脆弱性の見つけ方 - 攻撃者の思考で捉える “ペネトレーションテスト”と“内製ASM” -
参加枠
5人
/定員100人
無料参加枠(オンライン)
【先着順】無料
5人
定員100人 基本情報
| 日 時 | 2025/01/28(火)12:00 〜 13:15 |
|---|---|
| 会 場 | オンライン |
| 主 催 | Findy/ファインディ |
イベント詳細
✍️概要
近年のサイバー攻撃の事例も相まって、セキュリティや脆弱性に関して重要性を理解し、学び実践していきたいという方は多いのではないでしょうか。
しかし、実際には具体的にどのような点を意識し、どのように実践すれば効果的なのか、明確な方法に悩むこともあるかと思います。
今回は、システムやネットワークに対して実際に疑似攻撃を行い、脆弱性を発見して対策を検証するペネトレーションテストについて『ポートスキャナ 自作ではじめるペネトレーションテスト』の著者である小竹さんと、組織の攻撃対象領域を可視化・管理し、潜在的なセキュリティリスクを特定し削減するASM(Attack Surface Management)を内製しているフリー社をお呼びしました。
攻撃者がどのように脆弱性を見つけていくのか、これに対してどういった対策が可能なのか、を実践的な事例を踏まえてお話しいただきます。
🎁参加方法とプレゼント企画
URLはお申し込みいただいた方へ視聴用リンクをお渡ししています。
参加後アンケート回答者の中から抽選で5名様へ以下の書籍をプレゼント差し上げます。
『ポートスキャナ自作ではじめるペネトレーションテスト』
🕛タイムテーブル
| 時間 | セッションタイトル |
|---|---|
| 12:00~12:03 | オープニング |
| 12:03~12:30 | 小竹さんご講演:「ベールに包まれたぺネトレーションテストの正体とは?〜EDRの回避方法を添えて〜」 |
| 12:30~12:50 | hikaeさんご講演:「攻撃者の目線で社内リソースはどう見えるのかをASMで実現する」 |
| 12:50~12:55 | Q&A |
| 12:55~13:00 | クロージング |
「ベールに包まれたぺネトレーションテストの正体とは?〜EDRの回避方法を添えて〜」
小竹さんより
ペネトレーションテストと脆弱性診断は共に攻撃者目線で実際に攻撃を行うことでシステムの弱点を見つける手法です。
しかし、脆弱性診断とペネトレーションテストは区別されて扱われています。脆弱性診断とペネトレーションテストは、実施するペンテスターに依存する部分が多いものの、使用される技術には共通するものが多い点、セキュリティベンダ各社のサービス名になっており、各社で解釈が違う点から万人が納得できる解説をするのは困難です。
そこで、本セッションでは、AVTOKYO 2024で私が発表したEDRの回避方法の紹介を交えながら、ペネトレーションテストの実態を解説致します。
「攻撃者の目線で社内リソースはどう見えるのかをASMで実現する」
hikaeさんより
ペネトレーションテストを実施する際、始めに行うのが偵察フェーズです。OSINTに代表される様々な手法で攻撃対象が管理しているドメインやネットワークを明らかにします。
freeeでは外部の攻撃者よりもよりレベルの高い偵察を行うためホワイトボックス型のアプローチを行うASMを開発/運用しています。
本セッションではASMによって明らかになったリスクと、内製化したことで得られた副次的効果について紹介します。
※内容は変更の可能性があります、ご了承ください。
🧑💻こんな方におすすめ
- ASMやペネトレーションテストという言葉は聞いたことがあるが実践としてまだ活かせていない方
- 様々なニュースを見てセキュリティに関して対策の必要性を感じている方
- 脆弱性に関して他社の事例を聞き、取り入れていきたい方
☑️イベントのゴール
- セキュリティ、脆弱性について実践的な情報を知れた
- イベント内容から自身の開発現場に取り入れるべき考え方や対策方法を学べた
🎤登壇者
「ベールに包まれたぺネトレーションテストの正体とは?〜EDRの回避方法を添えて〜」
小竹泰一 (@tkmru)
株式会社ステラセキュリティ
取締役CTO
株式会社ステラセキュリティにて副社長/CTOを務める。Webアプリケーション、モバイルアプリの脆弱性診断や内部ネットワークへのペネトレーションテスト、研究開発に従事。
