SlideShare a Scribd company logo
1 of 49
Download to read offline
岡⽥良太郎
riotaro@rsrch.jp
@okdt
Asterisk Research, Inc.
今から取り組む企業のための脆弱性対応
〜⼤丈夫、みんなよく分かっていないから〜
SNS投稿は終了後に
本⽇の講演概要
昨年、情報システム・セキュリティ関連で最も聞かれた⾔葉に「脆弱性(ぜいじゃくせい)」が
あります。
オープンソースのバージョンがどうだとか、サイバー攻撃の対象になるだとか、ベンダーのパッ
チをあてろだとか、ものものしい⽂脈で語られるこの⾔葉。
案外、対策・対応とセットでクリアに整理し、理解することに追いついていないのではないで
しょうか。⼀⼝に対応すると⾔っても、いつもいつも「ベンダーパッチのアップデート」だけな
のでしょうか。
本講演は、⽶国⼤統領令で⽰された「SBOM」など、この「脆弱性」対応にまつわる情勢に注意
を向けつつ、実際の取り組みに役⽴つ視点と実践に移すことのできるプラクティスを紹介します。
はじめまして
岡田 良太郎で
ございます。
2006年、アプリケーションセキュリティ・ガバナンスに関わるリサーチと企業のセキュリ
ティ強化のアドバイザリなどを行う(株)アスタリスク・リサーチを創業。企業のセキュリ
ティ実践を手掛ける。
大学、企業、政府の研究機関、産官学連携したコミュニティにより、プロフェッショナル人
材の育成に携わっている。2021年1月に出版された「CISOハンドブック」の執筆者の中に
名を連ねる。
株式会社アスタリスク・リサーチ エグゼクティブ アドバイザ
岡田良太郎 へのおたよりはこちらまで:riotaro@rsrch.jp
アスタリスク・リサーチ 企業におけるセキュリティ実践支援企業
asteriskresearch.com
(c) Riotaro OKADA / Asterisk Research, Inc. 4
Professional Tools
実践段階のQCDを⾼める道具
・トレーニング
・Eラーニング
・開発環境向けツール(CI/CD)
・トレーニングイベントデザイン
・リスクプロファイルトレーニング
・脅威分析トレーニング
Advisory Service
経営陣の⾼速な意思決定を実現するアドバイザリ
・PSIRT/CSIRT Advisory
・DevOps Transformation
・セキュリティ・スコアカード分析
・エグゼクティブ向けブリーフィング
・CISO, CTO, CROハンズオン
Security Test Managed Service
セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis
・コンポーネント分析 SCA
・ソースコード分析 SAST
・システム脆弱性テスト DAST
・プラットフォームテスト NST
2022/12
2022/12
いまさら聞けないセキュリティ
「脆弱性ってなに?」
ITシステムのVulnerability?
• 「行政機関のVPN装置に脆弱性が放置されていたので侵入された」
• 「同社ウェブサイトの脆弱性が突かれて情報漏洩があった」
• 「米国CISAによるとlog4j2 の脆弱性が最も攻撃に悪用された」
• 「そのアプリは脆弱性があるので直ちにアップデートしてください」
CISA’s Top 15 Routinely Exploited Vulnerabilities of 2021
(c)
Riotaro
OKADA
11
CVE 脆弱性名 ベンダーと製品 タイプ CVSS 3.0/2.0
CVE-2021-44228 Log4Shell Apache Log4j リモートコード実⾏(RCE) 10/9.3
CVE-2021-40539 Zoho ManageEngine AD SelfService Plus RCE 9.8/7.3
CVE-2021-34523 ProxyShell Microsoft Exchange Server 特権の昇格 9.8/7.5
CVE-2021-34473 ProxyShell Microsoft Exchange Server RCE 9.8/10.0
CVE-2021-31207 ProxyShell Microsoft Exchange Server セキュリティ機能のバイパス 7.2/6.5
CVE-2021-27065 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8
CVE-2021-26858 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8
CVE-2021-26857 ProxyLogon Microsoft Exchange Server RCE 7.8/6.8
CVE-2021-26855 ProxyLogon Microsoft Exchange Server RCE 9.8/7.5
