PowerPoint プレゼンテーション

Size: px

Start display at page:

Download "PowerPoint プレゼンテーション"

たつやさわなか
5 years ago
Views:

2 株式会社スプラウト弊社のミッション : サイバー空間のオープン性とプライバシーが両立する社会を実現する弊社はこのミッションを実現するために圧倒的に高い技術力を志向するセキュリティ会社ですそのため以下の事業領域に注力しています注力領域 Zero-day Secure Product (Cloud Solution) 今後積極的に取り組む領域 Incident Report (Media Service) Intelligence Big Data 現時点での非注力領域 Security Assessment Malware Analysis Security Training Forensic SOC (Security Operation Center) 2015 sprout Inc. All Rights Reserved. 2

3 事業コンセプト様々な脅威に対抗するためには最先端の技術と啓発に資する情報に常にリーチしていることが重要であり未知の脆弱性 ( ゼロデイ ) を継続的に調査していくことが肝要と考えていますサイバー空間のオープン性とプライバシーを両立させる社会の実現メディアリサーチ事業収益 ( 広告リサーチコンサル ) セキュリティ脅威の啓発技術力の証明 Secure Product 開発販売拡大最先端のセキュリティ情報最先端の技術習得収益化によるさらなる調査多方面の情報収集結果を生かした調査ゼロデイ情報収益化によるさらなる調査技術習得によるさらなる調査企業サーバーネットワーク S/W 製品 H/W 製品未知の脆弱性 ( ゼロデイ ) 調査研究 2015 sprout Inc. All Rights Reserved. 3

6 セキュリティエンジニア ( ホワイトハッカー ) とは? サイバーセキュリティに携わるエンジニア人口イメージ Ⅲ Ⅱ Ⅰ Ⅲ Ⅱ IT 全般に対する幅広く深い理解がありサイバーセキュリティ領域における経験を積み重ねているシステムやアプリケーションの脆弱なポイントを見極め新たな攻撃手法を自ら生み出すことができるインターネットネットワークハードウェアソフトウェアプログラミング解析ツールセキュリティ製品センス経験 Web やアプリケーションのセキュリティ診断などをツールなどを用いて実施できるレベル IT に関する知識と様々な解析ツールのノウハウセキュリティの一定分野に強みがある高い壁が存在技術レベル予 Ⅰ 診断などを自ら実施することはできないがサイバーセキュリティに関する用語や知識があり問題点を指摘できるセキュリティ製品のセールスセキュリティコンサルティングエバンジェリストなどの領域で活躍できる予備軍システム開発や製品開発プロジェクトにおいてセキュリティを担当していたりセキュリティ会社への発注プロジェクト管理を担当しているなど IT 関係の知識や経験がありサイバーセキュリティとの接点を持っている 2015 sprout Inc. All Rights Reserved. 6

7 なぜセキュリティエンジニアが少ないのか IT 業界におけるキャリアモデルは日米で異なり構造的にセキュリティエンジニアが育ちにくい環境となっている日本経営層管理者上流工程へと進むキャリアが一般的研究者やスペシャリスト人材へと進むエンジニアも多くいる米国キャリア CXO (CEO,CTO) PM コンサル研究者セキュリティエンジニア等のスペシャリスト CXO (CEO,CTO) PM コンサル研究者セキュリティエンジニア等のスペシャリスト ( なぜか?) 新卒エンジニアには文系学部出身も多くおり何よりもコミュニケーション能力に重きを置かれている ( 技術は後からでも身に着くという考え方 ) 管理職やコンサルなどの上流工程に重きが置かれており報酬も高い一方でトップクラスの研究者でも金銭的なインセンティブが与えられていないことが散見される ( なぜか?) 新卒エンジニアとはいえ工学部などの専門分野を進んだ人材が多く研究者やスペシャリスト人材へと進むための素養が備わっている管理職は役割であり必ずしも報酬と連動していない研究者やスペシャリスト人材に対する金銭的なインセンティブが強く働いているセキュリティエンジニアは日本人の職人気質や品質感覚には適合しそうではあるがこのような構造上の問題で米国と比較してまだまだ少ないさらに言えばそもそも人口が倍であること Geek に市民権があること IT や技術を理解したエンジェル投資家が多いこと等が米国におけるセキュリティエンジニアの多い理由として考えられる 2015 sprout Inc. All Rights Reserved. 7

8 セキュリティエンジニアを増やすということ現状ではいざ問題が起きた時に集まったセキュリティエンジニアが皆揃ってエバンジェリストという状況になりかねない 1 セキュリティエンジニアの総数を増やすということと並行して 2 高い壁を乗り越えさせる策を打つことが重要ではないか Ⅲ Ⅱ Ⅰ 2 高い壁を乗り越えさせる案特命プロジェクト等によるインセンティブの創出グレーゾーン解消又は企業実証特例制度による研究目的の研究調査推進予 1 予備軍を増やすセキュリティ啓発セキュリティ教育 ( セキュリティキャンプ等 ) IT セキュリティ関連の専門学部の推進等々 2015 sprout Inc. All Rights Reserved. 8

