Successfully reported this slideshow.
Your SlideShare is downloading. ×

【サービス資料】脆弱性管理クラウドyamory

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad

Check these out next

1 of 38 Ad

More Related Content

Recently uploaded (20)

Advertisement

【サービス資料】脆弱性管理クラウドyamory

  1. 1. 1 脆弱性管理クラウド ご紹介資料
  2. 2. 2 会社概要 新しい可能性を、次々と。 産業のデジタルトランスフォーメーション( DX)を推進する事業を展開しております 設立 :2020年2月(ビジョナル株式会社設立) 創業 :2009年4月(株式会社ビズリーチ創業) 代表者:ビジョナル株式会社 代表取締役社長 南 壮一郎 グループ従業員数:1,466名(2021年7月末時点) ※臨時従業員(契約社員、パートタイマー、アルバイト)を含む 資本金 :164億円(資本準備金含む)
  3. 3. 3 3 yamoryについて 個別での対応が必要だったものをyamory1つで完結! ITシステム全レイヤーの脆弱性管理・診断もできるトータルソリューションツールへ 順次リリース予定 アプリロジック アプリライブラリ ・ ホスト/コンテナ クラウドインフラ Webアプリケーション 診断 ソフトウェア脆弱性 自動検知・管理 クラウド診断 診断結果管理 クラウド設定管理 (CSPM) 11月 来春 カスタムコード AWS,Microsoft Azure など Spring,Struts,Laravelなど ライブラリ/フレームワーク ミドルウェア/開発言語 OS Apache,Tomcat,Javaなど Linux,WindowsServerなど +
  4. 4. 4 背景 - 狙われる脆弱性
  5. 5. 5 110倍 5 急増するサイバー攻撃 ※年間総観測パケット数(単位 :億) 出典:NICTER観測レポート2020を基に作成 IT市場の拡大に伴い、サイバー攻撃は近年急増
  6. 6. 6 6 サイバー攻撃の内訳 「正しくパッチを当てていれば 攻撃のほとんどは防げたのです」 ブライアン・サーティン (ベライゾンインシデント対応部門マネージャー) 実際にサイバー攻撃に成功した数の85%は、よく知られた脆弱性のトップ10を悪用したもの 既知の脆弱性※に対して正しくパッチ(バージョンのアップデート)を当てていれば、 サイバー攻撃の85%は防げたと言われております ※:既知の脆弱性とは既に存在が認識されている脆弱性です 参考:https://www.keyman.or.jp/kn/articles/1607/12/news170.html
  7. 7. 7 脆弱性を狙ったサイバー攻撃の被害が増加 1. ランサムウェアによる被害 2. 標的型攻撃による機密情報の窃取 3. サプライチェーンの弱点を悪用した攻撃 4. テレワーク等のニューノーマルな働き方を狙った攻撃 5. 内部不正による情報漏えい 6. 脆弱性対策情報の公開に伴う悪用増加 7. 修正プログラムの公開前を狙う攻撃 (ゼロデイ攻撃) NEW 8. ビジネスメール詐欺による金銭被害 9. 予期せぬIT基盤の障害に伴う業務停止 10. 不注意による情報漏えい等の被害 参考:情報セキュリティ 10大脅威 2022(IPA) https://www.ipa.go.jp/security/vuln/10threats2022.html 「情報セキュリティ10大脅威 2022」の半数は脆弱性関連が占めており、 日本国内でも脆弱性対策の重要性が高まっている
  8. 8. 8 脆弱性対策について
  9. 9. 9 9 ITシステムにおけるセキュリティ対策について サイバー攻撃を防ぐWAFなどの 侵入対策 WAF 脆弱性診断 (Webアプリケーション診断) IDS/IPS FW サイバー攻撃 セキュリティ対策が 不十分な領域 侵入対策や脆弱性診断だけでは、サイバー攻撃への対策は不十分であり、 ITシステムを網羅的に守るためには、日常的なソフトウェアの脆弱性管理が必要 アプリロジック ITシステム アプリライブラリ ・ ホスト / コンテナ クラウドインフラ ITシステムの脆弱性を根本から修正する 脆弱性対策
  10. 10. 10 オープンソースソフトウェア(OSS)の普及状況 1サービスで平均的に 100種類のOSSで構成されている 96% 近年、システム開発において OSSは広く普及しており、 OSSに潜む脆弱性の管理は困難な状況 出典:日本OSS推進フォーラム 使用しているOSSが多すぎて、 管理しきれない..... このOSS、どこのプロダクトで 使用しているんだっけ...
