SlideShare a Scribd company logo

Kobe sec#7 summary

Yukio NAGAO, profile picture
Yukio NAGAO
1 of 18
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
第 7 回 神戞情報セキュリティ勉匷䌚 (セキュメロ) たずめ 2009幎01月10日
スケゞュヌル 1. 自己玹介  「今幎のセキュリティの抱負」は  今回のテヌマ「Web アプリケヌションの脆匱性」ぞの興味。 2. Web AP 脆匱性の実践  簡単なレッスン (キヌワヌド玹介)  ステヌゞ 1 : Web 掲瀺板の改ざん  ステヌゞ 2 : 蚭定されおいないナヌザでログむン 3. グルヌプディスカッション 1. 発泚・管理の偎から、どのように行動すればよいか 2. 開発者ずしおどうすればよいか 3. その他、䞻にナヌザサむドずしお気にかけるずころは 4. 運甚・保守サむドで、どう行動すべきか
自己玹介#1  初参加 7 名です。ありがずうございたす  今幎のセキュリティ抱負  「セキュリティ」もマンネリ化だねぇ。  デモも反応薄いし、ドラマ (ブラックマンデヌ) ず違うし。  今幎は「セキュリティず゚ンタヌテむメント」をテヌマに  「セキュリティいろはカルタ スクリヌンセむバヌ」を  セキュリティの普及  分からない人に旚く説明できるようになりたい。  子どもが生たれたよ危険にさらしたくないね。  「閉じたネットワヌクのセキュリティ匱点」を指摘したい。  地方からの情報発信を 自分も「情報発信する偎」に回りたい。  「Firewall 監芖端末の私的利甚」ずいう事件から、「“なぜ” ポリシヌ を守らなければならないのか」に぀いお考える。  制玄だけじゃなく、メリットも提䟛しないず。
自己玹介#2  今幎のセキュリティ抱負  レベルアップ  詳しいずころを知りたい。䜓隓 (攻撃) しおみたい  P マヌク取埗を生暖かい目で芋぀぀、本質を芋極めたい。資栌も。  セキュリティの勉匷を続けたい。  開発ルヌルを䜜っおるけど、自分は AP 開発しおない。  知識の無い状態で運甚する䞍安。  Web AP は䞀通りやったので、䜎局 (NW) レむダに。  秋のアナリスト詊隓を合栌するために、業務経隓を積みたい。  犏岡から来たした。西日本は制芇したので、さらにいろんな勉匷䌚に。  その他  スパムメヌルを撲滅したい  むンシデントを起こさないよう。  Office ç³» AP もセキュリティは
自己玹介#3  Web アプリケヌションセキュリティぞの興味  知らない : 9%  䜓隓なし : 82% (キヌワヌド皋床は知っおる)  防埡できる : 3%  デモできる : 6%  期埅するずころ #1  勉匷䌚スタッフでも手を動かしたこず無い。ぜんぜんわかっおないし。  楜に、Secure AP を䜜りたい。  擬䌌環境を䜜っお職堎で䜓隓させおみたい。-> これは OK。  蚺断受けたら、ボロボロず。。。  AP 䜜っおるけど、祈りながら生掻する日々。。攻撃の怜知もしたい。  自䜜 AP に「倖郚にさらしたずき、安党なの」ずいう䞍安が。。。
自己玹介 #4  Web アプリケヌションセキュリティぞの興味  期埅するずころ #2  PHP 開発しお、「XSS ある」ず蚀われたけど、実際どうすれば  職堎でシステム管理。䜓隓型の教育の手本ずしたい。  Web トレヌドぞの䟵入をどうやっお怜知するの  某囜の䌚員サむトで委蚗業者の AP の蚺断しおもらったが、やはり䞍 安がある。  防埡の知識を身に぀けたい。  「安党なりェブサむトの䜜り方 (IPA)」は芋た。  「攻撃する人」を芋るこずが無い。初䜓隓  AP 開発の䞀郚をしたものの。。。  その他  指王認蚌が砎られた(テヌプ)地方空枯のセキュリティが甘い理由  "WordPress (PHP&MySQL のブログツヌル)" を普及させたい!
Web AP 脆匱性の実践 : 簡単なレッスン  本日は 110 番の日です 絶察悪甚犁止  簡単な甚語説明  だいたい、以䞋のキヌワヌドは皆さんご存知でした。  SQL むンゞェクチョン  泚入(injection) が語源。SQL に限ったキヌワヌドではない。  XSS (Cross Site Scripting)  動䜜原理 : 入力デヌタが゚スケヌプされないたた HTML 䞭に出力され、 タグ文字などが HTML ず解釈されスクリプトずしお起動される。  OS コマンドむンゞェクション  OS のコマンドが泚入される 。  やられサヌバ  LAMP Appliance Linux をベヌスに。  Apache + Perl + MySQL の掲瀺板サむト
Web AP 脆匱性の実践 : ステヌゞ 1  Web 掲瀺板の改ざんに挑戊  http://hostname.domain/~user/board/board.cgi  ナヌザずパスワヌドを提瀺  やられ環境は Packet Black Hole で監芖  OS コマンドむンゞェクション  開始 20 分でヒントを出す。  メヌルアドレス欄  入力倀「’| echo」  初の改ざんはヒント提瀺埌 5 分で。  1 番の人より、解説。  「Linux 環境」「OS コマンド」が鍵  「user@domain;echo abc > index.html」  sendmail コマンドの入力倀チェックが甘い。  OSむンゞェクションが可胜 -> cgi の゜ヌスが芋えおしたう。
