なぜ自社で脆弱性診断を行うべきなのか

2. Profile: 上野宣 (Sen UENO) 株式会社トライコーダ代表取締役奈良先端科学技術大学院大学で情報セキュリティを専攻、eコマース開発ベンチャーで東証マザーズ上場などを経て、2006年に株式会社トライコーダを設立企業や官公庁などにサイバーセキュリティ教育や演習、脆弱性診断、ペネトレーションテストなどを提供情報セキュリティ専門誌『ScanNetSecurity』編集長、 OWASP Japan Chapter リーダー、Hardening プロジェクト実行委員、 JNSA ISOG-J WG1リーダー、SECCON 実行委員、セキュリティキャンプ講師主査、独立行政法人情報処理推進機構セキュリティセンター研究員などを務める主な著書 Webセキュリティ担当者のための脆弱性診断スタートガイド - 上野宣が教える情報漏えいを防ぐ技術、 HTTPの教科書（日本語、簡体字、ハングル）、今夜わかるシリーズ（TCP/IP, HTTP, メール）、めんどうくさいWebセキュリティ、他多数 (c) 2017 Tricorder Co. Ltd. 2

3. Webセキュリティ担当者のための脆弱性診断スタートガイド上野宣が教える情報漏えいを防ぐ技術目次 1. 脆弱性診断とは 2. 診断に必要なHTTPの基本 3. Webアプリケーションの脆弱性 4. 脆弱性診断の流れ 5. 実習環境とその準備 6. 自動診断ツールによる脆弱性診断の実施 7. 手動診断補助ツールによる脆弱性診断の実施 8. 診断報告書の作成 9. 関係法令とガイドライン (c) 2017 Tricorder Co. Ltd. 3 今日の話はだいたいこの本に書いてます。が、本にもこの資料にも書けない話があるんですよね。

6. 脆弱性診断は主にどうしてる？ ① 脆弱性診断サービスを提供する業者に外注 – コストは決して安くない – その業者の診断は信用できる？ ② 自動診断ツールのみを使って脆弱性診断を実施 – 自動診断ツールには得意分野と不得意分野があり、自動ツールだけでは完結しない – コストも決して安くない ③ 自動診断ツール・手動診断補助ツールを使って脆弱性診断を実施している – スキルは十分か？ ④ 実施していない – ……。 (c) 2017 Tricorder Co. Ltd. 6

7. 脆弱性診断とペネトレーションテスト • 脆弱性診断 – 網羅的により多くの脆弱性を探す – 脆弱性やセキュリティの問題を見つけることが目的 – テストケースに則ったセキュリティテスト • ペネトレーションテスト – いかにシステムに深く侵入するか – 管理者権限の奪取や情報の入手が目的 – 複数の脆弱性やセキュリティの問題を組み合わせて利用することもある – 診断士個人のスキルに依存することが多い (c) 2017 Tricorder Co. Ltd. 7

9. 脆弱性診断の対象 • プラットフォーム脆弱性診断 – OSやミドルウェア、TCP/IPの各種サービスなどのプロダクトが対象 • Webアプリケーション脆弱性診断 – Webアプリケーションが対象 • その他 – ソースコード診断 – データベース診断 – スマートフォンアプリケーション診断 – 無線LAN診断 – 組み込み機器診断 – etc... (c) 2017 Tricorder Co. Ltd. 9

10. Webアプリの脆弱性診断はゼロデイ探しプラットフォームで対策すべき事項 • 既知の脆弱性 – バージョンが古く脆弱性が存在する – すでにプロダクトのサポートが終了しているため脆弱性が修正されない • 設定の不備 – 最新バージョンであってもセキュリティに関わる設定の不備による脆弱性が存在する • Webアプリケーションはゼロデイを探し – 攻撃者以外は誰も脆弱性を発見してくれない（プロダクトやパッケージを除く） (c) 2017 Tricorder Co. Ltd. 10