主な登壇にAVTOKYO 2024、CODEBLUE 2020・2022 Bluebox、BlackHat USA 2020-2021 Arsenal、Black Hat EUROPE Arsenal 2021-2022がある。
主な著書に「ポートスキャナ自作ではじめるペネトレーションテスト —Linux環境で学ぶ攻撃者の思考(オライリー・ジャパン)」、「マスタリングGhidra —基礎から学ぶリバースエンジニアリング完全マニュアル(オライリージャパン)」、「リバースエンジニアリングツールGhidra実践ガイド(マイナビ出版)」がある。
好きな動物はカワウソ。自身の脆弱性はパクチーと早起き。
「攻撃者の目線で社内リソースはどう見えるのかをASMで実現する」
hikae (@0xhikae)
フリー株式会社
PSIRT RedTeam
2023年よりfreee PSIRT
GitHubが好き
CodeQLを用いたSASTのenabling、CI/CDを監視する仕組みを作るなどGitHub関連のセキュリティで開発者に寄り添ったセキュリティを目指してる
第一回セキュリティ若手の会にて「CodeQLを用いたホワイトボックス型ペネトレーション」で登壇
⚠️諸注意
- エージェントの方や営業目的でのイベントの参加はご遠慮ください。
- 性別/性的指向/障碍の有無/人種/宗教/年齢/容姿/体格/技術の選択に関わりなく、 誰もが気持ちよく参加できるようにご協力ください。
- 当イベントの内容およびスケジュールは、予告なく変更となる場合があります。予めご了承ください。
- イベント参加時に入力いただいた情報は、以下に基づき扱います。
ファインディ株式会社 プライバシーポリシー
📣主催・運営
-
「Findy」ハイスキルなエンジニアのプレミアム転職サービス :
ハイスキルなエンジニアと企業をマッチングするプレミアム転職サービス。独自に開発した解析方法によりIT/Webエンジニアのスキルと、テック企業がエンジニアにとってどれだけ魅力的なのかを客観的に格付けし、両者をマッチングします。 - 「Findy Freelance」フリーランス・副業エンジニア向け単価保証型の案件紹介サービス : Findyのフリーランス・副業エンジニア向けサービス。IT/Webエンジニアの技術力をスキル偏差値化し、単価保証された案件のみご紹介します。
-
「Findy Team+」エンジニア組織のパフォーマンス最大化サービス :
弊社独自の強みである「スキル偏差値」で培ってきたアルゴリズム・ノウハウを活用して、GitHubを連携いただくだけで、その組織に属するエンジニアのパフォーマンスや活動状況を見える化します。 -
「Findy Tools」:
開発ツールに特化したレビューサイト。実際に利用している企業の声を元に、開発ツールの導入や検討に必要な情報が集約されており、企業の技術選定をサポート。
イベント参加者
お問い合わせ
開催グループ
Findy/ファインディ
Findyでは「挑戦するエンジニアのプラットフォームをつくる。」をビジョンに事業に取り組んでいます。
エンジニア組織の生産性可視化&向上に関するイベント情報をお届けします!
開催予定イベント
AI駆動開発 ツール活用事例に学ぶ新たな開発手法の可能性
2025/02/05(水) 開催
ドメイン駆動設計 - 実践企業が語るBefore/After -
2025/01/21(火) 開催
LayerX・イオン・JALインフォテックに学ぶ Terraformによる自動化・効率化の最前線
2025/01/27(月) 開催
関連するイベント
【無料・オンライン】「単なる文書」で終わらせない SBOM 作成のための処方箋
2025/01/15(水)
システムの保守性を向上! アーキテクチャ解析ツール 「Lattix 」紹介WEBセミナー
2025/01/17(金)
【脆弱性診断のプロがひも解く】誰にも聞けなかった正しい脆弱性診断の進め方~診断ガイド解説付~
2025/01/20(月)
【企業担当者向け】セキュリティ人材育成のためのスキル可視化とは?(別日開催あり)
2025/01/29(水)
Secure Code Warrior紹介セミナー(入門編):セキュアコーディング学習プラットフォームの概要紹介
2025/02/12(水)
関連するマガジン
注目のタグ
注目のイベント
TECH PLAY UX Design Conference #2
2025/01/17(金) 開催
