SlideShare a Scribd company logo
1 of 72
Download to read offline
脆弱性ライフサイクル管理
Akitsugu Ito
@springmoon6
About Me
• サイボウズ株式会社でサービス / プロダク
トの脆弱性検証を行うチームに所属して
います
• その他に、自社のセキュリティ品質の向
上のための活動をしています
– 脆弱性対応の統括と対外窓口(POC)
– 組織内のセキュリティ全般について議論
– Security Challenge の運営を行いました
今日お話しすること
• 脆弱性のライフサイクル管理
– 受け付けた脆弱性を、どのように取り扱うか
Accept Develop Publish
Vulnerability disclosure
Vulnerability handling processes
• サイボウズの脆弱性情報ハンドリング
• 定量的な脆弱性情報の評価プロセス
• 自社の開発プロセスへの取り込み
• プロセスの改善
• ISO/IEC 29147 および ISO/IEC 30111
Agenda
• サイボウズの脆弱性情報ハンドリング
• 定量的な脆弱性情報の評価プロセス
• 自社の開発プロセスへの取り込み
• プロセスの改善
• ISO/IEC 29147 および ISO/IEC 30111
Agenda
サイボウズの
脆弱性情報ハンドリング
社内検出 評価 改修
報告者へ
返答
外部から
の
報告
各サービス
サポート窓口
• 脆弱性情報ハンドリングフロー(~ 2006
年)
自社公開
サイボウズの
脆弱性情報ハンドリング
• 2006 年以前
– 脆弱性情報を扱うチームはありませんでした
• 通常の問い合わせ窓口で対応していました
– 脆弱性情報は、自社で定めた不具合重要度判
定ルールに沿って、評価していました
• これまでに検出されてきた不具合を抽象化
• 抽象化した不具合ごとに、不具合の重要度を設定
し、重要度の高い問題から、優先して改修
– 脆弱性の評価は各製品の品質保証担当者が
行っていました
サイボウズの
脆弱性情報ハンドリング
• 2006 年
– 改修された脆弱性情報が適切に公開されてい
ない旨、ご指摘 をいただきました
• 改修した脆弱性のうち、サイボウズが非公開の脆
弱性が存在した
• サポート担当者が適切な回答が出来なかった
サイボウズの
脆弱性情報ハンドリング
• 脆弱性情報の取り扱い方に問題
– 脆弱性情報について、お客様からのお問い合
わせを受け付ける専門のチームが無い
– どのような現象を脆弱性として捉えるか、整
理できていない
– 脆弱性情報を公開するポリシーが明確ではな
い
サイボウズの
脆弱性情報ハンドリング
• 2006 年 ~ 2009 年
– 外部の方との調整を行う PSIRT を設立
• 各製品のマネージャー担当が有志で活動
– PSIRT は対外窓口業務に専念
– 脆弱性の評価や公開調整は各サービスが権限
を持つことになりました
• 自社の独自基準に沿って脆弱性情報の判定を行っ
ていました
• 対応基準、公開基準は、サービスごとに異なりま
した
サイボウズの
脆弱性情報ハンドリング
社内検出 評価 改修
報告者へ
返答
外部から
の
報告
各サービス
PSIRT
• 脆弱性情報ハンドリングフロー(~ 2009
年)
自社公開
外部公開
サイボウズの
脆弱性情報ハンドリング
• 2011 年 ~
– サイボウズに組織内 CSIRT が作成されました
• 自社クラウドサービスを開始することがきっかけ
• 専任の POC 担当者(2名)を設置
– 社内で検出された脆弱性情報は、CSIRT に集約
することにしました
• サービス、担当者ごとに脆弱性の評価が異なって
いた問題点を解消することが目的
• 脆弱性情報を公開可否を判断する権限は各サービ
スが持つ
サイボウズの
脆弱性情報ハンドリング
社内検出 改修
報告者へ
返答
外部から
の
報告
各サービス
Cy-SIRT
• 脆弱性情報ハンドリングフロー(2011 年
~)
自社公開
評価 外部公開
サイボウズの
脆弱性情報ハンドリング
• 発生した問題
– 評価への納得感が得られない
• 多くの脆弱性が 「緊急対応」と判断されていた
– 攻撃の容易さが評価されていない
• 攻撃が成功した時の危険性のみを評価していた
– 第三者が作成したソフトウェアの脆弱性を評
価することができない
• パッチを適用するべきかどうかが判断できなかっ
た
サイボウズの
脆弱性情報ハンドリング
• 問題解決のために
– 定量的な脆弱性情報の評価プロセスを調査
– 脆弱性情報のハンドリングプロセスについて
調査
• 調査結果をもとに、新たなプロセスを策
定
• サイボウズの脆弱性情報ハンドリング
• 定量的な脆弱性情報の評価プロセス
• 自社の開発プロセスへの取り込み
• プロセスの改善
• ISO/IEC 29147 および ISO/IEC 30111
Agenda
定量的な脆弱性情報の
評価プロセス
• 採用要件
