なせ?自社て?脆弱性诊断を行うへ?きなのか
34 likes16,295 views
なぜ自社でWebアプリケーション脆弱性診断を行うべきなのか。自動と手動の脆弱性診断のやり方、自社でやる意義、予算のかけ方などを紹介しています。 参考文献はこちら:Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術 http://www.shoeisha.co.jp/book/detail/9784798145624 2017年2月6日
![[BurpSuiteJapan]Burp Suite導入?操作](https://cdn.slidesharecdn.com/ss_thumbnails/burpsuite-170529011515-thumbnail.jpg?width=560&fit=bounds)
![[BurpSuiteJapan]Burp Suite実践編](https://cdn.slidesharecdn.com/ss_thumbnails/burpsuite-170529011632-thumbnail.jpg?width=560&fit=bounds)
![[BurpSuiteJapan]Burp Suite回答編](https://cdn.slidesharecdn.com/ss_thumbnails/burpsuite-170529011744-thumbnail.jpg?width=560&fit=bounds)
![[CB16] WireGuard:次世代耐乱用性カーネルネットワークトンネル by Jason Donenfeld](https://cdn.slidesharecdn.com/ss_thumbnails/cb16donenfeldja-161109045759-thumbnail.jpg?width=560&fit=bounds)
More Related Content
What's hot (20)
Similar to なせ?自社て?脆弱性诊断を行うへ?きなのか (20)
なせ?自社て?脆弱性诊断を行うへ?きなのか
- 1. なぜ自社で脆弱性診断を 行うべきなのか 株式会社トライコーダ 上野 宣 2017年2月6日 https://tricorder.jp/ (c) 2017 Tricorder Co. Ltd. 1
- 2. Profile: 上野 宣 (Sen UENO) 株式会社トライコーダ 代表取締役 奈良先端科学技術大学院大学で情報セキュリティを専攻、eコマース開発ベンチャーで東 証マザーズ上場などを経て、2006年に株式会社トライコーダを設立 企業や官公庁などにサイバーセキュリティ教育や演習、脆弱性診断、ペネトレーション テストなどを提供 情報セキュリティ専門誌『ScanNetSecurity』編集長、 OWASP Japan Chapter リーダー、Hardening プロジェクト実行委員、 JNSA ISOG-J WG1リーダー、SECCON 実行委員、セキュリティキャンプ講師主査、 独立行政法人情報処理推進機構 セキュリティセンター研究員などを務める 主な著書 Webセキュリティ担当者のための脆弱性診断スタート ガイド - 上野宣が教える情報漏えいを防ぐ技術、 HTTPの教科書(日本語、簡体字、ハングル)、 今夜わかるシリーズ(TCP/IP, HTTP, メール)、 めんどうくさいWebセキュリティ、他多数 (c) 2017 Tricorder Co. Ltd. 2
- 3. Webセキュリティ担当者のための 脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術 目次 1. 脆弱性診断とは 2. 診断に必要なHTTPの基本 3. Webアプリケーションの 脆弱性 4. 脆弱性診断の流れ 5. 実習環境とその準備 6. 自動診断ツールによる脆弱 性診断の実施 7. 手動診断補助ツールによる 脆弱性診断の実施 8. 診断報告書の作成 9. 関係法令とガイドライン (c) 2017 Tricorder Co. Ltd. 3 今日の話はだいたいこの本に 書いてます。 が、本にもこの資料にも書け ない話があるんですよね。
- 4. 必要な脆弱性診断サービスの選び方 (c) 2017 Tricorder Co. Ltd. 4
- 5. 脆弱性診断は主にどうしてる? ① 脆弱性診断サービスを提供する業者に外注 ② 自動診断ツールのみを使って脆弱性診断を実施 ③ 自動診断ツール?手動診断補助ツールを使って 脆弱性診断を実施している ④ 実施していない (c) 2017 Tricorder Co. Ltd. 5