Web AP 脆匱性の実践 : ステヌゞ 2  環境準備しおる最䞭にも、ステヌゞ 1 の攻撃が続々  ステヌゞ 1 で䜿ったものず違う、ID ずパスワヌドでログ むンしおみよう  ステヌゞ 1 でゲットした、board.cgi にヒントが。  開始 10 分でヒント提瀺。  パスワヌド欄に SQL むンゞェクション。  「’ (シングルコヌテヌション)」がポむント。  「abc ‘ or 1=‘1」。  リアルタむムで、SQL が衚瀺される  実際に手を動かしお䜓隓するむベントもありたす  Capture The Flag (CTF) 東京で勉匷䌚やっおたす  次回セキュメロもこれでいきたしょう
グルヌプディスカッション発衚 #1 発泚・管理  「受入怜査されおない」「管理できおない」のが䞀番問題  発泚偎の問題  「芋た目重芖」で、その他は埌回し、ずいう意識。  スキル面で、具䜓的な技術は抑えおいない。  管理面で、玍期の厳しさがセキュリティに気を配る䜙裕を奪う。  受泚偎の問題  意識やスキルがピンからキリたでいろいろ。  瀟䌚環境的には  運甚方針  「リニュヌアル」などのむベントを契機ずしお、怜査をやるずか。  「チェックポむント」を劂䜕に蚭けるか。  その他  「サヌビス寿呜」の芖点で考える。「建築になぞらえる」  「良い Web AP 怜査ツヌル」があれば売れる
グルヌプディスカッション発衚 #1 発泚・管理  発衚で䜿われたマむンドマップ
グルヌプディスカッション発衚 #2 開発  コヌディングルヌルで決たる  芏玄のセキュリティレベルはどう決める  専門の郚眲で刀断。メゞャヌなアむテムは反映する方針で。  怜査に぀いお  盞互チェックができれば良いよね。䞀人だず䜙裕が無い  怜査ツヌルを䜿い、倧たかラむンを満たせるようにすればよい  実装  特殊文字をはじく、専甚のタグを䜿う。  正芏化に䜿うモゞュヌルでは、必芁 (芁件) に応じお穎を開ける。  たずめ  フレヌムワヌク採甚で、ルヌルに沿えば、(だいたい) 問題はおき ないのでは  アプリケヌションのパッチ間隔が短いけど、がんばっお適甚する
グルヌプディスカッション発衚 #2 開発  QA  Q1. 開発時に芋えない問題点はどうフォロヌする  A1. 保守メニュヌに、アプリケヌション改版だけでなく、むンフラ 面でのフォロヌも加える  Q2. パッチ適甚に䌎うコストはどう考える  A2. 圱響範囲ずコスト芋合いで、適甚可吊を決める
グルヌプディスカッション発衚 #3 その他  テヌマ自䜓が定たっおいない。  メンバヌは IT 系、䞭孊生(しかも発衚者)、蟲業の方  発衚内容は倧倉しっかりずしたものでした。  ナヌザずしお信頌できるサむトの決め方  技術レベル、組織の信頌性  孊校で教えおくれない。具䜓䟋をだしおみたら  J-SOX は䌁業しか察応しおない。  人 (スキルレベル) 䟝存のセキュリティ。  普通 (小芏暡) の環境では。。。  セキュリティに興味や関心がある。  でも、実態が぀いおこない。  「普通の人」の意識を䞊げるには
グルヌプディスカッション発衚 #4 運甹  メンバの困ったこず  ナヌザ (知らない人) に安党に䜿っおもらう必芁がある。  運甚ず開発が分かれるチヌム構成に問題。  䞭囜からきたメンバヌは、情報をすべお持ち垰りたがる。  攻撃を知る  「攻撃されたか」刀断するには、既存の攻撃を知るしかない。  ログベヌスでは、事象を埌から远うこずしかできない。  防ぐには  攻撃が無いから被害 (芋える効果) がない。  卵が先か、鶏が先か。  費甚察効果が説明できない。  パッチ (曎新プログラム) を圓おる (適甚する) 頻床  「出たら圓おる」「圓おおから考える」の方針ずすべきでは  パッチの芁吊をどう刀断するの
グルヌプディスカッション発衚 #4 運甹  システムのバヌゞョンアップ  運甚しおいる以䞊、䞊げる必芁はあるが。  離れたバヌゞョンのアップグレヌドに悩む  䟋えば、Windows 2000 Server から Windows Server 2008  情報の収集  情報の暹海から、どう信頌に足るものを遞び出すのか。  「セキュリティホヌル memo」が著名だけど、盲信するものでは ない。  補品の曎新情報は  Windows は情報提䟛されおいるが、OSS の堎合は  有償サポヌトを提䟛する䌁業はあるけど、小芏暡のずころでは契玄 し蟛い。  結局、サむバヌノヌガヌド戊法
グルヌプディスカッション発衚 #4 運甹  たずめ  蚀語の壁は蟛い。英語や䞭囜語。  情報収集を行おう、情報を共有しよう。  仮想環境を有効に (テストに) 䜿おう  VMware ESXi Server や Hyper-V など、無償で提䟛されおいるし。  QA  Windows Update, Linux の yum にある自動アップデヌトは  実際にサヌバ環境を自動アップデヌトにしおいるずころがあるが、 これたで問題が起きたこずがない
最埌に  䌚堎をご甚意いただいた、ひょうご情報教育機構(CMU 日 本校) の皆さん、い぀も感謝しおいたす。  スピヌカのたっちゃだいふくさん、本圓にありがずうござ いたす。  そしお、参加された皆さんありがずうございたす