– 脆弱性の評価基準を標準化できること
– 脆弱性のリスクを定量的に測定できるフレー
ムワークであること
• 調査対象
– OWASP Risk Methodology
– CVSS v2
定量的な脆弱性情報の
評価プロセス
• OWASP Risk Methodology
– OWASP が提唱する Web アプリケーションの
脆弱性がビジネスに与えるリスクの見積もり
方
• Risk = Likelihood(攻撃可能性) * Impact
– 攻撃可能性と影響度をそれぞれ2つの観点で
10 段階評価(0 ~ 9)し、平均値を算出
– 評価結果をマトリクスに割り当て、脆弱性の
深刻度を測定
定量的な脆弱性情報の
評価プロセス
• 評価結果の平均値を3段階に分類
– Low(0 to < 3)
– Medium(3 to < 6)
– High(6 to 9)
定量的な脆弱性情報の
評価プロセス
• 良いところ
– リスク評価の判断軸が分かり易い
– 詳細にリスク評価できる
– 各評価項目に判断用の具体的なガイドライン
が存在する
定量的な脆弱性情報の
評価プロセス
• Likelihood - Threat Agent Factor (Skill Level)
– Security penetration skills (1)
– network and programming skills (3)
– advanced computer user (4)
– some technical skills (6)
– no technical skills (9)
定量的な脆弱性情報の
評価プロセス
• 使いづらいところ
– 採用実績が少ない(もしくは無い)
• 社内向けに説明する際には必要
• 自社向けにガイドラインを作成する際にも、他機
関の評価結果を参考にしたい
– 12 ~ 16 項目の評価が必要で評価工数は高め
– 過去に判断した脆弱性との整合性を確保する
ことが難しい
• 16 項目の評価基準が 10 段階評価
定量的な脆弱性情報の
評価プロセス
• CVSS v2
– 情報システムの脆弱性に対するオープンで汎
用的な評価手法( Common Vulnerability Scoring
System )
– http://www.ipa.go.jp/security/vuln/CVSS.html
• 脆弱性のリスクを定量化できる
– 脆弱性の深刻度を 0.0 ~ 10.0 のスコアで評価
定量的な脆弱性情報の
評価プロセス
• CVSS v2 の評価観点
– 攻撃元区分(AV)
– 攻撃の難易度(Ac)、攻撃者の認証要否
(Au)
– 機密性(C)、完全性(I)、可用性(A)の侵
害具合
• 各評価観点を3段階で評価
– 評価結果は独自の計算式で基本値を算出
– 脆弱性の種別(CWE)を評価に加味する
定量的な脆弱性情報の
評価プロセス
• 基本値を元に、脆弱性の深刻度を評価
– CVSS スコア:レベルⅢ (危険) (7.0 ~
10.0)
– CVSS スコア:レベルⅡ (警告) (4.0 ~
6.9)
– CVSS スコア:レベルⅠ (注意) (0.0 ~
3.9)
• ベンダーからリリースされた基本値を元
に、利用者は自社への影響度を測定でき
定量的な脆弱性情報の
評価プロセス
• 良いところ
– 評価実績が豊富
• 2012 年時点で 30000 件以上の評価が JVN iPedia で
公開されていた
– 自社の脆弱性情報を外部の機関に評価いただ
いたことがある
• 2011 年 12 月までに、19 件
• 使いづらいところ
– 評価に参考になる資料が少ない
• 評価のための Tips は存在する
定量的な脆弱性情報の
評価プロセス
• CVSS v2 を採用することにしました
– 脆弱性の評価を標準化する目的に合致してい
た
– 第三者が作成したソフトウェアでも広く利用
されていた
• サイボウズの脆弱性情報ハンドリング
• 定量的な脆弱性情報の評価プロセス
• 自社の開発プロセスへの取り込み
• プロセスの改善
• ISO/IEC 29147 および ISO/IEC 30111
Agenda
自社の開発プロセスへの
取り込み
• 採用にあたって準備したこと
– 自社の脆弱性の調査
– 評価プロセスの策定
– 脆弱性対応フローへの適用
• 準備期間
– 1か月程度
自社の開発プロセスへの
取り込み
• 自社の脆弱性の調査
– 2010 年~ 2011 年に検出された自社の全製品
の脆弱性情報を1つのデータベースに集約
• 120 件前後
– 全ての脆弱性情報を、CVSS v2 を使って評価
– 当初は複数人で調査
• 複数人で作業すると、評価結果が合わないことが
頻発し、まずは1名で作業することに
自社の開発プロセスへの
取り込み
• これまでの社内基準
• CVSS v2 をつかった評価結果
緊急対応 49
警告 65
Level Ⅲ (HIGH) 17
Level Ⅱ(MIDDLE) 59
LevelⅠ(LOW) 38
自社の開発プロセスへの
取り込み
