Uploaded byAkitsugu Ito

PPTX, PDF955 views

seccon 富山前日勉強会 LT

SECCON 富山大会の前日 LT で利用した資料です。文中に例を挙げたガイドラインの全文は、こちらに記載します。 ◇ AC ：攻撃条件の複雑さ (Access Complexity) の評価低の例 - 入力フォームに登録された値が原因となって、リスクが顕在化する - 任意のパラメータに攻撃コードを挿入することでリスクが顕在化する - API の JSON 文字列の中に含まれる値を改ざんすることで、リスクが顕在化する - 外部から読み込むメールに、一般的な攻撃パターンが含まれている場合に、リスクが顕在化する - 一般のユーザーがアプリケーションに設定した入力フィールドに攻撃コードが挿入した場合に、リスクが顕在化する中の例 - 相当量のデータが存在することで、リスクが顕在化する - JS を使ってバリデーションが行われている処理で、JS を無効にしデータを登録した場合にリスクが顕在化する - ある画面で設定した値が起因となって、他の画面でリスクが顕在化する - 検索結果のスニペットに含まれる値が画面に表示されることで、リスクが顕在化する - 運用管理者が設定した任意の値（カテゴリ名 etc..）に攻撃コードが含まれている場合に、ユーザー画面でリスクが顕在化する - 通常の Web フォームとは別のフォームを利用した場合にリスクが顕在化する - 特定の入力フィールドを管理者が設定した場合に、リスクが顕在化する高の例 - 端末内に攻撃コードを含むファイルが設置されていた場合に、リスクが顕在化する - システム管理画面の特定画面で、特定のパラメーターに対して一般的な攻撃パターンが含まれている場合に、リスクが顕在化する - システム管理者が設定した任意の値（ユーザー名 etc..）に攻撃コードが含まれると、ユーザー画面でリスクが顕在化する - ソーシャルエンジニアリングの手法を活用するなど、ユーザーに不正なデータを挿入させた場合に、リスクが顕在化する - Reqesut Header を改ざんしてサーバーにデータを送信した場合に、リスクが顕在化する ◇ CWE タイプが XSS の場合 C ：機密性への影響（情報漏えいの可能性 / Confidentiality Impact ） I ：完全性への影響（情報改ざんの可能性 / Integrity Impact ）A ：可用性への影響（業務停止の可能性、 Availability Impact ）以下の値で固定とします。 - C:N / I:P /A:N ◇ CWE タイプが SQL インジェクションの場合 - 参照系のクエリのみ実行できる場合は、C:P / I:P /A:P とします。 - 更新系のクエリも実行できる場合は、C:C / I:C /A:C とします。

Security Challenge 番外編
脆弱性の評価について
サイボウズ株式会社
伊藤彰嗣

自己紹介

サイボウズ株式会社でサービス / プロダクトの脆弱
性検証を行うチームに所属しています
その他、自社のセキュリティ品質の向上のための
活動をしています。
POC 対応
組織内のセキュリティ全般
Security Challenge の運営

脆弱性情報のハンドリング

専用の不具合管理（脆弱性 Box）に登録
脆弱性を CWE タイプで分類
脆弱性を CVSS v2 を使って評価
評価結果を元に、より深刻な脆弱性から改修、公
開

CWE

脆弱性の種類を識別するための共通の基準
（Common Weakness Enumeration）
http://www.ipa.go.jp/security/vuln/CWE.html

多くのプロジェクトやセキュリティベンダが採用
NVD
OWASP Top 10 プロジェクト

CVSS v2

情報システムの脆弱性に対するオープンで汎用的
な評価手法（ Common Vulnerability Scoring
System ）
http://www.ipa.go.jp/security/vuln/CVSS.html

脆弱性のリスクを定量化できる
機密性（C）、完全性（I）、可用性（A）の侵害具合
攻撃の難易度（Ac）、攻撃者の認証要否（Au）
攻撃元区分（AV）

脆弱性 BOX

CVSS 測定状況

メリット

脆弱性の深刻度を汎用的な評価手法で測定するこ
とで、自社基準ではない値で定量化できる
各プロダクトを横断して、自社の脆弱性トレンド
を把握することができる
登録～公開までの管理を１つのシステムで完結で
きる