CVE-2021-26084 AtlassianConfluence 任意のコードの実⾏ 9.8/7.5
CVE-2021-21972 VMwarevSphere RCE 10.0/9.3
CVE-2020-1472 ZeroLogon Microsoft Netlogon(MS-NRPC) 特権の昇格 9.8/10.0
CVE-2020-0688 Microsoft Exchange Server RCE 8.8/9.0
CVE-2019-11510 Pulse Secure 任意のファイルの読み取り 10.0/7.5
CVE-2018-13379 FortiOSおよびFortiProxy パストラバーサル 9.8/5.0
「脆弱性」ってなに?
• ぜいじゃくせい 【脆弱性】傷つけられやすいこと。
→バルネラビリティー
• バルネラビリティー vulnerability ① 傷つけられやす
いこと。脆弱(ぜいじやく)性。② コンピューター社
会のもつ脆弱性。③ 心理学で,攻撃を受けやすいこと。
攻撃誘発性。
vulnerability
• 脆弱性 /ˌvʌ(ə)rəˈbɪɪ/ ♪(弱い部分
• 名詞(複数形vulnerabilities)物理的または感
情的に攻撃されたり傷つけられたりする可能性に
さらされている質または状態:
• 例文:保護当局は地域住民の脆弱性に気付いた|彼は
感染に対する脆弱性のために隔離されている|詐欺師
は私たちの脆弱性を見抜くのが得意である。
© Asterisk Research, Inc. 14
15
“クラウド” “Serverless”
プラットフォーム
アプリケーション
プレゼンテーション
セッション
トランスポート
ネットワーク
データリンク
物理層
アプリケーション
バックエンド
Web service
仮想/クラウド
Platform
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
脆弱性の対応マップ
脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
デスクトップやスマートフォン
デバイスのOSに問題があり、保護が⼿
薄、あるいは脆弱な状態になっている
プラットフォーマ
(Apple, Googleなど)
アップデート適⽤、
設定調整
⾃動アップデート活⽤、
更新情報プロセス強化
アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
アップデート適⽤、設定
調整、
アップデートあるいは
アンインストール
ネットワーク機器、デバイス
装置のファームウェアが古いあるいは
悪⽤されやすい設定になっているため
脆弱な状態
メーカー アップデート適⽤
ネットワーク機器や
構成の⾒直し
システム:オープンソースや
サードパーティAPIなど
システムで利⽤しているOSで使われて
いるOSSのソースコードに問題が発⾒
され脆弱性があるということが広く知
られる
システム:プログラムコード
⾃社あるいはSIerが開発したコードに問
題があり、脆弱になっている
システム:クラウドサービス、
アプリケーションの設定
コンフィギュレーションの問題で、
データが侵害されやすい状態などで脆
弱になっている
ユーザ、オペレータ
利⽤が許可されている機能あるいは
データの取り扱いを誤⽤してしまう
Enabling Security with "シフトレフト" © Asterisk Research, Inc. 20
システムの脆弱性の対応?
「タイミングとスピード」の話
(c) Riotaro OKADA 21
チャット系
グループウェア
オンライン会議系
社内SNS
インストール型
総合 ナレッジ共有
日報 社内報
総合
ワークフロー
総合
エンジニア コンサル
マーケティング
プラットフォーム型
Webサイト
クラウドソーシング型
総合 クリエイティブ テスター・入力
翻訳・ライティング・編集
オンラインセミナー・イベント
人事
コミュニケーション
営業
周辺ツール ホワイトボード
ノーコード
iPaaS HP ECサイト
フォーム
ハード系
MA / CRMツール
名刺管理
メール
商談関連
フォームアタック
D
セールス支援
顧客管理
セールス
セールス
HR系
人事評価 エンゲージメント向上
エンゲージメント測定ツール
日程調整
デザイン
採用関連 人事関連
オンライン1on1 オンライン福利厚生
リモート人材活用
エージェント型
エンジニア
2021/02/08 現在
(c) Riotaro OKADA / Asterisk Research, Inc.
ノーコード︖ローコード︖連携︖
設計の問題と、実装の問題の両方とも、脆弱性の原因になる。
Design ‒ 設計 Implement ‒ 実装
© Asterisk Research, Inc. 23
⼊⼒データ信頼の
条件
採⽤する認証メカ
ニズム
認証と認可 データと制御の分
離
暗号化と機密デー
タの識別
