こんにちは。 ニフクラエンジニアミートアップ事務局の鮫島です。
2019年7月30日に、第18回ニフクラエンジニアミートアップを開催しました。 今回は「脆弱性診断超入門 クラウド編」 というテーマでした。
システムの脆弱性を有事の前に探し出して対策を講じることは、極めて重要なプロセスと考えられます。しかし、その方法論は「OS提供会社から報告された脆弱性対応パッチの適用」のような受け身の対応がほとんどで、能動的にシステムに潜む脆弱性を見つけて対策を行うためには、脆弱性スキャンソフトや脆弱性診断サービスの利用が必要になります。 しかし、どこからやればいいか、どこまでやればいいのか、顕在化した脆弱性をどこまで対策すべきかを判断するのは容易ではありません。そこで、ツール・サービス提供側の立場から脆弱性対策を語っていただくというのが、今回の趣旨です。
参加者多数で満席に近い中、OSSの脆弱性検知ソフト「Vuls」の開発者、フューチャー株式会社の神戸康多氏が登壇しました。 github.com
お題は『ツールを用いた既知の脆弱性の可視化と捌き方』です。
神戸氏は「思っているよりも簡単に攻撃できる」というパワーワードを発して実際に攻撃のデモを見せてくださいました。その上で、ツールを利用して脆弱性の対策を行う上で重要なことは、脆弱性に関する情報収集だと語ります。最新の脆弱性情報を収集するのは面倒であり、ValsはAPIで効率的にパブリックな脆弱性データベースにアクセスして情報を取得できるとのこと。
脆弱性情報を収集してまずは可視化し、深刻度・緊急度などの基準に応じて切り分けを実施(捌いて)して優先順位を決めて継続して対応していくことになります。もちろん、対応しないという選択肢もあるとのこと。
また、最後に有償版の「FutureVuls」に関しても触れらました。 vuls.biz
OSSのVulsは脆弱性を検出して可視化することができるツールですが、有償版の「FutureVuls」は可視化された脆弱性の優先順位を決めたり、実際のパッチ適用など運用にも対応したクラウドサービスです。
こういった対策を自前で行おうとすると大きなコストが発生しますので、セキュリティ人材不足と言われているIT業界ではコストパフォーマンスが高いツールといえるでしょう。約1時間近くの濃いセッションでした。
続いて、株式会社イエラエセキュリティの植草大地氏による『脆弱性とセキュリティの話 ホワイトハッカーが少し喋ります』が行われました。
イエラエセキュリティ社は、ニフクラのパートナー企業であり、「脆弱性診断サービス Powered by イエラエセキュリティ」 をニフクラ上で提供しています。イエラエセキュリティ社の脆弱性診断の特長は、ホワイトハッカーであるセキュリティエンジニアが攻撃者と同じ視点で疑似攻撃を行ったり、ペネトレーションテスト(侵入テスト)を行う点です。先に神戸氏が紹介したVulsや「FutureVuls」とは異なるアプローチで、高いコストパフォーマンスを持つ脆弱性診断ソリューションといえます。
冒頭で、今話題の「スマホアプリ決済の不正アクセス事件」の発生原因に関する解説がありました。設計不備による脆弱性の見落としが原因ということですが、そもそも日本では、海外からのサイバー攻撃の回数も年々増加していて、特に日本はインターネットに接続が可能な車や家電製品の増加、2020年にオリンピック開催で注目されていること、諸外国と比べてセキュリティレベルが低いことが原因で攻撃対象になりやすい状況があります。
なぜ日本はセキュリティレベルが低いのか?という植草氏の問いかけの答えは…なんと主たる原因が「国」!
要するに、「軍事」や「テロ対策」を背景に国家を上げてセキュリティエンジニアを育成している国に比べると、著しく人材の層が薄いということでした。
続いて、WEBアプリでよく出る脆弱性を狙った攻撃手法として比較的ポピュラーな「SQLインジェクション」「クロスサイトスクリプティング」や「アクセス制御の不備 」といったところから、「クロスサイト・リクエストフォージェリ」といったマニア向け?の攻撃について分かりやすく原因と対策を解説してくださいました。 知っているようで、知らない、説明しろと言われると満足に説明 できない部分をおさえた「超入門」にふさわしいセッションだったと思います。
セッション終了後は、会場後方で登壇者を囲んで交流会が行われました。皆さん思い思いに技術ネタで盛り上がったようです。 遅くまでありがとうございました。
次回は、8月26日クラウド(月)バックアップ超入門 クラウド編です。 fujitsufjct.connpass.com 暑気払いに是非お越しください。