SlideShare a Scribd company logo

脆弱性情報はこうしてやってくる

J
JPCERT Coordination Center

Vuls祭り#1 での講演資料です.

Internet
1 of 25
Download to read offline
脆弱性情報はこうして やってくる JPCERT/CC 情報流通対策グループ ⼾⽥洋三 2016.09.26 Vuls 祭り#1
Copyright ©2016 JPCERT/CC All rights reserved. 自己紹介 http://www.tomo.gr.jp/root/e9706.html JPCERT/CC 情報流通対策グループ リードアナリスト 戸田 洋三 脆弱性情報分析, セキュアコー ディング普及啓発活動…… に努めてます 1
Copyright ©2016 JPCERT/CC All rights reserved. JPCERT/CCとは JPCERT Coordination Center 日本における情報セキュリティ 対策活動の向上に取り組んでい る組織 2
Copyright ©2016 JPCERT/CC All rights reserved. JPCERT/CCの主な活動 3
Copyright ©2016 JPCERT/CC All rights reserved. お話の内容 4 https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png
Copyright ©2016 JPCERT/CC All rights reserved. お話の内容 5 ここができるまでの あれこれを紹介します。 https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png
Copyright ©2016 JPCERT/CC All rights reserved. JVN とは? 6 JVN JVN.JP Japan Vulnerability Notes 脆弱性関連情報とその対策情報を提供し、情報セキュリティ対 策に資することを目的とする脆弱性対策情報ポータルサイトで す。脆弱性関連情報の受付と安全な流通を目的とした「情報セ キュリティ早期警戒パートナーシップ」に基いて、2004年7月よ りJPCERT コーディネーションセンターと独立行政法人情報処 理推進機構 (IPA)が共同で運営しています。 https://jvn.jp/nav/jvn.html
Copyright ©2016 JPCERT/CC All rights reserved. あなたの知っている JVN はどっち? 7 https://jvn.jp/ http://jvndb.jvn.jp/
Copyright ©2016 JPCERT/CC All rights reserved. あなたの知っている JVN はどっち? 8 https://jvn.jp/ http://jvndb.jvn.jp/ Vuls が参照してい るのは JVN iPedia.
Copyright ©2016 JPCERT/CC All rights reserved. JVN iPedia とは? 9 JVN iPediaは…JVNに掲載される脆弱性対策情報のほか、国 内外問わず公開された脆弱性対策情報を広く公開対象とし、 データベースとして蓄積しています。 一方、JVNでは、…早期警戒パートナーシップで取扱われた脆 弱性関連情報や、協力関係を結んでいる海外のCERT等から の脆弱性対策情報を掲載しています。 http://jvndb.jvn.jp/nav/jvndb.html 脆弱性対策情報が公表されてから一週間程度を目安に公開し ています。 JVN に掲載される情報(VN-JP、VN-VU、TA)のほか、米国 NISTが運営するNVDおよび国内ベンダから情報収集していま す。
Copyright ©2016 JPCERT/CC All rights reserved. つまり、こーいうこと: JVNとiPediaの役割分担 10 JVNiPedia JVN ベンダとの調整の結果、公 開に⾄った脆弱性情報を迅 速に掲載。 基本的には JVN と NVD の データをもとに構成。 データの蓄積と検索機能を 重視。
Copyright ©2016 JPCERT/CC All rights reserved. つまり、こーいうこと: 情報の流れ 11 CVE(MITRE) JVNiPedia JVN NVD(NIST) ………………
Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その1) 12 •経済産業省告⽰ •情報セキュリティ早期警戒パートナー シップ
Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その1) 13 •経済産業省告⽰ http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html ソフトウエア等脆弱性関連情報取扱基準 (2004年7⽉制定) http://www.meti.go.jp/policy/netsecurity/vulinfo.html
Copyright ©2016 JPCERT/CC All rights reserved. 受付機関と調整機関 14 受付機関: IPA IPA セキュリティセンター 調整機関: JPCERT/CC JPCERT/CC 情報流通対策グループ
Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その2) 15 •情報セキュリティ早期警戒パートナー シップ IPA, JPCERT/CC, JEITA, JISA, JPSA(現CSAJ), JNSA が連名で「情報セキュリティ早期警戒 パートナーシップガイドライン」を公表 (2004年7⽉) 参考: https://www.jpcert.or.jp/press/2004/0708.txt
Copyright ©2016 JPCERT/CC All rights reserved. 届出⇒調整⇒公開 16 https://www.jpcert.or.jp/vh/fig1.gif
Copyright ©2016 JPCERT/CC All rights reserved.17 CVE はどうなってるの?
Copyright ©2016 JPCERT/CC All rights reserved. CVE 管理の仕組み 18 CVE: Common Vulnerabilities and Exposures ⽶国 MITRE が管理運営 割り当ては CNA(CVE Numbering Authority) から MITRE 以外にソフトウェア開発ベンダや CSIRT(CERT/CC, JPCERT/CC) などが CNA と して割り当てを⾏っている 参考: https://cve.mitre.org/cve/cna.html#participating_cnas
Copyright ©2016 JPCERT/CC All rights reserved. 参考: oss-security メーリングリスト 19 オープンソース製品に対する CVE 割り当てリクエストと 応答の様⼦が垣間⾒られる http://www.openwall.com/lists/oss-security/2016/09/
Copyright ©2016 JPCERT/CC All rights reserved. おさらい 20 脆弱性発⾒! 届出 調整 公開 Vulsで活⽤!
Copyright ©2016 JPCERT/CC All rights reserved. 参考情報 (最近の情報) Japan Vulnerability Notes (https://jvn.jp/) JVN iPedia (http://jvndb.jvn.jp/) 脆弱性情報ハンドリングとは? (https://www.jpcert.or.jp/vh/) 脆弱性対策 (https://www.ipa.go.jp/security/vuln/) Lessons Learned from Handling OpenSSL Vulnerabilities (OSC2014Fukuoka での講演) (http://www.slideshare.net/jpcert_securecoding/lessons- to-be-learned-from-handling-openssl-vulnerabilities) 経済産業省告⽰の改正 (http://www.meti.go.jp/policy/netsecurity/downloadfiles/140514kaiseik okuji.pdf) CVE: Common Vulnerabilities and Exposures (https://cve.mitre.org/) 21
Copyright ©2016 JPCERT/CC All rights reserved. 参考情報 (過去の経緯を知るための情報) 脆弱性関連情報取り扱い説明会 (http://www.ipa.go.jp/security/vuln/event/20040720.html) JPCERT/CC プレスリリース: 「情報セキュリティ早期警 戒パートナーシップ」の運⽤を開始 (https://www.jpcert.or.jp/press/2004/0708.txt) 経済産業省告⽰(2004年7⽉7⽇) (http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf) JPCERT/CC・CERT/CC 脆弱性情報ハンドリングワーク ショップ (2004-03-09) (https://www.jpcert.or.jp/present/) 22
Copyright ©2016 JPCERT/CC All rights reserved. お問合せ等の連絡先はこちら 23 JPCERTコーディネーションセンター (https://www.jpcert.or.jp) 情報流通対策グループ (vultures@jpcert.or.jp) JVN: Japan Vulnerability Notes (https://jvn.jp/) お問い合わせ先とFAQ (https://jvn.jp/contact/)
Copyright ©2016 JPCERT/CC All rights reserved.24 Thank you!

