SlideShare a Scribd company logo
岡⽥良太郎
riotaro@rsrch.jp
@okdt
Asterisk Research, Inc.
今から取り組む企業のための脆弱性対応
〜⼤丈夫、みんなよく分かっていないから〜
SNS投稿は終了後に
本⽇の講演概要
昨年、情報システム・セキュリティ関連で最も聞かれた⾔葉に「脆弱性(ぜいじゃくせい)」が
あります。
オープンソースのバージョンがどうだとか、サイバー攻撃の対象になるだとか、ベンダーのパッ
チをあてろだとか、ものものしい⽂脈で語られるこの⾔葉。
案外、対策・対応とセットでクリアに整理し、理解することに追いついていないのではないで
しょうか。⼀⼝に対応すると⾔っても、いつもいつも「ベンダーパッチのアップデート」だけな
のでしょうか。
本講演は、⽶国⼤統領令で⽰された「SBOM」など、この「脆弱性」対応にまつわる情勢に注意
を向けつつ、実際の取り組みに役⽴つ視点と実践に移すことのできるプラクティスを紹介します。
はじめまして
岡田 良太郎で
ございます。
2006年、アプリケーションセキュリティ・ガバナンスに関わるリサーチと企業のセキュリ
ティ強化のアドバイザリなどを行う(株)アスタリスク・リサーチを創業。企業のセキュリ
ティ実践を手掛ける。
大学、企業、政府の研究機関、産官学連携したコミュニティにより、プロフェッショナル人
材の育成に携わっている。2021年1月に出版された「CISOハンドブック」の執筆者の中に
名を連ねる。
株式会社アスタリスク・リサーチ エグゼクティブ アドバイザ
岡田良太郎 へのおたよりはこちらまで:riotaro@rsrch.jp
アスタリスク・リサーチ 企業におけるセキュリティ実践支援企業
asteriskresearch.com
(c) Riotaro OKADA / Asterisk Research, Inc. 4
Professional Tools
実践段階のQCDを⾼める道具
・トレーニング
・Eラーニング
・開発環境向けツール(CI/CD)
・トレーニングイベントデザイン
・リスクプロファイルトレーニング
・脅威分析トレーニング
Advisory Service
経営陣の⾼速な意思決定を実現するアドバイザリ
・PSIRT/CSIRT Advisory
・DevOps Transformation
・セキュリティ・スコアカード分析
・エグゼクティブ向けブリーフィング
・CISO, CTO, CROハンズオン
Security Test Managed Service
セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis
・コンポーネント分析 SCA
・ソースコード分析 SAST
・システム脆弱性テスト DAST
・プラットフォームテスト NST
2022/12
2022/12
いまさら聞けないセキュリティ
「脆弱性ってなに?」
ITシステムのVulnerability?
• 「行政機関のVPN装置に脆弱性が放置されていたので侵入された」
• 「同社ウェブサイトの脆弱性が突かれて情報漏洩があった」
• 「米国CISAによるとlog4j2 の脆弱性が最も攻撃に悪用された」
• 「そのアプリは脆弱性があるので直ちにアップデートしてください」
CISA’s Top 15 Routinely Exploited Vulnerabilities of 2021
(c)
Riotaro
OKADA
11
CVE 脆弱性名 ベンダーと製品 タイプ CVSS 3.0/2.0
CVE-2021-44228 Log4Shell Apache Log4j リモートコード実⾏(RCE) 10/9.3
CVE-2021-40539 Zoho ManageEngine AD SelfService Plus RCE 9.8/7.3
CVE-2021-34523 ProxyShell Microsoft Exchange Server 特権の昇格 9.8/7.5
CVE-2021-34473 ProxyShell Microsoft Exchange Server RCE 9.8/10.0
CVE-2021-31207 ProxyShell Microsoft Exchange Server セキュリティ機能のバイパス 7.2/6.5
CVE-2021-27065 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8
CVE-2021-26858 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8
CVE-2021-26857 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8
