Submit Search
Upload
脆弱性スキャナVuls(入門編)
•
10 likes
•
12,028 views
Takayuki Ushida
Follow
インフラ勉強会での資料です。 https://goo.gl/PCjYQB
Read less
Read more
Report
Share
Report
Share
1 of 34
Download now
Download to read offline
Recommended
脆弱性スキャナVuls(応用編)
脆弱性スキャナVuls(応用編)
Takayuki Ushida
インフラ勉強会での資料です。 https://goo.gl/6JWGJ3
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
[秋葉原]第2回ゼロから始めるセキュリティ入門 勉強会(https://weeyble-security.connpass.com/event/48205/)のLT資料です。
とある診断員とAWS
とある診断員とAWS
zaki4649
2016/05/17に開催したSecurity-JAWSにて登壇した時の資料です。
【JEUG】 オープンSIEMの世界へ
【JEUG】 オープンSIEMの世界へ
Hibino Hisashi
日本Elasticユーザグループ
アジャイルメトリクス実践ガイド
アジャイルメトリクス実践ガイド
Hiroyuki Ito
2017年1月12日(木)に、「Regional Scrum Gathering Tokyo 2017」で発表させていただいた資料です。 http://2017.scrumgatheringtokyo.org/ メトリクスに関する知見を、学術的視点(Agile2016・SQiP2016)および現場での活用事例から整理し、具体的な取得・活用方法を含めて説明しています。 みなさんのメトリクスの習得・活用のプラスになれば幸いです。
GitLab から GitLab に移行したときの思い出
GitLab から GitLab に移行したときの思い出
富士通クラウドテクノロジーズ株式会社
GitLab Meetup Tokyo #9 LT about migrate from GitLab to GitLab.
OSS活動の活発さと評価の関係について
OSS活動の活発さと評価の関係について
Takuto Wada
「OSS活動の活発さと評価の関係について」 Feb 16, 2016 @ 日本OSS推進フォーラム
LINEのMySQL運用について 修正版
LINEのMySQL運用について 修正版
LINE Corporation
日本語が表示されない部分があったため再アップロードいたしました
Recommended
脆弱性スキャナVuls(応用編)
脆弱性スキャナVuls(応用編)
Takayuki Ushida
インフラ勉強会での資料です。 https://goo.gl/6JWGJ3
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
[秋葉原]第2回ゼロから始めるセキュリティ入門 勉強会(https://weeyble-security.connpass.com/event/48205/)のLT資料です。
とある診断員とAWS
とある診断員とAWS
zaki4649
2016/05/17に開催したSecurity-JAWSにて登壇した時の資料です。
【JEUG】 オープンSIEMの世界へ
【JEUG】 オープンSIEMの世界へ
Hibino Hisashi
日本Elasticユーザグループ
アジャイルメトリクス実践ガイド
アジャイルメトリクス実践ガイド
Hiroyuki Ito
2017年1月12日(木)に、「Regional Scrum Gathering Tokyo 2017」で発表させていただいた資料です。 http://2017.scrumgatheringtokyo.org/ メトリクスに関する知見を、学術的視点(Agile2016・SQiP2016)および現場での活用事例から整理し、具体的な取得・活用方法を含めて説明しています。 みなさんのメトリクスの習得・活用のプラスになれば幸いです。
GitLab から GitLab に移行したときの思い出
GitLab から GitLab に移行したときの思い出
富士通クラウドテクノロジーズ株式会社
GitLab Meetup Tokyo #9 LT about migrate from GitLab to GitLab.
OSS活動の活発さと評価の関係について
OSS活動の活発さと評価の関係について
Takuto Wada
「OSS活動の活発さと評価の関係について」 Feb 16, 2016 @ 日本OSS推進フォーラム
LINEのMySQL運用について 修正版
LINEのMySQL運用について 修正版
LINE Corporation
日本語が表示されない部分があったため再アップロードいたしました
アジャイル開発とメトリクス
アジャイル開発とメトリクス
Rakuten Group, Inc.
近年日本のソフトウェア開発チームでも取り入れられるようになったアジャイル/DevOps開発では,今まで主流であったウォーターフォール開発と異なり,短い開発サイクルの中で小刻みなフィードバックループと改善活動を繰り返しながら開発する特徴がある.そのため,品質保証や信頼性でのメトリクス活用においても,メトリクスにもとづいたQAテストを実施することは依然重要であるが,それに加え開発から運用までの一連のプロセスの中でプロダクトとプロセスの品質を見える化し継続的な改善活動を促進するフィードバックを提供することがアジャイル開発では求められる.また、DevOps開発では本番稼働中のシステムについてもレジリエンスの枠組みで障害やバグに関するフィード バックを獲得し継続的に学習する.本講演ではアジャイル /DevOps の品質保証と信頼性におけるメトリクス活用の方法について事例も交えながら紹介する.