Recommended

Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
NTT DATA Technology & Innovation
 
高速にコンテナを起動できるイメージフォーマット
高速にコンテナを起動できるイメージフォーマット高速にコンテナを起動できるイメージフォーマット
高速にコンテナを起動できるイメージフォーマット
Akihiro Suda
 
LakeTahoe
LakeTahoeLakeTahoe
LakeTahoe
Yahoo!デベロッパーネットワーク
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
Motonori Shindo
 
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
NTT DATA Technology & Innovation
 
Apache Spark on Kubernetes入門(Open Source Conference 2021 Online Hiroshima 発表資料)
Apache Spark on Kubernetes入門(Open Source Conference 2021 Online Hiroshima 発表資料)Apache Spark on Kubernetes入門(Open Source Conference 2021 Online Hiroshima 発表資料)
Apache Spark on Kubernetes入門(Open Source Conference 2021 Online Hiroshima 発表資料)
NTT DATA Technology & Innovation
 
Kubernetes雑にまとめてみた 2020年8月版
Kubernetes雑にまとめてみた 2020年8月版Kubernetes雑にまとめてみた 2020年8月版
Kubernetes雑にまとめてみた 2020年8月版
VirtualTech Japan Inc.
 
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知するAzure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
KenjiroHirata
 

Recommended

Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
NTT DATA Technology & Innovation
 
高速にコンテナを起動できるイメージフォーマット
高速にコンテナを起動できるイメージフォーマット高速にコンテナを起動できるイメージフォーマット
高速にコンテナを起動できるイメージフォーマット
Akihiro Suda
 
LakeTahoe
LakeTahoeLakeTahoe
LakeTahoe
Yahoo!デベロッパーネットワーク
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
Motonori Shindo
 
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
NTT DATA Technology & Innovation
 
Apache Spark on Kubernetes入門(Open Source Conference 2021 Online Hiroshima 発表資料)
Apache Spark on Kubernetes入門(Open Source Conference 2021 Online Hiroshima 発表資料)Apache Spark on Kubernetes入門(Open Source Conference 2021 Online Hiroshima 発表資料)
Apache Spark on Kubernetes入門(Open Source Conference 2021 Online Hiroshima 発表資料)
NTT DATA Technology & Innovation
 
Kubernetes雑にまとめてみた 2020年8月版
Kubernetes雑にまとめてみた 2020年8月版Kubernetes雑にまとめてみた 2020年8月版
Kubernetes雑にまとめてみた 2020年8月版
VirtualTech Japan Inc.
 
