Submit Search
Upload
Vuls祭り5 ; 脆弱性トリアージの考え方
•
Download as PPTX, PDF
•
0 likes
•
1,214 views
H
hogehuga
Follow
Vuls祭り5の10分LTで話した、脆弱性トリアージの考え方。
Read less
Read more
Engineering
Report
Share
Report
Share
1 of 12
Download now
Recommended
Owasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
Owasp top10 HandsOn
「VAddy」ユーザーミートアップ Vol.4
「VAddy」ユーザーミートアップ Vol.4
Kentaro NOMURA
"「VAddy」ユーザーミートアップ Vol.4" にて発表した資料。 https://vaddy.doorkeeper.jp/events/54040
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
発表日:2016年9月6日 イベント名:AITC技術セミナー&オープンラボ 「IoTとセキュリティ」 イベントURL:http://aitc.jp/events/20160906-OpenLab/info.html タイトル:講演1「IoT開発におけるセキュリティ設計の手引き」 発表者:辻 宏郷様 独立行政法人 情報処理推進機構(IPA)技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー
Career - design, adaption and diversity - for EMC I&D event
Career - design, adaption and diversity - for EMC I&D event
Miya Kohno
Career - design, adaption and diversity
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
Takayuki Ushida
OSC2017(https://www.ospn.jp/osc2017-spring/modules/eguide/event.php?eid=12)の資料です
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
https://internetweek.jp/program/d3/d3-1.html Internet week 2016 D3-1 脆弱性情報と賢く付き合う~発見から対策までの最前線~ 脆弱性スキャナによる対策支援の課題 の発表資料です。 講演者 神戸 康多(フューチャーアーキテクト株式会社 テクノロジーイノベーショングループ シニアスペシャリスト) 脆弱性対策の最前線として、 Vulsを使ったサーバの脆弱性対策、 脆弱性のインベントリ管理の紹介。 そもそもなぜこのようなツールを作ることになったのか、 今後の展開について等、 消費者の悩みとそれを解消するツールの今後についてご紹介いただきます。
ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)
ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)
Masanori KAMAYAMA
2020年4月27日開催の「【オンライン】ログ分析勉強会」で登壇した際の資料です。 ログ分析における事前知識としてまとめました。 https://loganalytics.connpass.com/event/171272/
Application Sandbox
Application Sandbox
YoshiakiSugiyama
2019/02/20に行われました、日本Anrdoidの会主催の2019年2月定例会「CES報告会&SDL&最新PWA」にて発表させていただいたときの資料です。ほぼ口頭でお話させていただいたので、詳しくはYouTubeにある録画をご覧ください。 追記: AndroidのApplication SandboxはSELinuxの技術が使われているのかという質問を後からいただきましたが、その通りです。
Recommended
Owasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
Owasp top10 HandsOn
「VAddy」ユーザーミートアップ Vol.4
「VAddy」ユーザーミートアップ Vol.4
Kentaro NOMURA
"「VAddy」ユーザーミートアップ Vol.4" にて発表した資料。 https://vaddy.doorkeeper.jp/events/54040
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
発表日:2016年9月6日 イベント名:AITC技術セミナー&オープンラボ 「IoTとセキュリティ」 イベントURL:http://aitc.jp/events/20160906-OpenLab/info.html タイトル:講演1「IoT開発におけるセキュリティ設計の手引き」 発表者:辻 宏郷様 独立行政法人 情報処理推進機構(IPA)技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー
Career - design, adaption and diversity - for EMC I&D event
Career - design, adaption and diversity - for EMC I&D event
Miya Kohno
Career - design, adaption and diversity
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
Takayuki Ushida
OSC2017(https://www.ospn.jp/osc2017-spring/modules/eguide/event.php?eid=12)の資料です
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
