Submit Search
Upload
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
•
Download as PPTX, PDF
•
0 likes
•
171 views
M
mkoda
Follow
【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻 での登壇資料です。
Read less
Read more
Technology
Report
Share
Report
Share
1 of 21
Download now
Recommended
SQLインジェクション総”習”編
SQLインジェクション総”習”編
Yasuo Ohgaki
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
kazkiti
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
CODE BLUE
CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!
kazkiti
Goss入門
Goss入門
ShuyaMotouchi1
とある脆弱性の永い議論
とある脆弱性の永い議論
Mtikutea
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面
KentaEndoh
Recommended
SQLインジェクション総”習”編
SQLインジェクション総”習”編
Yasuo Ohgaki
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
kazkiti
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
CODE BLUE
CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!
kazkiti
Goss入門
Goss入門
ShuyaMotouchi1
とある脆弱性の永い議論
とある脆弱性の永い議論
Mtikutea
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面
KentaEndoh
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめ
Trainocate Japan, Ltd.
LibreOffice API について
LibreOffice API について
健一 辰濱
Amazon RDS for PostgreSQLのインスタンス(DB)作成手順
Amazon RDS for PostgreSQLのインスタンス(DB)作成手順
Insight Technology, Inc.
Packetbeatの基礎から、IoTデバイス異常検知への応用まで
Packetbeatの基礎から、IoTデバイス異常検知への応用まで
Satoyuki Tsukano
Nmapの真実
Nmapの真実
abend_cve_9999_0001
Equinix osaka multi-cloud_day20190621
Equinix osaka multi-cloud_day20190621
Kiyomichi Arai
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
プロが解説!Hinemosによる運用管理テクニック!
プロが解説!Hinemosによる運用管理テクニック!
hinemos_atomitech
パケットキャプチャの勘どころ Ssmjp 201501
パケットキャプチャの勘どころ Ssmjp 201501
稔 小林
今さら聞けないXSS
今さら聞けないXSS
Sota Sugiura
機械学習を用いたAWS CloudTrailログの積極的活用
機械学習を用いたAWS CloudTrailログの積極的活用
kz-takahashi
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
ssuser868e2d
AWS設計ガイドラインで取り組むクラウドシフト
AWS設計ガイドラインで取り組むクラウドシフト
Trainocate Japan, Ltd.
CloudFormation/SAMのススメ
CloudFormation/SAMのススメ
Eiji KOMINAMI
backlogsでもCI/CDする夢を見る
backlogsでもCI/CDする夢を見る
Takeru Maehara
Istioサービスメッシュ入門
Istioサービスメッシュ入門
Yoichi Kawasaki
HBaseを用いたグラフDB「Hornet」の設計と運用
HBaseを用いたグラフDB「Hornet」の設計と運用
Toshihiro Suzuki
OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性
Hirofumi Ichihara
2018/1/30 Django勉強会
2018/1/30 Django勉強会
虎の穴 開発室
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome
Amazon Web Services Japan
More Related Content
What's hot
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめ
Trainocate Japan, Ltd.
LibreOffice API について
LibreOffice API について
健一 辰濱
Amazon RDS for PostgreSQLのインスタンス(DB)作成手順
Amazon RDS for PostgreSQLのインスタンス(DB)作成手順
Insight Technology, Inc.
Packetbeatの基礎から、IoTデバイス異常検知への応用まで
Packetbeatの基礎から、IoTデバイス異常検知への応用まで
Satoyuki Tsukano
Nmapの真実
Nmapの真実
abend_cve_9999_0001
Equinix osaka multi-cloud_day20190621
Equinix osaka multi-cloud_day20190621
Kiyomichi Arai
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
プロが解説!Hinemosによる運用管理テクニック!
プロが解説!Hinemosによる運用管理テクニック!
hinemos_atomitech
パケットキャプチャの勘どころ Ssmjp 201501
パケットキャプチャの勘どころ Ssmjp 201501
稔 小林
今さら聞けないXSS
今さら聞けないXSS
Sota Sugiura
機械学習を用いたAWS CloudTrailログの積極的活用
機械学習を用いたAWS CloudTrailログの積極的活用
kz-takahashi
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
ssuser868e2d
AWS設計ガイドラインで取り組むクラウドシフト
AWS設計ガイドラインで取り組むクラウドシフト
Trainocate Japan, Ltd.
CloudFormation/SAMのススメ
CloudFormation/SAMのススメ
Eiji KOMINAMI
backlogsでもCI/CDする夢を見る
backlogsでもCI/CDする夢を見る
Takeru Maehara
Istioサービスメッシュ入門
Istioサービスメッシュ入門
Yoichi Kawasaki
HBaseを用いたグラフDB「Hornet」の設計と運用
HBaseを用いたグラフDB「Hornet」の設計と運用
Toshihiro Suzuki
OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性
Hirofumi Ichihara
2018/1/30 Django勉強会
2018/1/30 Django勉強会
虎の穴 開発室
What's hot
(20)
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめ
LibreOffice API について
LibreOffice API について
Amazon RDS for PostgreSQLのインスタンス(DB)作成手順
Amazon RDS for PostgreSQLのインスタンス(DB)作成手順
Packetbeatの基礎から、IoTデバイス異常検知への応用まで
Packetbeatの基礎から、IoTデバイス異常検知への応用まで
Nmapの真実
Nmapの真実
Equinix osaka multi-cloud_day20190621
Equinix osaka multi-cloud_day20190621
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
プロが解説!Hinemosによる運用管理テクニック!
