OSC2017(https://www.ospn.jp/osc2017-spring/modules/eguide/event.php?eid=12)の資料です

1. で始めよう
DevSecOps！
Future Architect, Inc.
Takayuki Ushida
OSC2017 Tokyo/Spring
2017.3.10

2. 自己紹介
• 牛田 隆之（Ushida Takayuki）
• Future Architect, Inc.
• Technology Innovation Group
• @usiusi360

3. あなたのイメージする
セキュリティ対策は？

4. 参照
https://www.nict.go.jp/cyber/research.html

5. セキュリティ対策の現実

6. セキュリティ対策の現実
情報収集
テスト
対策適用 該当サーバ
調査
対応方法調査
泥臭い手作業の
オンパレード 超大変

7. 脆弱性番号（Cve-ID）
約7000件／年
インストールされたパッケージ
400個～/1サーバ
CveIDを元に、該当するアプリを特定！
しかし、ほとんどは自システムに関係ない
脆弱性影響調査のつらみ
サーバ台数(種類)

8. VULnarability Scanner
脆弱性 スキャナー

9. Vuls概要
• OSS（GPLv3）
• エージェントレス（SSH）
• 非破壊スキャン
• 主要ディストリビューションのスキャン可能

10. Vulsの高い検知精度
• Vulsは、他の製品やサービスの比べ高い検知を誇ります。
120
140
160
180
200
Amazon Inspector OpenVAS Vuls
検知数
検知数
※下グラフはAmazonLinuxの場合
Qiita：Vuls・OpenVAS・Amazon Inspectorを徹底比較

11. 11
Slack
豊富なレポート手段
TUI
日本語でレポート可能！

12. 12
豊富なレポート手段
WebUI(VulsRepo)
ピボットテーブル的に集計・分析できます！

13. 13
Excel
豊富なレポート手段
ElasticSearch＋Kibana
監査の
報告資料として！
大規模環境での
全体可視化に！

14. 14
脆弱性検知は自動チェックツールを使って運用を楽に！
• 脆弱性対策の第一歩はシステムに潜在する脆弱性
を可視化することです。
• 脆弱性検知は一回行って終わりではありません。
継続的に実施することが必要です。
OSSなので無料で使えます！
• 検知機能だけでなく、可視化ツールも含めて全ての機
能がOSSだけで構成できます。
• 規模や運用条件に合わせて柔軟に構成できます。

15. 15
Go製脆弱性スキャナー「Vuls」をバズらせたコツとは？
エンプラで培った秘伝のSQL開発手法をOSS化！
エンプラでSPAで最新UI！？よし、作ってOSS化！
このあと、14:00-14:45 202教室
展示ブース：201教室
オンラインデモあります

16. 16
Vuls祭り#2
2017/03/24(金) 19:00 〜 22:30
直近イベント
今日時点で124人の申し込み
キャンセル待ちが出てますが
諦めずに申し込みを！
にて募集中！