https://internetweek.jp/program/d3/d3-1.html Internet week 2016 D3-1 脆弱性情報と賢く付き合う~発見から対策までの最前線~ 脆弱性スキャナによる対策支援の課題 の発表資料です。 講演者 神戸 康多(フューチャーアーキテクト株式会社 テクノロジーイノベーショングループ シニアスペシャリスト) 脆弱性対策の最前線として、 Vulsを使ったサーバの脆弱性対策、 脆弱性のインベントリ管理の紹介。 そもそもなぜこのようなツールを作ることになったのか、 今後の展開について等、 消費者の悩みとそれを解消するツールの今後についてご紹介いただきます。
ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)
ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)
Masanori KAMAYAMA
2020年4月27日開催の「【オンライン】ログ分析勉強会」で登壇した際の資料です。 ログ分析における事前知識としてまとめました。 https://loganalytics.connpass.com/event/171272/
Application Sandbox
Application Sandbox
YoshiakiSugiyama
2019/02/20に行われました、日本Anrdoidの会主催の2019年2月定例会「CES報告会&SDL&最新PWA」にて発表させていただいたときの資料です。ほぼ口頭でお話させていただいたので、詳しくはYouTubeにある録画をご覧ください。 追記: AndroidのApplication SandboxはSELinuxの技術が使われているのかという質問を後からいただきましたが、その通りです。
Djangoのセキュリティとその実装
Djangoのセキュリティとその実装
aki33524
某所勉強会
AVTOKYO2014 Obsevation of VAWTRAK(ja)
AVTOKYO2014 Obsevation of VAWTRAK(ja)
雅太 西田
@AVTOKYO2014
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
グローバルセキュリティエキスパート株式会社(GSX)
HTML5の登場以後、Web技術の利用範囲は大きく拡大しました。そして利用技術にも大きな変化が見られます。セキュリティは以前と同じで良いのでしょうか? ⮚ SPA(Single Page Application)は、画面遷移をしません。 ⮚ PWA(Progressive Web Apps)は、ブラウザでは無くローカルアプリケーションの様に動作します。 ⮚ AMP(Accelerated Mobile Pages)の実装は、PC用とは異なります。 このように、脆弱性診断やWAFなどWebセキュリティ技術も、時代に合わせ進歩しています。新技術への対応状況や、新技術の脆弱性を突かれたインシデントの事例、これからの対策事例などをご紹介します。
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには How can the CISO properly determine the security functions and levels? あるいは、バーンアウトしないセキュリティチームの6つの秘訣
Spring framework
Spring framework
Toru Takefusa
Introduction to Spring Framework. Written in Japanese. Not include enough content.
IoTセキュリティガイドラインの検討
IoTセキュリティガイドラインの検討
Toshihiko Yamakami
IoT推進コンソーシアム、経済産業省、総務省、が発表したIoTセキュリティガイドライン(2016年 ver 1,0)についてのメモ A1611talk iot-security-guidelines-161121
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
[秋葉原]第2回ゼロから始めるセキュリティ入門 勉強会(https://weeyble-security.connpass.com/event/48205/)のLT資料です。
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断研究会
脆弱性診断研究会 第35回セミナーで使用した資料です。 第34回と同じ内容だったので「おかわり」です。
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
Speaker: 岡田良太郎 Riotaro OKADA / アスタリスク・リサーチ Released: IPA Digital Symposium 2021, 2021/10/11 https://www.youtube.com/watch?v=OCWTNP6hCck
Vuls×deep security
Vuls×deep security
一輝 長澤
Try to clear up high urgency vulnerability
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
sonickun
2015/07/31の #ssmjp で発表した資料です.
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
なぜ自社でWebアプリケーション脆弱性診断を行うべきなのか。自動と手動の脆弱性診断のやり方、自社でやる意義、予算のかけ方などを紹介しています。 参考文献はこちら:Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術 http://www.shoeisha.co.jp/book/detail/9784798145624 2017年2月6日
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
Takayuki Ushida
インフラ勉強会での資料です。 https://goo.gl/PCjYQB
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida
第2回 セキュリティ共有勉強会(https://intra-security.connpass.com/event/47638/)の資料です。
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
超高速開発を実現するチームに必要なセキュリティとは 株式会社アスタリスク・リサーチ エグゼクティブリサーチャ 岡田良太郎
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?