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知するAzure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
KenjiroHirata
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
Kohei Tokunaga
 
Apache Sparkに手を出してヤケドしないための基本 ~「Apache Spark入門より」~ (デブサミ 2016 講演資料)
Apache Sparkに手を出してヤケドしないための基本 ~「Apache Spark入門より」~ (デブサミ 2016 講演資料)Apache Sparkに手を出してヤケドしないための基本 ~「Apache Spark入門より」~ (デブサミ 2016 講演資料)
Apache Sparkに手を出してヤケドしないための基本 ~「Apache Spark入門より」~ (デブサミ 2016 講演資料)
NTT DATA OSS Professional Services
 
Hadoopデータ基盤とMulti-CloudなML基盤への取り組みの紹介
Hadoopデータ基盤とMulti-CloudなML基盤への取り組みの紹介Hadoopデータ基盤とMulti-CloudなML基盤への取り組みの紹介
Hadoopデータ基盤とMulti-CloudなML基盤への取り組みの紹介
MicroAd, Inc.(Engineer)
 
root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす
Akihiro Suda
 
実用段階に入ったOpenStack ~ もうすぐ絶滅するというPrivate Cloudの多様性について ~
実用段階に入ったOpenStack ~ もうすぐ絶滅するというPrivate Cloudの多様性について ~実用段階に入ったOpenStack ~ もうすぐ絶滅するというPrivate Cloudの多様性について ~
実用段階に入ったOpenStack ~ もうすぐ絶滅するというPrivate Cloudの多様性について ~
Rakuten Group, Inc.
 
AWS Lambdaによるデータ処理理の⾃自動化とコモディティ化
AWS Lambdaによるデータ処理理の⾃自動化とコモディティ化AWS Lambdaによるデータ処理理の⾃自動化とコモディティ化
AWS Lambdaによるデータ処理理の⾃自動化とコモディティ化
Amazon Web Services Japan
 
SMTPのSTARTTLSにおけるTLSバージョンについて
SMTPのSTARTTLSにおけるTLSバージョンについてSMTPのSTARTTLSにおけるTLSバージョンについて
SMTPのSTARTTLSにおけるTLSバージョンについて
Sparx Systems Japan
 
Apache Spark超入門 (Hadoop / Spark Conference Japan 2016 講演資料)
Apache Spark超入門 (Hadoop / Spark Conference Japan 2016 講演資料)Apache Spark超入門 (Hadoop / Spark Conference Japan 2016 講演資料)
Apache Spark超入門 (Hadoop / Spark Conference Japan 2016 講演資料)
NTT DATA OSS Professional Services
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
 
ゼロから作るKubernetesによるJupyter as a Service ー Kubernetes Meetup Tokyo #43
ゼロから作るKubernetesによるJupyter as a Service ー Kubernetes Meetup Tokyo #43ゼロから作るKubernetesによるJupyter as a Service ー Kubernetes Meetup Tokyo #43
ゼロから作るKubernetesによるJupyter as a Service ー Kubernetes Meetup Tokyo #43
Preferred Networks
 
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
NTT DATA Technology & Innovation
 
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
NTT DATA Technology & Innovation
 
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
 
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
Trainocate Japan, Ltd.
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較
Akihiro Suda
 
Hadoop -NameNode HAの仕組み-
Hadoop -NameNode HAの仕組み-Hadoop -NameNode HAの仕組み-
Hadoop -NameNode HAの仕組み-
Yuki Gonda
 
データ分析を支える技術 データ分析基盤再入門
データ分析を支える技術 データ分析基盤再入門データ分析を支える技術 データ分析基盤再入門
データ分析を支える技術 データ分析基盤再入門
Satoru Ishikawa
 
Hadoop/Spark を使うなら Bigtop を使い熟そう! ~並列分散処理基盤のいま、から Bigtop の最近の取り組みまで一挙ご紹介~(Ope...
Hadoop/Spark を使うなら Bigtop を使い熟そう! ~並列分散処理基盤のいま、から Bigtop の最近の取り組みまで一挙ご紹介~(Ope...Hadoop/Spark を使うなら Bigtop を使い熟そう! ~並列分散処理基盤のいま、から Bigtop の最近の取り組みまで一挙ご紹介~(Ope...
Hadoop/Spark を使うなら Bigtop を使い熟そう! ~並列分散処理基盤のいま、から Bigtop の最近の取り組みまで一挙ご紹介~(Ope...
NTT DATA Technology & Innovation
 
OpenWhiskを使ってみた
OpenWhiskを使ってみたOpenWhiskを使ってみた
OpenWhiskを使ってみた
Kozo Fukugauchi
 
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
Hirotaka Sato
 
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai 「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
OWASP Kansai
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
 