- 6. 脆弱性診断は主にどうしてる? ① 脆弱性診断サービスを提供する業者に外注 – コストは決して安くない – その業者の診断は信用できる? ② 自動診断ツールのみを使って脆弱性診断を実施 – 自動診断ツールには得意分野と不得意分野があり、自動 ツールだけでは完結しない – コストも決して安くない ③ 自動診断ツール?手動診断補助ツールを使って脆 弱性診断を実施している – スキルは十分か? ④ 実施していない – ……。 (c) 2017 Tricorder Co. Ltd. 6
- 7. 脆弱性診断とペネトレーションテスト ? 脆弱性診断 – 網羅的により多くの脆弱性を探す – 脆弱性やセキュリティの問題を見つけることが目的 – テストケースに則ったセキュリティテスト ? ペネトレーションテスト – いかにシステムに深く侵入するか – 管理者権限の奪取や情報の入手が目的 – 複数の脆弱性やセキュリティの問題を組み合わせて 利用することもある – 診断士個人のスキルに依存することが多い (c) 2017 Tricorder Co. Ltd. 7
- 8. 脆弱性とセキュリティ機能の不足 ? 脆弱性 – プログラムのバグ – バグの中で悪用可能なものが脆弱性 ? セキュリティ機能の不足 – 実装すればセキュリティレベルが向上する対策を実 施していない – 安全でないプロトコルや弱いパスワードの利用など も ? 脆弱性とセキュリティ機能の不足を見つけるの が脆弱性診断 (c) 2017 Tricorder Co. Ltd. 8
- 9. 脆弱性診断の対象 ? プラットフォーム脆弱性診断 – OSやミドルウェア、TCP/IPの各種サービスなどのプロダ クトが対象 ? Webアプリケーション脆弱性診断 – Webアプリケーションが対象 ? その他 – ソースコード診断 – データベース診断 – スマートフォンアプリケーション診断 – 無線LAN診断 – 組み込み機器診断 – etc... (c) 2017 Tricorder Co. Ltd. 9
- 10. Webアプリの脆弱性診断はゼロデイ探し プラットフォームで対策すべき事項 ? 既知の脆弱性 – バージョンが古く脆弱性が存在する – すでにプロダクトのサポートが終了しているため脆弱性が 修正されない ? 設定の不備 – 最新バージョンであってもセキュリティに関わる設定の不 備による脆弱性が存在する ? Webアプリケーションはゼロデイを探し – 攻撃者以外は誰も脆弱性を発見してくれない (プロダクトやパッケージを除く) (c) 2017 Tricorder Co. Ltd. 10
- 11. Webアプリケーション脆弱性診断の 診断手法 (c) 2017 Tricorder Co. Ltd. 11
- 12. 脆弱性診断の実施手順 (c) 2017 Tricorder Co. Ltd. 12 テストケース作成 脆弱性診断の実施 診断結果の検証 レポート作成 ? 診断対象の記録 ? シナリオ作成 ? 自動診断ツール を使った診断 ? 手動診断補助 ツールを使った 診断 ? 診断ツールによる レポート出力 ? 手作業による レポート作成 ? 手作業による 診断結果の検証
- 13. 自動と手動の診断手法 2つの診断手法 ? 自動的に脆弱性を発見する診断 – 自動診断ツールによる診断 ? 手作業で脆弱性を発見する診断 – 手動診断補助ツールを使う手作業による診断 ? 自動診断ツールでは発見が難しい脆弱性や、自 動的に探すことが困難な機能や箇所があるため、 確実に脆弱性診断を行うためには手作業による 診断を合わせて行うことが必要 – 自動診断ツールにしか発見できない脆弱性はない (c) 2017 Tricorder Co. Ltd. 13
- 14. 脆弱性診断に使用するツール ? Proxyツール – WebブラウザとWebサーバーの間にProxyとして入 り、リクエスト?レスポンスに介在する (c) 2017 Tricorder Co. Ltd. 14 Webブラウザ WebサーバーProxyツール HTTPメッセージの確認 リクエストの書き換え HTTPメッセージの記録
- 15. 自動診断ツールによる脆弱性診断 (c) 2017 Tricorder Co. Ltd. 15
- 16. 自動診断ツールを使った脆弱性診断の実施 手順 1.テストケース作成 2.脆弱性診断の実施 3.診断結果の検証 4.レポート作成 ? 自動クロール機能 を使って診断対象 を記録 ? プロキシ機能を 使って手動クロー ルによる診断対象 の記録 ? シナリオ作成 ? 動的スキャンを 使った診断 ? 静的スキャンを 使った診断 ? レポート出力 ? 手作業による レポート作成 ? 手作業による 診断結果の検証 正常系を記録させる 必要がある 誤検知と見逃しが ないようにしたい (c) 2017 Tricorder Co. Ltd. 16
