割田 太郎 の記事一覧

こんにちは サイバーセキュリティを担当している割田です。 今回は、サイバーセキュリティ対策の要となる情報収集のお話をさせて頂きます。 1.目的 情報収集は、サイバーセキュリティの下記３つの視点で個々の目的で実施しています。今回は、それら情報収集を如何に効率的に実施するかを記載させて頂きます。①脆弱性情報の収集：いち早く自社に関係した脆弱性情報を取得し対策を進める②攻撃情報の収集：POC情報や攻撃キャンペーンなどを収集し防衛に情報を活かす③外部大型インシデント情報の収集：原因や要因を自社に横展開してセキュリティ強化 2.特性の理解 情報収集は、各特性に合わせて利用方法を決め情報収取するのが効果的です。現時点での特性を整理し、直近の利用用途を整理してみました。1)AI / GPTs(ChatGPT)[現状特性] 不得手=最新情報の取得/安定内容, 得手=推測含む情報整理/柔軟な対応[現状用途] 一次情報を元にした追加情報の取得や情報整理 2)自動化 / Power Automate(Cloud)[現状特性] 不得手=柔軟な対応 , 得手=決まった動作/一定した結果/外部連携[現状用途] 一次情報の取得と、Slack等を利用しての速報実施 3)手作りスクリプト[現状特性] 不得手=柔軟な対応 , 得手=細かい作り込み/一定した結果/外部連携[現状用途] 外部API利用やRSSなど複雑な対応が必要な一次用報の取得 4)担当者[現状特性] 不得手=24時間稼働 , 得手=得た情報を元にした包括的分析[現状用途] 取得結果を元にした共有方針の検討/対応 3.情報収集先 ◆脆弱性情報/注意喚起等　①情報処理推進機構(IPA) LINK RSS　：ある程度大き目な脆弱性情報や注意喚起などを取得が出来ます。　②Japan Vulnerability Notes(JVN) LINK RSS　：日本のメーカ含めた各種脆弱性情報の取得が可能です。　③NIST NATIONAL VULNERABILITY DATABASE(NVD) LINK CPEサーチ　：CPE(指定したメーカ/ソフト名/対象Ver)を指定して脆弱性が無いか確認　　CVSS情報など脆弱性情報のトリアージに有効な情報を取得が可能◆脆弱性情報/攻撃動向/外部インシデントなど　・サイバーセキュリティ系のニュースサイト各種　・各メーカ様の脆弱性情報サイト　・各メーカ様やベンダー様からの脆弱性情報(メール)　・サイバーセキュリティの情報を扱っているブログやSNS など 4.全体の構成 1)速報①RSS情報の収集　：IPAや各種セキュリティニュースサイトのRSSから新規書き込みに合わせて稼働　　　PowerAutomate( RSSへの接続 --> 情報整理 --> Slack通知 ) 　➡ 担当者(内容確認/判断) ②CPE元にした情報収集　：利用状況に即した情報の取得を定期実施　　　独自スクリプト( CVEでNVDへ接続 --> 新規/更新判断 --> 情報整理 --> Slack通知 ) 　➡ 担当者(内容確認/判断)2)定期③RSS情報の収集：IPAや各種セキュリティニュースサイトのRSSで全量取得し前回からの差分抽出　　　　　　　　　 　独自スクリプト(各種RSSへ接続 --> 情報整理/整形:一次情報作成) 　➡ GPTs(情報整理 , リンク先の情報取得 , キーワード抽出：トリアージ用情報作成) 　➡ 担当者(内容確認/判断) ※キーワード抽出：トリアージに利用するキーワードを本文から抽出し判断時間短縮　　例：CVSS情報 , POC , 0DAY RCE など 5.各パーツの内容抜粋 6.まとめ 今回は、サイバーセキュリティに関連した情報をAIや自動化ツールを利用して効率的に収集する方法を記載させて頂きました。如何でしたでしょうか、何かに活かせる情報が１個でもあったら嬉しいです。サイバーセキュリティ対策は「時間との闘い」ですが、AIや自動化ツールを活用して情報収集をする事で、その戦いに勝つ事が出来ると信じています。 用語説明 CVSS（ Common Vulnerability Scoring System ) : 共通脆弱性評価システムと呼ばれ、脆弱性に対する評価手法/および指標です。 現在CVSSv3.1が多く利用されているが、CVSSv4.0が2023年に登場しています。 