CVE-2021-26855 ProxyLogon Microsoft Exchange Server RCE 9.8/7.5
CVE-2021-26084 AtlassianConfluence 任意のコードの実⾏ 9.8/7.5
CVE-2021-21972 VMwarevSphere RCE 10.0/9.3
CVE-2020-1472 ZeroLogon Microsoft Netlogon(MS-NRPC) 特権の昇格 9.8/10.0
CVE-2020-0688 Microsoft Exchange Server RCE 8.8/9.0
CVE-2019-11510 Pulse Secure 任意のファイルの読み取り 10.0/7.5
CVE-2018-13379 FortiOSおよびFortiProxy パストラバーサル 9.8/5.0
「脆弱性」ってなに?
• ぜいじゃくせい 【脆弱性】傷つけられやすいこと。
→バルネラビリティー
• バルネラビリティー vulnerability ① 傷つけられやす
いこと。脆弱(ぜいじやく)性。② コンピューター社
会のもつ脆弱性。③ 心理学で,攻撃を受けやすいこと。
攻撃誘発性。
vulnerability
• 脆弱性 /ˌvʌ(ə)rəˈbɪɪ/ ♪(弱い部分
• 名詞(複数形vulnerabilities)物理的または感
情的に攻撃されたり傷つけられたりする可能性に
さらされている質または状態:
• 例文:保護当局は地域住民の脆弱性に気付いた|彼は
感染に対する脆弱性のために隔離されている|詐欺師
は私たちの脆弱性を見抜くのが得意である。
© Asterisk Research, Inc. 14
15
“クラウド” “Serverless”
プラットフォーム
アプリケーション
プレゼンテーション
セッション
トランスポート
ネットワーク
データリンク
物理層
アプリケーション
バックエンド
Web service
仮想/クラウド
Platform
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
脆弱性の対応マップ
脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
デスクトップやスマートフォン
デバイスのOSに問題があり、保護が⼿
薄、あるいは脆弱な状態になっている
プラットフォーマ
(Apple, Googleなど)
アップデート適⽤、
設定調整
⾃動アップデート活⽤、
更新情報プロセス強化
アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
アップデート適⽤、設定
調整、
アップデートあるいは
アンインストール
ネットワーク機器、デバイス
装置のファームウェアが古いあるいは
悪⽤されやすい設定になっているため
脆弱な状態
メーカー アップデート適⽤
ネットワーク機器や
構成の⾒直し
システム:オープンソースや
サードパーティAPIなど
システムで利⽤しているOSで使われて
いるOSSのソースコードに問題が発⾒
され脆弱性があるということが広く知
られる
システム:プログラムコード
⾃社あるいはSIerが開発したコードに問
題があり、脆弱になっている
システム:クラウドサービス、
アプリケーションの設定
コンフィギュレーションの問題で、
データが侵害されやすい状態などで脆
弱になっている
ユーザ、オペレータ
利⽤が許可されている機能あるいは
データの取り扱いを誤⽤してしまう
Enabling Security with "シフトレフト" © Asterisk Research, Inc. 20
システムの脆弱性の対応?
「タイミングとスピード」の話
(c) Riotaro OKADA 21
チャット系
グループウェア
オンライン会議系
社内SNS
インストール型
総合 ナレッジ共有
日報 社内報
総合
ワークフロー
総合
エンジニア コンサル
マーケティング
プラットフォーム型
Webサイト
クラウドソーシング型
総合 クリエイティブ テスター・入力
翻訳・ライティング・編集
オンラインセミナー・イベント
人事
コミュニケーション
営業
周辺ツール ホワイトボード
ノーコード
iPaaS HP ECサイト
フォーム
ハード系
MA / CRMツール
名刺管理
メール
商談関連
フォームアタック
D
セールス支援
顧客管理
セールス
セールス
HR系
人事評価 エンゲージメント向上
エンゲージメント測定ツール
日程調整
デザイン
採用関連 人事関連
オンライン1on1 オンライン福利厚生
リモート人材活用
エージェント型
エンジニア
2021/02/08 現在
(c) Riotaro OKADA / Asterisk Research, Inc.
ノーコード︖ローコード︖連携︖