ネットワークでなぜ遅延が生じるのか
ネットワークでなぜ遅延が生じるのか
Jun Kato
インターネット/ネットワークで生じる遅延の分類とエンドツーエンド通信に与える影響
Keycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
OSSセキュリティ技術の会第8回勉強会資料
App013 ここはあえて紙と
App013 ここはあえて紙と
Tech Summit 2016
ここはあえて紙とペン!Value Stream Mapping で開発サイクルの無駄を炙り出せ!
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
mosa siru
アプリ「ニュースパス」をマイクロサービスで開発してみた泥臭い体験談です。
[C33] 24時間365日「本当に」止まらないデータベースシステムの導入 ~AlwaysOn+Qシステムで完全無停止運用~ by Nobuyuki Sa...
[C33] 24時間365日「本当に」止まらないデータベースシステムの導入 ~AlwaysOn+Qシステムで完全無停止運用~ by Nobuyuki Sa...
Insight Technology, Inc.
Agile Quality アジャイル品質パターン (QA2AQ)
Agile Quality アジャイル品質パターン (QA2AQ)
Hironori Washizaki
鷲崎弘宜, "アジャイル品質パターン (Agile Quality, QA2AQ), アジャイル時代の組織ケーパビリティ向上 CMMI V2.0 / APH(アジャイルパフォーマンスモデル) / アジャイル品質パターンセミナー, 早稲田大学, 2019年6月6日
1日5分でPostgreSQLに詳しくなるアプリの開発 ~PostgRESTを使ってみた~(第38回PostgreSQLアンカンファレンス@オンライン 発...
1日5分でPostgreSQLに詳しくなるアプリの開発 ~PostgRESTを使ってみた~(第38回PostgreSQLアンカンファレンス@オンライン 発...
NTT DATA Technology & Innovation
1日5分でPostgreSQLに詳しくなるアプリの開発 ~PostgRESTを使ってみた~ (第38回PostgreSQLアンカンファレンス@オンライン 発表資料) 2023年1月27日(金) NTTデータ 技術開発本部 先進コンピューティング技術センタ 石井 愛弓
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
SSRF対策としてAmazonから発表されたIMDSv2の効果と限界について解説します Security-JAWS 【第16回】 勉強会 2020年2月14日(金) 講演資料
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
フリーでできるセキュリティチェック OpenVAS CLI編
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
Takuto Wada
SQLアンチパターン 26章「とりあえず削除フラグ」 2015/08/31 @ GMO Yours #ronsakucasual https://atnd.org/events/68902
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのか
Atsushi Nakada
シリコンバレーのスタートアップを数多く取材する中で気付いた「シリコンバレーにおけるディシプリン(規律)の存在」や「General Electric(GE)やIBM、SAPといった老舗企業が必死になってシリコンバレーのスタートアップを真似している理由」、そして「日本企業がイノベーションを実現するための処方箋」について解説します 詳しく知りたい場合は「GE 巨人の復活」をご覧下さい。 http://www.nikkeibp.co.jp/atclpubmkt/book/17/P55110/ 今後の記事は「シリコンバレーNext」をご覧下さい。 http://itpro.nikkeibp.co.jp/siliconvalley/
DevOps with Database on AWS
DevOps with Database on AWS
Amazon Web Services Japan
AWS Dev Day 資料: DevOps with Database on AWS
Datadog による Container の監視について
Datadog による Container の監視について
Masaya Aoyama
社内で行った Datadog 勉強会の資料になります。 下記の内容について簡単に説明してあります。 ・Datadog でコンテナ監視を行なう場合の基礎知識 ・Datadog で Kubernetes 監視を行なう方法 ・Kubernetes add-on の kube-stete-metrics を使ったクラスタレベルメトリクスの監視 ・helm を使った datadog の all-in-one 1 コマンドデプロイ ・2 sec 間隔で行われるライブコンテナモニタリング ・auto_conf を使ったコンテナディスカバリ
書籍 「Python FlaskによるWebアプリ開発入門 物体検知アプリ&機械学習APIの作り方」 を通して伝えたいFlaskのプラクティス.pdf
書籍 「Python FlaskによるWebアプリ開発入門 物体検知アプリ&機械学習APIの作り方」 を通して伝えたいFlaskのプラクティス.pdf
taisa831
みんなのPython勉強会#80
カジュアルにVPC作った結果がこれだよ!
