狠狠撸

狠狠撸Share a Scribd company logo

夏休みのサイバー自由研究 (1)DockerコンテナでVuls!

Shiojiri Ohhara
Shiojiri Ohhara

「塩尻セキュリティ?ウィークエンド(SSWE)2018」 http://www.ndensan.co.jp/information/sswe2018.html 2018年8月25日(土)~26日(日)に塩尻情報プラザで開催されたSSWE2018の No.2-2「夏休みのサイバー自由研究 (1)DockerコンテナでVuls!」のスライドです。

1 of 18
Download to read offline
夏休みのサイバー自由研究 (1)DockerコンテナでVuls! 塩尻セキュリティ?ウィークエンド(SSWE) 2日目:2018年8月26日(日曜日) 会場:塩尻情報プラザ ?2018 Shinichiro Ohhara 12018/8/22
大原 慎一郎 ohhara@shiojiri.com (有)トラストネットワークス 長野県塩尻市 塩尻インキュベーションプラザ108号室 ●ITシステムに関するネットワークインフラ構築、サーバー構築、クラウド構築 ●及びその運用管理、付随するITセキュリティ対応 自己紹介 ?2018 Shinichiro Ohhara IPA登録のセキュリティプレゼンター 一般社団法人セキュリティ対策推進協議会 セキュリティサポーター サイバーセキュリティ普及啓発の一環として、毎年2月から3月にかけて官民連携サ イバーセキュリティ月間を政府の内閣サイバーセキュリティセンターが中心となって 行っています。 長野県塩尻市にて関連イベントとして2016年3月、2017年2月、2018年2月に サイバーセキュリティ勉强会を関係各所のご協力にて開催しました。 また発起人として情報セキュリティの講師も担当。 2018/8/22 2
?2018 Shinichiro Ohhara2018/8/22 3
アジェンダ 2018/8/22 ?2018 Shinichiro Ohhara 4 ? 脆弱性とは? ? セキュリティ?アップデート ? Linuxサーバーのアップデート ? セキュリティパッチの適用箇所 ? 脆弱性データベース ? 脆弱性診断 ? 脆弱性検知ツール「Vuls」 ? ハンズオン実習
脆弱性とは? 2018/8/22 ?2018 Shinichiro Ohhara 5 ? 一般的には「もろくて弱い」事を指しますが、コ ンピュータ?ネットワークの分野ではソフトウェア の欠陥?弱点として「セキュリティホール」とも呼 ばれます。 ? 脆弱性を悪用してマルウェア(悪意を持ったソ フトウェアの総称)などで悪意を持ったハッカー によりサイバー攻撃が仕掛けられます。
脆弱性とは? 2018/8/22 ?2018 Shinichiro Ohhara 6 ? 脆弱性の原因 – システム設計の不備 – 想定外の方法に対する対策不足 – プログラムコードのミス – 故意に仕掛けられたもの – 管理運用の人為的なミス ? 人間が作成する以上は脆弱性は無くならない
セキュリティ?アップデート 2018/8/22 ?2018 Shinichiro Ohhara 7 ? ソフトウェアのアップデート – 常に最新状態に更新(セキュリティパッチ適用) – サイバーセキュリティ対策の最優先事項 – セキュリティ専門家が重視している対策方法 ? 使用しないソフトウェアは削除 ? サポート期間が終わったソフトウェアは 使用しない
Linuxサーバーのアップデート 2018/8/22 ?2018 Shinichiro Ohhara 8 ? セキュリティ対策のアップデートしてますか? ? 脆弱性が放置されたLinux ?VPSやクラウドのインスタンスなどのサーバー ?IoT機器に組み込まれたLinux ? 踏み台として悪用されているLinuxサーバー ?DDoS攻撃の踏み台としてボットネットに悪用 ?スパムやマルウェアの配布元に悪用
セキュリティパッチの適用箇所 2018/8/22 ?2018 Shinichiro Ohhara 9 ? システム構成に応じて対応が違う ホストOS 仮想マシンOS コンテナ SYS APP LIB/DLL SYS APP LIB/DLL SYS APP LIB/DLL User APP User APP User APP
脆弱性データベース 2018/8/22 ?2018 Shinichiro Ohhara 10 ? National Vulnerability Database (NVD) https://nvd.nist.gov/ アメリカ国立標準技術研究所(National Institute of Standards and Technology、通称NIST)が管理している脆弱性情報データベース ? Japan Vulnerability Notes (JVN) http://jvn.jp JPCERT/CCと情報処理推進機構(IPA)が共同で管理している日本国内 でJPCERT/CCに申請のあった脆弱性情報データベース ? JVN iPedia http://jvndb.jvn.jp/ JVNと同様に共同管理、国内外問わず脆弱性情報を収集、蓄積すること を目的とした脆弱性情報データベース
脆弱性データベース 2018/8/22 ?2018 Shinichiro Ohhara 11 ? 共通脆弱性識別子(CVE) Common Vulnerabilities and Exposures 米国政府の支援を受けた非営利団体のMITRE社 (http://www.mitre.org/)が主要な脆弱性情報サイ トと連携して脆弱性情報の収集と重複の無い統一な 採番を行っています。 ? 採番形式: CVE-西暦-連番 ? CVE識別番号管理サイト (http://cve.mitre.org/)
脆弱性データベース 2018/8/22 ?2018 Shinichiro Ohhara 12 ? 共通脆弱性評価システム(CVSS) Common Vulnerability Scoring System 脆弱性の固有の深刻度を数値で示す ? CVSSv2と2015年6月10日に公開されたCVSSv3 がある CVSS V2 CVSS V3 注意(LOW) 0.0~3.9 注意(LOW) 0.1~3.9 警告(MEDIUM) 4.0~6.9 警告(MEDIUM) 4.0~6.9 危険(HIGH) 7.0~10.0 重要(HIGH) 7.0~8.9 緊急(CRITICAL) 9.0~10.0
脆弱性診断 2018/8/22 ?2018 Shinichiro Ohhara 13 ? 注意事項! ?本資料に記載の行為を自身の管理外のネットワー クやコンピューターに実行した場合には、サイバー 攻撃と判断され法的責任を負う場合があります。 ?自身の管理下であっても関係者に事前の承諾が 必要になる場合があります。 ?診断結果もセキュリティ情報になる為、関係者以 外には公開しない事を推奨します。 ?本資料に関わる行為に一切責任は負いません。
脆弱性診断 2018/8/22 ?2018 Shinichiro Ohhara 14 ? 脆弱性診断スキャナ ?セキュリティ対策パッチの適用状況を調査 ?脆弱性データベースに基いて集計 ?他にWebアプリケーションの動作調査などもある ? 定期的な実施が望ましい ?日々新しい脆弱性が発見される ?新たに追加したソフトウェアに診断が必要 ?緊急時には随時実施 ? セキュリティパッチの実施は別手段で
脆弱性診断 2018/8/22 ?2018 Shinichiro Ohhara 15 ? サーバー?ネットワーク脆弱性診断スキャナ ?Nmap ?Metasploit ?Nessus ?OpenVAS ?Vuls ? Webアプリケーション脆弱性診断スキャナ ?OWASP Zed Attack Proxy
脆弱性検知ツール「Vuls」 2018/8/22 ?2018 Shinichiro Ohhara 16
脆弱性検知ツール「Vuls」 2018/8/22 ?2018 Shinichiro Ohhara 17 ? VULnerability Scanner (Vuls) ?https://github.com/future-architect/vuls ?Linuxサーバー用の脆弱性スキャナ ?Debian、CentOS、Amazon Linux、RHEL、Oracle Linux、SUSE Enterprise LinuxおよびRaspbian、 FreeBSDに対応 ?クラウド、オンプレミス、コンテナ(Docker)に対応 ?エージェントレス ?非破壊スキャン(SSHでコマンド発行するだけ) ?開発言語go ?開発はフューチャーアーキテクト社(Kota Kanbe氏)
ハンズオン実習 2018/8/22 ?2018 Shinichiro Ohhara 18 ? 別途配布の資料(非公開)を参照 ? ハンズオン実習用のVPSを各自に用意 ? 各自がVPSにSSHにてログイン ? コンテナ環境のDockerをセットアップ ? DockerコンテナのVuls環境を構築 ? 自身のVPSをVulsで診断し結果を考察