外部
コンポーネント
ログ、エラー 想定脅威
データベース
アクセス
エンコーディング
とエスケープ
⼊⼒値検証 IDと認証管理
アクセス制御 データ保護 モニタリング
機能
エラー処理と
例外処理
システムの重大なセキュリティ問題トップ10 / 2021年版
• A01:2021 – アクセス制御の不備
• A02:2021 – 暗号化の失敗
• A03:2021 – インジェクション
• A04:2021 – 安全が確認されない不安な設計
• A05:2021 – セキュリティの設定ミス
• A06:2021 – 脆弱で古くなったコンポーネント
• A07:2021 – 識別と認証の失敗
• A08:2021 – ソフトウェアとデータの整合性の不具合
• A09:2021 – セキュリティログとモニタリングの失敗
• A10:2021 – サーバーサイドリクエストフォージェリ (SSRF)
24
(c) Riotaro OKADA / Asterisk Research, Inc.
25
Up 5項⽬
• A01 アクセス制御の不備
• A02 暗号化の失敗
• A05 セキュリティの設定ミス
• A06 脆弱で古くなったコンポーネント
• A09セキュリティログとモニタリングの失敗
(c) Riotaro OKADA / Asterisk Research, Inc.
26
New 3項⽬
• A04 安全が確認されない不安な設計
• A08ソフトウェアとデータの整合性の不具合
• A10サーバーサイド・リクエスト・フォージェリ
プログラマがセキュリティを好きではない理由トップ10
1. Sec連中は、現場を理解していないし、たぶんコードの書き方も知らない。
2. 誰もセキュリティをやる方法を教えてくれない。
3. ここまで力を入れ、時間をかけるべき理由がわからない。
4. プロセスが難しい、またはちゃんと決まっていない。
5. 変化が激しく、いつも言うことが違う。
6. 十分注意を払う時間が足りない。
7. 突然現れては、門番のように行く手の邪魔をする。
8. 扱わなければならない量が多くなり、対応がたいへん。
9. どんより。しかも、成功を祝われることはない。
10. ツールは、うるさいし、不愉快だし、しかも、正確じゃない。
2023年
By Chris Romeo, 2021
SBOM
Software Bill Of Materials
Bill Of Materials = 部品表
• 製造業において製品を製造する上で必要な部品
情報や、どのような構成で組み上がっているの
かを把握するための基本情報
• 設計部門から購買部門、製造部門へと引き渡さ
れ、調達スケジュールや工程管理、さらに原価
管理においても不可欠
• 製造する製品に必要な部品管理を効率的に行う
ことを目的
https://www.techs-s.com/media/show/7
SBOM︓Software Bill Of Materials
• SBOM(Software Bill Of Materials︓ソフトウェア
部品表)とは、特定の製品に含まれるすべて(プロ
プライエタリおよびオープンソースなど)のソフト
ウェアコンポーネント、ライセンス、依存関係を⼀
覧化したもの
US 大統領令
• 2021年7⽉12⽇、⽶国連邦政府は、バイデ
ン政権の⼤統領令に準拠するためのSBOM
における最低限必要な要素を発表しました。
EO14028
• このガイドラインは、連邦政府と取引のあ
る組織にのみ適⽤。
ソフトウエアに安全基準
日米、サイバー防衛で覚書へ
• 2023/1「日本も準拠する」
• 日本は24年にも導入する方向
SBOMは
使い方次第
• 透明性のジレンマ
• 互換性のジレンマ
• 可用性のジレンマ
(c) Riotaro OKADA 33
https://www.techs-s.com/media/show/7
脆弱性の対応マップ
脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
デスクトップやスマートフォン
デバイスのOSに問題があり、保護が⼿
薄、あるいは脆弱な状態になっている
プラットフォーマ
(Apple, Googleなど)
アップデート適⽤、
設定調整
⾃動アップデート活⽤、
更新情報プロセス強化
アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
アップデート適⽤、設定
調整、
アップデートあるいは
アンインストール
ネットワーク機器、デバイス
装置のファームウェアが古いあるいは
悪⽤されやすい設定になっているため
脆弱な状態
メーカー アップデート適⽤
ネットワーク機器や
構成の⾒直し
システム:オープンソースや
サードパーティAPIなど
システムで利⽤しているOSで使われて
いるOSSのソースコードに問題が発⾒
され脆弱性があるということが広く知
られる
OSSプロジェクト、
LinuxやMicrosoftなど
OSベンダー
動作検証と