Masanori KAMAYAMA
えびすセキュリティボーイズ#2 -Learning Books- で登壇した際の資料です。 テーマは読書会です。 - ハッシュタグ #ebisecboys - イベントページ https://ebisecboys.connpass.com/event/175373/ - ツイートまとめ https://togetter.com/li/1503751
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
Masanori KAMAYAMA
Fin-JAWS 第12回 〜Go to Fin-JAWS School ! で登壇した際の資料です。 #finjaws #finjaws12 #jawsug https://fin-jaws.connpass.com/event/174892/
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
Kyo Ago
セキュリティキャンプ2015
Web Componentsのアクセシビリティ
Web Componentsのアクセシビリティ
Mitsue-Links Co.,Ltd. Accessibility Department
2015年1月25日に開催された「HTML5 Conference」での講演「Web Componentsのアクセシビリティ」で使用した資料です。
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
hogehuga
SIEMやログ監査で重要な事 -導入時に気をつける事 OWASP Kansai Local Chapter
20210427_Introducing_X-TechJAWS
20210427_Introducing_X-TechJAWS
Typhon 666
20210427 AWS Startup Tech Meetup Online#4 での登壇資料です。
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。
More Related Content
What's hot
Djangoのセキュリティとその実装
Djangoのセキュリティとその実装
aki33524
某所勉強会
AVTOKYO2014 Obsevation of VAWTRAK(ja)
AVTOKYO2014 Obsevation of VAWTRAK(ja)
雅太 西田
@AVTOKYO2014
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
グローバルセキュリティエキスパート株式会社(GSX)
HTML5の登場以後、Web技術の利用範囲は大きく拡大しました。そして利用技術にも大きな変化が見られます。セキュリティは以前と同じで良いのでしょうか? ⮚ SPA(Single Page Application)は、画面遷移をしません。 ⮚ PWA(Progressive Web Apps)は、ブラウザでは無くローカルアプリケーションの様に動作します。 ⮚ AMP(Accelerated Mobile Pages)の実装は、PC用とは異なります。 このように、脆弱性診断やWAFなどWebセキュリティ技術も、時代に合わせ進歩しています。新技術への対応状況や、新技術の脆弱性を突かれたインシデントの事例、これからの対策事例などをご紹介します。
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには How can the CISO properly determine the security functions and levels? あるいは、バーンアウトしないセキュリティチームの6つの秘訣
Spring framework
Spring framework
Toru Takefusa
Introduction to Spring Framework. Written in Japanese. Not include enough content.
IoTセキュリティガイドラインの検討
IoTセキュリティガイドラインの検討
Toshihiko Yamakami
IoT推進コンソーシアム、経済産業省、総務省、が発表したIoTセキュリティガイドライン(2016年 ver 1,0)についてのメモ A1611talk iot-security-guidelines-161121
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
[秋葉原]第2回ゼロから始めるセキュリティ入門 勉強会(https://weeyble-security.connpass.com/event/48205/)のLT資料です。
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断研究会
脆弱性診断研究会 第35回セミナーで使用した資料です。 第34回と同じ内容だったので「おかわり」です。
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
Speaker: 岡田良太郎 Riotaro OKADA / アスタリスク・リサーチ Released: IPA Digital Symposium 2021, 2021/10/11 https://www.youtube.com/watch?v=OCWTNP6hCck
Vuls×deep security
Vuls×deep security
一輝 長澤
Try to clear up high urgency vulnerability
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
sonickun
2015/07/31の #ssmjp で発表した資料です.
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
なぜ自社でWebアプリケーション脆弱性診断を行うべきなのか。自動と手動の脆弱性診断のやり方、自社でやる意義、予算のかけ方などを紹介しています。 参考文献はこちら:Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術 http://www.shoeisha.co.jp/book/detail/9784798145624 2017年2月6日
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
Takayuki Ushida
インフラ勉強会での資料です。 https://goo.gl/PCjYQB
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida
第2回 セキュリティ共有勉強会(https://intra-security.connpass.com/event/47638/)の資料です。
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
超高速開発を実現するチームに必要なセキュリティとは 株式会社アスタリスク・リサーチ エグゼクティブリサーチャ 岡田良太郎
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?
