総関西サイバーセキュリティLT大会(第3回)に参加した

2017/06/14に開催された総関西サイバーセキュリティLT大会(第3回) に参加したので、その時のメモ書きを簡単にまとめました(書き漏れ多数ですが)。URLリンクは自分で勝手に調べて追記しているものもあるので参考程度にどうぞ。
載せてはいけない情報は載せていないつもりですが、何かあればtwitterなどでご連絡ください。

1.基調講演


1.1.NISCの活動概要


1.2.脆弱性診断サービスの基礎知識


  • by LAC 北原さん
  • 主な診断サービス
    →プラットフォーム診断
    →WEBアプリケーション診断
    →モバイルアプリケーション診断
    →標的型訓練
  • WEBアプリケーション診断はテスト環境で実施することが多い  
  • 契約内容の取り決め
    →診断対象の範囲(ドメイン、IPアドレス)
    →診断時間 →制約事項の取り決め
    →場合により、診断しからの診断対象見直し
  • 診断サービスの内容
    →契約内容の取り決め、公開情報の調査、対象ホストへの直接的調査、脆弱性スキャン、手動確認、結果報告
  • 診断結果
    →High:単体で情報漏えい事故や、攻撃者の侵入に繋がる可能性が高い
    →Medium:単体では重大な事故は発生しない。条件が揃えば事故に発展する
    →Low:危険性は低いが好ましくない設定がある
  • 診断の事故
    →診断対象のアドレス間違えで監視センターにアラートが発生する
    →想定外の負荷でサーバー停止・業務に影響する
    →顧客との調整不足で事故が起きやすい
  • 診断結果
    →診断業者によって脆弱性のリスクレベルは違う
    →危険性のみではなく、用途や方針に応じて対策する脆弱性を決定する必要がある
  • 脆弱性診断はいつやる?
    →PCI DSSの規則の場合、1年に1回ペネトレーションテスト(人間がやる)。4回の脆弱性スキャン(自動)
    →新しい機能を追加したとき
    →1~3月は顧客過多で診断の依頼を断る事が多いので、4~8月が狙い目
    5分で絶対に分かる:5分で絶対に分かるPCI DSS (1/6) - @IT
  • 脆弱性診断を受ける前に
    →好きなときに受けれるとは限らない
    →自動脆弱性スキャナの活用。プロの手を使わずとも検出しやすい脆弱性はツールで潰しておく
    →パッチを適用しやすい運用を考える
  • 脆弱性スキャナ「OpenVAS」でのセキュリティチェック - さくらのナレッジ
  • CMSのセキュリティ
    →利用者が多いほど狙われやすい
    →プラグインは必要最低限にする(要らないものはアンインストール)
    →CMS本体、プラグインのバージョンは可能な限り最新版にする
  • WPScan by the WPScan Team
  • 最後に
    →スキャナの活用・運用で日頃から脆弱性の削減に務める
    →自分の手が届かない範囲は脆弱性診断サービスを利用する

2. LT


LTの方はあまりメモを取れていなかったです......

2.1.セキュ女になりたい


  • by @rougelecca
  • セキュリティのためにやっている勉強の紹介(資格勉強、ハッカーの学校etc)

2.2.IoT診断入門


  • IoT診断入門 by @r00tapple
  • IoTのことを分かっていないせいもあって殆ど理解できなかったです(スライド見て勉強します)

2.3.HONEYPOT FRIENDS


2.4.流行からIoTセキュリティを考える


2.5.CWE-94とCWE-426 開発者たちも標的型攻撃対策


3.総関西サイバーセキュリティLT大会(第4回)


今回は初の有料(会費3000円)のイベントとなっております。18時半受付時からイベント終了までアルコール含む飲み放題、料理有りです。お盆前にビールを美味しく飲みながら総サイLT大会を楽しみましょう!!!

via connpass
総サイLT大会は偶数月の第2水曜日に開催ということで、次回は2017/08/09(水)です。受付はもう始まってます。

links

social