Vuls祭り#4に参加してきた

概要

Vulsと言えば弊社あだちんが登壇する(弊社記事)ということでVuls祭り#4に行ってきた。


日時/会場

  • 2018年08月27日(月曜) 19:00 – 21:30
  • 〒141-0032 東京都品川区大崎1-2-2 アートヴィレッジ大崎セントラルタワー 14階 フューチャー株式会社

会場提供はフューチャー株式会社さん。
場所は大崎のアートヴィレッジ。
大崎は私がISPのサポートをやっていた時に2年半通った場所でとても感慨深い場所だ。もう10年前、、、
(アートヴィレッジの一階に青蓮という中華屋さんがあってとても美味しかったのを覚えている。)


VulsとNIRVANAの連携(国立研究開発法人 情報通信研究機構(NICT) 井上 氏)

  • 本当にあった怖い話 -> 脆弱性対応にNirvanaは必要!
  • インシデントハンドリングと脆弱性ハンドリング
  • Vuls x Nirvana -> Nirvana改弐
  • 新機能
    • y=1/2gt^2
    • ンゴ感
    • 脆弱性のレベルを色で判断でき、脆弱性の詳細がわかる
    • みんなでVuls!
    • Nirvana改弐はまだプロトタイプ

画面を見ていて、NIRVANAとVulsとの相性はとても良さそうに感じた。
また、昔InteropでNIRVANAを見た時も感じたけど、オフィス内の大きなモニターに映しておきながら、オペレーションしたくなるGUIなのでとても厨ニ心がくすぐられる。
あとは単純にアニメーションや色などの視覚的に判断できるのは人間がわかりやすい。


Vuls v0.5.0の新機能(フューチャー株式会社 Vuls作者 kotakanbe氏)

  • VulsのGithubスター5000!
  • Twitterアカウント
  • 旧バージョンと互換性無しなので新規インストールになる
  • スキャン性能が大幅に改善
  • NVDのXMLでParseしづらかったのでJSON対応してParseしやすくなった
  • GitHub – knqyf263/gost: Build a local copy of Security Tracker. Notify via E-mail/Slack if there is an update.に対応した
    • パッチ未対応の脆弱性も検知できるようになった
    • Debian 105個 -> 524個 まで検知された!
  • scanモードを追加(fast,fast-root,deep)
    • offlineフラグを使うとインターネットにアクセスせずにスキャンできる
  • config.tomlでignore packagesで正規表現で脆弱性通知を無視することが可能

検知件数が増えたのは単純にありがたいなと感じた。
また、スキャンモードを選択できたり、オフラインフラグなど、色々な環境に応じて使い分けができそう。
旧バージョンんとの互換性が無いようなので、現状使っている場合にいきなり切り替えするかどうか検証して進めるのが良さそう。


Vulsクラウドサービス「Future Vuls」をイチから書き直した話

待機のアニメーションがVulsのアイコンなところにちょっとした遊び心があった。
個人的に一番便利だなと思ったのがタスク機能で、担当者割当がしておけば、対応忘れなど無さそう。
JKで移動できることを押していたのも、個人的には便利だなと思った。
そう言えば、マインドマップを使いながらプレゼンをしているのを初めて見たんだけど、文字だけでもつながりがわかりやすい。


LT : sansan

  • ビアスポンサー
  • 名刺のデータ化アプリ作っている(Eight)
  • インフラ3人
  • sansanからフィードバック
  • Vulsを積極的に使っていこう!

インフラが最初2人だったところから、導入しやすいVulsを導入してしっかり管理していっている様子。
また、使用しながらフィードバックなげているというのも素晴らしいなと思った。
あと、飲み物ありがとうございます!


「3分間でvuls scanとreportできるのかチャレンジ!(200秒チャレンジ)」ランサーズあだちん@adachin0817

  • 最近ラジオ始めた
  • Vulsのコントリビュータ、ブログとかも書いている
  • 「3分間待ってやる」
  • config.tomlはすでに書いてある!
  • 54秒!

我らがあだちんの発表だった。
しっかり準備していただけあって、なんの問題もなく安定した発表でさすがだった。
事前にコンテナ起動していて、config用意済みはネタ感あってよかったw
それだけ簡単に起動して、スキャンから通知までできるよというのが十分に伝わったと思う。
ラジオのアピールできてよかったね。

[2018/08/27]Vuls祭り#4にて初心者向けハンズオンをしてきやした!


「開発環境提供スポンサーセッション: 『ホスティング・クラウド事業者が観るインシデント発生傾向・原因・対策(ショートバージョン)』」(さくらインターネット株式会社 エバンジェリスト/仮想化基盤チーム 横田真俊 氏)

  • FreeBSD
  • DoS減ってきた
  • マイニングらしい
  • WordPressアップデートして!