More Related Content

What's hot

コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
Kohei Tokunaga
 
Apache Sparkに手を出してヤケドしないための基本 ~「Apache Spark入門より」~ (デブサミ 2016 講演資料)
Apache Sparkに手を出してヤケドしないための基本 ~「Apache Spark入門より」~ (デブサミ 2016 講演資料)Apache Sparkに手を出してヤケドしないための基本 ~「Apache Spark入門より」~ (デブサミ 2016 講演資料)
Apache Sparkに手を出してヤケドしないための基本 ~「Apache Spark入門より」~ (デブサミ 2016 講演資料)
NTT DATA OSS Professional Services
 
Hadoopデータ基盤とMulti-CloudなML基盤への取り組みの紹介
Hadoopデータ基盤とMulti-CloudなML基盤への取り組みの紹介Hadoopデータ基盤とMulti-CloudなML基盤への取り組みの紹介
Hadoopデータ基盤とMulti-CloudなML基盤への取り組みの紹介
MicroAd, Inc.(Engineer)
 
root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす
Akihiro Suda
 
実用段階に入ったOpenStack ~ もうすぐ絶滅するというPrivate Cloudの多様性について ~
実用段階に入ったOpenStack ~ もうすぐ絶滅するというPrivate Cloudの多様性について ~実用段階に入ったOpenStack ~ もうすぐ絶滅するというPrivate Cloudの多様性について ~
実用段階に入ったOpenStack ~ もうすぐ絶滅するというPrivate Cloudの多様性について ~
Rakuten Group, Inc.
 
AWS Lambdaによるデータ処理理の⾃自動化とコモディティ化
AWS Lambdaによるデータ処理理の⾃自動化とコモディティ化AWS Lambdaによるデータ処理理の⾃自動化とコモディティ化
AWS Lambdaによるデータ処理理の⾃自動化とコモディティ化
Amazon Web Services Japan
 
SMTPのSTARTTLSにおけるTLSバージョンについて
SMTPのSTARTTLSにおけるTLSバージョンについてSMTPのSTARTTLSにおけるTLSバージョンについて
SMTPのSTARTTLSにおけるTLSバージョンについて
Sparx Systems Japan
 
Apache Spark超入門 (Hadoop / Spark Conference Japan 2016 講演資料)
Apache Spark超入門 (Hadoop / Spark Conference Japan 2016 講演資料)Apache Spark超入門 (Hadoop / Spark Conference Japan 2016 講演資料)
Apache Spark超入門 (Hadoop / Spark Conference Japan 2016 講演資料)
NTT DATA OSS Professional Services
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
 
ゼロから作るKubernetesによるJupyter as a Service ー Kubernetes Meetup Tokyo #43
ゼロから作るKubernetesによるJupyter as a Service ー Kubernetes Meetup Tokyo #43ゼロから作るKubernetesによるJupyter as a Service ー Kubernetes Meetup Tokyo #43
ゼロから作るKubernetesによるJupyter as a Service ー Kubernetes Meetup Tokyo #43
Preferred Networks
 
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
NTT DATA Technology & Innovation
 
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
NTT DATA Technology & Innovation
 
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
 
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
Trainocate Japan, Ltd.
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較
Akihiro Suda
 
Hadoop -NameNode HAの仕組み-
Hadoop -NameNode HAの仕組み-Hadoop -NameNode HAの仕組み-
Hadoop -NameNode HAの仕組み-
Yuki Gonda
 
データ分析を支える技術 データ分析基盤再入門
データ分析を支える技術 データ分析基盤再入門データ分析を支える技術 データ分析基盤再入門
データ分析を支える技術 データ分析基盤再入門
Satoru Ishikawa
 
Hadoop/Spark を使うなら Bigtop を使い熟そう! ~並列分散処理基盤のいま、から Bigtop の最近の取り組みまで一挙ご紹介~(Ope...
Hadoop/Spark を使うなら Bigtop を使い熟そう! ~並列分散処理基盤のいま、から Bigtop の最近の取り組みまで一挙ご紹介~(Ope...Hadoop/Spark を使うなら Bigtop を使い熟そう! ~並列分散処理基盤のいま、から Bigtop の最近の取り組みまで一挙ご紹介~(Ope...
Hadoop/Spark を使うなら Bigtop を使い熟そう! ~並列分散処理基盤のいま、から Bigtop の最近の取り組みまで一挙ご紹介~(Ope...
NTT DATA Technology & Innovation
 
OpenWhiskを使ってみた
OpenWhiskを使ってみたOpenWhiskを使ってみた
OpenWhiskを使ってみた
Kozo Fukugauchi
 
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
Hirotaka Sato
 

What's hot (20)

コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
 
Apache Sparkに手を出してヤケドしないための基本 ~「Apache Spark入門より」~ (デブサミ 2016 講演資料)
Apache Sparkに手を出してヤケドしないための基本 ~「Apache Spark入門より」~ (デブサミ 2016 講演資料)Apache Sparkに手を出してヤケドしないための基本 ~「Apache Spark入門より」~ (デブサミ 2016 講演資料)
Apache Sparkに手を出してヤケドしないための基本 ~「Apache Spark入門より」~ (デブサミ 2016 講演資料)
 