Recommended

オープンソースで始める尝颈苍耻虫サーバー脆弱性诊断入门
オープンソースで始める尝颈苍耻虫サーバー脆弱性诊断入门オープンソースで始める尝颈苍耻虫サーバー脆弱性诊断入门
オープンソースで始める尝颈苍耻虫サーバー脆弱性诊断入门
Shiojiri Ohhara
?
【社内尝罢】バイタリフィ ライトニングトーク -セキュリティについて-
【社内尝罢】バイタリフィ ライトニングトーク -セキュリティについて-【社内尝罢】バイタリフィ ライトニングトーク -セキュリティについて-
【社内尝罢】バイタリフィ ライトニングトーク -セキュリティについて-
Vitalify.Inc
?
サイバーセキュリティ月间
サイバーセキュリティ月间サイバーセキュリティ月间
サイバーセキュリティ月间
地域连携ステーション フミコム
?
ランサムウェアのおはなし
ランサムウェアのおはなしランサムウェアのおはなし
ランサムウェアのおはなし
Shiojiri Ohhara
?
IETF MILE updates [ISOC-JP event, 2015/03/11]
IETF MILE updates [ISOC-JP event, 2015/03/11]IETF MILE updates [ISOC-JP event, 2015/03/11]
IETF MILE updates [ISOC-JP event, 2015/03/11]
Takeshi Takahashi
?
ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)
ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)
ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)
Masanori KAMAYAMA
?
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
Masanori KAMAYAMA
?
サイバーセキュリティアナリストやペンテスターに人気の入门资格って?
サイバーセキュリティアナリストやペンテスターに人気の入门资格って?サイバーセキュリティアナリストやペンテスターに人気の入门资格って?
サイバーセキュリティアナリストやペンテスターに人気の入门资格って?
Masanori KAMAYAMA
?
见えないから恐ろしい!标的型サイバー攻撃の胁威
见えないから恐ろしい!标的型サイバー攻撃の胁威见えないから恐ろしい!标的型サイバー攻撃の胁威
见えないから恐ろしい!标的型サイバー攻撃の胁威
Shiojiri Ohhara
?
ユーザーから见た别メールセキュリティ対策の実际
ユーザーから见た别メールセキュリティ対策の実际ユーザーから见た别メールセキュリティ対策の実际
ユーザーから见た别メールセキュリティ対策の実际
章 大泰司
?
『サイバーセキュリティ経営ガイドライン』开発现场への影响の话
『サイバーセキュリティ経営ガイドライン』开発现场への影响の话『サイバーセキュリティ経営ガイドライン』开発现场への影响の话
『サイバーセキュリティ経営ガイドライン』开発现场への影响の话
NHN テコラス株式会社
?
The Things Network Stack V3について
The Things Network Stack V3についてThe Things Network Stack V3について
The Things Network Stack V3について
CRI Japan, Inc.
?
店舗タブレット活用事例绍介セミナー
店舗タブレット活用事例绍介セミナー店舗タブレット活用事例绍介セミナー
店舗タブレット活用事例绍介セミナー
handbook_mktg
?
セキュア?アーキテクティング入門 (クラウド) 2020年4月13日
セキュア?アーキテクティング入門 (クラウド) 2020年4月13日セキュア?アーキテクティング入門 (クラウド) 2020年4月13日
セキュア?アーキテクティング入門 (クラウド) 2020年4月13日
Masanori KAMAYAMA
?
厂别肠贬补肠办365の绍介
厂别肠贬补肠办365の绍介厂别肠贬补肠办365の绍介
厂别肠贬补肠办365の绍介
Himitu Eightnote
?
骋丑颈蝉蝉耻别蝉のご绍介
骋丑颈蝉蝉耻别蝉のご绍介骋丑颈蝉蝉耻别蝉のご绍介
骋丑颈蝉蝉耻别蝉のご绍介
Yukimitsu Izawa
?
组込み(滨辞罢)机器开発者目线の情报セキュリティについて
组込み(滨辞罢)机器开発者目线の情报セキュリティについて组込み(滨辞罢)机器开発者目线の情报セキュリティについて
组込み(滨辞罢)机器开発者目线の情报セキュリティについて
Tetsuo Furuichi
?
八子クラウド座谈会事前配布资料20180929
八子クラウド座谈会事前配布资料20180929八子クラウド座谈会事前配布资料20180929
八子クラウド座谈会事前配布资料20180929
知礼 八子
?
Yakocloud(pre deliv) 20181215
Yakocloud(pre deliv) 20181215Yakocloud(pre deliv) 20181215
Yakocloud(pre deliv) 20181215
知礼 八子
?
サイバーセキュリティ勉强会2017 in 塩尻
サイバーセキュリティ勉强会2017 in 塩尻サイバーセキュリティ勉强会2017 in 塩尻
サイバーセキュリティ勉强会2017 in 塩尻
Shiojiri Ohhara
?
要求开発アライアンス 9月定例会议
要求开発アライアンス 9月定例会议要求开発アライアンス 9月定例会议
要求开発アライアンス 9月定例会议
Atsushi Takayasu
?
第30回八子クラウド座谈会 惭补补厂特集 事前配付资料
第30回八子クラウド座谈会 惭补补厂特集 事前配付资料第30回八子クラウド座谈会 惭补补厂特集 事前配付资料
第30回八子クラウド座谈会 惭补补厂特集 事前配付资料
知礼 八子
?
第8回八子クラウド座談会in関西(事前配布) 190202
第8回八子クラウド座談会in関西(事前配布) 190202第8回八子クラウド座談会in関西(事前配布) 190202
第8回八子クラウド座談会in関西(事前配布) 190202
知礼 八子
?
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
Tomohiro Nakashima
?
マルウェア流入対策のもうひと工夫~プロが厳选!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳选!低予算でもできる効果あるセキュリティ施策~マルウェア流入対策のもうひと工夫~プロが厳选!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳选!低予算でもできる効果あるセキュリティ施策~
Tomohiro Nakashima
?
2020年11月27日冲エストニアにおける电子政府施策の概観と日本への示唆
2020年11月27日冲エストニアにおける电子政府施策の概観と日本への示唆2020年11月27日冲エストニアにおける电子政府施策の概観と日本への示唆
2020年11月27日冲エストニアにおける电子政府施策の概観と日本への示唆
Hiroyuki Kurimoto
?
Dev sumi 14-e-1-クラウト?セキュリティ
Dev sumi 14-e-1-クラウト?セキュリティDev sumi 14-e-1-クラウト?セキュリティ
Dev sumi 14-e-1-クラウト?セキュリティ
Shoji Kawano
?
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
法林浩之
?
20160426 e io_tlt企画
20160426 e io_tlt企画20160426 e io_tlt企画
20160426 e io_tlt企画
Masashi Okawa
?
滨辞罢共创ラボ発表资料冲罢滨厂冲20180327
滨辞罢共创ラボ発表资料冲罢滨厂冲20180327滨辞罢共创ラボ発表资料冲罢滨厂冲20180327
滨辞罢共创ラボ発表资料冲罢滨厂冲20180327
Shingo Mori
?

More Related Content

What's hot (8)

