Vuls祭り#5に参加した

Vuls祭り#5 @DMM.com

Vuls祭り#5がDMMさんで開催された。
我らがあだちんもLTをするということで参加してきた。
下記はその際のメモです。

招待講演 IPAテクニカルウォッチ「脆弱性対策の効果的な進め方(ツール活用編)」

  • IPAテクニカルウォッチの作者の方
  • 攻撃者が攻撃ツールをインターネットに公開されることで多数の攻撃者から攻撃されることがある
  • 近年0day攻撃が増えている
  • 脆弱性対策は組織によって最適化されたやり方がある
  • 脆弱性対策の基本的なフロー
    1. 収集対象ソフトの把握
    2. 脆弱性関連情報の収集
    3. 適用の判断(影響判断)
    4. 計画
    5. 検証
    6. 適用
  • CVSS(脆弱性に対する評価指標)
    • 基本評価基準 脆弱性の技術的な特性を評価
    • 現状評価基準 ある時点における脆弱性をとりまく環境を評価
    • 環境評価基準 利用環境ににおける最終的な脆弱性の深刻度を評価
  • 脆弱性対策の自動化
    • 脆弱性情報収集
  • ツール導入前にツールが自組織のシステムに適用できるかの確認が必要
  • ツールができることの限界を知っておく必要
  • Vulsの紹介
    • 脆弱性情報の収集を自動化できる
  • 脆弱性対策情報データベース JVN iPedia
    • 国内外30000兼以上の製品の脆弱性情報を日本語で提供
    • JPCERT/CC, IPAが運営
    • 対策だけではなく、回避策が掲載されることもある
  • NVD(National Vulnerability Database)
  • MyJVN(mjcheck3)
  • MyJVN APIが用意されている

基調講演「Vuls v0.8.0の新機能」

  • vuls.io
  • OVALが肝
  • SSHして接続して脆弱性DBとマッチングした結果を通知をする
  • v0.8.0のリリース!
    • Go v1.12 が必要
    • コンテナイメージスキャンができるようになった
    • ライブラリスキャンができるようになった
    • RHEL8サポート
    • Bug fix

「10分でできるDockerの脆弱性対策」

  • 60%の組織でコンテナに関するインシデントが発生している
  • TrivyとはCVE-IDなどが付与される脆弱性を検知, アプリケーションの依存ライブラリも検知
  • dockleはイメージに含まれるセキュリティホールをチェック
  • docker-benchよりも検知性能が高い
  • Dockerイメージをtarファイルとして見る
  • Everything is a fileなのでイメージ解析でかなり詳細までチェックできる
  • 有名所コンテナイメージスキャナ
    • clair
    • Microscanner
    • Twistlock
    • QUAY by coreos

「Wordpressの脆弱性をVulsで検知できるように!」

  • ランサーズの紹介
  • WordPressとVuls
  • 最近ニュースでは脆弱性報告数が増えてきている
  • スキャン対象
    • コア
    • テーマ
    • プラグイン
  • wp-cliを使ってスキャンを実行する

「プロダクトセキュリティチーム立上げにおけるVulsの活用」

  • プロダクトセキュリティチームを立ち上げ
  • 外部のセキュリティの定期診断は継続
  • 導入手順は公式ドキュメントが充実
  • PHPやLaravelの脆弱性チェック
  • 脆弱性診断の一部内製化につながった
  • 日次スキャンを実行するようになった

「脆弱性トリアージの考え方」

  • 発見された脆弱性全てに対応が必要か -> 発生しうる影響度で優先度をつける必用がある
  • リスクで判断する -> CVSSのスコア=リスクにはならない
  • リスクとは、PDCAサイクルについて説明する
  • 脆弱性に対してリスクを評価して、対応を行う
  • リスクの保有->影響力が小さい場合は許容することも
  • リスクの低減を検討する(WAFの導入など)

感想

前回もfuturevulsの勉強会に参加したが、やはり脆弱性に対する意識は高めていかないとなと思う。
とは言え、特にアプリケーション側の脆弱性については、知識が乏しいので特に勉強会等に参加して、攻撃手法から対策を学びつつ、自社サービスへ生かしていきたい。
あと、毎度ながら美味しい軽食が出るのがとてもありがたいです。