アップデート適⽤
ソフトウェア構成分析SCA
の導⼊、SBOM
システム:プログラムコード
⾃社あるいはSIerが開発したコードに問
題があり、脆弱になっている
コードを書いた⼈ない
し、開発プロジェクト
チーム
プログラムの修正
SAST、ハンズオン
教育訓練、検査ツールの強
化など⽣産技術的強化
システム:クラウドサービス、
アプリケーションの設定
コンフィギュレーションの問題で、
データが侵害されやすい状態などで脆
弱になっている
クラウドベンダーある
いはその先進的なユー
ザ
設定の修正
適切な脆弱性検査や
モニタリングの強化
ユーザ、オペレータ
利⽤が許可されている機能あるいは
データの取り扱いを誤⽤してしまう
Enabling Security with "シフトレフト" © Asterisk Research, Inc. 34
システムの脆弱性対応で終わらない理由
人、社会環境の脆弱性
Asterisk Research, Inc. (c) 35
情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位
不正アプリによる
スマートフォン利⽤者への被害
6位
修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位
インターネット上のサービスからの
個⼈情報の窃取
8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
(アンダーグラウンドサービス)
圏外
前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位
不正アプリによる
スマートフォン利⽤者への被害
6位
修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位
インターネット上のサービスからの
個⼈情報の窃取
8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
(アンダーグラウンドサービス)
圏外
情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
システムの問題
- ソフトウェアの脆弱性
- 連携の複雑性
- 適切でない施策
- 複雑な構造による管理負荷の問題
- ネットワークの拡⼤
- 放置、丸投げ、思い込みで悪化
情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位 不正アプリによる スマートフォン利⽤者への被害 6位
修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位 インターネット上のサービスからの 個⼈情報の窃取 8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
(アンダーグラウンドサービス)
圏外
⼈の脆弱性
- 低い優先度
- 無知・無関⼼
- 技術不⾜
- コスト
- 資産の認識不⾜
- モラル
- 思い込み
情報セキュリティ10大脅威 2023 (情報処理推進機構発表)
前年 個⼈ 順位 組織 前年
1位 フィッシングによる個⼈情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪⽤した攻撃 3位
3位
メールやSMS等を使った脅迫・詐欺の⼿⼝
による⾦銭要求
3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利⽤ 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利⽤ 5位
テレワーク等の ニューノーマルな働き⽅を
狙った攻撃
4位
7位 不正アプリによる スマートフォン利⽤者への被害 6位
修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)
7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による⾦銭被害 8位
8位 インターネット上のサービスからの 個⼈情報の窃取 8位 脆弱性対策情報の公開に伴う悪⽤増加 6位
10位 インターネット上のサービスへの 不正ログイン 9位 不注意による情報漏えい等の被害 10位
圏外 ワンクリック請求等の 不当請求による⾦銭被害 10位
犯罪のビジネス化
(アンダーグラウンドサービス)
圏外
社会の脆弱性
- 広範囲な活動領域
- 標的へのアクセスがどこからでも簡単
- ソフトウェア量産にともない脆弱性も
- 「⾼収益な仕事」礼賛傾向
- 攻撃⼿段の容易な調達
- ⽴ち遅れる取り締まり、罰則
原因 - トップ5を理解する
1. セキュリティ問題の軽視
2. 無知と無関心
3. 技術的手段の不足
4. コストの問題
5. 情報資産の認識不足
Asterisk Research, Inc. (c) 40