10 悪意を持った攻撃者が用いる手法例悪意を持った攻撃者が用いる手法例制限付きで実施可能な手法法的リスクを一切取らずに実施可能な手法パラメータ操作 ( テクニカル操作 ) クロスサイトスクリプティング HTTPヘッダインジェクションヘッダ操作 URLインジェクションメールヘッダインジェクション Cookie 値の改ざん SQLインジェクション OSコマンドインジェクションディレクトリトラバーサル LDAP/SSI/XPathインジェクションパラメータ操作 ( ロジック操作 ) 識別情報の改ざん購入情報の改ざん固定値の改ざんリモートファイルインクルージョン妥当性チェックの不備強制ブラウジング ( 権限昇格認証回避 ) アカウントロックアウトの欠如 ( ロックアウト操作 ) リクエスト再送信公開不要なファイルの表示不正なファイルのアップロード DoS ポートスキャンサービススキャンバナー取得ログイン処理 ( ブルートフォース / 辞書 ) サービスの脆弱性スキャンパラメータ操作 ( テクニカル操作 ) クロスサイトスクリプティング HTTPヘッダインジェクションヘッダ操作 URLインジェクションメールヘッダインジェクション Cookie 値の改ざん SQLインジェクション OSコマンドインジェクションディレクトリトラバーサル LDAP/SSI/XPathインジェクションパラメータ操作 ( ロジック操作 ) 識別情報の改ざん購入情報の改ざん固定値の改ざんリモートファイルインクルージョン妥当性チェックの不備強制ブラウジング ( 権限昇格認証回避 ) アカウントロックアウトの欠如 ( ロックアウト操作 ) リクエスト再送信公開不要なファイルの表示不正なファイルのアップロード DoS ポートスキャンサービススキャンバナー取得ログイン処理 ( ブルートフォース / 辞書 ) サービスの脆弱性スキャンパラメータ操作 ( テクニカル操作 ) クロスサイトスクリプティング HTTPヘッダインジェクションヘッダ操作 URLインジェクションメールヘッダインジェクション Cookie 値の改ざん SQLインジェクション OSコマンドインジェクションディレクトリトラバーサル LDAP/SSI/XPathインジェクションパラメータ操作 ( ロジック操作 ) 識別情報の改ざん購入情報の改ざん固定値の改ざんリモートファイルインクルージョン妥当性チェックの不備強制ブラウジング ( 権限昇格認証回避 ) アカウントロックアウトの欠如 ( ロックアウト操作 ) リクエスト再送信公開不要なファイルの表示不正なファイルのアップロード DoS ポートスキャンサービススキャンバナー取得ログイン処理 ( ブルートフォース / 辞書 ) サービスの脆弱性スキャン 2015 sprout Inc. All Rights Reserved. 10

12 グレーゾーン解消制度又は企業実証特例制度適用の主旨ホワイトハッカーの育成および研究啓発を目的とした以下 2 点の活動について経産省に相談をしています 1 研究活動とリスクの早期発見を目的とした企業ネットワークサーバーへのペネトレーションテスト不正アクセス禁止法の背景目的 : サイバー犯罪の防止電気通信に関する秩序の維持他人の ID パスワードの不正流通を防止すること詐欺個人情報の漏えいを早い段階で予防すること今後のサイバーリスクの高まりを考慮した場合研究活動やリスクの早期発見を目的とした調査が必要ではないかと考える現在このような調査を行う場合対象企業からの依頼 ( 本人の同意 ) が無い場合不正アクセス法に抵触することにより調査の範囲が限られる可能性がある状況にある調査研究の目的は不正アクセス禁止法の背景目的とも合致しておりグレーゾーン解消制度によって不正アクセス禁止法の適用はないと解釈されることを望むが仮に適用される場合には企業実証特例制度の適用を希望する 2 研究活動を目的としたリバースエンジニアリング以下情報セキュリティ研究開発戦略 ( 改訂版 ) サイバー攻撃の検知防御能力の向上における記載コンピュータウイルスやマルウェアの解析や IT システムやネットワーク機器の製造段階で仕掛けられた悪意のあるプログラムの解析にはリバースエンジニアリングによる解析が一つの有効な手段と考えられるが国内企業では著作権法などに抵触しないかといった懸念が持たれておりフェアユースな情報セキュリティ目的のリバースエンジニアリングに対する適法性の解釈の明確化や周知が求められている情報セキュリティの確保という公益性に鑑みフェアユースを前提としたリバースエンジニアリングの適法性を明確化するための措置を国として速やかに講じるホワイトハッカーの育成および研究啓発を目的とした調査に伴うリバースエンジニアリングについてはグレーゾーン解消制度によって著作権法及び不正競争防止法の適用がないと解釈されることを望むが仮に適用される場合には企業実証特例制度の適用を希望する 2015 sprout Inc. All Rights Reserved. 12

— intra-martで運用する場合のセキュリティの考え方

— intra-martで運用する場合のセキュリティの考え方 1 Top 目次 2 はじめに本書の目的本書では弊社製品で構築したシステムに関するセキュリティ対策について説明します一般的にセキュリティ ( 脆弱性 ) 対策は次に分類されます各製品部分に潜むセキュリティ対策各製品を以下のように分類しますミドルウェア製品ミドルウェア製品のセキュリティ ( 脆弱性 ) 対策リリースノートシステム要件内に記載のミドルウェア例 )JDK8の脆弱性 WindowsServer2012R2の脆弱性