• 採用する脆弱性タイプ(CWE)を検討
– CVSS 評価を行う際に、脆弱性タイプごとに、
評価観点が統一されるため
– XSS (AV/Ac/Au/C/I/A:-/-/-/N/P/N)
• 外部の機関と評価結果を合わせるために
は、自社で採用する脆弱性タイプを決め
る必要がある
自社の開発プロセスへの
取り込み
• CWE(Common Weakness Enumeration)
– 共通脆弱性タイプ一覧
– 脆弱性の種類を識別し、体系立てて管理する
ことが目的
– 米国政府の支援を受けて MITRE が中心に仕様
を策定
• 米国政府向けの技術支援や研究開発を行う非営利
組織
– 2008 年 9 月 9 日にバージョン 1.0 が公開
自社の開発プロセスへの
取り込み
• CWE の選定
– 過去2年間に検出された脆弱性
– 外部のプロジェクトで検査基準として採用さ
れている CWE を収集し、共通して採用されて
いる脆弱性を抽出
• JVNiPedia
• IPA Web 健康診断
• OWASP Top 10 Project
自社の開発プロセスへの
取り込み
• 評価プロセスの策定
– 複数人で評価しても評価結果がある程度ぶれ
ないようにする仕組みが必要
• ガイドラインの策定
– 120 件の脆弱性情報を評価した結果を元に、
自社で使いやすい具体的な評価ガイドライン
を策定
– ガイドラインを元に評価した内容を、2名以
上でレビューする
自社の開発プロセスへの
取り込み
• CVSS v2 を開発プロセスに組み込む
– 3段階の脆弱性の深刻度に応じて、脆弱性を
改修する優先度を設定
• 深刻度の高い脆弱性を優先して改修する
– CWE の種別によって、優先度を上げて対応す
るべき脆弱性は個別にルール化
• SQL Injection は 「レベルⅡ(警告)」 でも優先し
て改修する
• XSS の中でもより深刻な物は、優先して改修する
自社の開発プロセスへの
取り込み
• 導入後2年間の深刻度分布
33
99
178
レベルⅢ レベルⅡ レベルⅠ
自社の開発プロセスへの
取り込み
• 導入後2年間の脆弱性分布
CWE-264
29%
CWE-79
24%
CWE-20
12%
CWE-89
9%
CWE-399
6%
CWE-200
5%
自社の開発プロセスへの
取り込み
• 導入後2年間の脆弱性分布
– 以下の脆弱性が全体の7割を占める
• CWE-264 認可・権限・アクセス制御
• CWE-79 クロスサイト・スクリプティング (XSS))
• CWE-20 不適切な入力確認
• CWE-89 SQL インジェクション
自社の開発プロセスへの
取り込み
• 導入の効果
– 脆弱性の評価を標準化できた
– 脆弱性の深刻度を社外に説明できた
• ベンダーとして脆弱性の詳細情報を伝えずに、脆
弱性の深刻度を説明することは困難だった
• 同じように非公開の脆弱性情報を元に、外部機関
が脆弱性の深刻度を評価するのは困難だと思いま
す
– 脆弱性情報を集約することで、他のプロジェ
クトへの情報共有が可能になった
自社の開発プロセスへの
取り込み
• 現在の課題
– CVSS v2 では評価できない脆弱性
• 2つ以上の脆弱性が組み合わさってより大きなイ
ンシデントが発生する場合、それぞれの脆弱性を
評価することしかできない
• 発生する被害を考慮して、柔軟に対応する
– CVSS v3 の採用検討
• 2014 年 6 月にリリースされる予定
• 評価方式が大きく変わるので、再評価が必要
• サイボウズの脆弱性情報ハンドリング
• 定量的な脆弱性情報の評価プロセス
• 自社の開発プロセスへの取り込み
• プロセスの改善
• ISO/IEC 29147 および ISO/IEC 30111
Agenda
プロセスの改善
社内検出 改修
報告者へ
返答
外部から
の
報告
各サービス
Cy-SIRT
• 脆弱性情報ハンドリングフロー(2011 年
~)
自社公開
評価 外部公開
プロセスの改善
• 実際に起きたインシデント
– 外部機関と脆弱性情報の公開時期を調整中
に、自社で不具合として公開してしまった
– 公開した情報を元に、お問い合わせを複数い
ただき、当初想定していた脆弱性情報の外部
公開時期を早めた
脆弱性への対抗策のリリースポリシーが不明確
である点について、多くの方からご指摘いただ
く
プロセスの改善
• 問題点
– 自社で不具合情報を公開するチームと、CSIRT
で脆弱性情報が一元管理されていない
– 脆弱性に対応する基準が公開されていない
– 脆弱性情報を公開する基準が明確に定められ
ていない
プロセスの改善
• 課題に解決にあたって
– 体系立ててまとめられたフレームワークに
沿って、情報を公開することはできないか
• ちょうどその頃、JPCERT/CC 様から良い情
報をいただく
– ISO/IEC 29147
– ISO/IEC 30111
• サイボウズの脆弱性情報ハンドリング
• 定量的な脆弱性情報の評価プロセス
• 自社の開発プロセスへの取り込み
• プロセスの改善