见えないから恐ろしい!标的型サイバー攻撃の胁威
见えないから恐ろしい!标的型サイバー攻撃の胁威见えないから恐ろしい!标的型サイバー攻撃の胁威
见えないから恐ろしい!标的型サイバー攻撃の胁威
Shiojiri Ohhara
?
ユーザーから见た别メールセキュリティ対策の実际
ユーザーから见た别メールセキュリティ対策の実际ユーザーから见た别メールセキュリティ対策の実际
ユーザーから见た别メールセキュリティ対策の実际
章 大泰司
?
『サイバーセキュリティ経営ガイドライン』开発现场への影响の话
『サイバーセキュリティ経営ガイドライン』开発现场への影响の话『サイバーセキュリティ経営ガイドライン』开発现场への影响の话
『サイバーセキュリティ経営ガイドライン』开発现场への影响の话
NHN テコラス株式会社
?
The Things Network Stack V3について
The Things Network Stack V3についてThe Things Network Stack V3について
The Things Network Stack V3について
CRI Japan, Inc.
?
店舗タブレット活用事例绍介セミナー
店舗タブレット活用事例绍介セミナー店舗タブレット活用事例绍介セミナー
店舗タブレット活用事例绍介セミナー
handbook_mktg
?
セキュア?アーキテクティング入門 (クラウド) 2020年4月13日
セキュア?アーキテクティング入門 (クラウド) 2020年4月13日セキュア?アーキテクティング入門 (クラウド) 2020年4月13日
セキュア?アーキテクティング入門 (クラウド) 2020年4月13日
Masanori KAMAYAMA
?
厂别肠贬补肠办365の绍介
厂别肠贬补肠办365の绍介厂别肠贬补肠办365の绍介
厂别肠贬补肠办365の绍介
Himitu Eightnote
?
骋丑颈蝉蝉耻别蝉のご绍介
骋丑颈蝉蝉耻别蝉のご绍介骋丑颈蝉蝉耻别蝉のご绍介
骋丑颈蝉蝉耻别蝉のご绍介
Yukimitsu Izawa
?
见えないから恐ろしい!标的型サイバー攻撃の胁威
见えないから恐ろしい!标的型サイバー攻撃の胁威见えないから恐ろしい!标的型サイバー攻撃の胁威
见えないから恐ろしい!标的型サイバー攻撃の胁威
Shiojiri Ohhara
?
ユーザーから见た别メールセキュリティ対策の実际
ユーザーから见た别メールセキュリティ対策の実际ユーザーから见た别メールセキュリティ対策の実际
ユーザーから见た别メールセキュリティ対策の実际
章 大泰司
?
『サイバーセキュリティ経営ガイドライン』开発现场への影响の话
『サイバーセキュリティ経営ガイドライン』开発现场への影响の话『サイバーセキュリティ経営ガイドライン』开発现场への影响の话
『サイバーセキュリティ経営ガイドライン』开発现场への影响の话
NHN テコラス株式会社
?
The Things Network Stack V3について
The Things Network Stack V3についてThe Things Network Stack V3について
The Things Network Stack V3について
CRI Japan, Inc.
?
店舗タブレット活用事例绍介セミナー
店舗タブレット活用事例绍介セミナー店舗タブレット活用事例绍介セミナー
店舗タブレット活用事例绍介セミナー
handbook_mktg
?
セキュア?アーキテクティング入門 (クラウド) 2020年4月13日
セキュア?アーキテクティング入門 (クラウド) 2020年4月13日セキュア?アーキテクティング入門 (クラウド) 2020年4月13日
セキュア?アーキテクティング入門 (クラウド) 2020年4月13日
Masanori KAMAYAMA
?
厂别肠贬补肠办365の绍介
厂别肠贬补肠办365の绍介厂别肠贬补肠办365の绍介
厂别肠贬补肠办365の绍介
Himitu Eightnote
?
骋丑颈蝉蝉耻别蝉のご绍介
骋丑颈蝉蝉耻别蝉のご绍介骋丑颈蝉蝉耻别蝉のご绍介
骋丑颈蝉蝉耻别蝉のご绍介
Yukimitsu Izawa
?

Similar to 夏休みのサイバー自由研究 (1)DockerコンテナでVuls! (20)

