BEGIN:VCALENDAR VERSION:2.0 PRODID:-//https://techplay.jp//JP CALSCALE:GREGORIAN METHOD:PUBLISH X-WR-CALDESC:脆弱性の見つけ方 - 攻撃者の思考で捉える “ ペネトレーションテスト”と“内製ASM” - X-WR-CALNAME:脆弱性の見つけ方 - 攻撃者の思考で捉える “ ペネトレーションテスト”と“内製ASM” - X-WR-TIMEZONE:Asia/Tokyo BEGIN:VTIMEZONE TZID:Asia/Tokyo BEGIN:STANDARD DTSTART:19700101T000000 TZOFFSETFROM:+0900 TZOFFSETTO:+0900 TZNAME:JST END:STANDARD END:VTIMEZONE BEGIN:VEVENT UID:969721@techplay.jp SUMMARY:脆弱性の見つけ方 - 攻撃者の思考で捉える “ペネ トレーションテスト”と“内製ASM” - DTSTART;TZID=Asia/Tokyo:20250128T120000 DTEND;TZID=Asia/Tokyo:20250128T131500 DTSTAMP:20260608T133755Z CREATED:20250114T022037Z DESCRIPTION:イベント詳細はこちら\nhttps://techplay.jp/event/96972 1?utm_medium=referral&utm_source=ics&utm_campaign=ics\n\n✍️概要\n 近年のサイバー攻撃の事例も相まって、セキュリティ や脆弱性に関して重要性を理解し、学び実践していき たいという方は多いのではないでしょうか。しかし、 実際には具体的にどのような点を意識し、どのように 実践すれば効果的なのか、明確な方法に悩むこともあ るかと思います。今回は、システムやネットワークに 対して実際に疑似攻撃を行い、脆弱性を発見して対策 を検証するペネトレーションテストについて『ポート スキャナ 自作ではじめるペネトレーションテスト』の 著者である小竹さんと、組織の攻撃対象領域を可視化 ・管理し、潜在的なセキュリティリスクを特定し削減 するASM(Attack Surface Management)を内製しているフリー社を お呼びしました。攻撃者がどのように脆弱性を見つけ ていくのか、これに対してどういった対策が可能なの か、を実践的な事例を踏まえてお話しいただきます。\ n🎁参加方法とプレゼント企画\nURLはお申し込みいただ いた方へ視聴用リンクをお渡ししています。参加後ア ンケート回答者の中から抽選で5名様へ以下の書籍をプ レゼント差し上げます。『ポートスキャナ自作ではじ めるペネトレーションテスト』\n🕛タイムテーブル\n\n \n\n時間\nセッションタイトル\n\n\n\n\n12:00~12:03\nオープ ニング\n\n\n12:03~12:30\n小竹さんご講演:「ベールに包ま れたぺネトレーションテストの正体とは?〜EDRの回避 方法を添えて〜」\n\n\n12:30~12:50\nhikaeさんご講演:「攻 撃者の目線で社内リソースはどう見えるのかをASMで実 現する」\n\n\n12:50~12:55\nQ&A\n\n\n12:55~13:00\nクロージング\n \n\n\n\n「ベールに包まれたぺネトレーションテストの 正体とは?〜EDRの回避方法を添えて〜」\n\n小竹さんよ りペネトレーションテストと脆弱性診断は共に攻撃者 目線で実際に攻撃を行うことでシステムの弱点を見つ ける手法です。しかし、脆弱性診断とペネトレーショ ンテストは区別されて扱われています。脆弱性診断と ペネトレーションテストは、実施するペンテスターに 依存する部分が多いものの、使用される技術には共通 するものが多い点、セキュリティベンダ各社のサービ ス名になっており、各社で解釈が違う点から万人が納 得できる解説をするのは困難です。そこで、本セッシ ョンでは、AVTOKYO 2024で私が発表したEDRの回避方法の紹 介を交えながら、ペネトレーションテストの実態を解 説致します。\n\n\n「攻撃者の目線で社内リソースはど う見えるのかをASMで実現する」\n\nhikaeさんよりペネト レーションテストを実施する際、始めに行うのが偵察 フェーズです。OSINTに代表される様々な手法で攻撃対 象が管理しているドメインやネットワークを明らかに します。