Submit Search
Upload
脆弱性スキャナVulsのAWS環境への融合
•
Download as PPTX, PDF
•
2 likes
•
3,041 views
Takayuki Ushida
Follow
OpsJAWS Meetup#10(https://opsjaws.doorkeeper.jp/events/57084)の資料です。
Read less
Read more
Software
Report
Share
Report
Share
1 of 17
Download now
Recommended
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
Takayuki Ushida
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
Takayuki Ushida
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
Takayuki Ushida
Vuls×deep security
Vuls×deep security
一輝 長澤
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Takayuki Ushida
Recommended
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
Takayuki Ushida
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
Takayuki Ushida
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
Takayuki Ushida
Vuls×deep security
Vuls×deep security
一輝 長澤
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Takayuki Ushida
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
Citrix Systems Japan
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
Hibino Hisashi
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
【Log Analytics Tech Meetup】Beatsファミリーの紹介
【Log Analytics Tech Meetup】Beatsファミリーの紹介
Hibino Hisashi
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
Insight Technology, Inc.
ベンダーロックインフリーのビジネスクラウドの世界
ベンダーロックインフリーのビジネスクラウドの世界
ミランティスジャパン株式会社
Amazon Elasticsearch Service & Open Distro for Elasticsearch Meetup
Amazon Elasticsearch Service & Open Distro for Elasticsearch Meetup
Hibino Hisashi
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる
JPCERT Coordination Center
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
Nginx meetup 1_20181114_omo
Nginx meetup 1_20181114_omo
NAOFUMI HARA
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介
Elasticsearch
Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例
Elasticsearch
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース
【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース
Hibino Hisashi
最強のセキュリティでIoTを実装する方法
最強のセキュリティでIoTを実装する方法
Shinji Saito
Quality Control of OpenStack as Ops
Quality Control of OpenStack as Ops
Ikuo Kumagai
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
morisshi
Azure kobebase lt-20201120
Azure kobebase lt-20201120
Shotaro Suzuki
AWS re:Inforce2019 re:Cap LT
AWS re:Inforce2019 re:Cap LT
Hibino Hisashi
今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識
Minoru Naito
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
Masamitsu Maehara
More Related Content
What's hot
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
Citrix Systems Japan
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
Hibino Hisashi
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
【Log Analytics Tech Meetup】Beatsファミリーの紹介
【Log Analytics Tech Meetup】Beatsファミリーの紹介
Hibino Hisashi
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
Insight Technology, Inc.
ベンダーロックインフリーのビジネスクラウドの世界
ベンダーロックインフリーのビジネスクラウドの世界
ミランティスジャパン株式会社
Amazon Elasticsearch Service & Open Distro for Elasticsearch Meetup
Amazon Elasticsearch Service & Open Distro for Elasticsearch Meetup
Hibino Hisashi
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる
JPCERT Coordination Center
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
Nginx meetup 1_20181114_omo
Nginx meetup 1_20181114_omo
NAOFUMI HARA
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介
Elasticsearch
Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例
Elasticsearch
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース
【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース
Hibino Hisashi
最強のセキュリティでIoTを実装する方法
最強のセキュリティでIoTを実装する方法
Shinji Saito
Quality Control of OpenStack as Ops
Quality Control of OpenStack as Ops
Ikuo Kumagai
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
morisshi
What's hot
(18)
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
【Log Analytics Tech Meetup】Beatsファミリーの紹介
【Log Analytics Tech Meetup】Beatsファミリーの紹介
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
ベンダーロックインフリーのビジネスクラウドの世界
ベンダーロックインフリーのビジネスクラウドの世界
Amazon Elasticsearch Service & Open Distro for Elasticsearch Meetup
Amazon Elasticsearch Service & Open Distro for Elasticsearch Meetup
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Nginx meetup 1_20181114_omo
Nginx meetup 1_20181114_omo
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介
Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース
【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース
最強のセキュリティでIoTを実装する方法
最強のセキュリティでIoTを実装する方法
Quality Control of OpenStack as Ops
Quality Control of OpenStack as Ops
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
Similar to 脆弱性スキャナVulsのAWS環境への融合
Azure kobebase lt-20201120
Azure kobebase lt-20201120
Shotaro Suzuki
AWS re:Inforce2019 re:Cap LT
AWS re:Inforce2019 re:Cap LT
Hibino Hisashi
今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識
Minoru Naito
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
Masamitsu Maehara
OSSのクラウド基盤 OpenStack / CloudStack
OSSのクラウド基盤 OpenStack / CloudStack
VirtualTech Japan Inc.
