toshi0313 (@toshi0313)


参加する勉強会



過去の勉強会

6/21 (金)

A6865c264599269afa86181f29a29676 FutureVuls
OSS Vulsの紹介、クラウドサービスで検知した脆弱性を楽に優先順位付けする方法を学ぶ
セミナー内容 第1部 脆弱性情報の読み解き方講座 脆弱性情報の読み解き方講座、として以下のことをお話します。 脆弱性対応の必要性 脆弱性対応として、やるべきこと 脆弱性情報の読み方 脆弱性攻撃デモ 脆弱性対応としてやるべきこと では、情報の収集/深刻度等の確認/適用に関する判断/適用/記録 について、考慮すべき点をあげていきます。 また、脆弱性情報の読み方としては、主にCVSSの読み方や影響有無の考え方、などをあげていきます。 脆弱性を放置することでどのようなことが起こるのか、簡単ではありますが、デモンストレーションを行います。Remote Code Execution(遠隔のコード実行)とは、Directory Traversal(ディレクトリトラバーサル)とは、緩和策とは、などをお話します。 第2部 脆弱性スキャナVulsの話です。OSS Vuls作者の神戸がデモを交えながらVulsについて解説した後、検知後の対応判断、優先順位付け、運用までをサポートするVulsクラウドサービスの話をします。 脆弱性スキャナを用いて検知した大量の脆弱性、運用で困っていませんか?CVSSスコアだけでは判断は不十分です。脆弱性をどう優先順位付けしてさばいていくのか、運用者が大変な判断をサポートするVulsのSaaS版であるFutureVulsをデモを交えて紹介します。 具体的には、講義後には以下の疑問が解決した状態となることを目標とします。 システムに潜在する脆弱性リストを見たい 検知した脆弱性が、システムのどのサーバ、どのソフトウェア該当するのかを知りたい どの脆弱性が緊急で対応しなければならないか、その判断方法をしりたい JVN, NVDなどの脆弱性情報を読み解くコツを知りたい CVSSスコア、メトリクスを自社環境や攻撃コード公開状況に合わせて再計算する方法を知りたい 潜在する脆弱性の対応状況を効率よく管理したい(リスクを許容する、パッチを当てたなどのステータス管理) VulsのOSS版とクラウド版の違いを知りたい 第3部 飲み行くべ!(良い場所が有れば、教えて下さい!) タイムスケジュール 時刻 所要時間 内容 18:10- 20分 開場 18:30- 90分 開始, 第一部 20:00- 60分 第二部 21:00 撤収 終了後、懇親会移動開始 注意 なお、本プライベートセミナーは、質問しやすいように少人数で行います 内容は随時更新していきます。 日程、開始時間、終了時間は変更される可能性あります。 終わったら懇親会にいく可能性があります 最少開催人数7名(満たなければ中止の可能性あり) 講師紹介 講師:神戸康多 GitHub Twitter FB フューチャー株式会社サイバーテクノロジー・イノベーショングループ所属シニアアーキテクト。OSSの脆弱性スキャナ「Vuls」作成者。HITCON, Open Source Summit North Americaなど海外カンファレンスで発表、セキュリティキャンプ全国大会2017, 2018、NICT主催の東京2020大会に向けたサイバー演習による人材育成 サイバーコロッセオ 講師。国内カンファレンス登壇多数。一万人以上のエンジニアが参加する情報収集用公開Slack「モヒカンSlack」総裁。髪型はちょんまげ。 講師:井上圭 Github Twitter FB フューチャー株式会社サイバーテクノロジー・イノベーショングループ所属シニアコンサルタント。関東にて、IoTSecJPの運営、脆弱性対応研究会 同勉強会の主催、など。OWASP Connect in Tokyo #2で登壇。ドローンセキュリティ(アンチドローン/Counter Drone)なども調査しています。