  11. 11. 11 脆弱性管理を自動化しない場合の課題 脆弱性情報の収集 × セキュリティ チーム 開発 チーム担当 ツールA ツールB × 共有無し 連携無し 利用システムの可視化 ・脆弱性情報サイトが多いため、 収集しきれない、時間がかかる ・脆弱性の優先順位を判断する際に、 専門知識が必要 ・利用しているシステムが多すぎて、 管理しきれない(抜け漏れが発生) ・そもそも管理できていないため、 セキュリティ対策の対象にならない 情報共有が困難 システムA システムB システムD システムC 構成A 構成B 構成C 構成D ・ ・ ・ ・ ・ ・ 〇 〇 × × 不整合 ・属人的な運用になりがちで、 組織・チーム間で対策状況の可視化や 共有する仕組みがない ・セキュリティレポートを作成する際の 負荷が高い
  12. 12. 12 脆弱性管理クラウド「yamory」
  13. 13. 13 yamory概要 脆弱性管理クラウド「yamory」は、ライブラリ・フレームワーク、ミドルウェア・開発言語、OSの 脆弱性対策とオープンソースのライセンス違反を一元管理できる、国内初のクラウドサービスです ソフトウェアの 利用状況を自動把握 yamory独自の 脆弱性データベースと照合 1 2 3 複数プロダクト・レイヤーの 脆弱性を危険度別に一元管理
  14. 14. 14 複数のツール・部門で管理していた、様々なレイヤーの脆弱性を 「ワンストップ」で横断的に可視化・一元管理できる環境を実現 導入メリット(1/2):ワンストップで横断的に可視化・一元管理 OS 言語実行環境 WebApp サーバー ライブラリ フレームワーク Jackson, Hibernate など ライブラリ フレームワーク WebAppサーバー 言語実行環境 OS Spring, Struts など Apache Tomcat など Java など Linux,Windows 全体ダッシュボードで 一元管理! セキュリティチーム (紐づいている開発チームの横断管理が可能) 開発チーム (開発チーム間での情報共有は不可) 複数レイヤーをyamoryだけで一元管理
  15. 15. 15 導入メリット(2/2):緊急性が高い脆弱性(Log4j)についても早期に検知 log4jが報告される IPAやJPCERT、NVDに依存しない独自の脆弱性データベースを構築し、 緊急性が高い脆弱性(Log4j)についても早期に検知 2021年12月10日 昼過ぎ 2021年12月14日 2021年12月10日 16時 yamoryで検知可能な状態に NVDデータベースの更新 反映まで約4日 参考:yamory Twitterより:https://twitter.com/yamory_sec NVDのデータベースに依存している他社製品の場合、 緊急の脆弱性でも 4日間検知できない状態 にあった 2021年12月11日 JPCERT/CCより注意喚起 2021年12月13日 IPA,JVNより注意喚起
  16. 16. 16 「yamory」の仕組み、機能
  17. 17. 17 サービスの仕組み ※1:スキャン方式には「 GitHubリポジトリ連携」と「コマンドラインスキャン 」の2種類があります。 コマンドラインスキャンでは yamoryクラウドよりダウンロードしたスキャンツールをお客様環境で実行いただく形となります。 ※2:スキャン結果は https通信でyamoryクラウドに送信されます。送信されるデータは、「 ソフトウェア、バージョン 」のみです。 管理コンソール 脆弱性DB 設定・管理 結果確認 ユーザー様 クラウドへアクセス 脆弱性検知の通知 アプリケーション ホスト スキャン CLI スキャン結果の送信※2 GitHub:レポジトリ連携※1 お客様環境:コマンドラインスキャン※1 CIツール連携