- 17. 自動診断ツール ? URLを入れると自動的に脆弱性診断を実施… ? 適切に実施するためには設定が必要 – 診断すべきページをすべて診断するように – 関係のないページを診断しないように – 障害を発生させないように – サーバーをダウンさせないように ? 苦手分野もある (c) 2017 Tricorder Co. Ltd. 17
- 18. 自動診断ツールの特長と得意分野 ? 最も大きな特長はスピード ? パラメーターに値を挿入して発見するタイプの脆弱性 – SQLインジェクションやクロスサイトスクリプティングなど ? HTMLやCookieなどのセキュリティ機能の不足 – レスポンス内容を見れば判断ができるセキュリティ機能の不足 の発見 – オートコンプリート機能、CookieのHttpOnly属性、X-Frame- Optionsなど ? ディレクトリやファイルの発見 – リンクされているURL、robots.txtなどからファイルを探索 – crossdomain.xmlなどの特定のアプリケーションのためのファ イルの探索 – 辞書機能で、どこからもリンクされていないファイルやディレ クトリを探すこともある (c) 2017 Tricorder Co. Ltd. 18
- 19. 自動診断ツールでは発見が難しい脆弱性や 機能 発見が難しい脆弱性 ? 認可制御の不備?欠落 ? ビジネスロジック上の問題 ? メールヘッダーインジェクション ? クロスサイトリクエストフォージェリ(CSRF) 発見が難しい機能 ? 人間の判断や操作が必要になるもの ? メール受信、CAPTCHA、二要素認証、複数要素認証 ? ゲームのような操作を伴うもの ? 脆弱性の発動に複数のパラメーターを利用するもの ? 一度しか実行できない機能 ? 入力値の影響が次画面ではなく他の画面にでるもの (c) 2017 Tricorder Co. Ltd. 19 ツールによって異なる
- 20. 自動診断ツールの誤検知と見逃しを減らす ? 異なる自動診断ツールを使った診断 ? 自動診断レポートの確認 – 必要な場合には手作業で確かめる (c) 2017 Tricorder Co. Ltd. 20 効率的かつ確実な診断には 自動診断ツールと手作業による診断を 組み合わせて行うことが必要
- 21. 誤検知と見逃し 誤検知(false positive) ? 正常なものを誤って脆弱性だと判断してしまう こと 見逃し(false negative) ? 脆弱性を発見できずに見逃してしまうこと ? 誤検知が起きるときはWebアプリケーションに 何らかの問題があることも多いので、一概に誤 検知が悪いこととはいえないこともある (c) 2017 Tricorder Co. Ltd. 21
- 22. 診断結果の検証 ? 発見した脆弱性は本当に問題になるのか?脅威 になるのか?を検証 ? 自動診断ツールによる診断の場合は、手作業に よる診断結果の検証が必要な場合もある ? 手動診断補助ツールを使った診断の場合は脆弱 性診断の実施時に合わせて行うこともある (c) 2017 Tricorder Co. Ltd. 22
- 23. 手動診断補助ツールによる脆弱性診断 (c) 2017 Tricorder Co. Ltd. 23
- 24. 手動診断補助ツールによる脆弱性診断 (c) 2017 Tricorder Co. Ltd. 24 Webブラウザ WebサーバーProxyツール リクエストの書き換え HTTPメッセージの確認 WebサーバーProxyツール 取得したリクエストを再利用 して書き換えたリクエストを送信
- 25. 手動診断補助ツールを使った脆弱性診断の 実施手順 1.テストケース作成 2.脆弱性診断の実施 3.診断結果の検証 4.レポート作成 ? プロキシ機能を 使って手動クロー ルによる診断対象 の記録 ? シナリオ作成 ? 手動診断補助ツー ルを使った手作業 による診断 ? (Passive Scan を使った診断) ? 手作業による レポート作成 ? 手作業による 診断結果の検証 (c) 2017 Tricorder Co. Ltd. 25
- 26. テストケース(診断リスト)の作成 ? どこを診断するのか? – URL – Webページ内の特定の機能 – クエリーやPOSTデータ、ヘッダーフィールドなどの パラメーター ? どの順序で診断するのか? – どのページから先に行うかの優先順位 – 特定の機能を利用するための画面遷移の順序 (c) 2017 Tricorder Co. Ltd. 26