設計の問題と、実装の問題の両方とも、脆弱性の原因になる。
Design ‒ 設計 Implement ‒ 実装
© Asterisk Research, Inc. 23
⼊⼒データ信頼の
条件
採⽤する認証メカ
ニズム
認証と認可 データと制御の分
離
暗号化と機密デー
タの識別
外部
コンポーネント
ログ、エラー 想定脅威
データベース
アクセス
エンコーディング
とエスケープ
⼊⼒値検証 IDと認証管理
アクセス制御 データ保護 モニタリング
機能
エラー処理と
例外処理
システムの重大なセキュリティ問題トップ10 / 2021年版
• A01:2021 – アクセス制御の不備
• A02:2021 – 暗号化の失敗
• A03:2021 – インジェクション
• A04:2021 – 安全が確認されない不安な設計
• A05:2021 – セキュリティの設定ミス
• A06:2021 – 脆弱で古くなったコンポーネント
• A07:2021 – 識別と認証の失敗
• A08:2021 – ソフトウェアとデータの整合性の不具合
• A09:2021 – セキュリティログとモニタリングの失敗
• A10:2021 – サーバーサイドリクエストフォージェリ (SSRF)
24
(c) Riotaro OKADA / Asterisk Research, Inc.
25
Up 5項⽬
• A01 アクセス制御の不備
• A02 暗号化の失敗
• A05 セキュリティの設定ミス
• A06 脆弱で古くなったコンポーネント
• A09セキュリティログとモニタリングの失敗
(c) Riotaro OKADA / Asterisk Research, Inc.
26
New 3項⽬
• A04 安全が確認されない不安な設計
• A08ソフトウェアとデータの整合性の不具合
• A10サーバーサイド・リクエスト・フォージェリ
プログラマがセキュリティを好きではない理由トップ10
1. Sec連中は、現場を理解していないし、たぶんコードの書き方も知らない。
2. 誰もセキュリティをやる方法を教えてくれない。
3. ここまで力を入れ、時間をかけるべき理由がわからない。
4. プロセスが難しい、またはちゃんと決まっていない。
5. 変化が激しく、いつも言うことが違う。
6. 十分注意を払う時間が足りない。
7. 突然現れては、門番のように行く手の邪魔をする。
8. 扱わなければならない量が多くなり、対応がたいへん。
9. どんより。しかも、成功を祝われることはない。
10. ツールは、うるさいし、不愉快だし、しかも、正確じゃない。
2023年
By Chris Romeo, 2021
SBOM
Software Bill Of Materials
Bill Of Materials = 部品表
• 製造業において製品を製造する上で必要な部品
情報や、どのような構成で組み上がっているの
かを把握するための基本情報
• 設計部門から購買部門、製造部門へと引き渡さ
れ、調達スケジュールや工程管理、さらに原価
管理においても不可欠
• 製造する製品に必要な部品管理を効率的に行う
ことを目的
https://www.techs-s.com/media/show/7
SBOM︓Software Bill Of Materials
• SBOM(Software Bill Of Materials︓ソフトウェア
部品表)とは、特定の製品に含まれるすべて(プロ
プライエタリおよびオープンソースなど)のソフト
ウェアコンポーネント、ライセンス、依存関係を⼀
覧化したもの
US 大統領令
• 2021年7⽉12⽇、⽶国連邦政府は、バイデ
ン政権の⼤統領令に準拠するためのSBOM
における最低限必要な要素を発表しました。
EO14028
• このガイドラインは、連邦政府と取引のあ
る組織にのみ適⽤。
ソフトウエアに安全基準
日米、サイバー防衛で覚書へ
• 2023/1「日本も準拠する」
• 日本は24年にも導入する方向
SBOMは
使い方次第
• 透明性のジレンマ
• 互換性のジレンマ
• 可用性のジレンマ
(c) Riotaro OKADA 33
https://www.techs-s.com/media/show/7
脆弱性の対応マップ
脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
デスクトップやスマートフォン
デバイスのOSに問題があり、保護が⼿
薄、あるいは脆弱な状態になっている
プラットフォーマ
(Apple, Googleなど)
アップデート適⽤、
設定調整
⾃動アップデート活⽤、
更新情報プロセス強化
アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
アップデート適⽤、設定
調整、
アップデートあるいは
アンインストール