组込み(滨辞罢)机器开発者目线の情报セキュリティについて
组込み(滨辞罢)机器开発者目线の情报セキュリティについて组込み(滨辞罢)机器开発者目线の情报セキュリティについて
组込み(滨辞罢)机器开発者目线の情报セキュリティについて
Tetsuo Furuichi
?
八子クラウド座谈会事前配布资料20180929
八子クラウド座谈会事前配布资料20180929八子クラウド座谈会事前配布资料20180929
八子クラウド座谈会事前配布资料20180929
知礼 八子
?
Yakocloud(pre deliv) 20181215
Yakocloud(pre deliv) 20181215Yakocloud(pre deliv) 20181215
Yakocloud(pre deliv) 20181215
知礼 八子
?
サイバーセキュリティ勉强会2017 in 塩尻
サイバーセキュリティ勉强会2017 in 塩尻サイバーセキュリティ勉强会2017 in 塩尻
サイバーセキュリティ勉强会2017 in 塩尻
Shiojiri Ohhara
?
要求开発アライアンス 9月定例会议
要求开発アライアンス 9月定例会议要求开発アライアンス 9月定例会议
要求开発アライアンス 9月定例会议
Atsushi Takayasu
?
第30回八子クラウド座谈会 惭补补厂特集 事前配付资料
第30回八子クラウド座谈会 惭补补厂特集 事前配付资料第30回八子クラウド座谈会 惭补补厂特集 事前配付资料
第30回八子クラウド座谈会 惭补补厂特集 事前配付资料
知礼 八子
?
第8回八子クラウド座談会in関西(事前配布) 190202
第8回八子クラウド座談会in関西(事前配布) 190202第8回八子クラウド座談会in関西(事前配布) 190202
第8回八子クラウド座談会in関西(事前配布) 190202
知礼 八子
?
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
Tomohiro Nakashima
?
マルウェア流入対策のもうひと工夫~プロが厳选!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳选!低予算でもできる効果あるセキュリティ施策~マルウェア流入対策のもうひと工夫~プロが厳选!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳选!低予算でもできる効果あるセキュリティ施策~
Tomohiro Nakashima
?
2020年11月27日冲エストニアにおける电子政府施策の概観と日本への示唆
2020年11月27日冲エストニアにおける电子政府施策の概観と日本への示唆2020年11月27日冲エストニアにおける电子政府施策の概観と日本への示唆
2020年11月27日冲エストニアにおける电子政府施策の概観と日本への示唆
Hiroyuki Kurimoto
?
Dev sumi 14-e-1-クラウト?セキュリティ
Dev sumi 14-e-1-クラウト?セキュリティDev sumi 14-e-1-クラウト?セキュリティ
Dev sumi 14-e-1-クラウト?セキュリティ
Shoji Kawano
?
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
法林浩之
?
20160426 e io_tlt企画
20160426 e io_tlt企画20160426 e io_tlt企画
20160426 e io_tlt企画
Masashi Okawa
?
滨辞罢共创ラボ発表资料冲罢滨厂冲20180327
滨辞罢共创ラボ発表资料冲罢滨厂冲20180327滨辞罢共创ラボ発表资料冲罢滨厂冲20180327
滨辞罢共创ラボ発表资料冲罢滨厂冲20180327
Shingo Mori
?
非金融分野のブロックチェーン/分散台帳技術と IoTセキュリティ
非金融分野のブロックチェーン/分散台帳技術と IoTセキュリティ非金融分野のブロックチェーン/分散台帳技術と IoTセキュリティ
非金融分野のブロックチェーン/分散台帳技術と IoTセキュリティ
Eiji Sasahara, Ph.D., MBA 笹原英司
?
エンタープライズIoTLT vol11 opening
エンタープライズIoTLT vol11 openingエンタープライズIoTLT vol11 opening
エンタープライズIoTLT vol11 opening
Masashi Okawa
?
『イスラエルブロックチェーン最前線』_Pitch Tokyo #1 (2018-19)_Aniwo
『イスラエルブロックチェーン最前線』_Pitch Tokyo #1 (2018-19)_Aniwo『イスラエルブロックチェーン最前線』_Pitch Tokyo #1 (2018-19)_Aniwo
『イスラエルブロックチェーン最前線』_Pitch Tokyo #1 (2018-19)_Aniwo
Pitch Tokyo powered by Aniwo
?
20200129 jawsug bgnr22
20200129 jawsug bgnr2220200129 jawsug bgnr22
20200129 jawsug bgnr22
Kahori Takeda
?
00 ozawa
00 ozawa00 ozawa
00 ozawa
i-construction
?
滨辞罢セキュリティの课题
滨辞罢セキュリティの课题滨辞罢セキュリティの课题
滨辞罢セキュリティの课题
Trainocate Japan, Ltd.
?