Masanori KAMAYAMA
えびすセキュリティボーイズ#2 -Learning Books- で登壇した際の資料です。 テーマは読書会です。 - ハッシュタグ #ebisecboys - イベントページ https://ebisecboys.connpass.com/event/175373/ - ツイートまとめ https://togetter.com/li/1503751
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
Masanori KAMAYAMA
Fin-JAWS 第12回 〜Go to Fin-JAWS School ! で登壇した際の資料です。 #finjaws #finjaws12 #jawsug https://fin-jaws.connpass.com/event/174892/
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
Kyo Ago
セキュリティキャンプ2015
Web Componentsのアクセシビリティ
Web Componentsのアクセシビリティ
Mitsue-Links Co.,Ltd. Accessibility Department
2015年1月25日に開催された「HTML5 Conference」での講演「Web Componentsのアクセシビリティ」で使用した資料です。
What's hot
(19)
Djangoのセキュリティとその実装
Djangoのセキュリティとその実装
AVTOKYO2014 Obsevation of VAWTRAK(ja)
AVTOKYO2014 Obsevation of VAWTRAK(ja)
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Spring framework
Spring framework
IoTセキュリティガイドラインの検討
IoTセキュリティガイドラインの検討
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Vuls×deep security
Vuls×deep security
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
Web Componentsのアクセシビリティ
Web Componentsのアクセシビリティ
Similar to Vuls祭り5 ; 脆弱性トリアージの考え方
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
hogehuga
SIEMやログ監査で重要な事 -導入時に気をつける事 OWASP Kansai Local Chapter
20210427_Introducing_X-TechJAWS
20210427_Introducing_X-TechJAWS
Typhon 666
20210427 AWS Startup Tech Meetup Online#4 での登壇資料です。
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
StudyCode #3 での発表資料です。(Slideshareにアップして、文字や図がずれてしまっているのはご勘弁を。)
マッスルタワーに挑んでみた(普及版)
マッスルタワーに挑んでみた(普及版)
cluclu_land
第10回総関西サイバーセキュリティLT大会でのライトニングトーク資料です。
皆さん!ふくてんが来ましたよ!!
皆さん!ふくてんが来ましたよ!!
ru pic
Fukuoka.LTのふくてん紹介資料です
セキュリティの○○○を買ってみた
セキュリティの○○○を買ってみた
cluclu_land
第5回総関西サイバーセキュリティLT大会の発表資料です。
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
Kiminori Yokoi
WordFes Nagoya 2016 セッションにて発表 [Point] ・WordPressは、KUSANAGI (nginx) on AWS 構成 ・502対策に CloudWatch Logs と SQS による、自己復旧システムを導入 ・本構成により、低コスト化 & 高利益化を実現
ログ勉 Vol.1
ログ勉 Vol.1
Kenji Kobayashi
ログ分析勉強会vol.1(初心者のセキュリティログ分析〜開発者は見た!ログの重要性〜)
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"
Kazuki Ueki
2013.07.19 CDP Night Tokyo Lightning Talk "Internal Port Concentrator" Pattern
20230724_JAWS-UG福岡_発表資料
20230724_JAWS-UG福岡_発表資料
KeitaroHayashimoto
2023年7月24日に開催されたJAWS-UG 福岡 #14での発表資料です。 AWS re:Inforce 2023のrecapを主題としています。 This is presentation slides for JAWS-UG Fukuoka held on July 23rd, 2023. This slide's subject is recap for AWS re:Inforce 2023.
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Riotaro OKADA
2021/9 ITmedia Security Weekでの講演 岡田良太郎
さくらのナレッジの運営から見えるもの
さくらのナレッジの運営から見えるもの
法林浩之
2019年4月3日(水)、「DevRel Meetup in Tokyo #40 〜オウンドメディア成功の秘訣〜」での発表資料です。
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
CSA Summit 2017 Tokyo における招待講演資料 OWASP Japan 岡田良太郎
どこでも使えるIoTを目指して 〜さくらインターネットのIoTへの取り組み〜
どこでも使えるIoTを目指して 〜さくらインターネットのIoTへの取り組み〜
法林浩之
2017年5月29日(月)、とくしまOSS普及協議会 交流サロンでの講演資料です。
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
2019/04/18 ssmjpで登壇した資料です。 「ウォーターフォールとアジャイルにおける組織内リリース承認フローの考え方について相談」
オープンソース文化とホスティングの未来
オープンソース文化とホスティングの未来
Masahito Zembutsu
オープンソースカンファレンス 2013 Tokyo/Fall #osk13tk 2013年10月19日(土) 明星大学 ホスティングサービスの、ある特定業界向け企画担当者・運用担当者です。サービスの提供にあたって、オープンソースがどう関わってきたか(関わっているか)、なにを考えているかをスライドに込めました。テーマの一つは「壁」を壊す武器(OSS)です。武器だけじゃ足りないものがあると思いませんか?
