講演概要

6月13日(水) 12:10-13:30

CD-02

脆弱性管理のベストプラクティスとスレットモニタリング

  • 概要
    IPAの『情報セキュリティ10大脅威 2018』において、「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」がランクインしました(組織の10大脅威の第4位)。脆弱性対策情報は、情報セキュリティ機関(IPAやJPCERT/CCなど)から、対策を呼び掛ける形で広く共有されます。しかしその一方で、攻撃者も公開された脆弱性情報をもとに、攻撃コードを作成し、それを共有します。「エクスプロイト」と呼ばれるこれら攻撃コードが出回ると、時を経ずしてその脆弱性を悪用した攻撃が始まり、「攻撃の容易さ」や「受ける影響」によっては、多くの被害をもたらします。さらに、「脆弱性情報の公開」から「攻撃開始」までの時間が短くなっている傾向があり、2017年3月の『Apatch Struts2』の脆弱性公開に端を発した東京都と住宅金融支援機構のクレジットカード情報漏洩事故では、猶予はたったの30時間でした。その結果、運営会社の対応は後手に回り、大量の個人情報の漏洩につながりました。

    このように、いまや「影響度や対策などが整理された脆弱性情報」を待ってから対策を検討していたのでは、手遅れになる攻撃パターンが目立ってきています。とくにオープンソースソフトウェアを使ってサービスを提供している組織では、プロアクティブな脆弱性の管理が求められます。そのような、「能動的に脆弱性情報を収集して分析したり、自ら脆弱性検査を行って先に脆弱性を見つける活動」が「スレットモニタリング」です。

    本セッションでは、「多様なWebサービス会社のレッドチームの運営者」「ユーザの事業リスクを洗い出してきた、攻撃者目線のペネトレーションテストの実施者」とともに、脆弱性管理とスレットモニタリングのベストプラクティスについて考察します。
    ● 脆弱性管理はなぜ難しいのか
    ● 対応に苦労した脆弱性情報の事案
    ● 脆弱性管理のベストプラクティス
    ● 未然に脆弱性を見つける活動の重要性
    ● パネルディスカッション
  • 講演者
    ■チェア
    中西 克彦
    NECネクサソリューションズ(株)
    ■スピーカー
    西村 宗晃
    (株)リクルートテクノロジーズ
    セキュリティエンジニアリンググループマネージャー
    ■スピーカー
    利根川 義英
    (株)キーコネクト
    代表取締役
    ■スピーカー


    ■スピーカー


    ■スピーカー


    ■スピーカー


    ■スピーカー


    ■スピーカー


    ■スピーカー


このページの先頭へ