原因 ‒ トップ10に拡げる
6. ポリシーや手順の問題
7. 継続的対策の欠如
8. システムの不適切な構築
9. 人のエラー
10. 法律・規制の遵守の欠陥
Asterisk Research, Inc. (c) 41
1. セキュリティ問題の軽視
2. 無知と無関心
3. 技術的手段の不足
4. コストの問題
5. 情報資産の認識不足
脆弱性の対応マップ
脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
デスクトップやスマートフォン
デバイスのOSに問題があり、保護が⼿
薄、あるいは脆弱な状態になっている
プラットフォーマ
(Apple, Googleなど)
アップデート適⽤、
設定調整
⾃動アップデート活⽤、
更新情報プロセス強化
アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
アップデート適⽤、設定
調整、
アップデートあるいは
アンインストール
ネットワーク機器、デバイス
装置のファームウェアが古いあるいは
悪⽤されやすい設定になっているため
脆弱な状態
メーカー アップデート適⽤
ネットワーク機器や
構成の⾒直し
システム:オープンソースや
サードパーティAPIなど
システムで利⽤しているOSで使われて
いるOSSのソースコードに問題が発⾒
され脆弱性があるということが広く知
られる
OSSプロジェクト、
LinuxやMicrosoftなど
OSベンダー
動作検証と
アップデート適⽤
ソフトウェア構成分析SCA
の導⼊、SBOM
システム:プログラムコード
⾃社あるいはSIerが開発したコードに問
題があり、脆弱になっている
コードを書いた⼈ない
し、開発プロジェクト
チーム
プログラムの修正
SAST、ハンズオン
教育訓練、検査ツールの強
化など⽣産技術的強化
システム:クラウドサービス、
アプリケーションの設定
コンフィギュレーションの問題で、
データが侵害されやすい状態などで脆
弱になっている
クラウドベンダーある
いはその先進的なユー
ザ
設定の修正
適切な脆弱性検査や
モニタリングの強化
ユーザ、オペレータ
利⽤が許可されている機能あるいは
データの取り扱いを誤⽤してしまう
ユーザ⾃⾝、ならびに
その組織
応急対応と原因究明
⾮常事態の対応訓練
業務データ取り扱い訓練
ユーザビリティ向上
モニタリングの強化
Enabling Security with "シフトレフト" © Asterisk Research, Inc. 42
すぐはじめよう
• 自社でプログラム開発していない企業の場合でもやること
はある
• 人の脆弱性はユーザ訓練で実践力を高める
• セキュリティ・ユーザビリティを高める
• デバイス・アプライアンス・アプリケーションのアップデート状況
• 利用しているシステム、サービスの把握とコミュニケーション(放置モノ
の排除)
• 「あれ?」と思った場合のホットラインを構築せよ
(c) Riotaro OKADA 47
すぐはじめよう
• 自社独自システムがある場合++
• 古漬けシステムがあるんだろう
• 気合いと根性でやりくりしている状態の改善を検討せよ
• クラウド移行の場合に「設定」「構成」「設計」をないがしろにし
ないように
•
(c) Riotaro OKADA 48
すぐはじめよう
• 自社で開発をする企業の場合++
• Learning First。脆弱性指摘されても意味がわかるように、まず学ぼうよ
• SBOMの前に(に、備えて)ソフトウェア構成分析(Software Composition
Analysis)
• SASTはやったほうがいい
• 脆弱性検査は改善アドバイスをどれだけ得られるかがキモ
(c) Riotaro OKADA 49
アスタリスク・リサーチ
アスタリスク・リサーチ 企業におけるセキュリティ実践⽀援企業
asteriskresearch.com
(c) Riotaro OKADA / Asterisk Research, Inc.
55
Professional Tools
実践段階のQCDを⾼める道具
・トレーニング
・Eラーニング
・開発環境向けツール(CI/CD)
・トレーニングイベントデザイン
・リスクプロファイルトレーニング
・脅威分析トレーニング
Advisory Service
経営陣の⾼速な意思決定を実現するアドバイザリ
・PSIRT/CSIRT Advisory
・DevOps Transformation
・セキュリティ・スコアカード分析
・エグゼクティブ向けブリーフィング
・CISO, CTO, CROハンズオン
Security Test Managed Service
セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis
・コンポーネント分析 SCA
・ソースコード分析 SAST
・システム脆弱性テスト DAST
・プラットフォームテスト NST
また、おめにかかり
ましょう
@okdt