Pycon mini20190511 pub
Pycon mini20190511 pub
Shogo Matsumoto
Pycon mini Pub
Let's encryptについて kixs
Let's encryptについて kixs
Hiroki Sakonju
about Let's Encrypt
事故からはじまるスケールチャンス
事故からはじまるスケールチャンス
Yusuke Wada
TechCrunch Tokyo CTO Night powered by AWS CTO・オブ・ザ・イヤー 2014/11/18 by Yusuke Wada a.k.a. yusukebe Omoroki Inc
Similar to Vuls祭り5 ; 脆弱性トリアージの考え方
(20)
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
20210427_Introducing_X-TechJAWS
20210427_Introducing_X-TechJAWS
最近のやられアプリを試してみた
最近のやられアプリを試してみた
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
マッスルタワーに挑んでみた(普及版)
マッスルタワーに挑んでみた(普及版)
皆さん!ふくてんが来ましたよ!!
皆さん!ふくてんが来ましたよ!!
セキュリティの○○○を買ってみた
セキュリティの○○○を買ってみた
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
ログ勉 Vol.1
ログ勉 Vol.1
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20230724_JAWS-UG福岡_発表資料
20230724_JAWS-UG福岡_発表資料
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
さくらのナレッジの運営から見えるもの
さくらのナレッジの運営から見えるもの
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
どこでも使えるIoTを目指して 〜さくらインターネットのIoTへの取り組み〜
どこでも使えるIoTを目指して 〜さくらインターネットのIoTへの取り組み〜
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
オープンソース文化とホスティングの未来
オープンソース文化とホスティングの未来
Pycon mini20190511 pub
Pycon mini20190511 pub
Let's encryptについて kixs
Let's encryptについて kixs
事故からはじまるスケールチャンス
事故からはじまるスケールチャンス
More from hogehuga
LT大会資料 URL踏むとBSoDになる、心あたたまるお話
LT大会資料 URL踏むとBSoDになる、心あたたまるお話
hogehuga
LT大会の資料です。
水風呂道
水風呂道
hogehuga
水風呂道について(ssmjp online #5)
本当は怖いフリーWiFi(社内怪談LT)
本当は怖いフリーWiFi(社内怪談LT)
hogehuga
社内怪談LT大会で利用した資料から、いろいろ削除して骨抜きにしたものです。
最近のドローン界隈(仮)
最近のドローン界隈(仮)
hogehuga
IoTSecJP Nagoya #2 at 2019/07/28で話す予定だった資料です。
サウナととのいと水風呂ととのい
サウナととのいと水風呂ととのい
hogehuga
第一回サウナLT大会で発表した、水風呂ととのいについて。
Owasp io t_top10_and_drone
Owasp io t_top10_and_drone
hogehuga
OWASP IoT Top10とドローン OWASP Kansai local chapter meeting
Drone collection2019
Drone collection2019
hogehuga
at IoTSecJP Tokyo 5
ハラスメントについて
ハラスメントについて
hogehuga
パワハラとかについての知見
ハニーポットのログ、毎日アクセスログを見よう
ハニーポットのログ、毎日アクセスログを見よう
hogehuga
初学者に向けた、毎日ログを見て疲弊しないための資料です。
ドローンの現状とハッキング(概要版)
ドローンの現状とハッキング(概要版)
hogehuga
ドローンの仕組みと、攻撃ポイントの検討
Vuls祭りvol3
Vuls祭りvol3
hogehuga
La festa Vuls #3.
Honypotのログを見る
Honypotのログを見る
hogehuga
T-Potでの短期観測
ハニーポッターと謎のアクセス
ハニーポッターと謎のアクセス
hogehuga
T-POTを設置することで、どのようなものが見えるのかを、特定の1日の状況で説明した際の資料。
WEBサイトのセキュリティ対策 -継続的なアップデート-
WEBサイトのセキュリティ対策 -継続的なアップデート-
hogehuga
アップデート運用によりセキュリティを確保する考え方の紹介。
20170408 securiy-planning
20170408 securiy-planning
hogehuga
WEBサイトのセキュリティ対策の考え方
Vuls ローカルスキャンモードの活用方法
Vuls ローカルスキャンモードの活用方法
hogehuga
Vuls祭り#2 で発表した、Vulsのローカルスキャンについての解説です。
20170325 institute of-vulnerability_assessment
20170325 institute of-vulnerability_assessment
hogehuga
Facebook:脆弱性診断研究会 の 「第47回 脆弱性診断ええんやで(^^) for ルーキーズ」で発表した内容です。
SETTING METHOD IN CONSIDERATION OF THE PCI/DSS
SETTING METHOD IN CONSIDERATION OF THE PCI/DSS
hogehuga
PCI/DSS対応を考慮したVuls設定方法
(Vulsで)脆弱性対策をもっと楽に!