DoS減ってきた理由がマイニングらいしというのがとてもおもしろかった。
攻撃者はお金が儲かるほうに流れるというのがよくわかるw
あとWordPressアップデートして!は大変よく伝わってきました。
WordPressはそれだけ人気で、狙われやすいということですもんね。


「新機能 “Vuls Server” 〜ワンライナーで始めるパッチマネジメント〜」(ゴールドジムプロテイン愛好会 knqyf263 氏)

  • 得体の知れないバイナリはインストール駄目とか、SSH許可できないとかある
  • Ansibleで構成情報を取ってきて、VulsサーバーにPOSTできる
  • 結果の集約に困る
  • SSMを使うとAWSでは必要な情報がすでに取得できる環境が整っている
  • SSMだとRHEL系のみ対応
  • Vuls ServerはAmazon LinuxやFreeBSDは未対応
  • Vuls + k8s

一人でたくさん機能を作成されているようで、色々なツラミを開発で解決していったのがよく伝わった。
SSMというのは知らなかったので自社でも活用してみようと思う。
また、Vuls + k8sの話はぜひまた聞いてみたい内容だった。


「開発環境提供スポンサーセッション: IDCFクラウドのセキュリティ事情(仮)」(IDCフロンティア 藤城 氏)

  • IDCFクラウドはDCの所在を明かしている
    • ファシリティセキュリティがしっかりしている
    • DR/監査の点で、公開してほしいユーザーがいる
    • 隠してもバレる(タクシーの運転手に聞くと分かる!w)
  • 隠す≠セキュア

確かにビジネス上DCの場所を知りたいというのは要件としてありそうだなと思った。
DR考えた上で、場所を教えられませんというのはできないと思うので、あえて公開しても大丈夫な環境にあるというのが強く伝わった。


VulsとOpenVAS

  • CVE検知数はVulsのほうが多い
  • スキャン速度の差がかなりある
  • 残存する脆弱性はVulsのほうが検知できている
  • OpenVASはVulsのスキャン範囲外もスキャンする
  • 目指している方向がそれぞれ違う

一時期OpenVASって流行った(?)ような気がするが、それぞれのスキャン数、スキャン速度を細かく調査されていて、とてもいきなりLTが決まったとは思えない内容だった。
脆弱性スキャンに複数のOSSを試してみるのは一つ大事だなとも思った。


「会場提供スポンサーセッション」(フューチャー株式会社)

  • フューチャーのいいところ
  • キャリアパスとしてエンジニアとして特化
  • 評価制度(みんなの前でプレゼン)
  • 社内イベント(ハワイ旅行!)
  • テレワークもある

エンジニアが働きやすい環境にあるよというのが強く伝わる話だった。
みんなの前でのプレゼンによる360度評価ってのは斬新だと思う。


「LT time #1: Soracom x Vuls」(株式会社ソラコム 須田氏)

  • フィールドエンジニアも多い
  • IoT機器ってオンプレサーバーを配っているのとかわらないのでは
  • Resion.io
  • サーバーモードのおかげでクライアントはcurlだけでいける
  • セルラー系でもいけるよ

確かにRaspberryPiの性能は一昔前の本番のVMと同一レベルと言えるので、オンプレのサーバーをばらまいているという表現は言い得て妙だなと思った。
セルラー系でもスキャンいけるよというのがソラコムさんのガッチリしたバックエンドの仕組みがありつつ、Vulsの仕組みとうまく合致しているのかなと感じた。


「LT time #3 オープンソースの持続可能性について」(BoostIO株式会社 横溝一将)

  • Boostnote
  • Githubスター9000
  • OSSは一人で管理したり大変
  • issueHuntを作った
  • $1からOSSに貢献できる

OSSのツラミを解消するのに作ったissueHuntというのは開発者を助ける素晴らしいツール。
私はBoostnoteを愛用しているので、ぜひissueHuntで投げ銭したいと思う。
(Boostnoteはいつも使っているとっても便利なOSSでその開発者の人が実は隣に座っていたとは、、ちゃんと挨拶できなかったのが悔やまれる。)


「LT: (仮)Vuls x CircleCIで実現する継続的Vulnerability Management」

  • CircleCI2.0で好きなDockerイメージが使えて、cronみたいなのが使えるようになった
  • workflowsのrequiresで依存を指定できる
  • sheduleはUTCのみ対応
  • 無料でいける

CircleCI便利というのがよく伝わった。
ゆるふわキャンパーさんのブログはよく拝見してる。
CircleCIは無料だし、コンテナ指定できるし、とても便利。
それでVulsを使ってみようという発想が素晴らしいなと思った。

Internet Week2018

  • 2018/11/27-30に開催

感想

Vuls祭り#4は短い時間でのLTが多く、それぞれVulsに絡めた話があって、非常に面白かった。
メイントピックのFutureVulsやVulsの新機能なども、使いやすように機能だったりUIが改善されており、開発速度の早さが伺える。
昨今、セキュリティ関連についてはSIerやWeb業界に限らず、よく話題にあがるトピックなので、今回のように国産のOSSを中心として盛り上がっていくのは是非応援していきたい。
自社でも今回発表したあだちんを中心としたVuls対応が進んでいるが、各環境における運用課題はきっとどこも抱える問題だと思うので、そういった内容を次回の祭りで聞けたら良いなと思う。
またはそういった内容でLTとかで発表できたらなぁと思った。

今回は参加費用として1000円だったのだが(私はブログ枠)、1000円でも全然安い!と思えるくらい飲み物と食べ物があった。
これも会場提供とビアスポンサーのFutureさんとSansanさんのお陰だと思う。
この場を借りてお礼をしたい。

また、次回Vuls#5も参加したい。