- 27. 診断リスト NNoo.. 名名称称 UURRLL TTYYPPEE パパララメメーータターー SSQQLLii ココママンンドド ii CCRRLLFFii XXSSSS パパスストトララ ババーーササルル オオーーププンン リリダダイイレレ ククトト RRFFII ククリリッックク ジジャャッッキキ ンンググ 認認証証 認認可可制制御御 のの不不備備?? 欠欠落落 セセッッシショョ ンンフフィィクク セセイイシショョ ンン CCSSRRFF HHttttppOOnnll yy属属性性未未 設設定定 推推測測可可能能 ななセセッッ シショョンンIIDD 情情報報漏漏ええ いい 1 トップページ http://www.badstore.net/ 1 Cookie SSOid Cookie CartID 2 Home http://www.badstore.net/cgi- bin/badstore.cgi Cookie SSOid - - - - - Cookie CartID - - - - - URL action - - - - - 3 Sign our Guestbook http://www.badstore.net/cgi- bin/badstore.cgi?action=guestbook URL action - - - - - Cookie SSOid - - - - - Cookie CartID - - - - - 4 Sign our Guestbook > Add Entry http://www.badstore.net/cgi- bin/badstore.cgi?action=doguestbook 1 2 URL action - - - Cookie SSOid - - - Cookie CartID - - - Body name - - 4 Body email - - 5 Body comments - - 6 (c) 2017 Tricorder Co. Ltd. 27
- 28. 診断リスト (c) 2017 Tricorder Co. Ltd. 28 診断をしない項目は 塗りつぶす
- 29. 診断リスト (c) 2017 Tricorder Co. Ltd. 29
- 30. 診断リスト (c) 2017 Tricorder Co. Ltd. 30 パラメーターに 起因しない脆弱性 パラメーターに 起因しない脆弱性 パラメーターに 起因する脆弱性
- 31. 診断リスト (c) 2017 Tricorder Co. Ltd. 31 診断の結果 脆弱性がなければ「-」 診断の結果 脆弱性があれば「番号」を付ける 番号は詳細レポートと紐付く 診断完了後は すべての項目が埋まる
- 32. Webアプリケーション脆弱性診断手法 ? OWASP&JNSA ISOG-Jの共同WG「脆弱性診 断士スキルマッププロジェクト」で作成 ? https://archives.tricorder.jp/webpen/Web_ Application_Penetration_Testing_Technique s.pdf – 短縮URL:https://goo.gl/CgCqtL ? リリース版は2017年3~4月ごろの予定 (c) 2017 Tricorder Co. Ltd. 32
- 33. 例:SQLインジェクション 診断番号 診断対象の脆弱性 診断を実施すべき箇所 1 SQLインジェクション すべて 検出パターン 診断を行う箇所 診断方法 「'」(シングルクォート1つ) パラメーター パラメーターの値に検出パターン を挿入し、リクエストを送信 脆弱性がある場合の結果 脆弱性がない場合の結果 備考 DB関連のエラーが表示されるか、 正常動作と挙動が異なる DB関連のエラーは表示されない DB関連のエラー(SQL Syntax, SQLException, pg_exec, ORA- 5桁数字, ODBC Driver Manager など)は画面に表示されることも あれば、HTMLソースに表示され ることもある SQLiがあるが、エラーが画面に でない場合には正常時と挙動が異 なることもある ただし、この診断手法の脆弱性の 有無については確定ではなく、あ くまで可能性を示唆するものであ る (c) 2017 Tricorder Co. Ltd. 33
- 34. 例:クロスサイトスクリプティング 診断番号 診断対象の脆弱性 診断を実施すべき箇所 16 クロスサイトスクリプ ティング(XSS) すべて 検出パターン 診断を行う箇所 診断方法 <script>alert(1)</script> パラメーター パラメーターの値に検出 パターンを挿入し、リク エストを送信 脆弱性がある場合の結果 脆弱性がない場合の結果 備考 スクリプトが実行される スクリプトが実行されな い (c) 2017 Tricorder Co. Ltd. 34