プロが解説!Hinemosによる運用管理テクニック!
パケットキャプチャの勘どころ Ssmjp 201501
パケットキャプチャの勘どころ Ssmjp 201501
今さら聞けないXSS
今さら聞けないXSS
機械学習を用いたAWS CloudTrailログの積極的活用
機械学習を用いたAWS CloudTrailログの積極的活用
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
AWS設計ガイドラインで取り組むクラウドシフト
AWS設計ガイドラインで取り組むクラウドシフト
CloudFormation/SAMのススメ
CloudFormation/SAMのススメ
backlogsでもCI/CDする夢を見る
backlogsでもCI/CDする夢を見る
Istioサービスメッシュ入門
Istioサービスメッシュ入門
HBaseを用いたグラフDB「Hornet」の設計と運用
HBaseを用いたグラフDB「Hornet」の設計と運用
OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性
2018/1/30 Django勉強会
2018/1/30 Django勉強会
Similar to 診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome
Amazon Web Services Japan
認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤
Masahiro Kiura
フィッシングとドメイン名・DNS
フィッシングとドメイン名・DNS
Shiojiri Ohhara
Amazon guard duty_security_recap
Amazon guard duty_security_recap
Tomoaki Sakatoku
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
NISSHO USA
Serverless AWS構成でセキュアなSPAを目指す
Serverless AWS構成でセキュアなSPAを目指す
Masayuki Kato
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
Amazon Web Services Japan
祝★AWSスタンダードコンサルティングパートナーに認定されました
祝★AWSスタンダードコンサルティングパートナーに認定されました
Core Concept Technologies
AWS WAF Security Automation
AWS WAF Security Automation
Hayato Kiriyama
Serverless Application Security on AWS
Serverless Application Security on AWS
Amazon Web Services Japan
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
JPCERT Coordination Center
Domino認証局の作成
Domino認証局の作成
Masahiko Miyo
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
Hiroshi Tokumaru
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
Masanori KAMAYAMA
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
Isao Takaesu
AWS IoT Device Defender による IoT デバイスのセキュリティ管理
AWS IoT Device Defender による IoT デバイスのセキュリティ管理
Amazon Web Services Japan
Newsletter20110102
Newsletter20110102
one corporation
[網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI
Hiromichi Koga
Cloud native strategy ver1.1
Cloud native strategy ver1.1
TomohiroDoi
Similar to 診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
(20)
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome
認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤
フィッシングとドメイン名・DNS
フィッシングとドメイン名・DNS
Amazon guard duty_security_recap
Amazon guard duty_security_recap
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
Serverless AWS構成でセキュアなSPAを目指す
Serverless AWS構成でセキュアなSPAを目指す
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
祝★AWSスタンダードコンサルティングパートナーに認定されました
祝★AWSスタンダードコンサルティングパートナーに認定されました
AWS WAF Security Automation
AWS WAF Security Automation
Serverless Application Security on AWS
Serverless Application Security on AWS
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
Domino認証局の作成
Domino認証局の作成
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
AWS IoT Device Defender による IoT デバイスのセキュリティ管理
AWS IoT Device Defender による IoT デバイスのセキュリティ管理
Newsletter20110102
Newsletter20110102
[網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI
Cloud native strategy ver1.1
Cloud native strategy ver1.1
Recently uploaded
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Recently uploaded
(7)
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
1.