  18. 18. 18 特許取得 機能(1/4):オートトリアージ機能 三つの客観的根拠から 優先順位を自動判定 し、「セキュリティの専門家が不在」の場合でも、 効率良く脆弱性対応ができるよう対応基準をご提供し、 担当者様の業務負荷軽減 に大きく貢献 分類結果(トリアージ結果) Immediate Delayed Minor None 高 低 優先度 攻撃 危険性 公開 攻撃 危険性 公開 攻撃 危険性 公開 攻撃 危険性 公開 検出時/日次で調査 /対処を推奨する脆弱性。即時に影響が 発生する可能性があります。 1回/月の頻度で調査 /対処を推奨する脆弱性。 CVSS Base ScoreがHigh以上で即時被害の可能性は低い。 定期的なメンテナンス等で調査 /対処を推奨する脆弱性。 2週間以内に調査 /対処を推奨する脆弱性。攻撃コードの流 通次第で Immediateに昇格する可能性のある脆弱性です。 危険性 : 脆弱性スコア 共通脆弱性評価システム CVSSのスコアがCriticalもしくはHighであ る脆弱性か(情報漏洩や機能停止に直結する脆弱性) 攻撃 : 攻撃コード流通の有無 検出された脆弱性に関連する攻撃コード( PoC)が流通しておりま す。※攻撃コードが流通していると、それを悪用し誰でも容易にシ ステムへ攻撃が可能となります 公開 : 外部からのアクセス可否 脆弱性を有するシステムが外部 (Internet)からアクセス可能であり 攻撃が可能な状態にあるか。※手動にて設定 独自ロジックで自動判定
  19. 19. 19 機能(2/4):OSSのライセンス違反リスク可視化 ライセンス種別 ライセンス違 反リスク 商用での利用が困難なAGPLライセンスや、配布時にソースコードの公開義務、 リバースエンジニアリングの許可等が発生するGPL系ライセンスなどライセンス違反リスクを可視化
  20. 20. 20 機能(3/4):最新の脆弱性情報を反映した脆弱性データベース yamoryの脆弱性情報データベースは、NVD、GitHubのソースコードやコミットの情報を セキュリティアナリストが分析・登録を日次で行っており、 CVEなど公開前の脆弱性であるゼロデイ脆弱性の検知も可能 脆弱性情報サイト NVD,JVN,IPA,JPCERT/CC ソフトウェア公式サイト Microsoft, 各Linuxディストリビューション , Apache Struts, Tomcat, Ruby on Rails,GitHub Security Advisories等 アナリストによる分析 脆弱性情報データベース ・脆弱性情報の精査 ・影響度の高い脆弱性情報の 日本語化など アナリストの分析に 基づき、日次で最新の 脆弱性情報を反映 攻撃コード SNSやブログなど
  21. 21. 21 アプリライブラリスキャン機能は、ライブラリの間接的な依存関係もスキャンします。 ライブラリ依存関係のツリー構造を可視化し、 間接依存のライブラリの脆弱性も発見することが可能 機能(4/4):間接依存の脆弱性を検知 yamoryは、依存ツリーの下層依存まで正確に検知可能 2階層 Apache Hive JDBC Driver Apache Hive Common log4j-1.2-api log4j-core ※:https://security.googleblog.com/ ※:https://www.npa.go.jp/cyberpolice/important/2021/202112141.html 1階層 ※「Apache Log4j」などの脆弱性は、直接的に利用しているアプリケーションだけでなく、 依存するライブラリの間接的な利用にも影響を及す。 1階層だけではなく、2~9階層目と深い 階層に、Log4jは分布
  22. 22. 22 「yamory」のデモ画面
  23. 23. 23 脆弱性の危険度を自動把握 脆弱性の危険度を自動で判別。 専門知識がなくても対応優先度が一目で把握できます 。 yamory管理画面
