能ではありません。何ができて、何ができない
かを理解してテストの計画をすることが大切で
す。 ※ mainly detectable
XSS
SQL injection
CRLF injection
Server Side Code Injection
SSI injection
Buffer overflow
Parameter tampering
OS command injection
Format string error
Directory traversal
Remote file inclusion
"OWASP ZAP" is a great tool but not all-
around. It is important to understand what
you can do and what you can’t do to plan
your test.

43. まとめ

44. まとめ②
• アプリケーションの脆弱性を攻撃する方法を
学ぶことで防御する方法を学ぼう。
• セキュア設計には何が必要か、何に注意しな
ければならないかを学ぼう。
• 効果的なテストの方法を学ぼう。
• Learn how to defend by learning how to attack
application vulnerabilities.
• Learn what you need for secure design and what you
need to be aware of.
• Learn how to test effectively.

45. エンジニアにできないこと
Things that engineers
alone can not do

46. エンジニアだけではできないこと
主に経営者を含めた組織的な検討が必要なもの。
 セキュアな環境を作る
 セキュリティ機器を導入する
 組織的な体制を作る
Those that require organizational review, mainly
involving management.
• Create a secure environment
• Introduce security equipment
• Create an organized system

47. セキュアな環境を作る
Create a secure environment

48. セキュリティルーム
個人情報や機密情報などへの許可されていない
物理的なアクセスを防止し情報の安全性を確保
する。
Ensure the security of information
by preventing unauthorized
physical access to personal
information and confidential
information.

49. どんなことをしている？
主に以下などを実施して物理的なセキュリティ
を強化する。
• 生体認証、入退室管理
• 通信機器の持ち込み制限、操作ログ
Mainly implement the following to enhance physical security.
• Biometric authentication
• Entry and exit management
• Communication equipment carry-in restrictions
• Operation log

50. セキュリティ機器を導入する
Introduce security equipment

51. IPS/WAFの導入
サーバやネットワークの外部との通信や内部通
信を監視することで不正アクセスを検知/遮断す
る。
Detects / blocks unauthorized access by monitoring communication
with the outside of the server or network and internal communication.

52. IPS (Instruction Prevention System)
侵入防止システムという意味。不正な通信を検
出し通知するほか、その通信を遮断する。（Dos
Attack, SYN Flood Attackなど）
Meaning of intrusion prevention system. It detects and notifies
unauthorized communication, and shuts down the communication.
(Dos Attack, SYN Flood Attack etc.)

53. どんなことをしている？
シグネチャ型
シグネチャ型は異常なアクセスのパターンをあ
らかじめ登録しておく。通信の内容がそれと一
致すれば不正と判断する検知方法。
In the signature type, an abnormal access pattern is registered
in advance. Detection method to determine that the content of
the communication is incorrect if it matches it.

54. どんなことをしている？
アノマリ型
アノマリ型はシグネチャ型とは逆に、正常なア
クセスのパターンを事前に登録しておく。通信
の内容がそれと大きく異なるアクセスをみつけ
た場合は、不正と判断する検知方法。
On the contrary to the signature type, the anomaly type registers
the normal access pattern in advance. A detection method that
determines that the content of the communication is incorrect if it
finds an access that differs significantly from that.

55. WAF (Web Application Firewall)
通信を解析してWebアプリケーションの脆弱性
を狙った攻撃を検知/遮断する。（SQL Injection,
XSSなど）
Analyzes communications and detects / blocks attacks targeting web
application vulnerabilities. (SQL injection, XSS, etc.)

56. どんなことをしている？
送信されるリクエストに対して、主に以下をチェッ
クすることで通信を監視している。
• Protocol compliance (HTTP accuracy)
• Object type check (HTML, JSP, GIF, etc.)
• Length check (URL, cookie, query string etc)
• Character check
• Cookie check
• Parameter check (eg if there is a string to target injection)

57. 組織的な体制を作る
Create an organized system

58. SOC（Security Operation Center）
24時間365日体制でネットワークやセキュリティ
対策機器を監視し、サイバー攻撃の検出や分析、
対応策のアドバイスを行う組織。
An organization that monitors networks and security devices on a 24-hour,
365-day basis, detects and analyzes cyber attacks, and advises on
countermeasures.

59. SOC（Security Operation Center）
24時間365日体制でネットワークやセキュリティ
対策機器を監視し、サイバー攻撃の検出や分析、
対応策のアドバイスを行う組織。
自社で体制を整えるのは困難・・。
It is difficult to put in place in-house.

60. MSS（Managed Security Service）
SOCなどの取り組みを専門ベンダーがサービス
として提供する。自社で運用するよりコストを
抑えつつ、より高度なセキュリティ対策と運用
が期待できる。
LAC ” JSOC® マネージド・セキュリティ・サービス(MSS)”
https://www.lac.co.jp/service/operation/
Specialist vendors provide
services such as SOC as
services. We can expect
more advanced security
measures and operations
while reducing the cost
than operating in-house.

61. メリット①
自社内でセキュリティ技術の教育や環境、人員
をそろえるには膨大なコストがかかるが、アウ
トソースすることでそれらの問題を解決できる。
It takes a lot of cost to educate security technology in
the company, to arrange environment and personnel,
but it is possible to solve those problems by
outsourcing.

62. メリット②
複数の企業にサービスを提供しているため、A社
への攻撃に対して行った対策をサービス全体に
展開するなど、効率的に対策を強化していくこ
とができる。
As services are provided to multiple
companies, measures taken against attacks
on company A can be expanded throughout
the service, etc., and measures can be
reinforced effectively.

63. まとめ

64. まとめ③
• セキュアな環境を作ることも大事。
• さらにセキュリティを強化するにはIPS/WAF
などの導入を検討したほうがよい。
• 組織的に体制を整える必要がある。
• It is also important to create a secure environment.
• To further enhance security, you should consider
introducing IPS / WAF etc.
• It is necessary to set up a security organization.

65. 最後に。

66. 最後に
セキュリティ対策は関わる全ての人が正しい
知識と認識を持つことが大切です。
It is important that security measures have correct
knowledge and awareness for all involved.

67. よいエンジニアライフを。
Have a good engineer life.

68. ご清聴ありがとう
ございました。
Cảm ơn bạn đã quan tâm.