診断員による ASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻 2024/02/03
幸田 将司 1
2.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved Who am I? 幸田将司: セキュリティ屋のフリーランス: - 株式会社Levii - 株式会社バラエナテック 代表取締役 - SecuriST(R) 認定診断士 試験委員会 / ISOG-J(WG1) - 診断 / 開発 / ISMS支援 ...etc SNS: - @halkichisec 2
3.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved Contents 1. ASM検討 2. 攻撃可能領域の探し方 3
4.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 内容 脆弱性診断員から見た、組織の攻撃対象領域のお話 診断しながらこれやったら良いのになといつも考えてい ます。 誰向け? 脆弱性診断をたくさん発注する組織/企業様 ○SIRTに携わる方 診断員 4
5.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved • 攻撃表面管理(Attack Surface Management) • 組織が自身の情報セキュリティ上の脆弱性や攻撃可能な範囲(攻撃表 面)を管理/把握する。 • 攻撃者がシステムやネットワークに侵入できる可能性のあるすべての 経路や要因を特定する • インターネットに公開されているものが対象 ASMとはなんぞや 5
6.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved • 攻撃表面にはどんなものがあるか? • 例: • コーポレートサイト • 自社サービス • メール/VPN/ファイルサーバ等 • ネットワークカメラ等のIoT機器 • 担当者のメールアドレス • 攻撃者から見えているものは多い ASMとはなんぞや 6
7.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved • Cyber Kill Chain (標的型攻撃のモデル) • ターゲットに対して行う攻撃の段階的な手順を示すモデル • 外部からの情報収集で集められる情報が少ないに越したことはない • 攻撃者はより多くの情報を集めてくる • 自組織がどのように見えているのか把握することが重要 攻撃者の行動を考える 情報収集 武器化 配送 エクスプロイ ト インストール C&C 目的実行 ・OSINT ・スキャン ・Exploit作成 ・システムへの侵害や ・メール経由のマルウェア ・C2サーバとの 通信 7
8.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved • コーポレートサイトや自社サービスに付随するコンテンツは存 在がわかりやすいが、堅牢にされていることが多い。 攻撃表面の例1 外部公開しているサービスは堅牢 脆弱性診断もしている インターネットアクセスできるが Basic認証とかでお茶濁す 存在が隠れていない 8
9.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved • 自社サービスに紐づいているが、管理が忘れ去られているコン テンツ等 攻撃表面の例2 ※IPに紐づくコンテンツサーバがなくとも サブドメインテイクオーバーの温床になる可 能性も。CNAME、Aレコード等 バグバウンティではよく報告されている ベンダーのために 開けておいた経路 9
10.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved • 内部からの調査は部署を横断する必要がある。 • インシデント例 • (2021年)内閣サイバーセキュリティセンター(NISC)の情報漏洩 • 内部で使用していたプロジェクト情報共有ツールへの不正アクセス • 組織内部で使用している端末やツールの特定を行う • ISMS(ISO27001)を取得しているなら情報資産管理/リスク台帳があるはず • 管理している部署と連携をとることを推奨 • シャドーITの制限も忘れずに 攻撃可能領域の探し方(内部) 10
11.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved • 外部からの調査の例として、OSINTは効果的 • OSINTツールの使用 • Recon-ng • Maltego • OSINTテクニックを使う • OSINTフレームワーク • 診断ベンダーへの依頼(OSINT診断) 攻撃可能領域の探し方(外部) OSINT Frameworkの例 11
12.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved • インターネッツから見えるものは多い • WHOIS、DNS、サーバ証明書のサブジェクト代替名...etc • 情報集積サービス • 例えばRiskIQやCencys ドメインに紐づいた、 サブドメインの一覧を列挙 ←は例示用ドメインですが、 dev.{顧客名}.{自社ドメイン}の設計にしている ベンダーの顧客名めちゃくちゃ見えてる
13.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved • Censysの例 ①ドメインで検索 ②IPアドレスが表示される ③サブドメインがわかる
14.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved • ドメイン/IPで検索できる理由: • CensysやSHODANに代表される情報集積サービスはインターネッ トへネットワークスキャンを行なっている。 1. IPアドレスにポートスキャン 2. 443/tcp等にアクセス 3. 証明書のドメインを確認 4. ドメインの名前解決を行い、存在すればサイトにインデックス 一応、HTTPの時はヘッダで教えてくれる。 以下はPaloAltoの例
15.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved というわけでASMしよう • 攻撃表面を把握するのは困難 • ツールを用いた管理を推奨(経済産業省)。 出典: 経済産業省ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~ https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html 15
16.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved ASMツールの例 • Mandiant / 株式会社マクニカ • サイバー攻撃ネットde診断 / GMOサイバーセキュリティ byイエ ラエ株式会社 • Sn1per / Sn1perSecurity LLC. • OSSだが、すべての機能を使うにはライセンス購入が必要 • Amass / OWASP • OSS、なんのテクノロジーを使用するか設定が可能、脆弱性調査はしない 16
17.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved ASMツールで把握できるもの • 公開情報の把握 • 使用感としては、自社情報だけにフィルターしたSHODANに近い 17
18.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved ASMツールがやっていること • Sn1perの例 • ネットワーク調査系 • ping調査 • ポートスキャン (nmap) • 単純な脆弱性調査 (nmap –A) • OCINT系 • DNS情報の収集 • サブドメインテイクオーバーの確認 • 脆弱性診断系 • ZAP / GVM / SSL Scan / smbdump ...etc • 関係ないIPもトラッキングする可能性はあった。 使用感は Reconツール + ネットワークスキャナー 18
19.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved ASMでも担保できない箇所 • 従業員教育 • 組織の窓口にいる担当者がうっかりメールを開く • シャドーIT • 内部に持ち込まれ接続された端末や、勝手に使用しているツール • 情報資産管理(ISMS)や、リテラシー向上教育で組織を巻き込ん で管理したい。 19
20.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 参考: 組織を巻き込む • そもそも職務により目的/視点が違うため、各チームの代表を まきこんでモデリングすると、少しスムーズに進むかも • サービスのセキュリティチェックシートを作る際のMTGの例 20 それぞれのロールの 背景や目的を同じ視点でみる ための手法
21.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved おわり • ご清聴ありがとうございました 21
Download now