组込み(滨辞罢)机器开発者目线の情报セキュリティについて
组込み(滨辞罢)机器开発者目线の情报セキュリティについて组込み(滨辞罢)机器开発者目线の情报セキュリティについて
组込み(滨辞罢)机器开発者目线の情报セキュリティについて
Tetsuo Furuichi
?
八子クラウド座谈会事前配布资料20180929
八子クラウド座谈会事前配布资料20180929八子クラウド座谈会事前配布资料20180929
八子クラウド座谈会事前配布资料20180929
知礼 八子
?
Yakocloud(pre deliv) 20181215
Yakocloud(pre deliv) 20181215Yakocloud(pre deliv) 20181215
Yakocloud(pre deliv) 20181215
知礼 八子
?
サイバーセキュリティ勉强会2017 in 塩尻
サイバーセキュリティ勉强会2017 in 塩尻サイバーセキュリティ勉强会2017 in 塩尻
サイバーセキュリティ勉强会2017 in 塩尻
Shiojiri Ohhara
?
要求开発アライアンス 9月定例会议
要求开発アライアンス 9月定例会议要求开発アライアンス 9月定例会议
要求开発アライアンス 9月定例会议
Atsushi Takayasu
?
第30回八子クラウド座谈会 惭补补厂特集 事前配付资料
第30回八子クラウド座谈会 惭补补厂特集 事前配付资料第30回八子クラウド座谈会 惭补补厂特集 事前配付资料
第30回八子クラウド座谈会 惭补补厂特集 事前配付资料
知礼 八子
?
第8回八子クラウド座談会in関西(事前配布) 190202
第8回八子クラウド座談会in関西(事前配布) 190202第8回八子クラウド座談会in関西(事前配布) 190202
第8回八子クラウド座談会in関西(事前配布) 190202
知礼 八子
?
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
Tomohiro Nakashima
?
マルウェア流入対策のもうひと工夫~プロが厳选!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳选!低予算でもできる効果あるセキュリティ施策~マルウェア流入対策のもうひと工夫~プロが厳选!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳选!低予算でもできる効果あるセキュリティ施策~
Tomohiro Nakashima
?
2020年11月27日冲エストニアにおける电子政府施策の概観と日本への示唆
2020年11月27日冲エストニアにおける电子政府施策の概観と日本への示唆2020年11月27日冲エストニアにおける电子政府施策の概観と日本への示唆
2020年11月27日冲エストニアにおける电子政府施策の概観と日本への示唆
Hiroyuki Kurimoto
?
Dev sumi 14-e-1-クラウト?セキュリティ
Dev sumi 14-e-1-クラウト?セキュリティDev sumi 14-e-1-クラウト?セキュリティ
Dev sumi 14-e-1-クラウト?セキュリティ
Shoji Kawano
?
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
法林浩之
?
20160426 e io_tlt企画
20160426 e io_tlt企画20160426 e io_tlt企画
20160426 e io_tlt企画
Masashi Okawa
?
滨辞罢共创ラボ発表资料冲罢滨厂冲20180327
滨辞罢共创ラボ発表资料冲罢滨厂冲20180327滨辞罢共创ラボ発表资料冲罢滨厂冲20180327
滨辞罢共创ラボ発表资料冲罢滨厂冲20180327
Shingo Mori
?
非金融分野のブロックチェーン/分散台帳技術と IoTセキュリティ
非金融分野のブロックチェーン/分散台帳技術と IoTセキュリティ非金融分野のブロックチェーン/分散台帳技術と IoTセキュリティ
非金融分野のブロックチェーン/分散台帳技術と IoTセキュリティ
Eiji Sasahara, Ph.D., MBA 笹原英司
?
エンタープライズIoTLT vol11 opening
エンタープライズIoTLT vol11 openingエンタープライズIoTLT vol11 opening
エンタープライズIoTLT vol11 opening
Masashi Okawa
?
『イスラエルブロックチェーン最前線』_Pitch Tokyo #1 (2018-19)_Aniwo
『イスラエルブロックチェーン最前線』_Pitch Tokyo #1 (2018-19)_Aniwo『イスラエルブロックチェーン最前線』_Pitch Tokyo #1 (2018-19)_Aniwo
『イスラエルブロックチェーン最前線』_Pitch Tokyo #1 (2018-19)_Aniwo
Pitch Tokyo powered by Aniwo
?
20200129 jawsug bgnr22
20200129 jawsug bgnr2220200129 jawsug bgnr22
20200129 jawsug bgnr22
Kahori Takeda
?
00 ozawa
00 ozawa00 ozawa
00 ozawa
i-construction
?
滨辞罢セキュリティの课题
滨辞罢セキュリティの课题滨辞罢セキュリティの课题
滨辞罢セキュリティの课题
Trainocate Japan, Ltd.
?

