脆弱性の見つけ方 - 攻撃者の思考で捉える “ペネトレーションテスト”と“内製ASM” -

2025/01/28(火)12:00 〜 13:15 開催
ブックマーク

イベント内容

✍️概要

近年のサイバー攻撃の事例も相まって、セキュリティや脆弱性に関して重要性を理解し、学び実践していきたいという方は多いのではないでしょうか。
しかし、実際には具体的にどのような点を意識し、どのように実践すれば効果的なのか、明確な方法に悩むこともあるかと思います。
今回は、システムやネットワークに対して実際に疑似攻撃を行い、脆弱性を発見して対策を検証するペネトレーションテストについて『ポートスキャナ 自作ではじめるペネトレーションテスト』の著者である小竹さんと、組織の攻撃対象領域を可視化・管理し、潜在的なセキュリティリスクを特定し削減するASM(Attack Surface Management)を内製しているフリー社をお呼びしました。
攻撃者がどのように脆弱性を見つけていくのか、これに対してどういった対策が可能なのか、を実践的な事例を踏まえてお話しいただきます。

🎁参加方法とプレゼント企画

URLはお申し込みいただいた方へ視聴用リンクをお渡ししています。
参加後アンケート回答者の中から抽選で5名様へ以下の書籍をプレゼント差し上げます。
『ポートスキャナ自作ではじめるペネトレーションテスト』

🕛タイムテーブル

時間 セッションタイトル
12:00~12:03 オープニング
12:03~12:30 小竹さんご講演:「ベールに包まれたぺネトレーションテストの正体とは?〜EDRの回避方法を添えて〜」
12:30~12:50 hikaeさんご講演:「攻撃者の目線で社内リソースはどう見えるのかをASMで実現する」
12:50~12:55 Q&A
12:55~13:00 クロージング

発表内容「ベールに包まれたぺネトレーションテストの正体とは?〜EDRの回避方法を添えて〜」

小竹さんより
ペネトレーションテストと脆弱性診断は共に攻撃者目線で実際に攻撃を行うことでシステムの弱点を見つける手法です。 しかし、脆弱性診断とペネトレーションテストは区別されて扱われています。脆弱性診断とペネトレーションテストは、実施するペンテスターに依存する部分が多いものの、使用される技術には共通するものが多い点、セキュリティベンダ各社のサービス名になっており、各社で解釈が違う点から万人が納得できる解説をするのは困難です。 そこで、本セッションでは、AVTOKYO 2024で私が発表したEDRの回避方法の紹介を交えながら、ペネトレーションテストの実態を解説致します。

発表内容「攻撃者の目線で社内リソースはどう見えるのかをASMで実現する」

hikaeさんより
ペネトレーションテストを実施する際、始めに行うのが偵察フェーズです。OSINTに代表される様々な手法で攻撃対象が管理しているドメインやネットワークを明らかにします。 freeeでは外部の攻撃者よりもよりレベルの高い偵察を行うためホワイトボックス型のアプローチを行うASMを開発/運用しています。 本セッションではASMによって明らかになったリスクと、内製化したことで得られた副次的効果について紹介します。

🧑‍💻こんな方におすすめ

  • ASMやペネトレーションテストという言葉は聞いたことがあるが実践としてまだ活かせていない方
  • 様々なニュースを見てセキュリティに関して対策の必要性を感じている方
  • 脆弱性に関して他社の事例を聞き、取り入れていきたい方

☑️イベントのゴール

  • セキュリティ、脆弱性について実践的な情報を知れた
  • イベント内容から自身の開発現場に取り入れるべき考え方や対策方法を学べた

🎤登壇者

「ベールに包まれたぺネトレーションテストの正体とは?〜EDRの回避方法を添えて〜」


小竹泰一 @tkmru
株式会社ステラセキュリティ
取締役CTO
株式会社ステラセキュリティにて副社長/CTOを務める。Webアプリケーション、モバイルアプリの脆弱性診断や内部ネットワークへのペネトレーションテスト、研究開発に従事。 主な登壇にAVTOKYO 2024、CODEBLUE 2020・2022 Bluebox、BlackHat USA 2020-2021 Arsenal、Black Hat EUROPE Arsenal 2021-2022がある。 主な著書に「ポートスキャナ自作ではじめるペネトレーションテスト —Linux環境で学ぶ攻撃者の思考(オライリー・ジャパン)」、「マスタリングGhidra —基礎から学ぶリバースエンジニアリング完全マニュアル(オライリージャパン)」、「リバースエンジニアリングツールGhidra実践ガイド(マイナビ出版)」がある。 好きな動物はカワウソ。自身の脆弱性はパクチーと早起き。

「攻撃者の目線で社内リソースはどう見えるのかをASMで実現する」


hikae @0xhikae
フリー株式会社
PSIRT RedTeam
2023年よりfreee PSIRT GitHubが好き CodeQLを用いたSASTのenabling、CI/CDを監視する仕組みを作るなどGitHub関連のセキュリティで開発者に寄り添ったセキュリティを目指してる 第一回セキュリティ若手の会にて「CodeQLを用いたホワイトボックス型ペネトレーション」で登壇

⚠️諸注意

  • 参加用リンクは開催当日、参加確定者にconnpass経由で通知します
  • エージェントの方や営業目的でのイベントの参加はご遠慮ください
  • 性別/性的指向/障碍の有無/人種/宗教/年齢/容姿/体格/技術の選択に関わりなく、 誰もが気持ちよく参加できるようにご協力ください
  • 当イベントの内容およびスケジュールは、予告なく変更となる場合があります。予めご了承ください。
  • イベント参加時に入力いただいた情報は、以下に基づき扱います。
    ファインディ株式会社 プライバシーポリシー

📣主催・運営



ファインディ株式会社

注意事項

※ こちらのイベント情報は、外部サイトから取得した情報を掲載しています。
※ 掲載タイミングや更新頻度によっては、情報提供元ページの内容と差異が発生しますので予めご了承ください。
※ 最新情報の確認や参加申込手続き、イベントに関するお問い合わせ等は情報提供元ページにてお願いします。
情報提供元ページ(connpass)へ

新規会員登録

このイベントに申し込むには会員登録が必要です。
アカウント登録済みの方はログインしてください。



※ ソーシャルアカウントで登録するとログインが簡単に行えます。

※ 連携したソーシャルアカウントは、会員登録完了後にいつでも変更できます。

関連するイベント