freeeでは外部の攻撃者よりもよりレベルの高 い偵察を行うためホワイトボックス型のアプローチを 行うASMを開発/運用しています。本セッションではASMに よって明らかになったリスクと、内製化したことで得 られた副次的効果について紹介します。\n\n※内容は変 更の可能性があります、ご了承ください。\n🧑‍💻こ んな方におすすめ\n\nASMやペネトレーションテストとい う言葉は聞いたことがあるが実践としてまだ活かせて いない方\n様々なニュースを見てセキュリティに関し て対策の必要性を感じている方\n脆弱性に関して他社 の事例を聞き、取り入れていきたい方\n\n☑️イベント のゴール\n\nセキュリティ、脆弱性について実践的な情 報を知れた\nイベント内容から自身の開発現場に取り 入れるべき考え方や対策方法を学べた\n\n🎤登壇者\n「 ベールに包まれたぺネトレーションテストの正体とは ?〜EDRの回避方法を添えて〜」\n小竹泰一 (@tkmru)株式 会社ステラセキュリティ取締役CTO株式会社ステラセキ ュリティにて副社長/CTOを務める。Webアプリケーション 、モバイルアプリの脆弱性診断や内部ネットワークへ のペネトレーションテスト、研究開発に従事。主な登 壇にAVTOKYO 2024、CODEBLUE 2020・2022 Bluebox、BlackHat USA 2020-202 1 Arsenal、Black Hat EUROPE Arsenal 2021-2022がある。主な著書に 「ポートスキャナ自作ではじめるペネトレーションテ スト —Linux環境で学ぶ攻撃者の思考(オライリー・ジ ャパン)」、「マスタリングGhidra —基礎から学ぶリバ ースエンジニアリング完全マニュアル(オライリージ ャパン)」、「リバースエンジニアリングツールGhidra 実践ガイド(マイナビ出版)」がある。好きな動物は カワウソ。自身の脆弱性はパクチーと早起き。\n「攻 撃者の目線で社内リソースはどう見えるのかをASMで実 現する」\nhikae (@0xhikae)フリー株式会社PSIRT RedTeam2023年 よりfreee PSIRTGitHubが好きCodeQLを用いたSASTのenabling、CI/CD を監視する仕組みを作るなどGitHub関連のセキュリティ で開発者に寄り添ったセキュリティを目指してる第一 回セキュリティ若手の会にて「CodeQLを用いたホワイト ボックス型ペネトレーション」で登壇\n⚠️諸注意\n\n エージェントの方や営業目的でのイベントの参加はご 遠慮ください。\n性別/性的指向/障碍の有無/人種/宗教/ 年齢/容姿/体格/技術の選択に関わりなく、 誰もが気持 ちよく参加できるようにご協力ください。\n当イベン トの内容およびスケジュールは、予告なく変更となる 場合があります。予めご了承ください。\nイベント参 加時に入力いただいた情報は、以下に基づき扱います 。ファインディ株式会社 プライバシーポリシー\n\n\n 📣主催・運営\n\nファインディ株式会社\n\n\n「Findy」ハ イスキルなエンジニアのプレミアム転職サービス :ハ イスキルなエンジニアと企業をマッチングするプレミ アム転職サービス。独自に開発した解析方法によりIT/W ebエンジニアのスキルと、テック企業がエンジニアに とってどれだけ魅力的なのかを客観的に格付けし、両 者をマッチングします。\n\n「Findy Freelance」フリーラン ス・副業エンジニア向け単価保証型の案件紹介サービ ス : Findyのフリーランス・副業エンジニア向けサービ ス。IT/Webエンジニアの技術力をスキル偏差値化し、単 価保証された案件のみご紹介します。\n\n「Findy Team+」 エンジニア組織のパフォーマンス最大化サービス :弊 社独自の強みである「スキル偏差値」で培ってきたア ルゴリズム・ノウハウを活用して、GitHubを連携いただ くだけで、その組織に属するエンジニアのパフォーマ ンスや活動状況を見える化します。\n\n「Findy Tools」: 開発ツールに特化したレビューサイト。実際に利用し ている企業の声を元に、開発ツールの導入や検討に必 要な情報が集約されており、企業の技術選定をサポー ト。\n LOCATION: URL:https://techplay.jp/event/969721?utm_medium=referral&utm_source=ics&utm _campaign=ics END:VEVENT END:VCALENDAR