カジュアルにVPC作った結果がこれだよ!
Emma Haruka Iwao
AWS Casual Talks #1 で発表したスライドです。
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~ (Spring Fest 2020講演資料) 2020年12月17日 NTTデータ 技術革新統括本部 横井 一輝
正しいものを正しくつくる
正しいものを正しくつくる
toshihiro ichitani
2016年10月25日 PMCONF発表 http://pmconf.jp/ 2016年09月16日 デブサミ関西2016発表 http://event.shoeisha.jp/devsumi/20160916/
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
NTT DATA Technology & Innovation
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~ (Kubernetes Meetup Tokyo #33 発表資料) 2020/08/26 NTT DATA Yasuhiro Horiuchi
標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか
abend_cve_9999_0001
July Tech Festa2017
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
Citrix Systems Japan
Interop Tokyo 2015 シトリックスブースにて「"セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~"」と題しプレゼンテーションしました。
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida
第2回 セキュリティ共有勉強会(https://intra-security.connpass.com/event/47638/)の資料です。
More Related Content
What's hot
アジャイル開発とメトリクス
アジャイル開発とメトリクス
Rakuten Group, Inc.
近年日本のソフトウェア開発チームでも取り入れられるようになったアジャイル/DevOps開発では,今まで主流であったウォーターフォール開発と異なり,短い開発サイクルの中で小刻みなフィードバックループと改善活動を繰り返しながら開発する特徴がある.そのため,品質保証や信頼性でのメトリクス活用においても,メトリクスにもとづいたQAテストを実施することは依然重要であるが,それに加え開発から運用までの一連のプロセスの中でプロダクトとプロセスの品質を見える化し継続的な改善活動を促進するフィードバックを提供することがアジャイル開発では求められる.また、DevOps開発では本番稼働中のシステムについてもレジリエンスの枠組みで障害やバグに関するフィード バックを獲得し継続的に学習する.本講演ではアジャイル /DevOps の品質保証と信頼性におけるメトリクス活用の方法について事例も交えながら紹介する.
ネットワークでなぜ遅延が生じるのか
ネットワークでなぜ遅延が生じるのか
Jun Kato
インターネット/ネットワークで生じる遅延の分類とエンドツーエンド通信に与える影響
Keycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
OSSセキュリティ技術の会第8回勉強会資料
App013 ここはあえて紙と
App013 ここはあえて紙と
Tech Summit 2016
ここはあえて紙とペン!Value Stream Mapping で開発サイクルの無駄を炙り出せ!
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
mosa siru
アプリ「ニュースパス」をマイクロサービスで開発してみた泥臭い体験談です。
[C33] 24時間365日「本当に」止まらないデータベースシステムの導入 ~AlwaysOn+Qシステムで完全無停止運用~ by Nobuyuki Sa...
[C33] 24時間365日「本当に」止まらないデータベースシステムの導入 ~AlwaysOn+Qシステムで完全無停止運用~ by Nobuyuki Sa...
Insight Technology, Inc.
Agile Quality アジャイル品質パターン (QA2AQ)
Agile Quality アジャイル品質パターン (QA2AQ)
Hironori Washizaki
鷲崎弘宜, "アジャイル品質パターン (Agile Quality, QA2AQ), アジャイル時代の組織ケーパビリティ向上 CMMI V2.0 / APH(アジャイルパフォーマンスモデル) / アジャイル品質パターンセミナー, 早稲田大学, 2019年6月6日
1日5分でPostgreSQLに詳しくなるアプリの開発 ~PostgRESTを使ってみた~(第38回PostgreSQLアンカンファレンス@オンライン 発...
1日5分でPostgreSQLに詳しくなるアプリの開発 ~PostgRESTを使ってみた~(第38回PostgreSQLアンカンファレンス@オンライン 発...