運用上の工夫

CWE タイプごとに、CIA の侵害度に関するガイド
ラインを策定
他機関（IPA / NIST）の評価結果との差異を減らすた
め

「攻撃の難易度」については、JVNiPedia の評価方
法をベースラインとして参照
これまでに検出された脆弱性と、JVNiPedia に登録さ
れている評価結果をもとに、ガイドラインを策定
抽象的な評価基準だけだと、担当者ごとに評価がぶ
れることが多い

ガイドラインの例

AC ：攻撃条件の複雑さ (Access Complexity) の評価
ベースライン
特別な攻撃条件を必要とせず、対象システムを常に
攻撃可能である

ガイドライン
入力フォームに登録された値が原因となって、リス
クが顕在化
API の JSON 文字列の中に含まれる値を改ざんするこ
とで、リスクが顕在化

運用上の課題

採用していない CWE に関する評価を行う際には、
つど検討が必要
複数の脆弱性を引き起こす攻撃や、複数の脆弱性
が組み合わさって被害が発生するような問題を評
価できない
CVSS v3 に期待！
http://www.first.org/cvss/v3/development

ご清聴いただきありがとうございました！

Recommended

PPTX

Management for Security Life Cycle （日本語版）

PDF

OWASP ASVS Project review 2.0 and 3.0

byRiotaro OKADA

PDF

RubyでDSL

byYukimitsu Izawa

PDF

Webプラットフォームのセキュリティ

byMuneaki Nishimura

PPTX

cybozu.com Security Challenge 結果報告

PDF

クラウドセキュリティ基礎 #seccamp

byMasahiro NAKAYAMA

PDF

エンタープライズアプリケーション品質向上のカギ－サービス仮想化と継続的デリバリー

byTakashi Watanabe

PDF

テストエンジニアと組織構造 @Cybozu

byJumpei Miyata

PPTX

XSSの評価基準とRIPSプラグイン的なものを作った

byyamaguchi_2048

PPTX

脆弱性がみつかってからパッチとSecurity Bulletinが作られるまで

byHiroko Takamiya

PDF

脆弱性ハンドリングと耐える設計 -Vulnerability Response-

byTomohiro Nakashima

PPTX

Vulsで始めよう！DevSecOps!

byTakayuki Ushida

PDF

脆弱性情報はこうしてやってくる

byJPCERT Coordination Center

PDF

夏休みのサイバー自由研究 (1)DockerコンテナでVuls!

byShiojiri Ohhara

PPTX

20170408 securiy-planning

PPTX

JANOG39 脆弱性ハンドリングを楽にするBoF進行資料

byTomohiro Nakashima

PPTX

Survey and Analysis of ICS Vulnerabilities (Japanese)

PDF

第21回 Gen AI 勉強会「NotebookLMで60ページ超のスライドを作成してみた」

by嶋　是一 (Yoshikazu SHIMA)

PDF

Team Topology Adaptive Organizational Design for Rapid Delivery of Valuable S...

byakipii ogaoga

PDF

ST2024_PM1_2_Case_study_of_local_newspaper_company.pdf

byakipii ogaoga

PDF

2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ！！_企業まとめ_1229_3版

PDF

Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望

byCRI Japan, Inc.

PDF

100年後の知財業界－生成AIスライドアドリブプレゼン　イーパテントYouTube配信

bye-Patent Co., Ltd.