(Vulsで)脆弱性対策をもっと楽に!
hogehuga
Vulsを使って、脆弱性対応をもっと楽をしよう!
東京オリンピックに向けた、サイバーテロ対策
東京オリンピックに向けた、サイバーテロ対策
hogehuga
2020年の東京オリンピックに向けて、セキュリティ対策を進めていく必要があると思われます。オリンピックは格好のテロの的です。本slideはサイバーテロ対策を、主に実務者というよりは経営者向けに簡単にまとめたものです。
More from hogehuga
(20)
LT大会資料 URL踏むとBSoDになる、心あたたまるお話
LT大会資料 URL踏むとBSoDになる、心あたたまるお話
水風呂道
水風呂道
本当は怖いフリーWiFi(社内怪談LT)
本当は怖いフリーWiFi(社内怪談LT)
最近のドローン界隈(仮)
最近のドローン界隈(仮)
サウナととのいと水風呂ととのい
サウナととのいと水風呂ととのい
Owasp io t_top10_and_drone
Owasp io t_top10_and_drone
Drone collection2019
Drone collection2019
ハラスメントについて
ハラスメントについて
ハニーポットのログ、毎日アクセスログを見よう
ハニーポットのログ、毎日アクセスログを見よう
ドローンの現状とハッキング(概要版)
ドローンの現状とハッキング(概要版)
Vuls祭りvol3
Vuls祭りvol3
Honypotのログを見る
Honypotのログを見る
ハニーポッターと謎のアクセス
ハニーポッターと謎のアクセス
WEBサイトのセキュリティ対策 -継続的なアップデート-
WEBサイトのセキュリティ対策 -継続的なアップデート-
20170408 securiy-planning
20170408 securiy-planning
Vuls ローカルスキャンモードの活用方法
Vuls ローカルスキャンモードの活用方法
20170325 institute of-vulnerability_assessment
20170325 institute of-vulnerability_assessment
SETTING METHOD IN CONSIDERATION OF THE PCI/DSS
SETTING METHOD IN CONSIDERATION OF THE PCI/DSS
(Vulsで)脆弱性対策をもっと楽に!
(Vulsで)脆弱性対策をもっと楽に!
東京オリンピックに向けた、サイバーテロ対策
東京オリンピックに向けた、サイバーテロ対策
Recently uploaded
本の感想共有会「データモデリングでドメインを駆動する」本が突きつける我々の課題について
本の感想共有会「データモデリングでドメインを駆動する」本が突きつける我々の課題について
Masatsugu Matsushita
下記の会の感想 https://kichijojipm.connpass.com/event/315276/presentation/
「VRC海のおはなし会_深海探査とロボットのお話」発表資料
「VRC海のおはなし会_深海探査とロボットのお話」発表資料
Yuuitirou528 default
深海探査を行うロボットについてざっくりと初心者向け?に解説したおはなし会の資料です。 https://x.com/INHI_UV2B/status/1796712335765369263
Linuxサーバー構築 学習のポイントと環境構築 OSC2024名古屋 セミナー資料
Linuxサーバー構築 学習のポイントと環境構築 OSC2024名古屋 セミナー資料
Toru Miyahara
Linuxサーバー構築 学習のポイントと環境構築 OSC2024名古屋 セミナー資料
ビジュアルプログラミングIotLT17-オープンソース化されたビジュアルプログラミング環境Noodlの紹介
ビジュアルプログラミングIotLT17-オープンソース化されたビジュアルプログラミング環境Noodlの紹介
miyp
ビジュアルプログラミングIoTLT17資料です。
今さら聞けない人のためのDevOps超入門 OSC2024名古屋 セミナー資料
今さら聞けない人のためのDevOps超入門 OSC2024名古屋 セミナー資料