13. 自動と手動の診断手法 2つの診断手法 • 自動的に脆弱性を発見する診断 – 自動診断ツールによる診断 • 手作業で脆弱性を発見する診断 – 手動診断補助ツールを使う手作業による診断 • 自動診断ツールでは発見が難しい脆弱性や、自動的に探すことが困難な機能や箇所があるため、確実に脆弱性診断を行うためには手作業による診断を合わせて行うことが必要 – 自動診断ツールにしか発見できない脆弱性はない (c) 2017 Tricorder Co. Ltd. 13

16. 自動診断ツールを使った脆弱性診断の実施手順 1.テストケース作成 2.脆弱性診断の実施 3.診断結果の検証 4.レポート作成 • 自動クロール機能を使って診断対象を記録 • プロキシ機能を使って手動クロールによる診断対象の記録 • シナリオ作成 • 動的スキャンを使った診断 • 静的スキャンを使った診断 • レポート出力 • 手作業によるレポート作成 • 手作業による診断結果の検証正常系を記録させる必要がある誤検知と見逃しがないようにしたい (c) 2017 Tricorder Co. Ltd. 16

18. 自動診断ツールの特長と得意分野 • 最も大きな特長はスピード • パラメーターに値を挿入して発見するタイプの脆弱性 – SQLインジェクションやクロスサイトスクリプティングなど • HTMLやCookieなどのセキュリティ機能の不足 – レスポンス内容を見れば判断ができるセキュリティ機能の不足の発見 – オートコンプリート機能、CookieのHttpOnly属性、X-Frame- Optionsなど • ディレクトリやファイルの発見 – リンクされているURL、robots.txtなどからファイルを探索 – crossdomain.xmlなどの特定のアプリケーションのためのファイルの探索 – 辞書機能で、どこからもリンクされていないファイルやディレクトリを探すこともある (c) 2017 Tricorder Co. Ltd. 18

19. 自動診断ツールでは発見が難しい脆弱性や機能発見が難しい脆弱性 • 認可制御の不備・欠落 • ビジネスロジック上の問題 • メールヘッダーインジェクション • クロスサイトリクエストフォージェリ（CSRF）発見が難しい機能 • 人間の判断や操作が必要になるもの • メール受信、CAPTCHA、二要素認証、複数要素認証 • ゲームのような操作を伴うもの • 脆弱性の発動に複数のパラメーターを利用するもの • 一度しか実行できない機能 • 入力値の影響が次画面ではなく他の画面にでるもの (c) 2017 Tricorder Co. Ltd. 19 ツールによって異なる

25. 手動診断補助ツールを使った脆弱性診断の実施手順 1.テストケース作成 2.脆弱性診断の実施 3.診断結果の検証 4.レポート作成 • プロキシ機能を使って手動クロールによる診断対象の記録 • シナリオ作成 • 手動診断補助ツールを使った手作業による診断 • （Passive Scan を使った診断） • 手作業によるレポート作成 • 手作業による診断結果の検証 (c) 2017 Tricorder Co. Ltd. 25

27. 診断リスト NNoo.. 名名称称 UURRLL TTYYPPEE パパララメメーータターー SSQQLLii ココママンンドド ii CCRRLLFFii XXSSSS パパスストトララババーーササルルオオーーププンンリリダダイイレレククトト RRFFII ククリリッッククジジャャッッキキンンググ認認証証認認可可制制御御のの不不備備・・欠欠落落セセッッシショョンンフフィィククセセイイシショョンン CCSSRRFF HHttttppOOnnll yy属属性性未未設設定定推推測測可可能能ななセセッッシショョンンIIDD 情情報報漏漏ええいい 1 トップページ http://www.badstore.net/ 1 Cookie SSOid Cookie CartID 2 Home http://www.badstore.net/cgi- bin/badstore.cgi Cookie SSOid - - - - - Cookie CartID - - - - - URL action - - - - - 3 Sign our Guestbook http://www.badstore.net/cgi- bin/badstore.cgi?action=guestbook URL action - - - - - Cookie SSOid - - - - - Cookie CartID - - - - - 4 Sign our Guestbook > Add Entry http://www.badstore.net/cgi- bin/badstore.cgi?action=doguestbook 1 2 URL action - - - Cookie SSOid - - - Cookie CartID - - - Body name - - 4 Body email - - 5 Body comments - - 6 (c) 2017 Tricorder Co. Ltd. 27