Hadoopデータ基盤とMulti-CloudなML基盤への取り組みの紹介
Hadoopデータ基盤とMulti-CloudなML基盤への取り組みの紹介Hadoopデータ基盤とMulti-CloudなML基盤への取り組みの紹介
Hadoopデータ基盤とMulti-CloudなML基盤への取り組みの紹介
 
root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす
 
実用段階に入ったOpenStack ~ もうすぐ絶滅するというPrivate Cloudの多様性について ~
実用段階に入ったOpenStack ~ もうすぐ絶滅するというPrivate Cloudの多様性について ~実用段階に入ったOpenStack ~ もうすぐ絶滅するというPrivate Cloudの多様性について ~
実用段階に入ったOpenStack ~ もうすぐ絶滅するというPrivate Cloudの多様性について ~
 
AWS Lambdaによるデータ処理理の⾃自動化とコモディティ化
AWS Lambdaによるデータ処理理の⾃自動化とコモディティ化AWS Lambdaによるデータ処理理の⾃自動化とコモディティ化
AWS Lambdaによるデータ処理理の⾃自動化とコモディティ化
 
SMTPのSTARTTLSにおけるTLSバージョンについて
SMTPのSTARTTLSにおけるTLSバージョンについてSMTPのSTARTTLSにおけるTLSバージョンについて
SMTPのSTARTTLSにおけるTLSバージョンについて
 
Apache Spark超入門 (Hadoop / Spark Conference Japan 2016 講演資料)
Apache Spark超入門 (Hadoop / Spark Conference Japan 2016 講演資料)Apache Spark超入門 (Hadoop / Spark Conference Japan 2016 講演資料)
Apache Spark超入門 (Hadoop / Spark Conference Japan 2016 講演資料)
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
 
ゼロから作るKubernetesによるJupyter as a Service ー Kubernetes Meetup Tokyo #43
ゼロから作るKubernetesによるJupyter as a Service ー Kubernetes Meetup Tokyo #43ゼロから作るKubernetesによるJupyter as a Service ー Kubernetes Meetup Tokyo #43
ゼロから作るKubernetesによるJupyter as a Service ー Kubernetes Meetup Tokyo #43
 
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
 
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
 
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
 
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較
 
Hadoop -NameNode HAの仕組み-
Hadoop -NameNode HAの仕組み-Hadoop -NameNode HAの仕組み-
Hadoop -NameNode HAの仕組み-
 
データ分析を支える技術 データ分析基盤再入門
データ分析を支える技術 データ分析基盤再入門データ分析を支える技術 データ分析基盤再入門
データ分析を支える技術 データ分析基盤再入門
 
Hadoop/Spark を使うなら Bigtop を使い熟そう! ~並列分散処理基盤のいま、から Bigtop の最近の取り組みまで一挙ご紹介~(Ope...
Hadoop/Spark を使うなら Bigtop を使い熟そう! ~並列分散処理基盤のいま、から Bigtop の最近の取り組みまで一挙ご紹介~(Ope...Hadoop/Spark を使うなら Bigtop を使い熟そう! ~並列分散処理基盤のいま、から Bigtop の最近の取り組みまで一挙ご紹介~(Ope...
Hadoop/Spark を使うなら Bigtop を使い熟そう! ~並列分散処理基盤のいま、から Bigtop の最近の取り組みまで一挙ご紹介~(Ope...
 
OpenWhiskを使ってみた
OpenWhiskを使ってみたOpenWhiskを使ってみた
OpenWhiskを使ってみた
 
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
 

Similar to 脆弱性情報はこうしてやってくる

「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai 「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
OWASP Kansai
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
 
【DMP x LPO ABテスト】パブリックdmpを用いたデータドリブンペルソナ構築
【DMP x LPO ABテスト】パブリックdmpを用いたデータドリブンペルソナ構築【DMP x LPO ABテスト】パブリックdmpを用いたデータドリブンペルソナ構築
【DMP x LPO ABテスト】パブリックdmpを用いたデータドリブンペルソナ構築
Satoru Yamamoto
 
20171115 社長5年会
20171115 社長5年会20171115 社長5年会
20171115 社長5年会
Takayuki Horimoto
 
FIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみたFIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみた
FIDO Alliance
 
データサイエンティスト協会 会員制度説明資料
データサイエンティスト協会 会員制度説明資料データサイエンティスト協会 会員制度説明資料
データサイエンティスト協会 会員制度説明資料
The Japan DataScientist Society
 
JAISAスマート農業講演資料 堀
JAISAスマート農業講演資料 堀JAISAスマート農業講演資料 堀
JAISAスマート農業講演資料 堀
akihori0530
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
グローバルセキュリティエキスパート株式会社(GSX)
 