  24. 24. 24 脆弱性情報や対応方法を集約 脆弱性の概要、対応方法、詳細(公表元、 CVSSスコア、攻撃コードなど)等が集約 ご利用のソフトウェア情報 脆弱性情報の詳細も 日本度表記対応あり 対応方法 チーム・組織で情報共有 ステータス管理可能
  25. 25. 25 緊急脆弱性の速報通知機能 昨今攻撃リスクが高まり続ける、 ゼロデイ脆弱性(※1)、Nデイ脆弱性(※2)、脆弱性公開直後の攻撃情報 について即座に通知を 受け取ることができ、緊急性の高いサイバー攻撃に対して、より迅速に対策を進めることでセキュリティリスクの軽減が可能とな ります。スキャン設定いただいたソフトウェアに対して自動で通知されます。 ※1:その存在が公表される前や、修正用プログラムがリリースされる前のソフトウェアの脆弱性 ※2:修正プログラムのリリースから、エンドユーザーがそれを適用するまでの間の脆弱性 メール通知のイメージ Slack通知のイメージ
  26. 26. 26 「yamory」の活用事例
  27. 27. 27 サイボウズ様 活用事例 導入前の課題 活用効果 導入の決め手 OSS の脆弱性管理工数を月35人日削減 ・毎月 45 人日かけて手動でOSS 管理台帳の作成や更新、 OSSそのものの更新情報の作業など脆弱性管理に、 時間を大きく費やしていた ・完全手動で行っていた脆弱性管理の工数は、 毎月 45 人日→ 10 人日程度と大幅に減少 I N T E R V I E W ※活用事例 詳細URL:https://yamory.io/blog/case-cybozu/ ・プロダクトチームが自発的に yamory を 新プロジェクトに導入するほどの使い勝手の良さ
  28. 28. 28 KDDI様 活用事例 導入前の課題 活用効果 導入の決め手 ・年数回のセキュリティ監査では、アジャイル開発のスピードに 対して、脆弱性管理の運用に不安があった ・セキュリティを担当しているグループ会社からの通知や ニュースなどで取り上げられた重大な脆弱性を優先的に 対応しており、自社システムの脆弱性状況が分かりにくかった ・脆弱性は世の中的にも危険なものという認識がチーム内に浸透し、 個人のセキュリティ意識の向上が確実に見られた ・アップデートの負債を貯めなくなり、細かくアップデート するようになることで相対的に開発スピードが向上した ・GitHub に Push するビルドスクリプトの中で、毎回スキャンを 走らせている ・Immediate(危険性:高の脆弱性) が検知されたら、 ビルドパイプラインを止めてすぐに対応し、終わり次第リリース 脆弱性対策で 開発スピードが向上、バージョンアップの 習慣化がポイント! I N T E R V I E W ※活用事例 詳細URL: https://yamory.io/blog/case-kddi/
  29. 29. 29 Chatwork様 活用事例 導入前の課題 活用効果 導入の決め手 属人的だった 脆弱性管理を標準化、Log4Shell も横断検索で影響調査! ・手動で脆弱性管理をしており、工数がかかっていた ・脆弱性有無の判別が人の知識に依存、属人化していた ・利用しているソフトウェアを把握できず、重大な 脆弱性を見過ごす可能性があった ・ダッシュボードが見やすくシンプル ・オートトリアージによる対応優先順位付け ・メールでの通知やJira へのタスク連携 ・自動的かつ網羅的に脆弱性リスクを可視化でき、 属人性の問題を解決できた ・Log4j の脆弱性( Log4Shell )対策も、横断検索機能 で影響調査できた I N T E R V I E W ※活用事例 詳細URL:https://yamory.io/blog/case-chatwork/
  30. 30. 30 ご利用企業様(2022年8月現在:一部抜粋) IT・Web系だけでなく、大手企業や非IT企業の導入も加速
  31. 31. 31 ご利用料金など