32. Webアプリケーション脆弱性診断手法 • OWASP＆JNSA ISOG-Jの共同WG「脆弱性診断士スキルマッププロジェクト」で作成 • https://archives.tricorder.jp/webpen/Web_ Application_Penetration_Testing_Technique s.pdf – 短縮URL：https://goo.gl/CgCqtL • リリース版は2017年3～4月ごろの予定 (c) 2017 Tricorder Co. Ltd. 32

33. 例：SQLインジェクション診断番号診断対象の脆弱性診断を実施すべき箇所 1 SQLインジェクションすべて検出パターン診断を行う箇所診断方法「'」(シングルクォート1つ) パラメーターパラメーターの値に検出パターンを挿入し、リクエストを送信脆弱性がある場合の結果脆弱性がない場合の結果備考 DB関連のエラーが表示されるか、正常動作と挙動が異なる DB関連のエラーは表示されない DB関連のエラー（SQL Syntax, SQLException, pg_exec, ORA- 5桁数字, ODBC Driver Manager など）は画面に表示されることもあれば、HTMLソースに表示されることもある SQLiがあるが、エラーが画面にでない場合には正常時と挙動が異なることもあるただし、この診断手法の脆弱性の有無については確定ではなく、あくまで可能性を示唆するものである (c) 2017 Tricorder Co. Ltd. 33

34. 例：クロスサイトスクリプティング診断番号診断対象の脆弱性診断を実施すべき箇所 16 クロスサイトスクリプティング（XSS）すべて検出パターン診断を行う箇所診断方法 <script>alert(1)</script> パラメーターパラメーターの値に検出パターンを挿入し、リクエストを送信脆弱性がある場合の結果脆弱性がない場合の結果備考スクリプトが実行されるスクリプトが実行されない (c) 2017 Tricorder Co. Ltd. 34

35. 例：セッションフィクセイション診断番号診断対象の脆弱性診断を実施すべき箇所 54 セッションフィクセイションログイン機能検出パターン診断を行う箇所診断方法 Set-Cookieヘッダーフィールドログイン成功後に新しい認証に使うセッションID が発行されるかを確認脆弱性がある場合の結果脆弱性がない場合の結果備考ログイン成功前と同じセッションIDが継続して使用される場合ログイン成功後に新しいセッションIDが発行され、古いセッションIDは破棄される (c) 2017 Tricorder Co. Ltd. 35

38. 診断報告書のポイント • 読み手に修正すべき問題点を認識してもらう – 対策につなげてもらうため • 再現性があることが重要 – ペイロード、リクエストメッセージ、ツール、実施日時、ネットワーク環境など – 再現方法がわからないと、脆弱性の確認、修正後の状態確認ができない (c) 2017 Tricorder Co. Ltd. 38 すべてのドキュメントは読み手に読後に何をさせたいかという目的を明確にするべき

39. 診断報告書の記載事項 • 表紙 – タイトル、日付、報告者（会社名、部署名、担当者名など） • 目次 • イントロダクション – 診断報告書について（報告書の概要や目的について） – 脆弱性診断サービスの診断対象について – 業務運営上のリスク（診断対象の事業やサービスなどのリスクについて） – 診断を行う際に同意した契約上の規則（免責事項、守秘義務など） – 診断を行う際の制限事項（主に脆弱性を発見にあたっての阻害要因） • 診断実施概要 – 診断の実施日程 – 診断対象（URL、ドメイン、IPアドレス、機器名、サービス名など） – ネットワーク環境（診断対象と診断実施側のネットワーク的な関係） – 診断実施者（診断を担当した脆弱性診断士） – 診断環境（診断に使用したOS環境や診断ツール、バージョンなど） • 診断結果 – 診断結果の総合評価 – 個別の脆弱性の報告 (c) 2017 Tricorder Co. Ltd. 39