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
Hibino Hisashi
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
cluclu_land
IoTを支えるAWSアーキテクチャ
IoTを支えるAWSアーキテクチャ
Core Concept Technologies
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
Kuniyasu Suzaki
Modernization of IT Infrastructure by Microsoft Azure
Modernization of IT Infrastructure by Microsoft Azure
Takeshi Fukuhara
How to face the Kubernetes ?
How to face the Kubernetes ?
Yoshio Terada
DeveloperSuccess として何を届けられるか、様々な分野を経た先として何ができるか
DeveloperSuccess として何を届けられるか、様々な分野を経た先として何ができるか
bitbank, Inc. Tokyo, Japan
Dockerのネットワークについて
Dockerのネットワークについて
Nobuyuki Matsui
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
20230728_VMUG_cisco.pptx
20230728_VMUG_cisco.pptx
unemotoakihiro
OSS WAF on Cloud & Cloud 入門 (20180224)
OSS WAF on Cloud & Cloud 入門 (20180224)
Masanori KAMAYAMA
Serverworks Sonic! #007 忙しい人のためにre:Inventで発表された新サービス・機能拡張をギュッとまとめてみた
Serverworks Sonic! #007 忙しい人のためにre:Inventで発表された新サービス・機能拡張をギュッとまとめてみた
Shota Mitsui
みんなが安全にクラウドを使うために色々考えた結果
みんなが安全にクラウドを使うために色々考えた結果
Masamitsu Maehara
Microsoft Build 2020: Azure IoT 関連最新情報
Microsoft Build 2020: Azure IoT 関連最新情報
IoTビジネス共創ラボ
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
Similar to 脆弱性スキャナVulsのAWS環境への融合
(20)
Azure kobebase lt-20201120
Azure kobebase lt-20201120
AWS re:Inforce2019 re:Cap LT
AWS re:Inforce2019 re:Cap LT
今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
OSSのクラウド基盤 OpenStack / CloudStack
OSSのクラウド基盤 OpenStack / CloudStack
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
IoTを支えるAWSアーキテクチャ
IoTを支えるAWSアーキテクチャ
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
Modernization of IT Infrastructure by Microsoft Azure
Modernization of IT Infrastructure by Microsoft Azure
How to face the Kubernetes ?
How to face the Kubernetes ?
DeveloperSuccess として何を届けられるか、様々な分野を経た先として何ができるか
DeveloperSuccess として何を届けられるか、様々な分野を経た先として何ができるか
Dockerのネットワークについて
Dockerのネットワークについて
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
20230728_VMUG_cisco.pptx
20230728_VMUG_cisco.pptx
OSS WAF on Cloud & Cloud 入門 (20180224)
OSS WAF on Cloud & Cloud 入門 (20180224)
Serverworks Sonic! #007 忙しい人のためにre:Inventで発表された新サービス・機能拡張をギュッとまとめてみた
Serverworks Sonic! #007 忙しい人のためにre:Inventで発表された新サービス・機能拡張をギュッとまとめてみた
みんなが安全にクラウドを使うために色々考えた結果
みんなが安全にクラウドを使うために色々考えた結果
Microsoft Build 2020: Azure IoT 関連最新情報
Microsoft Build 2020: Azure IoT 関連最新情報
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
脆弱性スキャナVulsのAWS環境への融合
1.
Future Architect, Inc. OpsJAWS
Meetup#10 2017.2.14 Takayuki Ushida 脆弱性スキャナ の AWS環境への融合
2.
Future Architect, Inc. 誰? •
牛田 隆之(Ushida Takayuki) • フューチャーアーキテクト株式会社 – Technology Innovation Group – セキュリティーソリューション担当 – 前職ではインフラ運用・監視系 • 脆弱性スキャナVulsのビューア「VulsRepo」を開発 • Twitter/Qiita/GitHub – usiusi360
3.
Future Architect, Inc. 世間はセキュリティインシデントに 関するニュースで一杯 明日は我が身・・・ ((;゜Д゜)ガクガクブルブル・・・ 参照URL http://internet.watch.impress.co.jp/ docs/news/1043880.html
4.
Future Architect, Inc. 毎日脆弱性情報を収集? 昨年(2016)に発表されたCVE-IDの数は約6600件 CVE-IDだけ発行されていて、JVN・NVDに掲載されて いない脆弱性も沢山ある 脆弱性チェックの自動化が必要 人力チェックの限界
5.