• ISO/IEC 29147 および ISO/IEC 30111
Agenda
ISO/IEC 29147
ISO/IEC 30111
• 脆弱性の取り扱い方法に関する国際規格
– ISO29147 Vulnerability disclosure
– ISO30111 Vulnerability handling processes
– 脆弱性情報の開示と脆弱性の対応に関して標
準化することを目的とした国際規格
• 2013 年初頭はどちらも DIS 投票中
– 国際基準として採択されるための投票
ISO/IEC 29147
ISO/IEC 30111
• イメージ
Accept Develop Publish
Vulnerability disclosure
(ISO/IEC 30111)
Vulnerability handling processes
(ISO/IEC 29147)
ISO/IEC 29147 の活用
• Vulnerability disclosure
• ベンダーと外部の関係者とのやり取り (イン
ターフェース)に着目して記述
– 脆弱性を検出したユーザー(またはコーディネー
ター)がベンダーに連絡する
– 届け出を受けたベンダーが脆弱性情報を公開する
• 2014 年 2 月 5 日に公開
– http://www.webstore.jsa.or.jp/webstore/Com/FlowCo
ntrol.jsp?lang=jp&bunsyoId=ISO%2FIEC+29147%3A20
14&dantaiCd=ISO&status=1&pageNo=1
ISO / IEC 30111
• Vulnerability handling processes
• ベンダー内部の取扱いに着目して記述
– CSIRT / PSIRT や各部門の役割と責任範囲を例示
– オンラインサービスとプロダクトの対応が分けて
記載されている
• 2013 年 10 月 22 日に公開
– http://www.webstore.jsa.or.jp/webstore/Com/FlowCo
ntrol.jsp?lang=jp&bunsyoId=ISO%2FIEC+30111%3A20
13&dantaiCd=ISO&status=1&pageNo=0
ISO/IEC 29147
ISO/IEC 30111
• 自社で採用するにあたり
– 国際規格に準拠することが目的では無い
– プロセスを改善するためのガイドラインとし
て利用
– 急がない
• 大きな枠組みはそのまま採用する
– 脆弱性対応フロー
– 脆弱性情報公開フロー
ISO/IEC 29147
ISO/IEC 30111
社内検出 改修
報告者へ
返答
外部から
の
報告
各サービス
Cy-SIRT
• 脆弱性情報ハンドリングフロー(2013 年
~)
自社公開
評価 外部公開
ISO/IEC 29147
ISO/IEC 30111
社内検出 改修
報告者へ
返答
外部から
の
報告
各サービス
Cy-SIRT
• 脆弱性情報ハンドリングフロー(2013 年
~)
自社公開
評価 外部公開
ISO/IEC 29147 の活用
• 脆弱性情報の受付窓口を明確にしました
– CSIRT 記述書を公開しました
– https://www.cybozu.com/jp/features/manageme
nt/cysirt.html
• 自社から公開する脆弱性情報の内容を改
善
– 自社で公開する脆弱性記事に自社の CVSS v2
の評価結果を付記しました
– 外部に公開した脆弱性情報には CVE 番号を付
記するようにしました
ISO / IEC 29147 の活用
ISO / IEC 29147 の活用
• 謝辞ページを公開
– 脆弱性情報を報告いただいた方に、お名前の
掲載を許可いただいた場合、ホームページに
情報を掲載しています。
– http://cybozu.co.jp/specialthanks.html
ISO / IEC 30111 の活用
• 脆弱性情報を登録したデータベースを活
用
– 自社の不具合情報を公開する各チームと脆弱
性情報データベースを共有
– 脆弱性情報を公開するためのワークフローを
データベースに実装
– 脆弱性情報を外部に公開する前に、Cy-SIRT が
レビューするように変更
ISO / IEC 30111 の活用
• 自社で利用する第三者が作成したソフト
ウェアの棚卸し
– 第三者が作成したソフトウェアの脆弱性情報
を日時で収集し、関係者に共有
– 第三者が作成したソフトウェアに起因する脆
弱性が検出された際には、開発元に連絡
– 利用するソフトウェアに脆弱性が含まれた場
合の対応ポリシーを策定
ISO/IEC 29147
ISO/IEC 30111
• 脆弱性への対応と、情報公開基準の公開
ISO/IEC 29147
ISO/IEC 30111
• 脆弱性情報公開フロー
– 以下のいずれかに当てはまる場合、情報を公開す
る
• お客様が対抗策を導入する際に、作業が発生する場合