PDF

自転車ユーザ参加型路面画像センシングによる点字ブロック検出における性能向上方法の模索 (20260123 SeMI研)

PDF

Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector

byakipii ogaoga

PDF

FY2025 IT Strategist Afternoon I Question-1 Balanced Scorecard

byakipii ogaoga

PDF

Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis

byakipii ogaoga

PDF

PMBOK 7th Edition_Project Management Process_WF Type Development

byakipii ogaoga

PDF

PMBOK 7th Edition Project Management Process Scrum

byakipii ogaoga

PDF

PMBOK 7th Edition_Project Management Context Diagram

byakipii ogaoga

More Related Content

PPTX

Management for Security Life Cycle （日本語版）

PDF

OWASP ASVS Project review 2.0 and 3.0

byRiotaro OKADA

PDF

RubyでDSL

byYukimitsu Izawa

PDF

Webプラットフォームのセキュリティ

byMuneaki Nishimura

PPTX

cybozu.com Security Challenge 結果報告

PDF

クラウドセキュリティ基礎 #seccamp

byMasahiro NAKAYAMA

PDF

エンタープライズアプリケーション品質向上のカギ－サービス仮想化と継続的デリバリー

byTakashi Watanabe

PDF

テストエンジニアと組織構造 @Cybozu

byJumpei Miyata

Management for Security Life Cycle （日本語版）

OWASP ASVS Project review 2.0 and 3.0

byRiotaro OKADA

RubyでDSL

byYukimitsu Izawa

Webプラットフォームのセキュリティ

byMuneaki Nishimura

cybozu.com Security Challenge 結果報告

クラウドセキュリティ基礎 #seccamp

byMasahiro NAKAYAMA

エンタープライズアプリケーション品質向上のカギ－サービス仮想化と継続的デリバリー

byTakashi Watanabe

テストエンジニアと組織構造 @Cybozu

byJumpei Miyata

Similar to seccon 富山前日勉強会 LT

PPTX

XSSの評価基準とRIPSプラグイン的なものを作った

byyamaguchi_2048

PPTX

脆弱性がみつかってからパッチとSecurity Bulletinが作られるまで

byHiroko Takamiya

PDF

脆弱性ハンドリングと耐える設計 -Vulnerability Response-

byTomohiro Nakashima

PPTX

Vulsで始めよう！DevSecOps!

byTakayuki Ushida

PDF

脆弱性情報はこうしてやってくる

byJPCERT Coordination Center

PDF

夏休みのサイバー自由研究 (1)DockerコンテナでVuls!

byShiojiri Ohhara

PPTX

20170408 securiy-planning

PPTX

JANOG39 脆弱性ハンドリングを楽にするBoF進行資料

byTomohiro Nakashima

PPTX

Survey and Analysis of ICS Vulnerabilities (Japanese)

XSSの評価基準とRIPSプラグイン的なものを作った

byyamaguchi_2048

脆弱性がみつかってからパッチとSecurity Bulletinが作られるまで

byHiroko Takamiya

脆弱性ハンドリングと耐える設計 -Vulnerability Response-

byTomohiro Nakashima

Vulsで始めよう！DevSecOps!

byTakayuki Ushida

脆弱性情報はこうしてやってくる

byJPCERT Coordination Center

夏休みのサイバー自由研究 (1)DockerコンテナでVuls!

byShiojiri Ohhara

20170408 securiy-planning

JANOG39 脆弱性ハンドリングを楽にするBoF進行資料

byTomohiro Nakashima

Survey and Analysis of ICS Vulnerabilities (Japanese)

Recently uploaded

PDF

第21回 Gen AI 勉強会「NotebookLMで60ページ超のスライドを作成してみた」

by嶋　是一 (Yoshikazu SHIMA)

PDF

Team Topology Adaptive Organizational Design for Rapid Delivery of Valuable S...

byakipii ogaoga

PDF

ST2024_PM1_2_Case_study_of_local_newspaper_company.pdf

byakipii ogaoga

PDF

2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ！！_企業まとめ_1229_3版

PDF

Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望

byCRI Japan, Inc.

PDF

100年後の知財業界－生成AIスライドアドリブプレゼン　イーパテントYouTube配信

bye-Patent Co., Ltd.