NTT DATA Technology & Innovation
1日5分でPostgreSQLに詳しくなるアプリの開発 ~PostgRESTを使ってみた~ (第38回PostgreSQLアンカンファレンス@オンライン 発表資料) 2023年1月27日(金) NTTデータ 技術開発本部 先進コンピューティング技術センタ 石井 愛弓
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
SSRF対策としてAmazonから発表されたIMDSv2の効果と限界について解説します Security-JAWS 【第16回】 勉強会 2020年2月14日(金) 講演資料
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
フリーでできるセキュリティチェック OpenVAS CLI編
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
Takuto Wada
SQLアンチパターン 26章「とりあえず削除フラグ」 2015/08/31 @ GMO Yours #ronsakucasual https://atnd.org/events/68902
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのか
Atsushi Nakada
シリコンバレーのスタートアップを数多く取材する中で気付いた「シリコンバレーにおけるディシプリン(規律)の存在」や「General Electric(GE)やIBM、SAPといった老舗企業が必死になってシリコンバレーのスタートアップを真似している理由」、そして「日本企業がイノベーションを実現するための処方箋」について解説します 詳しく知りたい場合は「GE 巨人の復活」をご覧下さい。 http://www.nikkeibp.co.jp/atclpubmkt/book/17/P55110/ 今後の記事は「シリコンバレーNext」をご覧下さい。 http://itpro.nikkeibp.co.jp/siliconvalley/
DevOps with Database on AWS
DevOps with Database on AWS
Amazon Web Services Japan
AWS Dev Day 資料: DevOps with Database on AWS
Datadog による Container の監視について
Datadog による Container の監視について
Masaya Aoyama
社内で行った Datadog 勉強会の資料になります。 下記の内容について簡単に説明してあります。 ・Datadog でコンテナ監視を行なう場合の基礎知識 ・Datadog で Kubernetes 監視を行なう方法 ・Kubernetes add-on の kube-stete-metrics を使ったクラスタレベルメトリクスの監視 ・helm を使った datadog の all-in-one 1 コマンドデプロイ ・2 sec 間隔で行われるライブコンテナモニタリング ・auto_conf を使ったコンテナディスカバリ
書籍 「Python FlaskによるWebアプリ開発入門 物体検知アプリ&機械学習APIの作り方」 を通して伝えたいFlaskのプラクティス.pdf
書籍 「Python FlaskによるWebアプリ開発入門 物体検知アプリ&機械学習APIの作り方」 を通して伝えたいFlaskのプラクティス.pdf
taisa831
みんなのPython勉強会#80
カジュアルにVPC作った結果がこれだよ!
カジュアルにVPC作った結果がこれだよ!
Emma Haruka Iwao
AWS Casual Talks #1 で発表したスライドです。
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~ (Spring Fest 2020講演資料) 2020年12月17日 NTTデータ 技術革新統括本部 横井 一輝
正しいものを正しくつくる
正しいものを正しくつくる
toshihiro ichitani
2016年10月25日 PMCONF発表 http://pmconf.jp/ 2016年09月16日 デブサミ関西2016発表 http://event.shoeisha.jp/devsumi/20160916/
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
NTT DATA Technology & Innovation
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~ (Kubernetes Meetup Tokyo #33 発表資料) 2020/08/26 NTT DATA Yasuhiro Horiuchi
標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか
abend_cve_9999_0001
July Tech Festa2017
What's hot
(20)
アジャイル開発とメトリクス
アジャイル開発とメトリクス
ネットワークでなぜ遅延が生じるのか
ネットワークでなぜ遅延が生じるのか
Keycloakの最近のトピック
Keycloakの最近のトピック
App013 ここはあえて紙と
App013 ここはあえて紙と
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
[C33] 24時間365日「本当に」止まらないデータベースシステムの導入 ~AlwaysOn+Qシステムで完全無停止運用~ by Nobuyuki Sa...
[C33] 24時間365日「本当に」止まらないデータベースシステムの導入 ~AlwaysOn+Qシステムで完全無停止運用~ by Nobuyuki Sa...
Agile Quality アジャイル品質パターン (QA2AQ)
Agile Quality アジャイル品質パターン (QA2AQ)
1日5分でPostgreSQLに詳しくなるアプリの開発 ~PostgRESTを使ってみた~(第38回PostgreSQLアンカンファレンス@オンライン 発...
1日5分でPostgreSQLに詳しくなるアプリの開発 ~PostgRESTを使ってみた~(第38回PostgreSQLアンカンファレンス@オンライン 発...