中国のブロックチェーン技術の発展状況、投資事例勉強会 toBサービス編
中国のブロックチェーン技術の発展状況、投資事例勉強会 toBサービス編中国のブロックチェーン技術の発展状況、投資事例勉強会 toBサービス編
中国のブロックチェーン技術の発展状況、投資事例勉強会 toBサービス編
YangnuoLiu
 
夏まつり2016 Session4(事例ローテーション:インフォテック 謝花様)
夏まつり2016 Session4(事例ローテーション:インフォテック 謝花様)夏まつり2016 Session4(事例ローテーション:インフォテック 謝花様)
夏まつり2016 Session4(事例ローテーション:インフォテック 謝花様)
takumibp
 
Conformity assessment of trust services
Conformity assessment of trust servicesConformity assessment of trust services
Conformity assessment of trust services
Toru Yamauchi
 
営業現場で困らないためのディープラーニング
営業現場で困らないためのディープラーニング営業現場で困らないためのディープラーニング
営業現場で困らないためのディープラーニング
Satoru Yamamoto
 
Open stack概要とよくある議論
Open stack概要とよくある議論Open stack概要とよくある議論
Open stack概要とよくある議論
shintaro mizuno
 
The way to a smart factory armed with data utilization
The way to a smart factory armed with data utilizationThe way to a smart factory armed with data utilization
The way to a smart factory armed with data utilization
DataWorks Summit
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
 
DLL読み込みの問題を読み解く
DLL読み込みの問題を読み解くDLL読み込みの問題を読み解く
DLL読み込みの問題を読み解く
JPCERT Coordination Center
 
xDataTech profile 20190125
xDataTech profile 20190125xDataTech profile 20190125
xDataTech profile 20190125
Tokihiro Umeyama
 
失敗談から学ぶ!アクションにつながるデータ分析のコツ[2014.12.11 開催セミナー]
失敗談から学ぶ!アクションにつながるデータ分析のコツ[2014.12.11 開催セミナー]失敗談から学ぶ!アクションにつながるデータ分析のコツ[2014.12.11 開催セミナー]
失敗談から学ぶ!アクションにつながるデータ分析のコツ[2014.12.11 開催セミナー]
Dentsu Razorfish
 
2014/06/19 第3回 CKAN コミュニティミーティング | homata
2014/06/19 第3回 CKAN コミュニティミーティング | homata2014/06/19 第3回 CKAN コミュニティミーティング | homata
2014/06/19 第3回 CKAN コミュニティミーティング | homataHiroshi Omata
 

Similar to 脆弱性情報はこうしてやってくる (20)

「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai 「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
【DMP x LPO ABテスト】パブリックdmpを用いたデータドリブンペルソナ構築
【DMP x LPO ABテスト】パブリックdmpを用いたデータドリブンペルソナ構築【DMP x LPO ABテスト】パブリックdmpを用いたデータドリブンペルソナ構築
【DMP x LPO ABテスト】パブリックdmpを用いたデータドリブンペルソナ構築
 
20171115 社長5年会
20171115 社長5年会20171115 社長5年会
20171115 社長5年会
 
FIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみたFIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみた
 
データサイエンティスト協会 会員制度説明資料
データサイエンティスト協会 会員制度説明資料データサイエンティスト協会 会員制度説明資料
データサイエンティスト協会 会員制度説明資料
 
JAISAスマート農業講演資料 堀
JAISAスマート農業講演資料 堀JAISAスマート農業講演資料 堀
JAISAスマート農業講演資料 堀
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
 
中国のブロックチェーン技術の発展状況、投資事例勉強会 toBサービス編
中国のブロックチェーン技術の発展状況、投資事例勉強会 toBサービス編中国のブロックチェーン技術の発展状況、投資事例勉強会 toBサービス編
中国のブロックチェーン技術の発展状況、投資事例勉強会 toBサービス編
 
夏まつり2016 Session4(事例ローテーション:インフォテック 謝花様)
夏まつり2016 Session4(事例ローテーション:インフォテック 謝花様)夏まつり2016 Session4(事例ローテーション:インフォテック 謝花様)
夏まつり2016 Session4(事例ローテーション:インフォテック 謝花様)
 
Conformity assessment of trust services
Conformity assessment of trust servicesConformity assessment of trust services
Conformity assessment of trust services
 
営業現場で困らないためのディープラーニング
営業現場で困らないためのディープラーニング営業現場で困らないためのディープラーニング
営業現場で困らないためのディープラーニング
 
Open stack概要とよくある議論
Open stack概要とよくある議論Open stack概要とよくある議論
Open stack概要とよくある議論
 
The way to a smart factory armed with data utilization
The way to a smart factory armed with data utilizationThe way to a smart factory armed with data utilization
The way to a smart factory armed with data utilization
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
 
DLL読み込みの問題を読み解く
DLL読み込みの問題を読み解くDLL読み込みの問題を読み解く
DLL読み込みの問題を読み解く
 
xDataTech profile 20190125
xDataTech profile 20190125xDataTech profile 20190125
xDataTech profile 20190125
 