42. 診断実施前の準備 • 診断対象となるWebアプリケーションの選定や優先順位付けを行う診断対象の確認 • 診断の内容やサービス提供の流れ、診断時の注意事項など診断前に事前に説明すべき事項の説明を行う実施内容の説明 • 診断の実施形態や診断対象の環境など診断に必要な情報を事前に確認するヒアリング • 診断に必要なアカウント情報や各種権限などの準備を行う環境・データ準備 • オンサイト環境での診断の場合に診断対象のネットワークへの接続方法や作業場所などの準備を行うオンサイト作業環境の準備 (c) 2017 Tricorder Co. Ltd. 42

44. 脆弱性診断士に求められる倫理観 • 「脆弱性診断士は、高い倫理を持ち、適切な手法で ITシステムの脆弱性診断を行える者であり、脆弱性診断士スキルマップ＆シラバスで求める技術や知識を保有している者に対して与えられる呼称である。」（脆弱性診断士スキルマップの解説） • 脆弱性診断の技術を悪用することで他者に不利益を与えたり、犯罪を起こしてしまうこともある • 自分に権利があるもの以外を勝手に脆弱性診断をしないこと – 余計な正義感は不要 – バグバウンティ・プログラムなどもある (c) 2017 Tricorder Co. Ltd. 44

47. セキュリティホールを修正するコスト（フェーズ別） (c) 2017 Tricorder Co. Ltd. 47 参考：Kevin Soo Hoo, “Tangible ROI through Secure Software Engineering.”Security Business Quarterly, Vol.1, No.2, Fourth Quarter, 2001. 1 6.5 15 60 要求仕様・設計時実装時テスト時運用開始後コスト

51. 診断の予算（アンケートベース） • 1回当たりの予算は20万円未満が3割、50万円未満で5割 (c) 2017 Tricorder Co. Ltd. 51 参考：WEBアプリケーション脆弱性診断実施回数は年2～4回、予算は一回20 万円が最多（NHNテコラス、イード） | ScanNetSecurity http://scan.netsecurity.ne.jp/article/2017/01/25/39379.html

52. 何パーセントぐらいをセキュリティに投資すべきか？ • ソフトウェア予算の9%をセキュリティに投資 – 予算全体の6% – ただし、59％のITプロフェッショナルがセキュリティに適切に投資していないと回答 – 2016年 Spiceworksの調査 (c) 2017 Tricorder Co. Ltd. 52 参考：IT budgets 2016: Surveys, software and services | ZDNet http://www.zdnet.com/article/it-budgets-2016-surveys-software-and- services/

54. PR: 自社で取り組む Webアプリケーション脆弱性診断講座 • Webアプリケーションの脅威とその攻撃手法 – Webサイトへの攻撃とその特徴 – HTTPの基礎 – Webアプリケーションへの攻撃手法 – 各種攻撃手法、脆弱性、セキュリティ機能の不足 • 脆弱性診断の実施 – Webアプリケーション脆弱性診断の実施手順 – 自動と手動の診断手法 – 自動診断ツールの得意分野と不得意分野 – 注意すべき診断ツールの設定 – 診断結果の検証 – 診断リスト（テストケース）の作成 – 脆弱性診断の診断方法と脆弱性の有無の判定方法について – 脆弱性診断の診断対象の選び方 – 報告書の作成 – 診断会社の業務における脆弱性診断 • 脆弱性診断演習 – 診断ツールのセットアップ – 自動診断ツールの使い方 – 手動診断補助ツールの使い方 – 各脆弱性に対応した診断方法 – 実際の診断業務を想定した演習 (c) 2017 Tricorder Co. Ltd. 54 2日間のハンズオン講座お問い合わせは株式会社トライコーダなどへ https://tricorder.jp/

なぜ自社で脆弱性診断を行うべきなのか

Estás leyendo una previsualización.

Eche un vistazo a continuación

なぜ自社で脆弱性診断を行うべきなのか

Más Contenido Relacionado

Presentaciones para usted (20)

Similares a なぜ自社で脆弱性診断を行うべきなのか (20)

Más reciente (20)