• 弊社内で情報セキュリティインシデントが発生した結
果、お客様に被害が発生した場合
• 外部の方から指摘いただいた場合
• 脆弱性対応フロー
– 検出された脆弱性は脆弱性の深刻度に 対
応する
ISO/IEC 29147
ISO/IEC 30111
• 導入の効果(脆弱性情報公開フロー)
– 脆弱性情報の公開内容を標準化できた
• 脆弱性情報を利用する方に役立つ情報を掲載でき
るようになった
– 外部の方とより積極的な協力体制を築くこと
ができるようになった
• 脆弱性発見コンテストの開催(2013 年 11 月開
催)
• 脆弱性検証環境提供プログラム (2 月開始)
• 脆弱性報奨金プログラムの開始 (4月予定)
ISO/IEC 29147
ISO/IEC 30111
• 現在の課題(脆弱性情報公開フロー)
– 外部の評価機関との連携
• 外部の評価期間が評価した深刻度と差異が出た場
合、説明が困難になる
• 評価機関と連携し、適切な脅威評価を行う
– 第三者が作成したソフトウェアの脆弱性管理
• 十分なセキュリティ情報が公開されない場合、自
社のソフトウェアでどのように対抗策を打つべき
か
ISO/IEC 29147
ISO/IEC 30111
• 導入の効果(脆弱性対応フロー)
– 脆弱性に対応する基準を外部に公開し、明確
化することが出来た
– 全社的に利用できる脆弱性情報データベース
を構築できた
– 第三者が作成したソフトウェアの脆弱性情報
を収集し、計画的に更新できるようになった
ISO/IEC 29147
ISO/IEC 30111
• 現在の課題(脆弱性対応フロー)
– 脆弱性として受理するかどうか
• CWE として定義されていないような攻撃方法
• ソーシャルエンジニアリングを活用した攻撃方法
– 一般的な不具合と脆弱性の対応優先度
• セキュリティ以外の品質を侵害する不具合と、脆
弱性をどのような優先度で対応するか
まとめ
• 国際標準規格を参考に、脆弱性情報の取
り扱い方法を改善しました
– Vulnerability handling processes
• CVSS v2 の採用
• 第三者ソフトウェアの取り扱い
– Vulnerability disclosure
• 公開プロセス / 公開内容の改善 (CVE)
• 外部の方との協力体制(謝辞 / Bug Bounty
Proglam)
ご質問など
• ご清聴いただきありがとうございました
参照資料
• 共通脆弱性識別子 CVE 概説(IPA)
– http://www.ipa.go.jp/security/vuln/CVE.html
• 脆弱性対策の効果的な進め方(IPA)
– https://www.ipa.go.jp/files/000035701.pdf
• 一般社団法人JPCERTコーディネーションセ
ンター 様ご提供資料
References 1
• サイボウズが採用する CWE (17 種類)
– CWE-16 環境設定
– CWE-20 不適切な入力確認
– CWE-22 パストラバーサル
– CWE-78 OS コマンドインジェクション
– CWE-79 クロスサイト・スクリプティング (XSS))
– CWE-89 SQL インジェクション
– CWE-93 CRLF Injection(メールヘッダ・インジェク
ション)
– CWE-113 HTTPヘッダ・インジェクション
– CWE-200 情報漏えい
– CWE-264 認可・権限・アクセス制御
References 1
• サイボウズが採用する CWE (17 種類)
– CWE-287 不適切な認証
– CWE-352 クロスサイト・リクエスト・フォージェ
リ(CSRF)
– CWE-362 競合状態
– CWE-384 Session Fixation
– CWE-399 リソース管理の問題
– CWE-601 オープンリダイレクタ
– CWE-614 ログインの不備 - クッキーのセキュア属
性不備
– CWE-Other(その他)
– CWE-DesignError(システム設計上の問題)
References 2
• AC(攻撃条件の複雑さ):「低」
• 具体的なガイドライン
– 任意のパラメータに攻撃コードを登録することで
リスクが顕在化する
– 入力フォームに登録された値が起因となって、リ
スクが顕在化する
– API の JSON 文字列の中に含まれる値を改ざんする
ことで、リスクが顕在化する
– 外部から読み込むメールに、一般的な攻撃パター
ンが含まれている場合に、リスクが顕在化する
Reference 3
• CVE(Common Vulnerabilities and
Exposure)
– 個別の製品中の脆弱性を対象として、米国政
府の支援を受けた非営利団体の MITRE 社が採
番する識別子
– 一意の識別番号となる 「CVE 識別番号(CVE-
ID)」が付与される
– 日本では JPCERT/CC が CVE を割り当て
• 脆弱性情報の公開調整時に、CVE 番号を連絡いた
だき、弊社サイトから情報を公開時に掲載

