セミナー内容

第１部

脆弱性情報の読み解き方講座

脆弱性情報の読み解き方講座、として以下のことをお話します。

• 脆弱性対応の必要性
• 脆弱性対応として、やるべきこと
• 脆弱性情報の読み方
• 脆弱性攻撃デモ

脆弱性対応としてやるべきこと では、情報の収集/深刻度等の確認/適用に関する判断/適用/記録 について、考慮すべき点をあげていきます。

また、脆弱性情報の読み方としては、主にCVSSの読み方や影響有無の考え方、などをあげていきます。

脆弱性を放置することでどのようなことが起こるのか、簡単ではありますが、デモンストレーションを行います。Remote Code Execution(遠隔のコード実行)とは、Directory Traversal(ディレクトリトラバーサル)とは、緩和策とは、などをお話します。

第２部

脆弱性スキャナVulsの話です。OSS Vuls作者の神戸がデモを交えながらVulsについて解説した後、検知後の対応判断、優先順位付け、運用までをサポートするVulsクラウドサービスの話をします。

脆弱性スキャナを用いて検知した大量の脆弱性、運用で困っていませんか？CVSSスコアだけでは判断は不十分です。脆弱性をどう優先順位付けしてさばいていくのか、運用者が大変な判断をサポートするVulsのSaaS版であるFutureVulsをデモを交えて紹介します。

具体的には、講義後には以下の疑問が解決した状態となることを目標とします。

• システムに潜在する脆弱性リストを見たい
• 検知した脆弱性が、システムのどのサーバ、どのソフトウェア該当するのかを知りたい
• どの脆弱性が緊急で対応しなければならないか、その判断方法をしりたい
• JVN, NVDなどの脆弱性情報を読み解くコツを知りたい
• CVSSスコア、メトリクスを自社環境や攻撃コード公開状況に合わせて再計算する方法を知りたい
• 潜在する脆弱性の対応状況を効率よく管理したい（リスクを許容する、パッチを当てたなどのステータス管理）
• VulsのOSS版とクラウド版の違いを知りたい

第３部

飲み行くべ！(良い場所が有れば、教えて下さい！)

タイムスケジュール

終了後、懇親会移動開始

注意

なお、本プライベートセミナーは、質問しやすいように少人数で行います

• 内容は随時更新していきます。
• 日程、開始時間、終了時間は変更される可能性あります。
• 終わったら懇親会にいく可能性があります
• 最少開催人数7名(満たなければ中止の可能性あり)

講師紹介

講師：神戸康多 GitHub Twitter FB

フューチャー株式会社サイバーテクノロジー・イノベーショングループ所属シニアアーキテクト。OSSの脆弱性スキャナ「Vuls」作成者。HITCON, Open Source Summit North Americaなど海外カンファレンスで発表、セキュリティキャンプ全国大会2017, 2018、NICT主催の東京2020大会に向けたサイバー演習による人材育成 サイバーコロッセオ 講師。国内カンファレンス登壇多数。一万人以上のエンジニアが参加する情報収集用公開Slack「モヒカンSlack」総裁。髪型はちょんまげ。

講師：井上圭 Github Twitter FB

フューチャー株式会社サイバーテクノロジー・イノベーショングループ所属シニアコンサルタント。関東にて、IoTSecJPの運営、脆弱性対応研究会 同勉強会の主催、など。OWASP Connect in Tokyo #2で登壇。ドローンセキュリティ(アンチドローン/Counter Drone)なども調査しています。