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのか
DevOps with Database on AWS
DevOps with Database on AWS
Datadog による Container の監視について
Datadog による Container の監視について
書籍 「Python FlaskによるWebアプリ開発入門 物体検知アプリ&機械学習APIの作り方」 を通して伝えたいFlaskのプラクティス.pdf
書籍 「Python FlaskによるWebアプリ開発入門 物体検知アプリ&機械学習APIの作り方」 を通して伝えたいFlaskのプラクティス.pdf
カジュアルにVPC作った結果がこれだよ!
カジュアルにVPC作った結果がこれだよ!
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
正しいものを正しくつくる
正しいものを正しくつくる
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか
Similar to 脆弱性スキャナVuls(入門編)
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
Citrix Systems Japan
Interop Tokyo 2015 シトリックスブースにて「"セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~"」と題しプレゼンテーションしました。
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida
第2回 セキュリティ共有勉強会(https://intra-security.connpass.com/event/47638/)の資料です。
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
OWASP Kansai
オワスプナイトカンサイ ~OWASPローカルチャプターミーティング in 関西 10th~でご発表いただいた 東京大学情報学環 特任研究員 藤本万里子さんの資料です
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策
JPCERT Coordination Center
本資料は、web アプリケーションにおける脆弱性のひとつ、CSRF (クロスサイトリクエ ストフォージェリ) の仕組みとその対策に関する説明資料です。 また、CSRF 対策のためのライブラリのいくつかについて、その概要と適用例も紹介しています。 Webアプリケーションを作成する開発者の方々が、CSRF 脆弱性に対する理解を深め、よりセキュアなWebアプリケーションの開発の一助となれば幸いです。 自習用の資料や勉強会での資料としてご活用ください。 - 改訂版+1: 図版や誤記の修正 (2015年10月20日) ※ コメントくださった皆様ありがとうございます! - 改訂版: JPCERT/CC Web サイトにて公開 (2015年10月6日) - 初版: OSC2015Hokkaido 講演資料 (2015年6月13日)
分散システムの耐災害性・耐障害性の検証・評価・反映を行うプラットフォームの設計
分散システムの耐災害性・耐障害性の検証・評価・反映を行うプラットフォームの設計
Hiroki Kashiwazaki
岩手県立大学アイーナキャンパスで開催された第 27 回インターネットと運用技術・第 11 回セキュリティ心理学とトラスト合同研究会 (IOT27/SPT11) で発表した「分散システムの耐災害性・耐障害性の検証・評価・反映を行うプラットフォームの設計」の資料です。
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
https://internetweek.jp/program/d3/d3-1.html Internet week 2016 D3-1 脆弱性情報と賢く付き合う~発見から対策までの最前線~ 脆弱性スキャナによる対策支援の課題 の発表資料です。 講演者 神戸 康多(フューチャーアーキテクト株式会社 テクノロジーイノベーショングループ シニアスペシャリスト) 脆弱性対策の最前線として、 Vulsを使ったサーバの脆弱性対策、 脆弱性のインベントリ管理の紹介。 そもそもなぜこのようなツールを作ることになったのか、 今後の展開について等、 消費者の悩みとそれを解消するツールの今後についてご紹介いただきます。
脆弱性スキャナVulsのAWS環境への融合
脆弱性スキャナVulsのAWS環境への融合
Takayuki Ushida
OpsJAWS Meetup#10(https://opsjaws.doorkeeper.jp/events/57084)の資料です。
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Takayuki Ushida
Vuls祭り #1(http://vuls-jp.connpass.com/event/38391/)の資料です。
Browser andsecurity2015
Browser andsecurity2015
彰 村地
2015/1/31 開催「MVP Community Camp 2015」での MVP セッション「ブラウザーとセキュリティー - 安全な Web のために」の発表スライドです。
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
FumieNakayama
コンテナ共創センター勉強会#22 公開資料①
F*言語によるMQTTパケットパーサの開発と安全性評価
F*言語によるMQTTパケットパーサの開発と安全性評価
TakuKitamura1