More Related Content

ODP
ラむブコヌディングずデモで理解するWebセキュリティの基瀎
Takahisa Kishiya
 
PDF
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
 
PDF
Proxy War EPISODEⅡ
zaki4649
 
PPTX
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
 
PPTX
むンストヌルマニアックスお゙OSSの脆匱性をたくさん芋぀けたよ
Yuji Kazan
 
PDF
゜ヌスで孊ぶ脆匱性蚺断 - SmartTechGeeks #2
tobaru_yuta
 
PDF
Webアプリケヌション脆匱性蚺断に぀いお
tobaru_yuta
 
PDF
MongoDBの脆匱性蚺断 - smarttechgeeks
tobaru_yuta
 
ラむブコヌディングずデモで理解するWebセキュリティの基瀎
Takahisa Kishiya
 
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
 
Proxy War EPISODEⅡ
zaki4649
 
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
 
むンストヌルマニアックスお゙OSSの脆匱性をたくさん芋぀けたよ
Yuji Kazan
 
゜ヌスで孊ぶ脆匱性蚺断 - SmartTechGeeks #2
tobaru_yuta
 
Webアプリケヌション脆匱性蚺断に぀いお
tobaru_yuta
 
MongoDBの脆匱性蚺断 - smarttechgeeks
tobaru_yuta
 

Viewers also liked (7)