ネットワーク機器、デバイス
装置のファームウェアが古いあるいは
悪⽤されやすい設定になっているため
脆弱な状態
メーカー アップデート適⽤
ネットワーク機器や
構成の⾒直し
システム:オープンソースや
サードパーティAPIなど
システムで利⽤しているOSで使われて
いるOSSのソースコードに問題が発⾒
され脆弱性があるということが広く知
られる
OSSプロジェクト、
LinuxやMicrosoftなど
OSベンダー
動作検証と
アップデート適⽤
ソフトウェア構成分析SCA
の導⼊、SBOM
システム:プログラムコード
⾃社あるいはSIerが開発したコードに問
題があり、脆弱になっている
コードを書いた⼈ない
し、開発プロジェクト
チーム
プログラムの修正
SAST、ハンズオン
教育訓練、検査ツールの強
化など⽣産技術的強化
システム:クラウドサービス、
アプリケーションの設定
コンフィギュレーションの問題で、
データが侵害されやすい状態などで脆
弱になっている
クラウドベンダーある
いはその先進的なユー
ザ
設定の修正
適切な脆弱性検査や
モニタリングの強化
ユーザ、オペレータ
利⽤が許可されている機能あるいは
データの取り扱いを誤⽤してしまう
Enabling Security with "シフトレフト" © Asterisk Research, Inc. 34
システムの脆弱性対応で終わらない理由
人、社会環境の脆弱性
Asterisk Research, Inc. (c) 35
情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位
不正アプリによる
スマートフォン利⽤者への被害
6位
修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位
インターネット上のサービスからの
個⼈情報の窃取
8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
(アンダーグラウンドサービス)
圏外
前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位
不正アプリによる
スマートフォン利⽤者への被害
6位
修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位
インターネット上のサービスからの
個⼈情報の窃取
8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
(アンダーグラウンドサービス)
圏外
情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
システムの問題
- ソフトウェアの脆弱性
- 連携の複雑性
- 適切でない施策
- 複雑な構造による管理負荷の問題
- ネットワークの拡⼤
- 放置、丸投げ、思い込みで悪化
情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位 不正アプリによる スマートフォン利⽤者への被害 6位
修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位 インターネット上のサービスからの 個⼈情報の窃取 8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
(アンダーグラウンドサービス)
圏外
⼈の脆弱性
- 低い優先度
- 無知・無関⼼
- 技術不⾜
- コスト
- 資産の認識不⾜
- モラル
- 思い込み
情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位 不正アプリによる スマートフォン利⽤者への被害 6位
修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位 インターネット上のサービスからの 個⼈情報の窃取 8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
(アンダーグラウンドサービス)
圏外
社会の脆弱性
- 広範囲な活動領域
- 標的へのアクセスがどこからでも簡単
- ソフトウェア量産にともない脆弱性も
- 「⾼収益な仕事」礼賛傾向
- 攻撃⼿段の容易な調達
- ⽴ち遅れる取り締まり、罰則
原因 - トップ5を理解する
1. セキュリティ問題の軽視
2. 無知と無関心
3. 技術的手段の不足
4. コストの問題
5. 情報資産の認識不足
Asterisk Research, Inc. (c) 40
原因 ‒ トップ10に拡げる
6. ポリシーや手順の問題
7. 継続的対策の欠如
8. システムの不適切な構築
9. 人のエラー
10. 法律・規制の遵守の欠陥
