こんにちは、大阪でYahoo!スコアを担当している黒澤です。 大阪で10月17日に行われたMix Leap Studyのセキュリティイベント「サイバーセキュリティ最前線」のイベントを紹介します。
今回のテーマは「サイバーセキュリティ」。 ヤフーのセキュリティに対する取り組みや、CTF(情報セキュリティー分野で技術を競う手法の一つ)のウェブ分野の強化法についての話がありました。 ヤフーからは中村と大角が登壇し、ゲストスピーカーとしてパナソニック株式会社より前田 朋久さんに登壇いただきました。
「脆弱性対応を特別なモノにしない為に」
中村 暢宏(ヤフー株式会社)
一人目はヤフーのインシデント対応チーム(YJ-CSIRT)に所属している中村が登壇しました。 CI/CDパイプラインでの脆弱性検査の組み込みや脆弱性スキャナーの運用などヤフーで取り組んでいる脆弱性対応を中心にお話ししました。
脆弱性対応というものはサービス開発者にとって非常に厄介者。新しい脆弱性が日に何十個も生まれることもあるそうです。 そんな脆弱性対応ですが、やらないわけにはいかないのが現状です。
YJ-CSIRTではそれをいかに習慣化できるかということを重要視し、脆弱性対応のコストが掛からない環境作りに取り組んでいるということでした。
私はその環境を使う側の人間なのですが、現場の意見をよく吸い上げて環境を構築されていることが分かり、非常にありがたく感じました。 その話の中に出てきた"Screwdriver"はアメリカのYahoo!がOSS化したCDツールです。ぜひ使ってみてください。
「(初心者向け)CTFのweb分野の強化法」
前田 朋久さん(パナソニック株式会社)
二人目はパナソニック株式会社で製品セキュリティセンター 検証対策部で脆弱性診断、脅威分析、設計支援などを担当されている前田さんに登壇いただきました。
CTFには2017年位から本格的に参加されており、最近ではバグバウンティもしているそうです。 国内最大級のセキュリティコンテストSECCONにも参加されており、決勝戦進出という成績を残されています。 そんな前田さんですが、5年ほど前まではCookieも知らない初心者だったということ...成長ぶりがすごすぎです!
前田さんからはご自身の経験を踏まえたCTFへの効率的な取り組み方やCTF未経験者から上級者までの難易度別対策についてお話しいただきました。 CTFはクイズやパズルのようで頭を柔らかくしないと解けないなと思いましたが、実戦でも使えるスキルが多くあり、楽しみながら技術を向上できるイベントということも非常に納得できました。 難易度が上がるに連れて必要とされる知識や経験も増え、正答率0から1%の問題・世界TOP10級となると人生で重要な何かを捨てなければいけない! というくらいの難易度のようです(笑)
質問コーナーでは「脆弱性診断力をつけるためにはどれくらいのCTF力をつければ良いか?」という質問がありました。 その回答は「誰でも発見できるものを検知漏れ無くせることがまずは大切。レベルでいうと40−60%くらいを目指すことが良いと思う」とのことでした。 まずはそのレベルを目指したいと思いました。
「フィッシング詐欺と如何に戦い、そして如何にして勝つか」
大角 祐介(ヤフー株式会社)
休憩を挟んで三人目はヤフーで中村と同じチームでセキュリティエンジニアとして働いている大角が登壇しました。
大角からはフィッシングサイトの現状とその対応方法について、特にフィッシング詐欺に悩まされている事業者側を対象とした対応方法について重点的にお話ししました。 ヤフーもこの悩まされる事業者側です。
フィッシング詐欺への基本的な対応としては、大きく3段階、検知と情報収集、一次対応(止血)、フィッシングサイトの閉鎖(Takedown)があるそうです。 Takedownの方法については、Abuseの説明やドメインから事業者を確認する方法、CDNを利用している場合の対応方法について詳しく説明し、とても実戦的な内容でした。 またフィッシングサイトをTakedownした際には、フィッシング詐欺をなかったことにしないためにもJPCERT/CCへの通報することが非常に重要とのこと。 「フィッシング詐欺には必ず犯罪者がいることを忘れず、遠慮していてはいけない。遠慮したら負けの世界だ」という言葉が印象に残りました。
懇親会
会の最後には、登壇してくださった方々と参加者を交え、懇親会を行いました。 登壇者の方への質問の続きを聞いたり、セキュリティ業界の話などいろいろな話題がそれぞれのテーブルで繰り広げられていました。 今回は関西圏のセキュリティ業界の方も多く参加されており、とても盛り上がったと思います!
最後に
サイバーセキュリティ最前線について、3名の方にお話しいただきました。脆弱性対応、CTF、フィッシングとそれぞれ気づきのある貴重な話が聞けました。
脆弱性対応ではそれを習慣化、当たり前のこととすることの大切さを、CTFでは楽しみながら技術を向上できる方法があることを、フィッシングでは実戦的なTakedownの方法と遠慮してはいけないということを学びました。
イベント後に回答いただいたアンケートでは7割以上の方々に「有意義であった」との回答をいただきました。
「セキュリティについて対応されている方の生の声が聞けて良かった」といったコメントもいただいており、大阪で開催できてよかったと思うとともに今後も関西をセキュリティ業界を盛り上げることができるようなイベントを開催できればと思います。
大阪オフィスでは、Mix Leapという場を通して、関西圏のエンジニア・クリエイターがともに学び、成長できる場をこれからも提供していきます。 毎回、さまざまなテーマでイベントを開催していますので、ご興味のある回にはぜひお気軽に参加いただければと思います。
こちらの記事のご感想を聞かせください。
- 学びがある
- わかりやすい
- 新しい視点
ご感想ありがとうございました