原稿: https://ipsj.ixsq.nii.ac.jp/ej/index.php?active_action=repository_view_main_item_detail&block_id=8&item_id=209545 第41回セキュリティ心理学とトラスト研究発表会 概要 ``` IoT製品においては,製品出荷後のバグ修正が困難なシステムなど, 開発時点でバグがあってはならないシステムが存在する. このようなシステムは, プログラム開発時点で堅牢なプログラムであることは重要である. プログラムの堅牢性を保証する開発手法として形式手法が提案されているが, 実際の開発現場では普及しているとは言えない. 本研究では,形式手法普及の阻害要因を明らかにする目的で, プログラム検証用言語であるF*言語を用いて 堅牢なシステムであることが求められるMQTTパケットパーサを開発し, その過程で明らかになった課題を整理するとともに,安全性評価を行った. ```
ベイジアンネットワークによるウェブ侵入検知 金床 AVTokyo 2013.5
ベイジアンネットワークによるウェブ侵入検知 金床 AVTokyo 2013.5
Tadashi Satoh
Open stack概要とよくある議論
Open stack概要とよくある議論
shintaro mizuno
某所で話した資料の抜粋版
【Securify】Partner program.pdf
【Securify】Partner program.pdf
mihokawagoe
Securifyのパートナー募集のご提案資料です。
20160125 power cms_cloud_public
20160125 power cms_cloud_public
Six Apart
2016年1月25日 ビジネスセミナーの登壇資料です
20160208 power cms_cloud_public
20160208 power cms_cloud_public
Six Apart
2016年2月8日 ビジネスセミナーの資料です。
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
Hibino Hisashi
第17回セキュリティ共有勉強会
Vuls×deep security
Vuls×deep security
一輝 長澤
Try to clear up high urgency vulnerability
BitVisor Summit 3 「BitVisorの現状と今後」
BitVisor Summit 3 「BitVisorの現状と今後」
Takahiro Shinagawa
BitVisor はSingle-VMというユニークな特徴を活かして、通常のハイパーバイザとは異なる様々な目的を実現するための汎用プラットフォームとして活用されることを目指しています。本発表では、まず BitVisor の現在のアーキテクチャの概要を説明し、次に BitVisor を活用した研究や開発をいくつか紹介します。また、BitVisor の今後の方向性についてもお話します。
ライブ動画配信用制作・送出システムの開発
ライブ動画配信用制作・送出システムの開発
Eiji KOMINAMI
複数の放送機器を簡単な画面から操作可能で、かつ充実した異常検知機能を有する、ライブ動画配信用制作・送出システムを開発した。本システムを用いることで、マルチアングル等の複雑な制御が必要であっても、少ない人員で安定した運用が可能である。また、汎用機器とオープンソースソフトウェアで構成されていることから、機能追加や構成変更が容易で、運用条件に適したシステムを短時間でかつ安価に構築することができる。
Similar to 脆弱性スキャナVuls(入門編)
(20)
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策
分散システムの耐災害性・耐障害性の検証・評価・反映を行うプラットフォームの設計
分散システムの耐災害性・耐障害性の検証・評価・反映を行うプラットフォームの設計
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
脆弱性スキャナVulsのAWS環境への融合
脆弱性スキャナVulsのAWS環境への融合
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Browser andsecurity2015
Browser andsecurity2015
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
F*言語によるMQTTパケットパーサの開発と安全性評価
F*言語によるMQTTパケットパーサの開発と安全性評価
ベイジアンネットワークによるウェブ侵入検知 金床 AVTokyo 2013.5
ベイジアンネットワークによるウェブ侵入検知 金床 AVTokyo 2013.5
Open stack概要とよくある議論
Open stack概要とよくある議論
【Securify】Partner program.pdf
【Securify】Partner program.pdf
20160125 power cms_cloud_public
20160125 power cms_cloud_public
20160208 power cms_cloud_public
20160208 power cms_cloud_public
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
Vuls×deep security
Vuls×deep security
BitVisor Summit 3 「BitVisorの現状と今後」
BitVisor Summit 3 「BitVisorの現状と今後」
ライブ動画配信用制作・送出システムの開発
ライブ動画配信用制作・送出システムの開発
脆弱性スキャナVuls(入門編)
1.
1 脆弱性スキャナ (入門編) インフラ勉強会 2018.3.31 Takayuki Ushida
2.
自己紹介 • 牛田 隆之(Ushida
Takayuki) • フューチャー株式会社 – サイバーセキュリティイノベーショングループ • Vulsのクラウドサービス版「FutureVuls」の開発 • 脆弱性スキャナVulsのビューアVulsRepoを開発 • Twitter/Qiita/GitHub – usiusi360 2
3.
3 みなさんサーバの 脆弱性対策ちゃんとやってますか?
4.
4 昨今の脆弱性情勢と運用面の課題
5.
毎日脆弱性に関するニュースで一杯 5抜粋)JVN https://jvn.jp/
6.