Asterisk Research, Inc. (c) 41
1. セキュリティ問題の軽視
2. 無知と無関心
3. 技術的手段の不足
4. コストの問題
5. 情報資産の認識不足
脆弱性の対応マップ
脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
デスクトップやスマートフォン
デバイスのOSに問題があり、保護が⼿
薄、あるいは脆弱な状態になっている
プラットフォーマ
(Apple, Googleなど)
アップデート適⽤、
設定調整
⾃動アップデート活⽤、
更新情報プロセス強化
アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
アップデート適⽤、設定
調整、
アップデートあるいは
アンインストール
ネットワーク機器、デバイス
装置のファームウェアが古いあるいは
悪⽤されやすい設定になっているため
脆弱な状態
メーカー アップデート適⽤
ネットワーク機器や
構成の⾒直し
システム:オープンソースや
サードパーティAPIなど
システムで利⽤しているOSで使われて
いるOSSのソースコードに問題が発⾒
され脆弱性があるということが広く知
られる
OSSプロジェクト、
LinuxやMicrosoftなど
OSベンダー
動作検証と
アップデート適⽤
ソフトウェア構成分析SCA
の導⼊、SBOM
システム:プログラムコード
⾃社あるいはSIerが開発したコードに問
題があり、脆弱になっている
コードを書いた⼈ない
し、開発プロジェクト
チーム
プログラムの修正
SAST、ハンズオン
教育訓練、検査ツールの強
化など⽣産技術的強化
システム:クラウドサービス、
アプリケーションの設定
コンフィギュレーションの問題で、
データが侵害されやすい状態などで脆
弱になっている
クラウドベンダーある
いはその先進的なユー
ザ
設定の修正
適切な脆弱性検査や
モニタリングの強化
ユーザ、オペレータ
利⽤が許可されている機能あるいは
データの取り扱いを誤⽤してしまう
ユーザ⾃⾝、ならびに
その組織
応急対応と原因究明
⾮常事態の対応訓練
業務データ取り扱い訓練
ユーザビリティ向上
モニタリングの強化
Enabling Security with "シフトレフト" © Asterisk Research, Inc. 42
すぐはじめよう
• 自社でプログラム開発していない企業の場合でもやること
はある
• 人の脆弱性はユーザ訓練で実践力を高める
• セキュリティ・ユーザビリティを高める
• デバイス・アプライアンス・アプリケーションのアップデート状況
• 利用しているシステム、サービスの把握とコミュニケーション(放置モノ
の排除)
• 「あれ?」と思った場合のホットラインを構築せよ
(c) Riotaro OKADA 47
すぐはじめよう
• 自社独自システムがある場合++
• 古漬けシステムがあるんだろう
• 気合いと根性でやりくりしている状態の改善を検討せよ
• クラウド移行の場合に「設定」「構成」「設計」をないがしろにし
ないように
•
(c) Riotaro OKADA 48
すぐはじめよう
• 自社で開発をする企業の場合++
• Learning First。脆弱性指摘されても意味がわかるように、まず学ぼうよ
• SBOMの前に(に、備えて)ソフトウェア構成分析(Software Composition
Analysis)
• SASTはやったほうがいい
• 脆弱性検査は改善アドバイスをどれだけ得られるかがキモ
(c) Riotaro OKADA 49
アスタリスク・リサーチ
アスタリスク・リサーチ 企業におけるセキュリティ実践⽀援企業
asteriskresearch.com
(c) Riotaro OKADA / Asterisk Research, Inc.
55
Professional Tools
実践段階のQCDを⾼める道具
・トレーニング
・Eラーニング
・開発環境向けツール(CI/CD)
・トレーニングイベントデザイン
・リスクプロファイルトレーニング
・脅威分析トレーニング
Advisory Service
経営陣の⾼速な意思決定を実現するアドバイザリ
・PSIRT/CSIRT Advisory
・DevOps Transformation
・セキュリティ・スコアカード分析
・エグゼクティブ向けブリーフィング
・CISO, CTO, CROハンズオン
Security Test Managed Service
セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis
・コンポーネント分析 SCA
・ソースコード分析 SAST
・システム脆弱性テスト DAST
・プラットフォームテスト NST
また、おめにかかり
ましょう
@okdt