Toru Miyahara
今さら聞けない人のためのDevOps超入門 OSC2024名古屋 セミナー資料
エンジニアのセルフブランディングと技術情報発信の重要性 テクニカルライターになろう 講演資料
エンジニアのセルフブランディングと技術情報発信の重要性 テクニカルライターになろう 講演資料
Toru Miyahara
エンジニアのセルフブランディングと技術情報発信の重要性 テクニカルライターになろう 講演資料
Compute Units/Budget最適化 - Solana Developer Hub Online 6 #SolDevHub
Compute Units/Budget最適化 - Solana Developer Hub Online 6 #SolDevHub
K Kinzal
Solana Developer Hub Online #6 https://lu.ma/evx8jtpi
Recently uploaded
(7)
本の感想共有会「データモデリングでドメインを駆動する」本が突きつける我々の課題について
本の感想共有会「データモデリングでドメインを駆動する」本が突きつける我々の課題について
「VRC海のおはなし会_深海探査とロボットのお話」発表資料
「VRC海のおはなし会_深海探査とロボットのお話」発表資料
Linuxサーバー構築 学習のポイントと環境構築 OSC2024名古屋 セミナー資料
Linuxサーバー構築 学習のポイントと環境構築 OSC2024名古屋 セミナー資料
ビジュアルプログラミングIotLT17-オープンソース化されたビジュアルプログラミング環境Noodlの紹介
ビジュアルプログラミングIotLT17-オープンソース化されたビジュアルプログラミング環境Noodlの紹介
今さら聞けない人のためのDevOps超入門 OSC2024名古屋 セミナー資料
今さら聞けない人のためのDevOps超入門 OSC2024名古屋 セミナー資料
エンジニアのセルフブランディングと技術情報発信の重要性 テクニカルライターになろう 講演資料
エンジニアのセルフブランディングと技術情報発信の重要性 テクニカルライターになろう 講演資料
Compute Units/Budget最適化 - Solana Developer Hub Online 6 #SolDevHub
Compute Units/Budget最適化 - Solana Developer Hub Online 6 #SolDevHub
Vuls祭り5 ; 脆弱性トリアージの考え方
1.
脆弱性トリアージの 考え方 2019-06-17 INOUE KEI
2.
WHO AM I 井上圭 参加コミュニティ •
OWASP Kansai • OWASP Nagoya • セキュリティ共有勉強会 • 情報セキュリティ勉強会 • ssmjp • ハニーポッター技術交流会 • Attack & Defense • OSSセキュリティ技術の会 運営コミュニティ • IoTSecJP東京 • 脆弱性対応研究会 職務経験 • 警備会社基幹システム郡運用 • システム運用会社での運用 • セキュリティコンサルティング 趣味 • 車やバイク、のレース参加 • ハニーポット観察 • インシデント調査 • ドローンセキュリティ • アンチドローン、カウンタード ローン • いろいろなログを見ること • 銃器、軍事関連 • レザークラフト 直近 • OWASP Kansai Lcoal Chapterで 「ログ」と「ドローン」の話をしました。 • OWASP Connect in Tokyo#2で 「Dependency check」の話をしまし た。 #この発言は個人の見解であり所属す る組織の公式見解ではありません
3.
今日のLT内容 いつもは「1 時間だけしゃべるね」といいながら1.5-2.0時間話してしま うので、特定の項目に絞って話します。 脆弱性のトリアージについて検討してほしい事 • 「リスク」に見合った対応をしよう •
リスク、とは? • リスクに見合った対応、とは? • RHEL系の情報はRHを見よう • バックポートというものがありまして… • その他 • もっとkwsk
4.
脆弱性のトリアージについて
5.