  32. 32. 32 料金プラン概要 Business CSIRT / PSIRT Enterprise こんな企業にオススメ ・部門単位でシステムの 脆弱性を可視化したい ・複数の組織やサービスを持ち、 組織/サービスを横断管理したい企業 ・ライセンスも含めて管理したい企業 ・独自でカスタマイズし、 脆弱性管理を行いたい企業 ・ユーザー数やチーム数も多く 認証をSSOでまとめたい アプリライブラリスキャン ◯ ◯ ◯ ホストスキャン ◯ ◯ ◯ コンテナイメージスキャン ◯ ◯ ◯ OSSライセンス違反管理機能 ー ◯ ◯ セキュリティチーム機能 (組織横断管理機能) ー ◯ ◯ トリアージレベルを変更 /管理 ー ー ◯ 脆弱性単位の開発チームへの対応指示 ー ー ◯ Single Sign On(SSO) ー ー ◯ ユーザー数/チーム数 20ユーザー/4チーム 50ユーザー/10チーム 無制限 スキャンアセット数 50 100 100 追加25スキャンアセット(月額、税抜) 20,000円 25,000円 32,500円 初期費用(税抜) 20万円 月額費用(税抜) 8万円〜 15万円〜 23万円〜 ※ スキャンアセット数は、スキャン対象のサーバー・アプリケーション・コンテナイメージの数となります。スキャン回数に制限はありません。 ※ 契約期間は1年間となります。
  33. 33. 33 料金プラン詳細 Business CSIRT / PSIRT Enterprise スキャン機能 アプリライブラリスキャン ◯ ◯ ◯ コンテナイメージスキャン ◯ ◯ ◯ ホストスキャン ◯ ◯ ◯ OSSライセンス違反管理機能 ー ◯ ◯ Windowsサーバスキャン ー ◯ ◯ 手動登録ソフトウェアスキャン ー ー ◯ 管理機能 セキュリティチーム機能 ー ◯ ◯ 組織横断の脆弱性ダッシュボード ー ◯ ◯ 脆弱性・ソフトウェアの横断検索 ー ◯ ◯ トリアージレベルを変更/管理 ー ー ◯ 脆弱性単位の開発チームへの対応指示 ー ー ◯ 通知機能 Slack、Email 公開API機能 ◯ ◯ ◯ Jira(対応済)、GitHub Issue連携(対応予定) ◯ ◯ ◯ WebHook連携機能(対応予定) ー ◯ ◯ Single Sign On(SSO) ー ー ◯ グループ企業での利用 ー ー ◯ 固定IP制限(対応予定) ー ー ◯ オプション 追加25スキャンアセット(月額、税抜) 20,000円 25,000円 32,500円 ※ スキャンアセット数は、スキャン対象のサーバー・アプリケーション・コンテナイメージの数となります。スキャン回数に制限はありません。
  34. 34. 34 yamoryのサポート体制について 初期導入サポート(導入後 3ヶ月間) ● アカウント開設 ● キックオフの開催 ● サポートセッションの開催 ○ 脆弱性の可視化 ○ 脆弱性リスクの確認 ○ 定常運用化 ※お客様のご状況に併せて、内容は適時ご提案させていただきます ● サポート体制 ○ 専任カスタマーサクセス ○ セキュリティエンジニア サポート体制 ● 日本人スタッフによる対応 ● テクニカルサポート【営業日(月~金) 10:00~18:00】 ○ 電話/メール/Zoom/yamory問い合わせ ● yamoryハンズオントレーニングの実施 ○ yamoryの基本的な操作や脆弱性管理の 手順をオンラインにて実施します ● プロダクト機能に対するご要望の確認 ○ yamoryを活用した脆弱性管理運用の サポートをご提供していくため、 yamoryの更なる機能強化に繋げて いきたいと考えております
