第3回総関西サイバーセキュリティLT大会に行って来ました。
記憶の新しいうちにメモをアウトプットっておきます。
(1)基調講演:NISCの方
内閣サイバーセキュリティセンターでの取り組み。
公開されている資料をベースに、ところどころに個人の見解。
SAOや攻殻機動隊のコラボとか、最近はいろいろとやってるんですね。
当面のターゲットは2020年の五輪。それまでにやることめちゃめちゃ多い…。
(2)基調講演:脆弱性診断サービスの基礎知識
脆弱性診断を受けるにあたって知っておくべき知識の紹介。
CMSやフレームワークの脆弱性は、Webアプリケーション脆弱性診断で
検出することもあるが、プラットフォーム脆弱性診断の項目としているところが多い模様。
PCIDSSの規則では、下記で脆弱性診断分類している。
・ペネトレーションテスト:診断ツールと手動を交える。
・脆弱性スキャン:診断ツールをかけるまで。
診断受診前に行う契約内容の取り決めは非常に大事。
テスト環境にWebアプリケーション脆弱性診断をかけたら、
環境の一部に本番環境へのリダイレクトが混ざっていたため、
診断パケットが本番環境に行ってえらい目に遭った。
(3)LTタイム
・セキュ女になりたい
サポート業務をやっていたら、セキュリティの知識が重要になってきたという話。
・IoT診断入門
5分でしゃべり切れないので、LT枠を2つ取ってたらダメと言われたらしいw
超大ボリュームでメモまともに取れない。スライド公開待ち。
・はにぽフレンズ
ハニーポットを作って、やって来たパケットを見るとニヤニヤできる。
・IoTセキュリティ
某ダッシュボタンを作ってみたら、IoTセキュリティでは考えなければならないことが
たくさん出てきたという話。IoTもシフトレフト!
・CWE-94とCWE-426
WindowsのSYSTEM権限で動くサービスは、コードインジェクション攻撃されると
シャレにならないことになる。運用監視系ツールの中には、
内部NWでしか使わない想定なのか、この辺りの権限管理がザルなものがある。