失敗談から学ぶ!アクションにつながるデータ分析のコツ[2014.12.11 開催セミナー]
失敗談から学ぶ!アクションにつながるデータ分析のコツ[2014.12.11 開催セミナー]失敗談から学ぶ!アクションにつながるデータ分析のコツ[2014.12.11 開催セミナー]
失敗談から学ぶ!アクションにつながるデータ分析のコツ[2014.12.11 開催セミナー]
 
2014/06/19 第3回 CKAN コミュニティミーティング | homata
2014/06/19 第3回 CKAN コミュニティミーティング | homata2014/06/19 第3回 CKAN コミュニティミーティング | homata
2014/06/19 第3回 CKAN コミュニティミーティング | homata
 

More from JPCERT Coordination Center

いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
JPCERT Coordination Center
 
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
JPCERT Coordination Center
 
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
JPCERT Coordination Center
 
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
JPCERT Coordination Center
 
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
JPCERT Coordination Center
 
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
JPCERT Coordination Center
 
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策
JPCERT Coordination Center
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
JPCERT Coordination Center
 
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
JPCERT Coordination Center
 
ソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデルソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデル
JPCERT Coordination Center
 
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
Lessons (to be) Learned from Handling OpenSSL VulnerabilitiesLessons (to be) Learned from Handling OpenSSL Vulnerabilities
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
JPCERT Coordination Center
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
JPCERT Coordination Center
 
Android Secure Coding
Android Secure CodingAndroid Secure Coding
Android Secure Coding
JPCERT Coordination Center
 
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JPCERT Coordination Center
 
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性JPCERT Coordination Center
 
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性JPCERT Coordination Center
 
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)JPCERT Coordination Center
 
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)JPCERT Coordination Center
 
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性JPCERT Coordination Center
 

More from JPCERT Coordination Center (20)

いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
 
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
 
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
 
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
 
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
 
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
 
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
 
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
 
ソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデルソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデル
 
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
Lessons (to be) Learned from Handling OpenSSL VulnerabilitiesLessons (to be) Learned from Handling OpenSSL Vulnerabilities
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
 
Android Secure Coding
Android Secure CodingAndroid Secure Coding
Android Secure Coding
 
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
 
Apache Axis2におけるXML署名検証不備
Apache Axis2におけるXML署名検証不備Apache Axis2におけるXML署名検証不備
Apache Axis2におけるXML署名検証不備
 
