スキップしてメイン コンテンツに移動

情報処理安全確保支援士 オンライン講習Aを受けた備忘録(4)~Japan Vulnerability Notes(JVN)~【後編】

情報処理安全確保支援士 オンライン講習Aを受けた備忘録(4)

内容:情報処理安全確保支援士 オンライン講習A
日時:2020年5月

Japan Vulnerability Notes(JVN)【後編】
  • 目標 IPA提供のツール「AppGoat」で学習できる脆弱性の種類と内容、ツールの利用方法を含め、セキュリティ人材育成に活用できるようになる
1章 脆弱性診断とは
  • 脆弱性診断
    • ツールを使う自動型
      • 典型的な攻撃パターンを効率的に実行
      • 機械的に診断が可能なため安価
      • 破壊型と非破壊型のツールが存在
    • 手動型
      • 柔軟な診断、細やかな検査が可能
      • 時間とコストがかかる
    • 通信監査型:ブラウザとウェブアプリケーション間でのやり取りされる通信を分析
  • 脆弱性は後工程になるほど修正の影響が大きくなる、事前に解消し攻撃に対するリスクを軽減する
2章 ウェブアプリケーションの脆弱性診断
  • 脆弱性の調査に有用なツール
    • Fiddler
      • ネットワークキャプチャツール
      • HTTPリクエストやレスポンスの確認や書き換えが可能
    • OpenVAS
      • 脆弱性診断ツール
      • WEBアプリだけでなくポートスキャン、OSやミドルウェアの調査も可能
    • OWASP ZAP
      • WEBアプリ脆弱性診断ツール
    • Nmap
      • ポートスキャンツール
      • OSやサービスの名前だけでなくバージョンも調査可能
3章 AppGoatの使用について
  • AppGoat:IPAが開発した脆弱性体験学習ツール
4章 脆弱性検査ツールMyJVN
  • MyJVN:ソフトウェアのバージョンを検査するツール「.NET」が必要
まとめ
  • 経営課題への対応
    • 脆弱性が発見されるリスクを考慮し脆弱性診断を行う
    • リリース前に脆弱性診断が行われているか監査を行う
  • システム等の設計・開発
    • セキュアコーディングを行う
    • 開発時にセキュリティテストを行い、脆弱性を作り込んでないことを確認
  • 運用・保守
    • セキュリティについて品質管理や情報収集を行う
    • 教育・啓発を行う
  • 緊急対応
    • 脆弱性によるインシデント対応の体制を用意する
    • 脆弱性の影響調査を行い、緊急での対応の必要性等について検討する

ラベル:

コメント

コメントを投稿

このブログの人気の投稿

久しぶりに鈴虫寺に行ってみたら、今回もいい説法と限定御朱印をゲットしました!

久しぶりに鈴虫寺に行ってみたら、今回も良い説法を聞けました。 コロナの関係で、お茶は有りませんでしたが、お菓子は頂きました。 覚えている範囲で書いてみると、 苔は生き方をあらわしている。 苔は根がない。その為、葉っぱで雨を吸収している。 雨がふらない時は死んだふりして茶色くなってじっと耐えている。 雨が降ったときにパッと葉をひろげ青々と生い茂る。 人生も同じではないか、辛いとき、苦しいときはあるがじっと耐えていると、良くなるときが必ずくる。 祇園祭、釘を一本も使わずに組み立てている。その伝統を伝える為、今年は山鉾を組み立ててる。 お地蔵様に願い→日々、忙しい毎日を過ごしていると思います。お寺に来たときぐらい、本当の幸せを考えてみてはいいのでは? 『 即今只今(そっこんただいま) 』 とは 「即今」も「只今」も「今この瞬間」ということを指しており、ふたつ重ねることで今、この瞬間を一所懸命に生きることが大事ということ。 コロナ禍によって生きにくい世の中になってしまった。 楽しみにしていたイベントも中止になったり 人と会うことも少なくなったが 過去を悔やまず 未来を不安に思わず 今を一所懸命に生きましょう。 『洗心』コロナ禍の影響もあって、手も洗って心も洗おう。みたいなことを仰っていた。 心を洗うためには、人に良いことをするといいらしい。ただし見返りは求めてはいけない。 お寺の開山300年を間もなく迎えるということで、客殿の建替えと文化財の修復をされるそうです。その記念として限定の御朱印を3つ用意されてました。いずれも金色の文字が入っていて、ご利益がありそうです!
コメントを投稿
続きを読む

Android端末の操作を自動化する

システムの運用保守をやってると、必ず実機確認(サービス正常性確認)というモノをやらされる訳であります。 スマホアプリ操作なんかだと、複雑なうえに素早く実施しないとイケない。 はっきり言って、アラフォー男子には限界があります。そこで 自動化 を思いつきます。 FRep - Finger Replayer が有力そうだけど、Root化しないとイケない?業務端末では無理です!! 有償で良さ気なソフトもありそうですが、まずは自力でチャレンジ。調べて見るとadbコマンドを使ってタップやスワイプのイベントを端末に送信できることがわかりました。早速、作業に取り掛かります。 2015/05/05 時点でリリースされている最新版を使って開発環境を構築します。 開発環境となるPCのOSはWindows7 Professional SP1 64bit。 作業は全て管理者権限が付与されたユーザで実施しています。 1. Android SDK をインストール ここ からAndroid SDKをダウンロードします。 サイトの下の方に「SDK Tools Only」があるので、そこから[installer_r24.2-windows.exe]をダウンロードしてインストールします。 次にシステム環境変数の中の[Path]変数を編集し、以下のパスを登録します。 "C:\android-sdk-windows\platforms" "C:\android-sdk-windows\tools"    ※"C:\"はご自身のインストール先によって異なります。 2. PCにAndroid端末を繋げる ①Android端末本体の「設定」から「アプリケーション」>「開発」>「USBデバッグ」にチェック。 ②Android端末をUSBでPCに接続。 ③コマンドプロンプトを立ち上げ、adbコマンドで端末の接続を確認。  > adb devices 以上で準備が整いました。 3. 画面キャプチャを撮って、座標を調べる 次に画面を操作する為、座標を調べます。画面キャプチャをペイント等のアプリで開いてみましょう。図の左下に座標が表示されます。ここではFace...
コメントを投稿
続きを読む