PPTX
Practical security
Ron van der Molen
 
PPT
Practical Network Security
Sudarsun Santhiappan
 
PDF
Tybsc it sem5 advanced java_practical_soln_downloadable
Ajit Vishwakarma
 
PPSX
Informática educação 1ª aula
jhecioosaki
 
PPT
Tools for Designing Distance Learning Instruction
Marsha J. Chan
 
PPT
The role of dissolution in the demonstration of bioequivalence
inemet
 
PDF
2572008184802manual medicamentos injetaveis
karol_ribeiro
 
Practical security
Ron van der Molen
 
Practical Network Security
Sudarsun Santhiappan
 
Tybsc it sem5 advanced java_practical_soln_downloadable
Ajit Vishwakarma
 
Informática educação 1ª aula
jhecioosaki
 
Tools for Designing Distance Learning Instruction
Marsha J. Chan
 
The role of dissolution in the demonstration of bioequivalence
inemet
 
2572008184802manual medicamentos injetaveis
karol_ribeiro
 
Ad

Similar to Kobe sec#7 summary (20)

PDF
Security issue201312
Riotaro OKADA
 
PPTX
HTML5 Web アプリケヌションのセキュリティ
地 村地
 
PPTX
春の脆匱性祭り 2017/06/13
dcubeio
 
PPTX
゚フスタ!!勉匷䌚#26 セキュリティず開発ず
Haga Takeshi
 
PPTX
セキュア開発の<s>3぀の</s>敵
Riotaro OKADA
 
PPT
セキュアプログラミング講座
minoru-ito
 
PDF
埳䞞本ができるたで
Hiroshi Tokumaru
 
PDF
Webアプリケヌションのセキュリティ
Tokai University
 
PDF
OWASPの歩き方How to walk_the_owasp
Sen Ueno
 
PDF
安党なWebアプリ構築1回
Project Samurai
 
PPTX
20170408 securiy-planning
hogehuga
 
PPTX
Browser andsecurity2015
地 村地
 
PDF
ずある蚺断員ず色々厄介な脆匱性達
zaki4649
 
PPT
SEから芋た情報セキュリティの課題
Katsuhide Hirai
 
PDF
デブサミ2013【15-C-8】セキュリティ芁求仕様モデルプランで日本は倉わるか癟瀬昌幞氏
Developers Summit
 
PDF
PHPカンファレンス2014セキュリティ察談資料
Yasuo Ohgaki
 
PDF
゜ヌスコヌド怜査に耐えるコヌドずは
Yasuo Ohgaki
 
PPTX
他人事ではないWebセキュリティ
Yosuke HASEGAWA
 
PPTX
䞊叞が信甚できない䌚瀟の内郚統制第32回WebSig䌚議「䟿利さず、怖さず、心匷さず〜戊う䌚瀟のための瀟内セキュリティ 2013幎のスタンダヌドずは...
WebSig24/7
 
PPTX
第32回WebSig䌚議オヌプニングセッション
WebSig24/7
 
Security issue201312
Riotaro OKADA
 
HTML5 Web アプリケヌションのセキュリティ
地 村地
 
春の脆匱性祭り 2017/06/13
dcubeio
 
゚フスタ!!勉匷䌚#26 セキュリティず開発ず
Haga Takeshi
 
セキュア開発の<s>3぀の</s>敵
Riotaro OKADA
 
セキュアプログラミング講座
minoru-ito
 
埳䞞本ができるたで
Hiroshi Tokumaru
 
Webアプリケヌションのセキュリティ
Tokai University
 
OWASPの歩き方How to walk_the_owasp
Sen Ueno
 
安党なWebアプリ構築1回
Project Samurai
 
20170408 securiy-planning
hogehuga
 
Browser andsecurity2015
地 村地
 
ずある蚺断員ず色々厄介な脆匱性達
zaki4649
 
SEから芋た情報セキュリティの課題
Katsuhide Hirai
 
デブサミ2013【15-C-8】セキュリティ芁求仕様モデルプランで日本は倉わるか癟瀬昌幞氏
Developers Summit
 
PHPカンファレンス2014セキュリティ察談資料
Yasuo Ohgaki
 
゜ヌスコヌド怜査に耐えるコヌドずは
Yasuo Ohgaki
 
他人事ではないWebセキュリティ
Yosuke HASEGAWA
 
䞊叞が信甚できない䌚瀟の内郚統制第32回WebSig䌚議「䟿利さず、怖さず、心匷さず〜戊う䌚瀟のための瀟内セキュリティ 2013幎のスタンダヌドずは...
WebSig24/7
 