More Related Content

Viewers also liked

SECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催についてSECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催についてtakesako
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティHiroshi Tokumaru
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010Sen Ueno
 
Metasploitでペネトレーションテスト
MetasploitでペネトレーションテストMetasploitでペネトレーションテスト
Metasploitでペネトレーションテストsuper_a1ice
 
[CEDEC2017] LINEゲームのセキュリティ診断手法
[CEDEC2017] LINEゲームのセキュリティ診断手法[CEDEC2017] LINEゲームのセキュリティ診断手法
[CEDEC2017] LINEゲームのセキュリティ診断手法LINE Corporation
 
初心者向けインターネットの仕組みと8/25の障害についての説明
初心者向けインターネットの仕組みと8/25の障害についての説明初心者向けインターネットの仕組みと8/25の障害についての説明
初心者向けインターネットの仕組みと8/25の障害についての説明Ken SASAKI
 
osc2016do ひげで学ぶWebアプリケーションに潜むリスク
osc2016do ひげで学ぶWebアプリケーションに潜むリスクosc2016do ひげで学ぶWebアプリケーションに潜むリスク
osc2016do ひげで学ぶWebアプリケーションに潜むリスクIerae Security
 
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話zaki4649
 
CpawCTF 勉強会 Network
CpawCTF 勉強会 NetworkCpawCTF 勉強会 Network
CpawCTF 勉強会 NetworkTakaaki Hoyo
 
SSL/TLSの基礎と最新動向
SSL/TLSの基礎と最新動向SSL/TLSの基礎と最新動向
SSL/TLSの基礎と最新動向shigeki_ohtsu
 

Viewers also liked (12)

SECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催についてSECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催について
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
 
Metasploitでペネトレーションテスト
MetasploitでペネトレーションテストMetasploitでペネトレーションテスト
Metasploitでペネトレーションテスト
 
[CEDEC2017] LINEゲームのセキュリティ診断手法
[CEDEC2017] LINEゲームのセキュリティ診断手法[CEDEC2017] LINEゲームのセキュリティ診断手法
[CEDEC2017] LINEゲームのセキュリティ診断手法
 