- 35. 例:セッションフィクセイション 診断番号 診断対象の脆弱性 診断を実施すべき箇所 54 セッションフィクセイ ション ログイン機能 検出パターン 診断を行う箇所 診断方法 Set-Cookieヘッダー フィールド ログイン成功後に新しい 認証に使うセッションID が発行されるかを確認 脆弱性がある場合の結果 脆弱性がない場合の結果 備考 ログイン成功前と同じ セッションIDが継続して 使用される場合 ログイン成功後に新しい セッションIDが発行され、 古いセッションIDは破棄 される (c) 2017 Tricorder Co. Ltd. 35
- 36. 報告書の作成 (c) 2017 Tricorder Co. Ltd. 36
- 37. 診断報告書の作成 (c) 2017 Tricorder Co. Ltd. 37 1.材料を集める 2.報告書の作成 3.内部レビュー 4.納品/報告会 ? 診断実施概要 ? 脆弱性診断結果 ? 各種契約 ? 集めた材料に基づ き報告書を作成 ? 顧客への納品 ? 報告会の実施 ? 診断会社内での レビュー ? 承認 診断実施後少なくとも1~2週間以内の提出が望ましい
- 38. 診断報告書のポイント ? 読み手に修正すべき問題点を認識してもらう – 対策につなげてもらうため ? 再現性があることが重要 – ペイロード、リクエストメッセージ、ツール、実施 日時、ネットワーク環境など – 再現方法がわからないと、脆弱性の確認、修正後の 状態確認ができない (c) 2017 Tricorder Co. Ltd. 38 すべてのドキュメントは読み手 に読後に何をさせたいかという 目的を明確にするべき
- 39. 診断報告書の記載事項 ? 表紙 – タイトル、日付、報告者(会社名、部署名、担当者名など) ? 目次 ? イントロダクション – 診断報告書について(報告書の概要や目的について) – 脆弱性診断サービスの診断対象について – 業務運営上のリスク(診断対象の事業やサービスなどのリスクについて) – 診断を行う際に同意した契約上の規則(免責事項、守秘義務など) – 診断を行う際の制限事項(主に脆弱性を発見にあたっての阻害要因) ? 診断実施概要 – 診断の実施日程 – 診断対象(URL、ドメイン、IPアドレス、機器名、サービス名など) – ネットワーク環境(診断対象と診断実施側のネットワーク的な関係) – 診断実施者(診断を担当した脆弱性診断士) – 診断環境(診断に使用したOS環境や診断ツール、バージョンなど) ? 診断結果 – 診断結果の総合評価 – 個別の脆弱性の報告 (c) 2017 Tricorder Co. Ltd. 39
- 40. 脆弱性診断の流れ (c) 2017 Tricorder Co. Ltd. 40
- 41. 診断業務の流れ (c) 2017 Tricorder Co. Ltd. 41 診断実施前の準備 診断実施 診断実施後の アフターサポート 診断対象の確認、見積もり、 ヒアリング、作業環境の準備 など 自動診断ツールを用いた診断、 手作業による手動診断、レ ポート作成など 報告会の実施、診断実施後の 問い合わせ対応、再診断など
- 42. 診断実施前の準備 ? 診断対象となるWebアプリケーションの選定や優先順位付けを行う 診断対象の確認 ? 診断の内容やサービス提供の流れ、診断時の注意事項など診断前に事前に説明すべき 事項の説明を行う 実施内容の説明 ? 診断の実施形態や診断対象の環境など診断に必要な情報を事前に確認する ヒアリング ? 診断に必要なアカウント情報や各種権限などの準備を行う 環境?データ準備 ? オンサイト環境での診断の場合に診断対象のネットワークへの接続方法や作業場所な どの準備を行う オンサイト作業環境の準備 (c) 2017 Tricorder Co. Ltd. 42
- 43. 報告書や脆弱性診断の各種データの扱い ? 脆弱性診断の情報は機密情報 – 報告書、報告書作成のための資料、診断ツールのロ グ、貸与したアカウントなどの情報、診断対象につ いての情報 ? 保管しなければならない情報は安全に暗号化 ? 不要なデータや紙媒体の情報は復元できない形 にする (c) 2017 Tricorder Co. Ltd. 43