第32回WebSig䌚議オヌプニングセッション
WebSig24/7
 
Ad

More from Yukio NAGAO (8)

PPT
Neta 20161119-after
Yukio NAGAO
 
PPT
Kobe sec#14 study
Yukio NAGAO
 
PDF
THK_ITS #5 2010.11.13
Yukio NAGAO
 
PDF
Atrandom.20101030
Yukio NAGAO
 
PDF
Matcha445.20101023
Yukio NAGAO
 
PDF
Kobe sec#8 summary
Yukio NAGAO
 
PDF
Kobe sec#11 summary
Yukio NAGAO
 
PDF
Kobe sec#12 summary
Yukio NAGAO
 
Neta 20161119-after
Yukio NAGAO
 
Kobe sec#14 study
Yukio NAGAO
 
THK_ITS #5 2010.11.13
Yukio NAGAO
 
Atrandom.20101030
Yukio NAGAO
 
Matcha445.20101023
Yukio NAGAO
 
Kobe sec#8 summary
Yukio NAGAO
 
Kobe sec#11 summary
Yukio NAGAO
 
Kobe sec#12 summary
Yukio NAGAO
 

Kobe sec#7 summary

  • 1. 第 7 回 神戞情報セキュリティ勉匷䌚 (セキュメロ) たずめ 2009幎01月10日
  • 2. スケゞュヌル 1. 自己玹介  「今幎のセキュリティの抱負」は  今回のテヌマ「Web アプリケヌションの脆匱性」ぞの興味。 2. Web AP 脆匱性の実践  簡単なレッスン (キヌワヌド玹介)  ステヌゞ 1 : Web 掲瀺板の改ざん  ステヌゞ 2 : 蚭定されおいないナヌザでログむン 3. グルヌプディスカッション 1. 発泚・管理の偎から、どのように行動すればよいか 2. 開発者ずしおどうすればよいか 3. その他、䞻にナヌザサむドずしお気にかけるずころは 4. 運甚・保守サむドで、どう行動すべきか
  • 3. 自己玹介#1  初参加 7 名です。ありがずうございたす  今幎のセキュリティ抱負  「セキュリティ」もマンネリ化だねぇ。  デモも反応薄いし、ドラマ (ブラックマンデヌ) ず違うし。  今幎は「セキュリティず゚ンタヌテむメント」をテヌマに  「セキュリティいろはカルタ スクリヌンセむバヌ」を  セキュリティの普及  分からない人に旚く説明できるようになりたい。  子どもが生たれたよ危険にさらしたくないね。  「閉じたネットワヌクのセキュリティ匱点」を指摘したい。  地方からの情報発信を 自分も「情報発信する偎」に回りたい。  「Firewall 監芖端末の私的利甚」ずいう事件から、「“なぜ” ポリシヌ を守らなければならないのか」に぀いお考える。  制玄だけじゃなく、メリットも提䟛しないず。
  • 4. 自己玹介#2  今幎のセキュリティ抱負  レベルアップ  詳しいずころを知りたい。䜓隓 (攻撃) しおみたい  P マヌク取埗を生暖かい目で芋぀぀、本質を芋極めたい。資栌も。  セキュリティの勉匷を続けたい。  開発ルヌルを䜜っおるけど、自分は AP 開発しおない。  知識の無い状態で運甚する䞍安。  Web AP は䞀通りやったので、䜎局 (NW) レむダに。  秋のアナリスト詊隓を合栌するために、業務経隓を積みたい。  犏岡から来たした。西日本は制芇したので、さらにいろんな勉匷䌚に。  その他  スパムメヌルを撲滅したい  むンシデントを起こさないよう。  Office ç³» AP もセキュリティは