  35. 35. 35 初期導入サポートの詳細 脆弱性の可視化 ■ 導入予定プロダクトのスキャンと初期設定 ■ 導入予定プロダクト、システムを特定 ■ アプリケーション、ホスト、 コンテナイメージを特定 ■ スキャンを実行 ■ 組織、チームの設定 ■ 組織管理権限、チーム管理権限 ■ メンバーの招待、通知の設定 ■ 今回の導入部署以外での今後の展開を確認 ■ 今後のスケジュール確認 01 02 03 脆弱性リスクの確認 定常運用化 ■ Immediateの脆弱性リスクを確認 ■ Immediate脆弱性の発現条件を確認し、 影響がある場合は対応必須として切り分 けを行う ■ ステータスを変更し、調査結果も コメントも残してください ■ 定期スキャンの設定(CI/CD, cronなど) ■ GitHubスキャンは日次でスキャン ■ コマンドをパイプラインに設定 ■ ホストはcronなどの設定 ■ 脆弱性管理と運用ルール設計 ■ PSIRT Services Frameworkをベースに、一 般論としての脆弱性管理運用を共有 ■ 事例をベースに脆弱性管理運用の ベストプラクティスを共有 ■ 定常運用スタートに当たっての、 運用ルール設計のポイントを解説 ■ 他部署への展開サポート 3ヶ月(目標)で脆弱性管理運用の構築をサポートします
  36. 36. 36 36 サポート言語・OS 主な言語 パッケージシステム GitHub リポジトリスキャン コマンドラインスキャン Java/Kotlin Maven pom.xml mvn コマンド出力結果 Java/Kotlin Gradle build.gradle gradle コマンド出力結果 Java/Kotlin Android (Gradle) build.gradle gradle コマンド出力結果 Scala sbt build.sbt, Dependencies.scala sbt コマンド出力結果 JavaScript/TypeScript npm package.json, package-lock.json JavaScript/TypeScript Yarn package.json, yarn.lock PHP Composer composer.json, composer.lock Python pip requirements.txt(pip freeze されたもの) Ruby Bundler (RubyGems) Gemfile.lock C#/Visual Basic/F#(.NET) NuGet .csproj, .vbproj, .fsproj, packages.config, ./obj/project.assets.json, packages.lock.json Go Go Modules go.sum OS ディストリビューション サポートバージョン Linux Ubuntu 14, 16, 18, 19, 20, 22 Linux Red Hat Enterprise Linux / CentOS (※) 5, 6, 7, 8 Linux Debian 7, 8, 9, 10, 11 Linux Amazon Linux all Linux Oracle Linux 5, 6, 7, 8, 9 Windows Windows Server 2012 R2, 2016, 2019, 2022 Windows Windows 10, 11 ※ CentOS Stream は、未対応です。
  37. 37. 37 よくあるご質問 Q&A Q. スキャンの設定にはどれぐらい時間がかかりますか? A. アカウント作成から、スキャンまで 5〜10分程度です。 Q. スキャン内容について。エージェント入れますか?負荷はかかりますか? A. アプリロジックのソースコードはスキャンせず、 npm、yum、aptなど各種パッケージ管理ツールから パッケージの一覧とバージョンを取得するだけですので負荷もかかりません。 Q. GitHubスキャンとコマンドラインスキャンの違いは何ですか? A. コマンドラインスキャンをすることで、依存関係も確認でき、より深く脆弱性を調べることができます。 Q. チームメンバー数に上限はありますか? A. プランごとにメンバー数の上限が設定されております。 Enterpriseプランでは無制限となっております。
  38. 38. 38 脆弱性管理クラウド お問い合わせはこちら sales@yamory.io

×