PDF

自転車ユーザ参加型路面画像センシングによる点字ブロック検出における性能向上方法の模索 (20260123 SeMI研)

PDF

Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector

byakipii ogaoga

PDF

FY2025 IT Strategist Afternoon I Question-1 Balanced Scorecard

byakipii ogaoga

PDF

Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis

byakipii ogaoga

PDF

PMBOK 7th Edition_Project Management Process_WF Type Development

byakipii ogaoga

PDF

PMBOK 7th Edition Project Management Process Scrum

byakipii ogaoga

PDF

PMBOK 7th Edition_Project Management Context Diagram

byakipii ogaoga

第21回 Gen AI 勉強会「NotebookLMで60ページ超のスライドを作成してみた」

by嶋　是一 (Yoshikazu SHIMA)

Team Topology Adaptive Organizational Design for Rapid Delivery of Valuable S...

byakipii ogaoga

ST2024_PM1_2_Case_study_of_local_newspaper_company.pdf

byakipii ogaoga

2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ！！_企業まとめ_1229_3版

Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望

byCRI Japan, Inc.

100年後の知財業界－生成AIスライドアドリブプレゼン　イーパテントYouTube配信

bye-Patent Co., Ltd.

自転車ユーザ参加型路面画像センシングによる点字ブロック検出における性能向上方法の模索 (20260123 SeMI研)

Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector

byakipii ogaoga

FY2025 IT Strategist Afternoon I Question-1 Balanced Scorecard

byakipii ogaoga

Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis

byakipii ogaoga

PMBOK 7th Edition_Project Management Process_WF Type Development

byakipii ogaoga

PMBOK 7th Edition Project Management Process Scrum

byakipii ogaoga

PMBOK 7th Edition_Project Management Context Diagram

byakipii ogaoga

seccon 富山前日勉強会 LT

1.
Security Challenge 番外編脆弱性の評価についてサイボウズ株式会社伊藤彰嗣
2.
自己紹介サイボウズ株式会社でサービス / プロダクトの脆弱性検証を行うチームに所属していますその他、自社のセキュリティ品質の向上のための活動をしています。 POC対応組織内のセキュリティ全般 Security Challenge の運営
3.
脆弱性情報のハンドリング専用の不具合管理（脆弱性 Box）に登録脆弱性を CWEタイプで分類脆弱性を CVSS v2 を使って評価評価結果を元に、より深刻な脆弱性から改修、公開
4.
CWE 脆弱性の種類を識別するための共通の基準（Common Weakness Enumeration） http://www.ipa.go.jp/security/vuln/CWE.html 多くのプロジェクトやセキュリティベンダが採用 NVD OWASPTop 10 プロジェクト
5.
CVSS v2 情報システムの脆弱性に対するオープンで汎用的な評価手法（ CommonVulnerability Scoring System ） http://www.ipa.go.jp/security/vuln/CVSS.html 脆弱性のリスクを定量化できる機密性（C）、完全性（I）、可用性（A）の侵害具合攻撃の難易度（Ac）、攻撃者の認証要否（Au）攻撃元区分（AV）
6.
脆弱性 BOX
7.
CVSS 測定状況
8.
メリット脆弱性の深刻度を汎用的な評価手法で測定することで、自社基準ではない値で定量化できる各プロダクトを横断して、自社の脆弱性トレンドを把握することができる登録～公開までの管理を１つのシステムで完結できる
9.
運用上の工夫 CWE タイプごとに、CIA の侵害度に関するガイドラインを策定他機関（IPA/ NIST）の評価結果との差異を減らすため「攻撃の難易度」については、JVNiPedia の評価方法をベースラインとして参照これまでに検出された脆弱性と、JVNiPedia に登録されている評価結果をもとに、ガイドラインを策定抽象的な評価基準だけだと、担当者ごとに評価がぶれることが多い
10.
ガイドラインの例 AC ：攻撃条件の複雑さ (AccessComplexity) の評価ベースライン特別な攻撃条件を必要とせず、対象システムを常に攻撃可能であるガイドライン入力フォームに登録された値が原因となって、リスクが顕在化 API の JSON 文字列の中に含まれる値を改ざんすることで、リスクが顕在化
11.
運用上の課題採用していない CWE に関する評価を行う際には、つど検討が必要複数の脆弱性を引き起こす攻撃や、複数の脆弱性が組み合わさって被害が発生するような問題を評価できない CVSSv3 に期待！ http://www.first.org/cvss/v3/development
12.
ご清聴いただきありがとうございました！