More Related Content

What's hot

INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~
INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~
INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~
decode2016
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
 
機械学習デザインパターン Machine Learning Design Patterns
機械学習デザインパターン Machine Learning Design Patterns機械学習デザインパターン Machine Learning Design Patterns
機械学習デザインパターン Machine Learning Design Patterns
Hironori Washizaki
 
ゲームの通信をつくる仕事はどうなるのだろう?
ゲームの通信をつくる仕事はどうなるのだろう?ゲームの通信をつくる仕事はどうなるのだろう?
ゲームの通信をつくる仕事はどうなるのだろう?
Kengo Nakajima
 
本当にわかる Spectre と Meltdown
本当にわかる Spectre と Meltdown本当にわかる Spectre と Meltdown
本当にわかる Spectre と Meltdown
Hirotaka Kawata
 
Cinemachineで見下ろし視点のカメラを作る
Cinemachineで見下ろし視点のカメラを作るCinemachineで見下ろし視点のカメラを作る
Cinemachineで見下ろし視点のカメラを作る
Unity Technologies Japan K.K.
 
UI/UXが無意識に検索行動に与える影響について
UI/UXが無意識に検索行動に与える影響についてUI/UXが無意識に検索行動に与える影響について
UI/UXが無意識に検索行動に与える影響について
Tairo Moriyama
 
大規模データに基づく自然言語処理
大規模データに基づく自然言語処理大規模データに基づく自然言語処理
大規模データに基づく自然言語処理
JunSuzuki21
 
ZabbixのAPIを使って運用を楽しくする話
ZabbixのAPIを使って運用を楽しくする話ZabbixのAPIを使って運用を楽しくする話
ZabbixのAPIを使って運用を楽しくする話
Masahito Zembutsu
 
DeNA流Scrumとcommのチームビルディング
DeNA流ScrumとcommのチームビルディングDeNA流Scrumとcommのチームビルディング
DeNA流Scrumとcommのチームビルディング
Takeshi Kaise
 
BitVisor Summit 11「2. BitVisor on Aarch64」
BitVisor Summit 11「2. BitVisor on Aarch64」BitVisor Summit 11「2. BitVisor on Aarch64」
BitVisor Summit 11「2. BitVisor on Aarch64」
BitVisor
 
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Yurika Kakiuchi
 
이승재, 실시간 HTTP 양방향 통신, NDC2012
이승재, 실시간 HTTP 양방향 통신, NDC2012이승재, 실시간 HTTP 양방향 통신, NDC2012
이승재, 실시간 HTTP 양방향 통신, NDC2012devCAT Studio, NEXON
 
初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法
kazkiti
 
Skip Graphをベースとした高速な挿入と検索が可能な構造化オーバレイの提案
Skip Graphをベースとした高速な挿入と検索が可能な構造化オーバレイの提案Skip Graphをベースとした高速な挿入と検索が可能な構造化オーバレイの提案
Skip Graphをベースとした高速な挿入と検索が可能な構造化オーバレイの提案
Kota Abe
 
[AVTOKYO 2017] What is red team?
[AVTOKYO 2017] What is red team?[AVTOKYO 2017] What is red team?
[AVTOKYO 2017] What is red team?
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
Python と型ヒント (Type Hints)
Python と型ヒント (Type Hints)Python と型ヒント (Type Hints)
Python と型ヒント (Type Hints)
Tetsuya Morimoto
 
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
Hiroshi Tokumaru
 
OWASP Top 10 And Insecure Software Root Causes
OWASP Top 10 And Insecure Software Root CausesOWASP Top 10 And Insecure Software Root Causes
OWASP Top 10 And Insecure Software Root Causes
Marco Morana
 
NET 6で実装された新しいLINQ API
NET 6で実装された新しいLINQ APINET 6で実装された新しいLINQ API
NET 6で実装された新しいLINQ API
TomomitsuKusaba
 

What's hot (20)

INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~
INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~
INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
機械学習デザインパターン Machine Learning Design Patterns
機械学習デザインパターン Machine Learning Design Patterns機械学習デザインパターン Machine Learning Design Patterns
機械学習デザインパターン Machine Learning Design Patterns
 
ゲームの通信をつくる仕事はどうなるのだろう?
ゲームの通信をつくる仕事はどうなるのだろう?ゲームの通信をつくる仕事はどうなるのだろう?
ゲームの通信をつくる仕事はどうなるのだろう?
 
本当にわかる Spectre と Meltdown
本当にわかる Spectre と Meltdown本当にわかる Spectre と Meltdown
本当にわかる Spectre と Meltdown
 
Cinemachineで見下ろし視点のカメラを作る
Cinemachineで見下ろし視点のカメラを作るCinemachineで見下ろし視点のカメラを作る
Cinemachineで見下ろし視点のカメラを作る
 
UI/UXが無意識に検索行動に与える影響について
UI/UXが無意識に検索行動に与える影響についてUI/UXが無意識に検索行動に与える影響について
UI/UXが無意識に検索行動に与える影響について
 
大規模データに基づく自然言語処理
大規模データに基づく自然言語処理大規模データに基づく自然言語処理
大規模データに基づく自然言語処理
 
ZabbixのAPIを使って運用を楽しくする話
ZabbixのAPIを使って運用を楽しくする話ZabbixのAPIを使って運用を楽しくする話
ZabbixのAPIを使って運用を楽しくする話
 
DeNA流Scrumとcommのチームビルディング
DeNA流ScrumとcommのチームビルディングDeNA流Scrumとcommのチームビルディング
DeNA流Scrumとcommのチームビルディング
 
BitVisor Summit 11「2. BitVisor on Aarch64」
BitVisor Summit 11「2. BitVisor on Aarch64」BitVisor Summit 11「2. BitVisor on Aarch64」
BitVisor Summit 11「2. BitVisor on Aarch64」
 
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
 
이승재, 실시간 HTTP 양방향 통신, NDC2012
이승재, 실시간 HTTP 양방향 통신, NDC2012이승재, 실시간 HTTP 양방향 통신, NDC2012
이승재, 실시간 HTTP 양방향 통신, NDC2012
 