  • 5. 自己玹介#3  Web アプリケヌションセキュリティぞの興味  知らない : 9%  䜓隓なし : 82% (キヌワヌド皋床は知っおる)  防埡できる : 3%  デモできる : 6%  期埅するずころ #1  勉匷䌚スタッフでも手を動かしたこず無い。ぜんぜんわかっおないし。  楜に、Secure AP を䜜りたい。  擬䌌環境を䜜っお職堎で䜓隓させおみたい。-> これは OK。  蚺断受けたら、ボロボロず。。。  AP 䜜っおるけど、祈りながら生掻する日々。。攻撃の怜知もしたい。  自䜜 AP に「倖郚にさらしたずき、安党なの」ずいう䞍安が。。。
  • 6. 自己玹介 #4  Web アプリケヌションセキュリティぞの興味  期埅するずころ #2  PHP 開発しお、「XSS ある」ず蚀われたけど、実際どうすれば  職堎でシステム管理。䜓隓型の教育の手本ずしたい。  Web トレヌドぞの䟵入をどうやっお怜知するの  某囜の䌚員サむトで委蚗業者の AP の蚺断しおもらったが、やはり䞍 安がある。  防埡の知識を身に぀けたい。  「安党なりェブサむトの䜜り方 (IPA)」は芋た。  「攻撃する人」を芋るこずが無い。初䜓隓  AP 開発の䞀郚をしたものの。。。  その他  指王認蚌が砎られた(テヌプ)地方空枯のセキュリティが甘い理由  "WordPress (PHP&MySQL のブログツヌル)" を普及させたい!
  • 7. Web AP 脆匱性の実践 : 簡単なレッスン  本日は 110 番の日です 絶察悪甚犁止  簡単な甚語説明  だいたい、以䞋のキヌワヌドは皆さんご存知でした。  SQL むンゞェクチョン  泚入(injection) が語源。SQL に限ったキヌワヌドではない。  XSS (Cross Site Scripting)  動䜜原理 : 入力デヌタが゚スケヌプされないたた HTML 䞭に出力され、 タグ文字などが HTML ず解釈されスクリプトずしお起動される。  OS コマンドむンゞェクション  OS のコマンドが泚入される 。  やられサヌバ  LAMP Appliance Linux をベヌスに。  Apache + Perl + MySQL の掲瀺板サむト
  • 8. Web AP 脆匱性の実践 : ステヌゞ 1  Web 掲瀺板の改ざんに挑戊  http://hostname.domain/~user/board/board.cgi  ナヌザずパスワヌドを提瀺  やられ環境は Packet Black Hole で監芖  OS コマンドむンゞェクション  開始 20 分でヒントを出す。  メヌルアドレス欄  入力倀「’| echo」  初の改ざんはヒント提瀺埌 5 分で。  1 番の人より、解説。  「Linux 環境」「OS コマンド」が鍵  「user@domain;echo abc > index.html」  sendmail コマンドの入力倀チェックが甘い。  OSむンゞェクションが可胜 -> cgi の゜ヌスが芋えおしたう。
  • 9. Web AP 脆匱性の実践 : ステヌゞ 2  環境準備しおる最䞭にも、ステヌゞ 1 の攻撃が続々  ステヌゞ 1 で䜿ったものず違う、ID ずパスワヌドでログ むンしおみよう  ステヌゞ 1 でゲットした、board.cgi にヒントが。  開始 10 分でヒント提瀺。  パスワヌド欄に SQL むンゞェクション。  「’ (シングルコヌテヌション)」がポむント。  「abc ‘ or 1=‘1」。  リアルタむムで、SQL が衚瀺される  実際に手を動かしお䜓隓するむベントもありたす  Capture The Flag (CTF) 東京で勉匷䌚やっおたす  次回セキュメロもこれでいきたしょう
  • 10. グルヌプディスカッション発衚 #1 発泚・管理  「受入怜査されおない」「管理できおない」のが䞀番問題  発泚偎の問題  「芋た目重芖」で、その他は埌回し、ずいう意識。  スキル面で、具䜓的な技術は抑えおいない。  管理面で、玍期の厳しさがセキュリティに気を配る䜙裕を奪う。  受泚偎の問題  意識やスキルがピンからキリたでいろいろ。  瀟䌚環境的には  運甚方針  「リニュヌアル」などのむベントを契機ずしお、怜査をやるずか。  「チェックポむント」を劂䜕に蚭けるか。  その他  「サヌビス寿呜」の芖点で考える。「建築になぞらえる」  「良い Web AP 怜査ツヌル」があれば売れる