Future Architect, Inc.5 VULnarability
Scanner 脆弱性 スキャナー
6.
Future Architect, Inc.6 脆弱性対策にまず必要なのは、 「Visibility(可視化)」と、 可視化したセキュリティ状況の「モニタリング」 「見えないことは、コントロール出来ない」 Vulsのカバー範囲 脆弱性情報収集
対象マシン調査 対策、パッチ検証 本番適用 Vuls 対策、パッチ検証 本番適用 現行運用 Vulsでの運用 自分のシステム(サーバ)に 関係のある脆弱性(CVE)だけを可視化
7.
Future Architect, Inc.7 脆弱性チェックだったら AWSにInspectorがあるやん?
8.
Future Architect, Inc.8 Qiita:Vuls・OpenVAS・ Amazon
Inspectorを徹底比較 AmazonLinuxに対するスキャンにおいては、 Vulsのほうがスキャン速度、スキャン精度に勝る! InspectorにはVulsにない脆弱性チェック機能もあ る。併用してお互いの弱点を補う
9.
Future Architect, Inc.9 特徴
オープンソース(GPLv3) エージェントレス・エージェントモード モジュール配置するのみ。 非破壊で安全にスキャン。AWSへの事前申請不要。 セットアップ、初期設定が非常に簡単 ディストリビューションパッケージ及びパッケージ以外のソフトウ ェアの脆弱性も検知可能(要CPE登録) オンプレ、クラウドの両方に対応 幅広いLinuxディストリビューションに対応 (AmazonLinux、CentOS、Ubuntu、RHEL、FreeBSD、・・・) Dockerコンテナ対応(SSH不要) 日本語でレポート可能 豊富なレポート手段(Slack, e-mail, TUI, WebUI …)
10.
Future Architect, Inc.10 豊富なレポート手段 Slack
TUI WebUI(VulsRepo) Excel
11.
Future Architect, Inc.11 クラウド上のBI
SaaSサービスへ連携することで大規模環境 のログでも素早く集計、ドリルダウンができるようになる。 Amazon QuickSight連携
12.
Future Architect, Inc.12 AWSサービスとの連携
EC2のVulsスキャンをほんの少し便利にするツール 「ec2-vuls-config」 Amazon EC2 タグを指定する とVuls設定ファ イルを自動生成 Ec2- vuls- config 生成された設定 ファイルを使っ て対象サーバを スキャン Vuls Vuls側でスキャン対象の設定情報 を持たなくて良い!
13.
Future Architect, Inc.13 AWSサービスとの連携
Qiita:脆弱性スキャナVulsでEC2をスキャンし脆弱 性深刻度をタグ付け タグを元に脆弱性のあるインスタンスを自 動停止させるなど連携が広がる AWS LambdaでVulsを使おうと試みた話 スキャン結 果をS3に保 存 Vuls Lambdaが S3上の結果 を元にEC2 にタグ付け Lambda VulsをLambdaで動作させれば、超低コストで スキャン環境を構築できる
14.
Future Architect, Inc.14 Vuls
参考情報 • GitHub https://github.com/future-architect/vuls/blob/master/README.ja.md ※日本語マニュアルがあります。 • Qiita:脆弱性スキャナVuls 関連リンク集 http://qiita.com/usiusi360/items/aeb3cd3630badfacdb4e 検索
15.
Future Architect, Inc.15 2017-03-10
(金) 明星大学 日野キャンパス Go製脆弱性スキャナー「Vuls」をバズらせたコツとは? エンプラで培った秘伝のSQL開発手法をOSS化! エンプラでSPAで最新UI!?よし、作ってOSS化! https://www.ospn.jp/osc2017-spring/modules/eguide/event.php?eid=27
16.
Future Architect, Inc.16 まとめ 脆弱性検知は自動チェックツールを使って運用を楽に! •
脆弱性対策の第一歩はシステムに潜在する脆弱性を可視化することです。 • 脆弱性検知は一回行って終わりではありません。継続的に実施することが必 要です。 OSSなので無料で使えます! • 検知機能だけでなく、可視化ツールも含めて全ての機能がOSSだけで構成 できます。 • 規模や運用条件に合わせて柔軟に構成できます。 有償サポート、導入サポート、カスタマイズはご相談ください • フューチャーアーキテクト株式会社 担当:牛田(ウシダ)まで • mailto: gr-tig-ta-security@future.co.jp • フューチャーアーキテクト株式会社 担当:牛田(ウシダ)まで • mailto: gr-tig-ta-security@future.co.jp
17.
Future Architect, Inc.
Download now