More from Shiojiri Ohhara (20)

フィッシングとドメイン名?顿狈厂
フィッシングとドメイン名?顿狈厂フィッシングとドメイン名?顿狈厂
フィッシングとドメイン名?顿狈厂
Shiojiri Ohhara
?
フィッシングメール
フィッシングメールフィッシングメール
フィッシングメール
Shiojiri Ohhara
?
転ばぬ先の杖 Windows Update
転ばぬ先の杖 Windows Update転ばぬ先の杖 Windows Update
転ばぬ先の杖 Windows Update
Shiojiri Ohhara
?
フィッシングメールの绍介と対策
フィッシングメールの绍介と対策フィッシングメールの绍介と対策
フィッシングメールの绍介と対策
Shiojiri Ohhara
?
パスワード再入门
パスワード再入门パスワード再入门
パスワード再入门
Shiojiri Ohhara
?
Docker勉強会2017 最新基礎?応用編
Docker勉強会2017 最新基礎?応用編Docker勉強会2017 最新基礎?応用編
Docker勉強会2017 最新基礎?応用編
Shiojiri Ohhara
?
Docker勉強会2017 実践編 スライド
Docker勉強会2017 実践編 スライドDocker勉強会2017 実践編 スライド
Docker勉強会2017 実践編 スライド
Shiojiri Ohhara
?
Docker 再入門 2016 update
Docker 再入門 2016 updateDocker 再入門 2016 update
Docker 再入門 2016 update
Shiojiri Ohhara
?
顿狈厂とサイバー攻撃
顿狈厂とサイバー攻撃顿狈厂とサイバー攻撃
顿狈厂とサイバー攻撃
Shiojiri Ohhara
?
Open stack 勉強会 in 塩尻
Open stack 勉強会 in 塩尻Open stack 勉強会 in 塩尻
Open stack 勉強会 in 塩尻
Shiojiri Ohhara
?
サイバーセキュリティ勉强会
サイバーセキュリティ勉强会サイバーセキュリティ勉强会
サイバーセキュリティ勉强会
Shiojiri Ohhara
?
小型コンピューターで楽しく学ぼう!
小型コンピューターで楽しく学ぼう!小型コンピューターで楽しく学ぼう!
小型コンピューターで楽しく学ぼう!
Shiojiri Ohhara
?
Ubuntu LibreOffice Update
Ubuntu LibreOffice UpdateUbuntu LibreOffice Update
Ubuntu LibreOffice Update
Shiojiri Ohhara
?
顿辞肠办别谤入门
顿辞肠办别谤入门顿辞肠办别谤入门
顿辞肠办别谤入门
Shiojiri Ohhara
?
CentOS 7 入門
CentOS 7 入門CentOS 7 入門
CentOS 7 入門
Shiojiri Ohhara
?
松本Linux勉強会 SSH 暗号化と認証のプロトコル
松本Linux勉強会 SSH 暗号化と認証のプロトコル松本Linux勉強会 SSH 暗号化と認証のプロトコル
松本Linux勉強会 SSH 暗号化と認証のプロトコル
Shiojiri Ohhara
?
松本尝颈苍耻虫勉强会 惫补驳谤补苍迟入门
松本尝颈苍耻虫勉强会 惫补驳谤补苍迟入门松本尝颈苍耻虫勉强会 惫补驳谤补苍迟入门
松本尝颈苍耻虫勉强会 惫补驳谤补苍迟入门
Shiojiri Ohhara
?
厂辞濒补勉强会 蝉蝉丑再入门
厂辞濒补勉强会 蝉蝉丑再入门厂辞濒补勉强会 蝉蝉丑再入门
厂辞濒补勉强会 蝉蝉丑再入门
Shiojiri Ohhara
?
厂辞濒补勉强会 肠丑别蹿入门 続编
厂辞濒补勉强会 肠丑别蹿入门 続编厂辞濒补勉强会 肠丑别蹿入门 続编
厂辞濒补勉强会 肠丑别蹿入门 続编
Shiojiri Ohhara
?
厂辞濒补勉强会 肠丑别蹿入门
厂辞濒补勉强会 肠丑别蹿入门厂辞濒补勉强会 肠丑别蹿入门
厂辞濒补勉强会 肠丑别蹿入门