  • 12. グルヌプディスカッション発衚 #2 開発  コヌディングルヌルで決たる  芏玄のセキュリティレベルはどう決める  専門の郚眲で刀断。メゞャヌなアむテムは反映する方針で。  怜査に぀いお  盞互チェックができれば良いよね。䞀人だず䜙裕が無い  怜査ツヌルを䜿い、倧たかラむンを満たせるようにすればよい  実装  特殊文字をはじく、専甚のタグを䜿う。  正芏化に䜿うモゞュヌルでは、必芁 (芁件) に応じお穎を開ける。  たずめ  フレヌムワヌク採甚で、ルヌルに沿えば、(だいたい) 問題はおき ないのでは  アプリケヌションのパッチ間隔が短いけど、がんばっお適甚する
  • 13. グルヌプディスカッション発衚 #2 開発  QA  Q1. 開発時に芋えない問題点はどうフォロヌする  A1. 保守メニュヌに、アプリケヌション改版だけでなく、むンフラ 面でのフォロヌも加える  Q2. パッチ適甚に䌎うコストはどう考える  A2. 圱響範囲ずコスト芋合いで、適甚可吊を決める
  • 14. グルヌプディスカッション発衚 #3 その他  テヌマ自䜓が定たっおいない。  メンバヌは IT 系、䞭孊生(しかも発衚者)、蟲業の方  発衚内容は倧倉しっかりずしたものでした。  ナヌザずしお信頌できるサむトの決め方  技術レベル、組織の信頌性  孊校で教えおくれない。具䜓䟋をだしおみたら  J-SOX は䌁業しか察応しおない。  人 (スキルレベル) 䟝存のセキュリティ。  普通 (小芏暡) の環境では。。。  セキュリティに興味や関心がある。  でも、実態が぀いおこない。  「普通の人」の意識を䞊げるには
  • 15. グルヌプディスカッション発衚 #4 運甹  メンバの困ったこず  ナヌザ (知らない人) に安党に䜿っおもらう必芁がある。  運甚ず開発が分かれるチヌム構成に問題。  䞭囜からきたメンバヌは、情報をすべお持ち垰りたがる。  攻撃を知る  「攻撃されたか」刀断するには、既存の攻撃を知るしかない。  ログベヌスでは、事象を埌から远うこずしかできない。  防ぐには  攻撃が無いから被害 (芋える効果) がない。  卵が先か、鶏が先か。  費甚察効果が説明できない。  パッチ (曎新プログラム) を圓おる (適甚する) 頻床  「出たら圓おる」「圓おおから考える」の方針ずすべきでは  パッチの芁吊をどう刀断するの
  • 16. グルヌプディスカッション発衚 #4 運甹  システムのバヌゞョンアップ  運甚しおいる以䞊、䞊げる必芁はあるが。  離れたバヌゞョンのアップグレヌドに悩む  䟋えば、Windows 2000 Server から Windows Server 2008  情報の収集  情報の暹海から、どう信頌に足るものを遞び出すのか。  「セキュリティホヌル memo」が著名だけど、盲信するものでは ない。  補品の曎新情報は  Windows は情報提䟛されおいるが、OSS の堎合は  有償サポヌトを提䟛する䌁業はあるけど、小芏暡のずころでは契玄 し蟛い。  結局、サむバヌノヌガヌド戊法
  • 17. グルヌプディスカッション発衚 #4 運甹  たずめ  蚀語の壁は蟛い。英語や䞭囜語。  情報収集を行おう、情報を共有しよう。  仮想環境を有効に (テストに) 䜿おう  VMware ESXi Server や Hyper-V など、無償で提䟛されおいるし。  QA  Windows Update, Linux の yum にある自動アップデヌトは  実際にサヌバ環境を自動アップデヌトにしおいるずころがあるが、 これたで問題が起きたこずがない
  • 18. 最埌に  䌚堎をご甚意いただいた、ひょうご情報教育機構(CMU 日 本校) の皆さん、い぀も感謝しおいたす。  スピヌカのたっちゃだいふくさん、本圓にありがずうござ いたす。  そしお、参加された皆さんありがずうございたす