More Related Content

What's hot

CSRF, ClickJacking & Open Redirect
CSRF, ClickJacking & Open RedirectCSRF, ClickJacking & Open Redirect
CSRF, ClickJacking & Open RedirectBlueinfy Solutions
 
Web App Security Presentation by Ryan Holland - 05-31-2017
Web App Security Presentation by Ryan Holland - 05-31-2017Web App Security Presentation by Ryan Holland - 05-31-2017
Web App Security Presentation by Ryan Holland - 05-31-2017TriNimbus
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiSparta Bilişim
 
Hunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureHunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureSergey Soldatov
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Fido認証概要説明
Fido認証概要説明Fido認証概要説明
Fido認証概要説明FIDO Alliance
 
さくらのVPSに来た攻撃観察記
さくらのVPSに来た攻撃観察記さくらのVPSに来た攻撃観察記
さくらのVPSに来た攻撃観察記ozuma5119
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19BGA Cyber Security
 
PHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On LabPHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On LabTeymur Kheirkhabarov
 
You can detect PowerShell attacks
You can detect PowerShell attacksYou can detect PowerShell attacks
You can detect PowerShell attacksMichael Gough
 
Bilgi Güvenliği Farkındalık Eğitim Sunumu
Bilgi Güvenliği Farkındalık Eğitim SunumuBilgi Güvenliği Farkındalık Eğitim Sunumu
Bilgi Güvenliği Farkındalık Eğitim SunumuBGA Cyber Security
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Offensive PowerShell Cheat Sheet
Offensive	PowerShell Cheat SheetOffensive	PowerShell Cheat Sheet
Offensive PowerShell Cheat SheetRahmat Nurfauzi
 
Super Easy Memory Forensics
Super Easy Memory ForensicsSuper Easy Memory Forensics
Super Easy Memory ForensicsIIJ
 
Overview of the Cyber Kill Chain [TM]
Overview of the Cyber Kill Chain [TM]Overview of the Cyber Kill Chain [TM]
Overview of the Cyber Kill Chain [TM]David Sweigert
 

What's hot (20)

Security testing in mobile applications
Security testing in mobile applicationsSecurity testing in mobile applications
Security testing in mobile applications
 
Deep dive into ssrf
Deep dive into ssrfDeep dive into ssrf
Deep dive into ssrf
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
 
CSRF, ClickJacking & Open Redirect
CSRF, ClickJacking & Open RedirectCSRF, ClickJacking & Open Redirect
CSRF, ClickJacking & Open Redirect
 
Web App Security Presentation by Ryan Holland - 05-31-2017
Web App Security Presentation by Ryan Holland - 05-31-2017Web App Security Presentation by Ryan Holland - 05-31-2017
Web App Security Presentation by Ryan Holland - 05-31-2017
 
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework Eğitimi
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
 
Hunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureHunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows Infrastructure
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
 
Fido認証概要説明
Fido認証概要説明Fido認証概要説明
Fido認証概要説明
 
さくらのVPSに来た攻撃観察記
さくらのVPSに来た攻撃観察記さくらのVPSに来た攻撃観察記
さくらのVPSに来た攻撃観察記
 
Mod security
Mod securityMod security
Mod security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
 
PHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On LabPHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On Lab
 
You can detect PowerShell attacks
You can detect PowerShell attacksYou can detect PowerShell attacks
You can detect PowerShell attacks
 