6 脆弱性報告件数の推移 抜粋)JPCERT CC. ソフトウェア等の脆弱性関連情報の 取扱いに関する届出状況[2016年第3 四半期(7月~9月)] https://www.jpcert.or.jp/press/2016/vul nREPORT_2016q3.pdf 脆弱性の報告件数は、右肩あがり 抜粋)JPCERT CC. ソフトウェア等の脆弱性関連情報の取 扱いに関する届出状況[2016年第3四半 期(7月~9月)] https://www.jpcert.or.jp/press/2016/vuln REPORT_2016q3.pdf
7.
7 脆弱性対応は、時間との戦い!! 発見・対処が遅れるほど、外 部から脆弱性を突かれるリス クが高くなる • 脆弱性情報が公開されたということは、攻撃者にとっても脆弱性を突くた めのヒントが公開されたってこと。 • 脆弱性が公開されたあと、それを標的にしたアタックが急増する。 •
実際には公表される前のゼロデイもあって怖い。
8.
8 脆弱性の早期対応の重要性 - 8 - 2013年3月16日 不正アクセスを受け、クレジットカード情報が漏洩する事案が発生 (当時の不正侵入もStruts2の脆弱性を悪用するもの) Struts2の脆弱性対応を含めて、厳格なセキュリティ対策を実施 (IPS、IDS、改ざん検知、FW、WAFの導入) 2017年3月22日 Struts2の脆弱性により不正アクセス発生 2013年の事案を元に十分な対策を行っていたが、 脆弱性の公表直後はIPS、IDS、WAFであっても 防ぐことが出来ない場合がある。 セキュリティ対策製品で固めても不十分。 根本的な対策には迅速なアップデートが必要。 J社における脆弱性対策と不正アクセスの例 経緯 Copyright
©2018 by Future Corporation. Japan
9.
9 脆弱性情報を毎日ウォッチしつづけるのはツライ • CVE等の脆弱性情報は追加だけではない! 過去の情報も頻繁に更新されている。 • 更新された内容に重大な内容(脆弱性レベル・対象)が含ま れていても、話題になるのは一部だけ。 •
全てのアップデートについて毎回、自システムのインストー ル構成と照らし合わせて影響があるか一つずつ確認する のはタイヘン!チェック漏れがあったら一大事!!
10.
脆弱性情報を元にした人力運用の限界 • 日々増えていく脆弱性を人が一つ一つ判断するのは限界 脆弱性対策の自動化が必要 脆弱性対スキャンツールを 適材適所で正しく使う 10
11.
11 サーバにおける脆弱性対策
12.
12 脆弱性対策にまず必要なのは、 「Visibility(可視化)」と、可視化したセキュリティ状況の「モニタリング」 「見えないことは、コントロール出来ない」 脆弱性対策の分類 近年、脆弱性の種類も多様化し、一つの対策方法だけでは防げない。 脆弱性対策 ネットワーク多 層防御 脆弱性診断 侵入 早期検知
13.
13 公開サーバのネットワーク多層防御・侵入早期検知 SYN Flood攻撃(DoS攻 撃) SQLインジェクション クロスサイト スクリプティング ポートスキャン 指定IP以外の送信元 通信 コマンドインジェクショ ン F5攻撃(Dos攻撃) Webアプリケーシ ョン サーバソフト OS ネットワーク WAF IPS ファイアウ ォール Apache mod_security Apache mod_dosdetector Iptables firewalld
14.
14 脆弱性診断 Webアプリケー ション サーバソフトウ ェア OS ネットワーク Webアプリケーション 脆弱性スキャナー ソフトウェア脆弱性 スキャナ ネットワーク 脆弱性スキャナー ネットワーク ポートスキャナー セキュリティ設定 監査ツール Rapid7、Nessus、OpenVAS Nmap OpenVAS、OpenSCAP、 Lynis OpenVAS、OpenSCAP OWASP dependency-check OpenVAS、OWASP
ZAP、 Rapid7、Nessus、 Nikto
15.
15 脆弱性スキャナVulsの紹 介 VULnarability Scanner 脆弱性 スキャナー
16.
概要 潜在する脆弱性と該当サーバを可視化 定期実行で対策漏れがなくなる
17.
17 Vuls普及の勢い世界で話題のツール 2016年4月にVulsをGitHubに公開し、10月1日にはランキングで約3,000万プロジェクト 中、1位を獲得し、世界中で話題となりました。 世界1位(約3,000万中)に! 世界 6位 世界 7位 世界12位 ・・・・・・・・・
18.