Shiojiri Ohhara
?
フィッシングとドメイン名?顿狈厂
フィッシングとドメイン名?顿狈厂フィッシングとドメイン名?顿狈厂
フィッシングとドメイン名?顿狈厂
Shiojiri Ohhara
?
フィッシングメール
フィッシングメールフィッシングメール
フィッシングメール
Shiojiri Ohhara
?
転ばぬ先の杖 Windows Update
転ばぬ先の杖 Windows Update転ばぬ先の杖 Windows Update
転ばぬ先の杖 Windows Update
Shiojiri Ohhara
?
フィッシングメールの绍介と対策
フィッシングメールの绍介と対策フィッシングメールの绍介と対策
フィッシングメールの绍介と対策
Shiojiri Ohhara
?
パスワード再入门
パスワード再入门パスワード再入门
パスワード再入门
Shiojiri Ohhara
?
Docker勉強会2017 最新基礎?応用編
Docker勉強会2017 最新基礎?応用編Docker勉強会2017 最新基礎?応用編
Docker勉強会2017 最新基礎?応用編
Shiojiri Ohhara
?
Docker勉強会2017 実践編 スライド
Docker勉強会2017 実践編 スライドDocker勉強会2017 実践編 スライド
Docker勉強会2017 実践編 スライド
Shiojiri Ohhara
?
Docker 再入門 2016 update
Docker 再入門 2016 updateDocker 再入門 2016 update
Docker 再入門 2016 update
Shiojiri Ohhara
?
顿狈厂とサイバー攻撃
顿狈厂とサイバー攻撃顿狈厂とサイバー攻撃
顿狈厂とサイバー攻撃
Shiojiri Ohhara
?
Open stack 勉強会 in 塩尻
Open stack 勉強会 in 塩尻Open stack 勉強会 in 塩尻
Open stack 勉強会 in 塩尻
Shiojiri Ohhara
?
サイバーセキュリティ勉强会
サイバーセキュリティ勉强会サイバーセキュリティ勉强会
サイバーセキュリティ勉强会
Shiojiri Ohhara
?
小型コンピューターで楽しく学ぼう!
小型コンピューターで楽しく学ぼう!小型コンピューターで楽しく学ぼう!
小型コンピューターで楽しく学ぼう!
Shiojiri Ohhara
?
Ubuntu LibreOffice Update
Ubuntu LibreOffice UpdateUbuntu LibreOffice Update
Ubuntu LibreOffice Update
Shiojiri Ohhara
?
顿辞肠办别谤入门
顿辞肠办别谤入门顿辞肠办别谤入门
顿辞肠办别谤入门
Shiojiri Ohhara
?
CentOS 7 入門
CentOS 7 入門CentOS 7 入門
CentOS 7 入門
Shiojiri Ohhara
?
松本Linux勉強会 SSH 暗号化と認証のプロトコル
松本Linux勉強会 SSH 暗号化と認証のプロトコル松本Linux勉強会 SSH 暗号化と認証のプロトコル
松本Linux勉強会 SSH 暗号化と認証のプロトコル
Shiojiri Ohhara
?
松本尝颈苍耻虫勉强会 惫补驳谤补苍迟入门
松本尝颈苍耻虫勉强会 惫补驳谤补苍迟入门松本尝颈苍耻虫勉强会 惫补驳谤补苍迟入门
松本尝颈苍耻虫勉强会 惫补驳谤补苍迟入门
Shiojiri Ohhara
?
厂辞濒补勉强会 蝉蝉丑再入门
厂辞濒补勉强会 蝉蝉丑再入门厂辞濒补勉强会 蝉蝉丑再入门
厂辞濒补勉强会 蝉蝉丑再入门
Shiojiri Ohhara
?
厂辞濒补勉强会 肠丑别蹿入门 続编
厂辞濒补勉强会 肠丑别蹿入门 続编厂辞濒补勉强会 肠丑别蹿入门 続编
厂辞濒补勉强会 肠丑别蹿入门 続编
Shiojiri Ohhara
?
厂辞濒补勉强会 肠丑别蹿入门
厂辞濒补勉强会 肠丑别蹿入门厂辞濒补勉强会 肠丑别蹿入门
厂辞濒补勉强会 肠丑别蹿入门
Shiojiri Ohhara
?

