情報処理安全確保支援士 オンライン講習Aを受けた備忘録（４）～Japan Vulnerability Notes（JVN）～【後編】

情報処理安全確保支援士　オンライン講習Aを受けた備忘録（４）

内容：情報処理安全確保支援士　オンライン講習A
日時：2020年5月

Japan Vulnerability Notes（JVN）【後編】

---

• 目標　IPA提供のツール「AppGoat」で学習できる脆弱性の種類と内容、ツールの利用方法を含め、セキュリティ人材育成に活用できるようになる

１章　脆弱性診断とは

---

• 脆弱性診断
• ツールを使う自動型
• 典型的な攻撃パターンを効率的に実行
• 機械的に診断が可能なため安価
• 破壊型と非破壊型のツールが存在
• 手動型
• 柔軟な診断、細やかな検査が可能
• 時間とコストがかかる
• 通信監査型：ブラウザとウェブアプリケーション間でのやり取りされる通信を分析
• 脆弱性は後工程になるほど修正の影響が大きくなる、事前に解消し攻撃に対するリスクを軽減する

２章　ウェブアプリケーションの脆弱性診断

---

• 脆弱性の調査に有用なツール
• Fiddler
• ネットワークキャプチャツール
• HTTPリクエストやレスポンスの確認や書き換えが可能
• OpenVAS
• 脆弱性診断ツール
• WEBアプリだけでなくポートスキャン、OSやミドルウェアの調査も可能
• OWASP ZAP
• WEBアプリ脆弱性診断ツール
• Nmap
• ポートスキャンツール
• OSやサービスの名前だけでなくバージョンも調査可能

３章　AppGoatの使用について

---

• AppGoat：IPAが開発した脆弱性体験学習ツール

４章　脆弱性検査ツールMyJVN

---

• MyJVN：ソフトウェアのバージョンを検査するツール「.NET」が必要

まとめ

---

• 経営課題への対応
• 脆弱性が発見されるリスクを考慮し脆弱性診断を行う
• リリース前に脆弱性診断が行われているか監査を行う
• システム等の設計・開発
• セキュアコーディングを行う
• 開発時にセキュリティテストを行い、脆弱性を作り込んでないことを確認
• 運用・保守
• セキュリティについて品質管理や情報収集を行う
• 教育・啓発を行う
• 緊急対応
• 脆弱性によるインシデント対応の体制を用意する
• 脆弱性の影響調査を行い、緊急での対応の必要性等について検討する