18 世界で話題のツール コミュニティ活動も活発に Vuls UserMeetup 第1回 91名 第2回
109名 第3回 130名 利用事例 これ以外にも・・・ ・ NTTPCコミュニケーションズ ・ NTTレゾナント ・ ラクスル ・ レコチョク 等々
19.
19 世界で話題のツール - 19 - ソフトウェアデザイン
2017年10月号 システムのセキュリティチェックをもっと楽に 脆弱性スキャナVuls入門 ソフトウェアデザイン 2018年1月号 脆弱性スキャナVulsがSaaSになってパワーアップ! FutureVuls登場!
20.
20 特徴 オープンソース(GPLv3) エージェントレス
(管理サーバにモジュール配置するのみ) スキャン対象にはSSH接続のみ。非破壊で安全にスキャン。 AWSへの事前申請不要。 セットアップ、初期設定が非常に簡単 ディストリビューションパッケージ及びパッケージ以外のソフ トウェアの脆弱性も検知可能(要CPE登録) オンプレ、クラウドの両方に対応 幅広いLinuxディストリビューションに対応 (AmazonLinux、CentOS、Ubuntu、RHEL、FreeBSD、・・・) Dockerコンテナ対応(SSH不要) 日本語でレポート可能 豊富なレポート手段(Slack, e-mail, TUI, WebUI …)
21.
21 VulsRepo Vulsの豊富な通知・レポート手段
22.
22 Vuls⇒SlackVulsのスキャン結果通知 Email、Slack通知に対応(日本語で表示可)
23.
23 Vuls TUI Vuls TUIで簡単に結果をコンソールで閲覧可能。 Vulsのレポート表示(TUI)
24.
24 VulsRepo VulsRepoでVulsの結果をピボットテーブルのように色々な角度か ら集計できる。またグラフ化することもできる。 Vulsのレポート表示(Web- VulsRepo)
25.
25 VulsRepo Qiita:VulsのログをCSVにしてExcelで可視化する - Execlレポートにすることでシステムに直接アクセスできない監査組 織への定期報告に使える Vulsのレポート表示(Excel連携)
26.
26 VulsRepo Qiita:VulsのログをElasticSearchに取り込んで可視化する – オンプレ環境で大量のログを集計、可視化する際に有効 Vulsのレポート表示(ElasticSearch+Kibana連携)
27.
27 Vuls構成パターン
28.
28 Vuls構成パターン① Vulsはエージェントレス、スキャンし たいサーバにSSH接続するだけでチ ェックが行えます。疑似攻撃を行うわ けではないためシステムに影響を与 えることなく安全にスキャンできます。 リモートサーバをスキャン Vulsをインストールしたサーバ自身を スキャンする場合です。 SSH不要でスキャン可能です。 ローカルサーバをスキャン SSH SSH SSH No SSH
29.
29 Vuls構成パターン② dockerコンテナ内のスキャンを行う場合、「docker exec」コマンドを介してチェックします。 そのためdockerコンテナ内にSSHデーモンは必要ありません。Vulsをインストールした サーバ以外にリモートのサーバであっても同様にスキャン可能です。 Dockerコンテナをスキャン SSH docker execdocker
exec
30.
30 Vuls構成パターン③ 複数のシステムを運用していて、それぞれが別々のネットワークに分離されて いるような環境の場合、個々のVulsサーバでスキャン時に出力されたJSONフ ァイルを一箇所に集めることで、横断的に分析することができます。 複数のVulsサーバによる運用
31.
31 ハンズオン環境 Amazon EC2 Amazon EC2 CentOS7.4 Minimal Ubuntu 16.04LTS CentOS リポジトリ Ubuntu リポジトリ
32.
32 ハンズオン マニュアル インストール https://vuls.io/docs/ja/install-manually-centos.html ローカルスキャン https://vuls.io/docs/ja/tutorial-local-scan.html リモートスキャン https://vuls.io/docs/ja/tutorial-remote-scan.html VulsRepo https://vuls.io/docs/ja/vulsrepo.html
33.
33 FutureVuls(Vulsクラウドサービス) 2018年1月開始
34.
34 Vuls 参考情報 • GitHub https://github.com/future-architect/vuls •
マニュアル https://vuls.io ※日本語マニュアルがあります。 • コミュニティSlack https://vuls-github.slack.com/messages/vulsjp/ • Qiita:脆弱性スキャナVuls 関連リンク集 http://qiita.com/usiusi360/items/aeb3cd3630badfacdb4e
Download now