- 44. 脆弱性診断士に求められる倫理観 ? 「脆弱性診断士は、高い倫理を持ち、適切な手法で ITシステムの脆弱性診断を行える者であり、脆弱性 診断士スキルマップ&シラバスで求める技術や知識 を保有している者に対して与えられる呼称であ る。」(脆弱性診断士スキルマップの解説) ? 脆弱性診断の技術を悪用することで他者に不利益を 与えたり、犯罪を起こしてしまうこともある ? 自分に権利があるもの以外を勝手に脆弱性診断をし ないこと – 余計な正義感は不要 – バグバウンティ?プログラムなどもある (c) 2017 Tricorder Co. Ltd. 44
- 45. 脆弱性診断をなぜ自社でやるべきか (c) 2017 Tricorder Co. Ltd. 45
- 46. 脆弱性診断をなぜ自社でやるべきか ? コストの削減 – 診断を外部委託すると、開発が終わった後の診断実 施となる – その後修正して、また再診断を行う必要がある ? 脆弱性診断=セキュリティテスト – 機能テストや性能テストと同様に開発者や品質管理 部門がやるとよい (c) 2017 Tricorder Co. Ltd. 46
- 47. セキュリティホールを修正する コスト(フェーズ別) (c) 2017 Tricorder Co. Ltd. 47 参考:Kevin Soo Hoo, “Tangible ROI through Secure Software Engineering.”Security Business Quarterly, Vol.1, No.2, Fourth Quarter, 2001. 1 6.5 15 60 要求仕様?設計時 実装時 テスト時 運用開始後 コスト
- 48. 脆弱性診断をなぜ自社でやるべきか ? 診断業者はそのシステムに精通しているのか? – 正しい動作、こうあるべき動作を知っているか? – 医療系システムは? – 制御系システムは? – IoT機器は? ? システムのことは自分たち/自社が一番よく 知っている – 正しいアクセス制御の状態 – ビジネスロジックの動き (c) 2017 Tricorder Co. Ltd. 48
- 49. 自社では十分でない場合もある ? 脆弱性診断には監査的な側面もある – PCI DSSなどの認証を取得する条件 (c) 2017 Tricorder Co. Ltd. 49
- 50. セキュリティ予算の目安 (c) 2017 Tricorder Co. Ltd. 50
- 51. 診断の予算(アンケートベース) ? 1回当たりの予算は20万円未満が3割、50万円 未満で5割 (c) 2017 Tricorder Co. Ltd. 51 参考:WEBアプリケーション脆弱性診断実施回数は年2~4回、予算は一回20 万円が最多(NHNテコラス、イード) | ScanNetSecurity http://scan.netsecurity.ne.jp/article/2017/01/25/39379.html
- 52. 何パーセントぐらいをセキュリティに投資 すべきか? ? ソフトウェア予算の9%をセキュリティに投資 – 予算全体の6% – ただし、59%のITプロフェッショナルがセキュリ ティに適切に投資していないと回答 – 2016年 Spiceworksの調査 (c) 2017 Tricorder Co. Ltd. 52 参考:IT budgets 2016: Surveys, software and services | ZDNet http://www.zdnet.com/article/it-budgets-2016-surveys-software-and- services/
- 53. PR: 脆弱性診断講座 (c) 2017 Tricorder Co. Ltd. 53
- 54. PR: 自社で取り組む Webアプリケーション脆弱性診断講座 ? Webアプリケーションの脅威とその攻撃手法 – Webサイトへの攻撃とその特徴 – HTTPの基礎 – Webアプリケーションへの攻撃手法 – 各種攻撃手法、脆弱性、セキュリティ機能の不足 ? 脆弱性診断の実施 – Webアプリケーション脆弱性診断の実施手順 – 自動と手動の診断手法 – 自動診断ツールの得意分野と不得意分野 – 注意すべき診断ツールの設定 – 診断結果の検証 – 診断リスト(テストケース)の作成 – 脆弱性診断の診断方法と脆弱性の有無の判定方法について – 脆弱性診断の診断対象の選び方 – 報告書の作成 – 診断会社の業務における脆弱性診断 ? 脆弱性診断演習 – 診断ツールのセットアップ – 自動診断ツールの使い方 – 手動診断補助ツールの使い方 – 各脆弱性に対応した診断方法 – 実際の診断業務を想定した演習 (c) 2017 Tricorder Co. Ltd. 54 2日間の ハンズオン講座 お問い合わせは株式会社トライコーダなどへ https://tricorder.jp/