初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法
 
Skip Graphをベースとした高速な挿入と検索が可能な構造化オーバレイの提案
Skip Graphをベースとした高速な挿入と検索が可能な構造化オーバレイの提案Skip Graphをベースとした高速な挿入と検索が可能な構造化オーバレイの提案
Skip Graphをベースとした高速な挿入と検索が可能な構造化オーバレイの提案
 
[AVTOKYO 2017] What is red team?
[AVTOKYO 2017] What is red team?[AVTOKYO 2017] What is red team?
[AVTOKYO 2017] What is red team?
 
Python と型ヒント (Type Hints)
Python と型ヒント (Type Hints)Python と型ヒント (Type Hints)
Python と型ヒント (Type Hints)
 
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
 
OWASP Top 10 And Insecure Software Root Causes
OWASP Top 10 And Insecure Software Root CausesOWASP Top 10 And Insecure Software Root Causes
OWASP Top 10 And Insecure Software Root Causes
 
NET 6で実装された新しいLINQ API
NET 6で実装された新しいLINQ APINET 6で実装された新しいLINQ API
NET 6で実装された新しいLINQ API
 

Similar to 今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜

20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
Masakazu Kishima
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
Motohiko Sato
 
Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824
Masakazu Ikeda
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
 
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
Developers Summit
 
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer
SAKURUG co.
 
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題
Katsuhide Hirai
 
Mix Leap 0214 security
Mix Leap 0214 securityMix Leap 0214 security
Mix Leap 0214 security
adachi tomohiro
 
Zero trust
Zero trustZero trust
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
日本ヒューレット・パッカード株式会社
 
20200214 the seminar of information security
20200214 the seminar of information security20200214 the seminar of information security
20200214 the seminar of information security
SAKURUG co.
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
Shinobu Yasuda
 
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
NHN テコラス株式会社
 
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
UEHARA, Tetsutaro
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
 
5 moriya security-seminar2005_05
5 moriya security-seminar2005_055 moriya security-seminar2005_05
5 moriya security-seminar2005_05Eiichi Moriya
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
Masaaki Nabeshima
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
Riotaro OKADA
 
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Masakazu Kishima
 

Similar to 今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜 (20)

20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
 
Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
 
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
 
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer
 
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題
 
Mix Leap 0214 security
Mix Leap 0214 securityMix Leap 0214 security
Mix Leap 0214 security
 
Zero trust
Zero trustZero trust
Zero trust
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
 
20200214 the seminar of information security
20200214 the seminar of information security20200214 the seminar of information security
20200214 the seminar of information security
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
 
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
 
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
5 moriya security-seminar2005_05
5 moriya security-seminar2005_055 moriya security-seminar2005_05
5 moriya security-seminar2005_05
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
 
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
 

More from Riotaro OKADA

DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
 
もしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたならもしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたなら
Riotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
 
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
Riotaro OKADA
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト  ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト  ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -   OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
Riotaro OKADA
 
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Riotaro OKADA
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
Riotaro OKADA
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
 

More from Riotaro OKADA (20)

DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
 
もしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたならもしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたなら
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
 
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト  ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト  ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -   OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
 
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
 

Recently uploaded

ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMMハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
osamut
 
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
Osaka University
 
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
Yuki Miyazaki
 
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
ARISE analytics
 
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
Osaka University
 
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
sugiuralab
 
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobodyロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
azuma satoshi
 
Humanoid Virtual Athletics Challenge2024 技術講習会 スライド
Humanoid Virtual Athletics Challenge2024 技術講習会 スライドHumanoid Virtual Athletics Challenge2024 技術講習会 スライド
Humanoid Virtual Athletics Challenge2024 技術講習会 スライド
tazaki1
 
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
嶋 是一 (Yoshikazu SHIMA)
 

Recently uploaded (9)

ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMMハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
 
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
 
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
 
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
 
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
 
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
 
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobodyロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
 
Humanoid Virtual Athletics Challenge2024 技術講習会 スライド
Humanoid Virtual Athletics Challenge2024 技術講習会 スライドHumanoid Virtual Athletics Challenge2024 技術講習会 スライド
Humanoid Virtual Athletics Challenge2024 技術講習会 スライド
 
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
 

今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