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
 
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
 
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
 
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
 
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
 

脆弱性情報はこうしてやってくる

  • 2. Copyright ©2016 JPCERT/CC All rights reserved. 自己紹介 http://www.tomo.gr.jp/root/e9706.html JPCERT/CC 情報流通対策グループ リードアナリスト 戸田 洋三 脆弱性情報分析, セキュアコー ディング普及啓発活動…… に努めてます 1
  • 3. Copyright ©2016 JPCERT/CC All rights reserved. JPCERT/CCとは JPCERT Coordination Center 日本における情報セキュリティ 対策活動の向上に取り組んでい る組織 2
  • 4. Copyright ©2016 JPCERT/CC All rights reserved. JPCERT/CCの主な活動 3
  • 5. Copyright ©2016 JPCERT/CC All rights reserved. お話の内容 4 https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png
  • 6. Copyright ©2016 JPCERT/CC All rights reserved. お話の内容 5 ここができるまでの あれこれを紹介します。 https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png
  • 7. Copyright ©2016 JPCERT/CC All rights reserved. JVN とは? 6 JVN JVN.JP Japan Vulnerability Notes 脆弱性関連情報とその対策情報を提供し、情報セキュリティ対 策に資することを目的とする脆弱性対策情報ポータルサイトで す。脆弱性関連情報の受付と安全な流通を目的とした「情報セ キュリティ早期警戒パートナーシップ」に基いて、2004年7月よ りJPCERT コーディネーションセンターと独立行政法人情報処 理推進機構 (IPA)が共同で運営しています。 https://jvn.jp/nav/jvn.html
  • 8. Copyright ©2016 JPCERT/CC All rights reserved. あなたの知っている JVN はどっち? 7 https://jvn.jp/ http://jvndb.jvn.jp/
  • 9. Copyright ©2016 JPCERT/CC All rights reserved. あなたの知っている JVN はどっち? 8 https://jvn.jp/ http://jvndb.jvn.jp/ Vuls が参照してい るのは JVN iPedia.
  • 10. Copyright ©2016 JPCERT/CC All rights reserved. JVN iPedia とは? 9 JVN iPediaは…JVNに掲載される脆弱性対策情報のほか、国 内外問わず公開された脆弱性対策情報を広く公開対象とし、 データベースとして蓄積しています。 一方、JVNでは、…早期警戒パートナーシップで取扱われた脆 弱性関連情報や、協力関係を結んでいる海外のCERT等から の脆弱性対策情報を掲載しています。 http://jvndb.jvn.jp/nav/jvndb.html 脆弱性対策情報が公表されてから一週間程度を目安に公開し ています。 JVN に掲載される情報(VN-JP、VN-VU、TA)のほか、米国 NISTが運営するNVDおよび国内ベンダから情報収集していま す。
  • 11. Copyright ©2016 JPCERT/CC All rights reserved. つまり、こーいうこと: JVNとiPediaの役割分担 10 JVNiPedia JVN ベンダとの調整の結果、公 開に⾄った脆弱性情報を迅 速に掲載。 基本的には JVN と NVD の データをもとに構成。 データの蓄積と検索機能を 重視。
  • 12. Copyright ©2016 JPCERT/CC All rights reserved. つまり、こーいうこと: 情報の流れ 11 CVE(MITRE) JVNiPedia JVN NVD(NIST) ………………
  • 13. Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その1) 12 •経済産業省告⽰ •情報セキュリティ早期警戒パートナー シップ
  • 14. Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その1) 13 •経済産業省告⽰ http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html ソフトウエア等脆弱性関連情報取扱基準 (2004年7⽉制定) http://www.meti.go.jp/policy/netsecurity/vulinfo.html
  • 15. Copyright ©2016 JPCERT/CC All rights reserved. 受付機関と調整機関 14 受付機関: IPA IPA セキュリティセンター 調整機関: JPCERT/CC JPCERT/CC 情報流通対策グループ
  • 16. Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その2) 15 •情報セキュリティ早期警戒パートナー シップ IPA, JPCERT/CC, JEITA, JISA, JPSA(現CSAJ), JNSA が連名で「情報セキュリティ早期警戒 パートナーシップガイドライン」を公表 (2004年7⽉) 参考: https://www.jpcert.or.jp/press/2004/0708.txt
  • 17. Copyright ©2016 JPCERT/CC All rights reserved. 届出⇒調整⇒公開 16 https://www.jpcert.or.jp/vh/fig1.gif
  • 18. Copyright ©2016 JPCERT/CC All rights reserved.17 CVE はどうなってるの?
  • 19. Copyright ©2016 JPCERT/CC All rights reserved. CVE 管理の仕組み 18 CVE: Common Vulnerabilities and Exposures ⽶国 MITRE が管理運営 割り当ては CNA(CVE Numbering Authority) から MITRE 以外にソフトウェア開発ベンダや CSIRT(CERT/CC, JPCERT/CC) などが CNA と して割り当てを⾏っている 参考: https://cve.mitre.org/cve/cna.html#participating_cnas
  • 20. Copyright ©2016 JPCERT/CC All rights reserved. 参考: oss-security メーリングリスト 19 オープンソース製品に対する CVE 割り当てリクエストと 応答の様⼦が垣間⾒られる http://www.openwall.com/lists/oss-security/2016/09/
  • 21. Copyright ©2016 JPCERT/CC All rights reserved. おさらい 20 脆弱性発⾒! 届出 調整 公開 Vulsで活⽤!
  • 22. Copyright ©2016 JPCERT/CC All rights reserved. 参考情報 (最近の情報) Japan Vulnerability Notes (https://jvn.jp/) JVN iPedia (http://jvndb.jvn.jp/) 脆弱性情報ハンドリングとは? (https://www.jpcert.or.jp/vh/) 脆弱性対策 (https://www.ipa.go.jp/security/vuln/) Lessons Learned from Handling OpenSSL Vulnerabilities (OSC2014Fukuoka での講演) (http://www.slideshare.net/jpcert_securecoding/lessons- to-be-learned-from-handling-openssl-vulnerabilities) 経済産業省告⽰の改正 (http://www.meti.go.jp/policy/netsecurity/downloadfiles/140514kaiseik okuji.pdf) CVE: Common Vulnerabilities and Exposures (https://cve.mitre.org/) 21
  • 23. Copyright ©2016 JPCERT/CC All rights reserved. 参考情報 (過去の経緯を知るための情報) 脆弱性関連情報取り扱い説明会 (http://www.ipa.go.jp/security/vuln/event/20040720.html) JPCERT/CC プレスリリース: 「情報セキュリティ早期警 戒パートナーシップ」の運⽤を開始 (https://www.jpcert.or.jp/press/2004/0708.txt) 経済産業省告⽰(2004年7⽉7⽇) (http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf) JPCERT/CC・CERT/CC 脆弱性情報ハンドリングワーク ショップ (2004-03-09) (https://www.jpcert.or.jp/present/) 22
  • 24. Copyright ©2016 JPCERT/CC All rights reserved. お問合せ等の連絡先はこちら 23 JPCERTコーディネーションセンター (https://www.jpcert.or.jp) 情報流通対策グループ (vultures@jpcert.or.jp) JVN: Japan Vulnerability Notes (https://jvn.jp/) お問い合わせ先とFAQ (https://jvn.jp/contact/)
  • 25. Copyright ©2016 JPCERT/CC All rights reserved.24 Thank you!