トリアージ Q: 発見された脆弱性、全てに対応する必要はありますか? A: 理想としては対応したほうが良いですが、現実には無理です。 発生しえる影響度で優先度をつける必要があります。 脆弱性対応それ自体は、工数や時間や費用が掛かります。 全ての脆弱性を一律に対応するのは、理想ではありますが、費用対 効果としてはあまりよくないものがあります。 この「どこまで許容するか」「どこからは対応が必要か」を考える際に、 トリアージという手法を行います。 図1:
社団法人横須賀市医師会の災害時医療救護活用マニュアル http://www.yokosukashi-med.or.jp/topics/saigaimanual/3.htm 現存する限られた医療資源(略)を最大限に活用 して、救助可能な負傷者を確実に救い、可能な限 り多数の傷病者の治療を行うためには 傷病者の傷病の緊急性や重症度に応じて、治療 の優先順位を決定し、この優先順位に従って患者 搬送、病院選定、治療の実施を行うことが大切で ある。
6.
リスクに見合った対応を。 医療では「傷病の緊急性や重症度」ですが、情報システム系では「リ スク」を基にトリアージを行います。 「リスク」は、脆弱性それ自体だけではわかりません。システムの置か れている環境を考慮する必要があります。 • よく利用されているCVSSは、「脆弱性、それ自体の影響度」を示し ます。 • その為、リスクと同じとはならないことも多いです。 •
例えば、「CVSS v3 BaseScoreが8.5」であっても、「リスクは 低い」という場合もあります。 今回は、「リスク」について話します。
7.
リスク、とは IPAの「情報セキュリティマネジメントとPDCAサイクル」を確認してくだ さい。 https://www.ipa.go.jp/security/manager/protect/pdca/policy.html という訳にはいかないので 概要を説明します。
8.
リスクに対する考え方 脆弱性に対し、以下のようにリスク評価をし、リスクに対する対応を検討します。 リスクの評価 • Vulsなどを利用し、残存する脆弱性を検出する • CVSS等を利用して、脆弱性それ自体の影響度を確認する •
上記影響度を、システムの置かれる環境を加味して、リスクを判定する トリアージ • リスク判定に基づき、対応優先順位をつけていく リスクに対する対応 • リスクについて(保有|低減|回避|転移)を決める 時間がないので、この部分だけを少し掘り下げます。
9.
例えば 脆弱性対応におけるリスクに対する対応は、以下のように置き換えてもよいかと思 います。 • リスクの保有 • リスクの持つ影響力が小さい為、そのリスクを許容範囲として受容する事 •
影響は少ないから対応しない、など • リスクの低減 • 本来は、対策をすることで脅威発生の可能性を下げること • リスク保有できず 回避/移転できない場合の対応として、アップデートを行う 事、などを想定 • リスクの回避 • 別の方法に変更する事で、リスクが発生する可能性を取り去る事 • Bindの脆弱性が多数出るので、比較的脆弱性が発見されていない PowerDNSへ切り替える • 但し、回避した先でも、別の脆弱性等でリスクは発生する。 • リスクの移転 • 別の機器で対応するなどの、リスク発生を別の場所に移転する事 • ApacheStruts2の脆弱性にWAFで対応する、など • 但し、完全に移転できるとは限らない場合もあることに留意 おそらく時間がないので 概要のみのお話し
10.
次、RHELの話 CVEなどの情報で脆弱性が発見されたことを認知する場合が多いと 思います。 CVSSのBaseScoreを見ることが多いと思いますが、Red Hat自身が 出しているScoreと値が異なる場合があります。 • バックポートでのメンテナンスになる為、CVSS等で対象とされてい るバージョンとは異なります。 •
詳しくは 森若さんの資料参照 • https://speakerdeck.com/moriwaka/red-hat-enterprise- linuxfalsexiu-zheng-hadofalseyounichu-he-sareruka RHELに限らず、ディストリビュータが出している情報を優先して確しま しょう。
11.
もっとKWSK このような話をもっと詳しく聞きたい場合は… • ConnpassのFutureVulsグループで開催している「既知の脆弱性 はこう捌け!〇〇デモとVulsによる効率的な脆弱性管理」などの セミナに参加するとよいかもしれません • https://futurevuls.connpass.com •
私が、1時間枠で話しています。 (毎回時間オーバーしてしま います…) • 商用版FutureVulsの押し売り、はしません! • 私が個人的に開催している「脆弱性対応勉強会」に参加するとよい のでは! • https://zeijyakuseitaioukenkyukai.connpass.com • 最近は「ログ分析の初歩」「Vuls導入ハンズオン」等をやりまし た。 [PR] ※この記事は個人の感想であり、効果・効能を示すものではありません
12.
以上です。
Download now