夏休みのサイバー自由研究 (1)DockerコンテナでVuls!

  • 2. 大原 慎一郎 ohhara@shiojiri.com (有)トラストネットワークス 長野県塩尻市 塩尻インキュベーションプラザ108号室 ●ITシステムに関するネットワークインフラ構築、サーバー構築、クラウド構築 ●及びその運用管理、付随するITセキュリティ対応 自己紹介 ?2018 Shinichiro Ohhara IPA登録のセキュリティプレゼンター 一般社団法人セキュリティ対策推進協議会 セキュリティサポーター サイバーセキュリティ普及啓発の一環として、毎年2月から3月にかけて官民連携サ イバーセキュリティ月間を政府の内閣サイバーセキュリティセンターが中心となって 行っています。 長野県塩尻市にて関連イベントとして2016年3月、2017年2月、2018年2月に サイバーセキュリティ勉强会を関係各所のご協力にて開催しました。 また発起人として情報セキュリティの講師も担当。 2018/8/22 2
  • 4. アジェンダ 2018/8/22 ?2018 Shinichiro Ohhara 4 ? 脆弱性とは? ? セキュリティ?アップデート ? Linuxサーバーのアップデート ? セキュリティパッチの適用箇所 ? 脆弱性データベース ? 脆弱性診断 ? 脆弱性検知ツール「Vuls」 ? ハンズオン実習
  • 5. 脆弱性とは? 2018/8/22 ?2018 Shinichiro Ohhara 5 ? 一般的には「もろくて弱い」事を指しますが、コ ンピュータ?ネットワークの分野ではソフトウェア の欠陥?弱点として「セキュリティホール」とも呼 ばれます。 ? 脆弱性を悪用してマルウェア(悪意を持ったソ フトウェアの総称)などで悪意を持ったハッカー によりサイバー攻撃が仕掛けられます。
  • 6. 脆弱性とは? 2018/8/22 ?2018 Shinichiro Ohhara 6 ? 脆弱性の原因 – システム設計の不備 – 想定外の方法に対する対策不足 – プログラムコードのミス – 故意に仕掛けられたもの – 管理運用の人為的なミス ? 人間が作成する以上は脆弱性は無くならない
  • 7. セキュリティ?アップデート 2018/8/22 ?2018 Shinichiro Ohhara 7 ? ソフトウェアのアップデート – 常に最新状態に更新(セキュリティパッチ適用) – サイバーセキュリティ対策の最優先事項 – セキュリティ専門家が重視している対策方法 ? 使用しないソフトウェアは削除 ? サポート期間が終わったソフトウェアは 使用しない
  • 8. Linuxサーバーのアップデート 2018/8/22 ?2018 Shinichiro Ohhara 8 ? セキュリティ対策のアップデートしてますか? ? 脆弱性が放置されたLinux ?VPSやクラウドのインスタンスなどのサーバー ?IoT機器に組み込まれたLinux ? 踏み台として悪用されているLinuxサーバー ?DDoS攻撃の踏み台としてボットネットに悪用 ?スパムやマルウェアの配布元に悪用
  • 9. セキュリティパッチの適用箇所 2018/8/22 ?2018 Shinichiro Ohhara 9 ? システム構成に応じて対応が違う ホストOS 仮想マシンOS コンテナ SYS APP LIB/DLL SYS APP LIB/DLL SYS APP LIB/DLL User APP User APP User APP
  • 10. 脆弱性データベース 2018/8/22 ?2018 Shinichiro Ohhara 10 ? National Vulnerability Database (NVD) https://nvd.nist.gov/ アメリカ国立標準技術研究所(National Institute of Standards and Technology、通称NIST)が管理している脆弱性情報データベース ? Japan Vulnerability Notes (JVN) http://jvn.jp JPCERT/CCと情報処理推進機構(IPA)が共同で管理している日本国内 でJPCERT/CCに申請のあった脆弱性情報データベース ? JVN iPedia http://jvndb.jvn.jp/ JVNと同様に共同管理、国内外問わず脆弱性情報を収集、蓄積すること を目的とした脆弱性情報データベース
  • 11. 脆弱性データベース 2018/8/22 ?2018 Shinichiro Ohhara 11 ? 共通脆弱性識別子(CVE) Common Vulnerabilities and Exposures 米国政府の支援を受けた非営利団体のMITRE社 (http://www.mitre.org/)が主要な脆弱性情報サイ トと連携して脆弱性情報の収集と重複の無い統一な 採番を行っています。 ? 採番形式: CVE-西暦-連番 ? CVE識別番号管理サイト (http://cve.mitre.org/)
  • 12. 脆弱性データベース 2018/8/22 ?2018 Shinichiro Ohhara 12 ? 共通脆弱性評価システム(CVSS) Common Vulnerability Scoring System 脆弱性の固有の深刻度を数値で示す ? CVSSv2と2015年6月10日に公開されたCVSSv3 がある CVSS V2 CVSS V3 注意(LOW) 0.0~3.9 注意(LOW) 0.1~3.9 警告(MEDIUM) 4.0~6.9 警告(MEDIUM) 4.0~6.9 危険(HIGH) 7.0~10.0 重要(HIGH) 7.0~8.9 緊急(CRITICAL) 9.0~10.0
  • 13. 脆弱性診断 2018/8/22 ?2018 Shinichiro Ohhara 13 ? 注意事項! ?本資料に記載の行為を自身の管理外のネットワー クやコンピューターに実行した場合には、サイバー 攻撃と判断され法的責任を負う場合があります。 ?自身の管理下であっても関係者に事前の承諾が 必要になる場合があります。 ?診断結果もセキュリティ情報になる為、関係者以 外には公開しない事を推奨します。 ?本資料に関わる行為に一切責任は負いません。
  • 14. 脆弱性診断 2018/8/22 ?2018 Shinichiro Ohhara 14 ? 脆弱性診断スキャナ ?セキュリティ対策パッチの適用状況を調査 ?脆弱性データベースに基いて集計 ?他にWebアプリケーションの動作調査などもある ? 定期的な実施が望ましい ?日々新しい脆弱性が発見される ?新たに追加したソフトウェアに診断が必要 ?緊急時には随時実施 ? セキュリティパッチの実施は別手段で
  • 15. 脆弱性診断 2018/8/22 ?2018 Shinichiro Ohhara 15 ? サーバー?ネットワーク脆弱性診断スキャナ ?Nmap ?Metasploit ?Nessus ?OpenVAS ?Vuls ? Webアプリケーション脆弱性診断スキャナ ?OWASP Zed Attack Proxy
  • 17. 脆弱性検知ツール「Vuls」 2018/8/22 ?2018 Shinichiro Ohhara 17 ? VULnerability Scanner (Vuls) ?https://github.com/future-architect/vuls ?Linuxサーバー用の脆弱性スキャナ ?Debian、CentOS、Amazon Linux、RHEL、Oracle Linux、SUSE Enterprise LinuxおよびRaspbian、 FreeBSDに対応 ?クラウド、オンプレミス、コンテナ(Docker)に対応 ?エージェントレス ?非破壊スキャン(SSHでコマンド発行するだけ) ?開発言語go ?開発はフューチャーアーキテクト社(Kota Kanbe氏)
  • 18. ハンズオン実習 2018/8/22 ?2018 Shinichiro Ohhara 18 ? 別途配布の資料(非公開)を参照 ? ハンズオン実習用のVPSを各自に用意 ? 各自がVPSにSSHにてログイン ? コンテナ環境のDockerをセットアップ ? DockerコンテナのVuls環境を構築 ? 自身のVPSをVulsで診断し結果を考察
AboutCopyright
? 2025 狠狠撸