Bilgi Güvenliği Farkındalık Eğitim Sunumu
Bilgi Güvenliği Farkındalık Eğitim SunumuBilgi Güvenliği Farkındalık Eğitim Sunumu
Bilgi Güvenliği Farkındalık Eğitim Sunumu
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Offensive PowerShell Cheat Sheet
Offensive	PowerShell Cheat SheetOffensive	PowerShell Cheat Sheet
Offensive PowerShell Cheat Sheet
 
Super Easy Memory Forensics
Super Easy Memory ForensicsSuper Easy Memory Forensics
Super Easy Memory Forensics
 
Overview of the Cyber Kill Chain [TM]
Overview of the Cyber Kill Chain [TM]Overview of the Cyber Kill Chain [TM]
Overview of the Cyber Kill Chain [TM]
 

Similar to 今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜

20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenterMasakazu Kishima
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」Motohiko Sato
 
Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824Masakazu Ikeda
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策Developers Summit
 
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answerSAKURUG co.
 
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題Katsuhide Hirai
 
20200214 the seminar of information security
20200214 the seminar of information security20200214 the seminar of information security
20200214 the seminar of information securitySAKURUG co.
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)Shinobu Yasuda
 
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 NHN テコラス株式会社
 
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」UEHARA, Tetsutaro
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
5 moriya security-seminar2005_05
5 moriya security-seminar2005_055 moriya security-seminar2005_05
5 moriya security-seminar2005_05Eiichi Moriya
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナMasaaki Nabeshima
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントRiotaro OKADA
 
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Masakazu Kishima
 

Similar to 今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜 (20)

20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
 
Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
 
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
 
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer
 
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題
 
Mix Leap 0214 security
Mix Leap 0214 securityMix Leap 0214 security
Mix Leap 0214 security
 
Zero trust
Zero trustZero trust
Zero trust
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
 
20200214 the seminar of information security
20200214 the seminar of information security20200214 the seminar of information security
20200214 the seminar of information security
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
 
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
 
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
5 moriya security-seminar2005_05
5 moriya security-seminar2005_055 moriya security-seminar2005_05
5 moriya security-seminar2005_05
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
 
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
 

More from Riotaro OKADA

DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021Riotaro OKADA
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
もしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたならもしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたならRiotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?Riotaro OKADA
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスクRiotaro OKADA
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト  ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト  ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~Riotaro OKADA
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftRiotaro OKADA
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -   OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - Riotaro OKADA
 
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県Riotaro OKADA
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略Riotaro OKADA
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトRiotaro OKADA
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 

More from Riotaro OKADA (20)

DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
 
もしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたならもしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたなら
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
 
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト  ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト  ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -   OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
 
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
 

Recently uploaded

2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用
2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用
2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用KLab Inc. / Tech
 
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイルLoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイルCRI Japan, Inc.
 
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員Sadaomi Nishi
 
Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介
Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介
Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介Hyperleger Tokyo Meetup
 
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdf
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdfネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdf
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdfTakayuki Nakayama
 
MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。iPride Co., Ltd.
 
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアルLoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアルCRI Japan, Inc.
 
情報を表現するときのポイント
情報を表現するときのポイント情報を表現するときのポイント
情報を表現するときのポイントonozaty
 
Keywordmap overview material/CINC.co.ltd
Keywordmap overview material/CINC.co.ltdKeywordmap overview material/CINC.co.ltd
Keywordmap overview material/CINC.co.ltdkokinagano2
 

Recently uploaded (9)

2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用
2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用
2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用
 
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイルLoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
 
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
 
Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介
Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介
Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介
 
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdf
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdfネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdf
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdf
 
MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。
 
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアルLoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
 
情報を表現するときのポイント
情報を表現するときのポイント情報を表現するときのポイント
情報を表現するときのポイント
 
Keywordmap overview material/CINC.co.ltd
Keywordmap overview material/CINC.co.ltdKeywordmap overview material/CINC.co.ltd
Keywordmap overview material/CINC.co.ltd
 

今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