[BurpSuiteJapan]Burp Suite回答編
[BurpSuiteJapan]Burp Suite回答編[BurpSuiteJapan]Burp Suite回答編
[BurpSuiteJapan]Burp Suite回答編
 
初心者向けインターネットの仕組みと8/25の障害についての説明
初心者向けインターネットの仕組みと8/25の障害についての説明初心者向けインターネットの仕組みと8/25の障害についての説明
初心者向けインターネットの仕組みと8/25の障害についての説明
 
osc2016do ひげで学ぶWebアプリケーションに潜むリスク
osc2016do ひげで学ぶWebアプリケーションに潜むリスクosc2016do ひげで学ぶWebアプリケーションに潜むリスク
osc2016do ひげで学ぶWebアプリケーションに潜むリスク
 
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
 
[AVTOKYO 2017] What is red team?
[AVTOKYO 2017] What is red team?[AVTOKYO 2017] What is red team?
[AVTOKYO 2017] What is red team?
 
CpawCTF 勉強会 Network
CpawCTF 勉強会 NetworkCpawCTF 勉強会 Network
CpawCTF 勉強会 Network
 
SSL/TLSの基礎と最新動向
SSL/TLSの基礎と最新動向SSL/TLSの基礎と最新動向
SSL/TLSの基礎と最新動向
 

Similar to Management for Security Life Cycle (日本語版)

【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdfmihokawagoe
 
JEITAソフトウェアエンジニアリング分科会: IPA RISE委託研究2015-16年度 測定評価と分析によるソフトウェア製品品 質の実態定量化および総...
JEITAソフトウェアエンジニアリング分科会: IPA RISE委託研究2015-16年度 測定評価と分析によるソフトウェア製品品 質の実態定量化および総...JEITAソフトウェアエンジニアリング分科会: IPA RISE委託研究2015-16年度 測定評価と分析によるソフトウェア製品品 質の実態定量化および総...
JEITAソフトウェアエンジニアリング分科会: IPA RISE委託研究2015-16年度 測定評価と分析によるソフトウェア製品品 質の実態定量化および総...Hironori Washizaki
 
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査Hironori Washizaki
 
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査Hironori Washizaki
 
20170408 securiy-planning
20170408 securiy-planning20170408 securiy-planning
20170408 securiy-planninghogehuga
 
【Explanatory material】Securify_v1.2.pptx
【Explanatory material】Securify_v1.2.pptx【Explanatory material】Securify_v1.2.pptx
【Explanatory material】Securify_v1.2.pptxmihokawagoe
 
デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)
デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)
デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)Developers Summit
 
【JSTQB_ALTM】シラバス第2章
【JSTQB_ALTM】シラバス第2章【JSTQB_ALTM】シラバス第2章
【JSTQB_ALTM】シラバス第2章ssusercd6d02
 
ソフトウェア品質実態調査報告「測定評価と分析を通じたソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立」
ソフトウェア品質実態調査報告「測定評価と分析を通じたソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立」ソフトウェア品質実態調査報告「測定評価と分析を通じたソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立」
ソフトウェア品質実態調査報告「測定評価と分析を通じたソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立」Hironori Washizaki
 
IPA RISE委託研究 2015-16年度 測定評価と分析によるソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立(報告セミナー用)
IPA RISE委託研究 2015-16年度測定評価と分析によるソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立(報告セミナー用)IPA RISE委託研究 2015-16年度測定評価と分析によるソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立(報告セミナー用)
IPA RISE委託研究 2015-16年度 測定評価と分析によるソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立(報告セミナー用)Hironori Washizaki
 
XSSの評価基準とRIPSプラグイン的なものを作った
XSSの評価基準とRIPSプラグイン的なものを作ったXSSの評価基準とRIPSプラグイン的なものを作った
XSSの評価基準とRIPSプラグイン的なものを作ったyamaguchi_2048
 
20170325 institute of-vulnerability_assessment
20170325 institute of-vulnerability_assessment20170325 institute of-vulnerability_assessment
20170325 institute of-vulnerability_assessmenthogehuga
 
ツールを用いた脆弱性リスクの管理・低減
ツールを用いた脆弱性リスクの管理・低減ツールを用いた脆弱性リスクの管理・低減
ツールを用いた脆弱性リスクの管理・低減MKT International Inc.
 
製品品質向上のための開発本部の取り組み
製品品質向上のための開発本部の取り組み製品品質向上のための開発本部の取り組み
製品品質向上のための開発本部の取り組みCybozucommunity
 
I-C-I Webセキュリティサービスのご紹介
I-C-I Webセキュリティサービスのご紹介I-C-I Webセキュリティサービスのご紹介
I-C-I Webセキュリティサービスのご紹介Mitsuhiro Kouta
 
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason ParkCODE BLUE
 
事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final
事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final
事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 finalDaisuke Kawada
 
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~scalaconfjp
 
Cy-PSIRTの取り組み
Cy-PSIRTの取り組みCy-PSIRTの取り組み
Cy-PSIRTの取り組みMtikutea
 

Similar to Management for Security Life Cycle (日本語版) (20)

【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdf
 
JEITAソフトウェアエンジニアリング分科会: IPA RISE委託研究2015-16年度 測定評価と分析によるソフトウェア製品品 質の実態定量化および総...
JEITAソフトウェアエンジニアリング分科会: IPA RISE委託研究2015-16年度 測定評価と分析によるソフトウェア製品品 質の実態定量化および総...JEITAソフトウェアエンジニアリング分科会: IPA RISE委託研究2015-16年度 測定評価と分析によるソフトウェア製品品 質の実態定量化および総...
JEITAソフトウェアエンジニアリング分科会: IPA RISE委託研究2015-16年度 測定評価と分析によるソフトウェア製品品 質の実態定量化および総...
 
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
 
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
 
20170408 securiy-planning
20170408 securiy-planning20170408 securiy-planning
20170408 securiy-planning
 
【Explanatory material】Securify_v1.2.pptx
【Explanatory material】Securify_v1.2.pptx【Explanatory material】Securify_v1.2.pptx
【Explanatory material】Securify_v1.2.pptx
 
デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)
デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)
デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)
 
【JSTQB_ALTM】シラバス第2章
【JSTQB_ALTM】シラバス第2章【JSTQB_ALTM】シラバス第2章
【JSTQB_ALTM】シラバス第2章
 
ソフトウェア品質実態調査報告「測定評価と分析を通じたソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立」
ソフトウェア品質実態調査報告「測定評価と分析を通じたソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立」ソフトウェア品質実態調査報告「測定評価と分析を通じたソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立」
ソフトウェア品質実態調査報告「測定評価と分析を通じたソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立」
 
IPA RISE委託研究 2015-16年度 測定評価と分析によるソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立(報告セミナー用)
IPA RISE委託研究 2015-16年度測定評価と分析によるソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立(報告セミナー用)IPA RISE委託研究 2015-16年度測定評価と分析によるソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立(報告セミナー用)
IPA RISE委託研究 2015-16年度 測定評価と分析によるソフトウェア製品品質の実態定量化および総合的品質評価枠組みの確立(報告セミナー用)
 
XSSの評価基準とRIPSプラグイン的なものを作った
XSSの評価基準とRIPSプラグイン的なものを作ったXSSの評価基準とRIPSプラグイン的なものを作った
XSSの評価基準とRIPSプラグイン的なものを作った
 
20170325 institute of-vulnerability_assessment
20170325 institute of-vulnerability_assessment20170325 institute of-vulnerability_assessment
20170325 institute of-vulnerability_assessment
 
ツールを用いた脆弱性リスクの管理・低減
ツールを用いた脆弱性リスクの管理・低減ツールを用いた脆弱性リスクの管理・低減
ツールを用いた脆弱性リスクの管理・低減
 
製品品質向上のための開発本部の取り組み
製品品質向上のための開発本部の取り組み製品品質向上のための開発本部の取り組み
製品品質向上のための開発本部の取り組み
 
I-C-I Webセキュリティサービスのご紹介
I-C-I Webセキュリティサービスのご紹介I-C-I Webセキュリティサービスのご紹介
I-C-I Webセキュリティサービスのご紹介
 
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park
 
事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final
事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final
事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final
 
品質基礎知識
品質基礎知識品質基礎知識
品質基礎知識
 
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~
脆弱性対策のためのClean Architecture ~脆弱性に対するレジリエンスを確保せよ~
 
Cy-PSIRTの取り組み
Cy-PSIRTの取り組みCy-PSIRTの取り組み
Cy-PSIRTの取り組み
 

Management for Security Life Cycle (日本語版)