深刻度を数値で表現すると共に、攻撃難易度を「攻撃元区分(AV)」「攻撃条件の複雑さ(AC)」「必要な特権レベル(PR)」「ユーザ関与レベル(UI)」で表現します(Ver3)出典: 共通脆弱性評価システムCVSS v3概説 CPE(Common Platform Enumerations)：情報技術システム/ソフトウェア/パッケージ等が構造化された命名スキームです。 　NVDへ特定の情報に関連した脆弱性を抽出する為の検索キーとして利用されます。出典：NVD - CPE , CPE詳細 RSS（Rich Site Summary）：ウェブサイトの要約や更新情報などを配信するための仕組みで、　更新情報を簡単に取得できます。基本はXML形式で記載されることが多い。 POC( Proof of Concept)：サイバーセキュリティに置いてPOCとは、公開された脆弱性を実際に　悪用が出来るか実証したコードやドキュメントが公開される事を意味します。　これが出てくると、攻撃が容易となり攻撃事態が増える要因になります。RCE（ Remote Code Execution : リモートコード攻撃)：脆弱性/欠陥の１つで、遠隔からの任意のプログラムコードを実行できる事。

こんにちは。GMOインターネットでセキュリティ担当している割田です。今回は、セキュリティ対策でテストに分類される「ペネトレーションテスト（ペンテスト）」を実施するペンテスターのスキルを効果的にアップさせる方法についてご紹介します。 はじめに セキュリティ対策には、色々な段階のものがありますが、一般的に脆弱性の確認手段としては、『診断』と『テスト』があります。 診断網羅的に脆弱性の可能性を確認テスト実際の挙動で脆弱性有無を確認 また、それらテストの中に「ペネトレーションテスト」というものがあります。 「ペネトレーションテスト」とは、対象環境の構成要素を元に攻撃シナリオを作り、そのシナリオと専門知識を武器に、対象環境の様々な脆弱性を深く調査するテストです。 そして「ペネトレーションテスト」の技術者を『ペンテスター』と呼びます。 ペンテスターに関する基礎知識 ペンテスターとペネトレーションテスト環境 ペンテスターが、ペネトレーションテストを学習するためには、テスト環境の準備が必要です。 テスト環境の構成要素 ネットワークを含むインフラ環境アプリケーションデータベースなど ペンテスターへの道 ここからはペンテスターへの道として、スキルアップ方法の課題を記します。 スキルアップ方法一覧 『ペンテスター』のスキルを効果的に向上させるには、サービス環境と同等の環境整備が必要であり、それら環境が無いとシナリオ作成や攻撃方法の幅が少なく効果的な学習ができません。学習環境を利用する方法として大きく分けて下記の3つがあります。 自力構築競技参加外部サービス利用 具体的には以下を指します。 1自力構築ローカル環境やConoHaなどのVPS環境に　●1から構築　●外部提供のものを利用して構築2競技参加外部や内部で開催される競技へ参加する　●ハードニングプロジェクト　●CTF(Capture The Flag)等への競技参加3外部サービス利用環境提供している環境を利用する　●OSCP資格勉強用環境　●Hack The BOX環境 環境構築における課題 しかし、実際問題、自力で環境構築する事は、とても大変です。具体的に以下のようなことが考えられます。 テスト環境自作の難点 ●複合環境の準備　サービス環境と同様の複合環境（OSなど）を用意する必要がある●脆弱性の準備　検証練習をするための脆弱性を持つ環境を準備する必要がある●攻撃シナリオの考慮　効果的に学習できるように複数のシナリオを考える必要がある●難易度の考慮　利用者に合わせた難易度の環境が必要である●初心者への考慮　初心者でも検証方法を理解するための資料（WriteUP）が必要である オススメのスキルアップ方法 上記で記した課題の解決策として、今回私が個人的にオススメしたい方法は、『外部サービスのHack The Box環境を利用する方法』です。 ※Hack The Boxとは、セキュリティをゲーム形式で学習できるオンライン学習　のプラットフォームです。色々な脆弱性を含むサーバ環境が複数用意されてお　り、サーバ環境の管理者権限を取得する事で、点数を得る事が出来ます。 参照：https://www.hackthebox.eu/ オススメするポイントは多くありますが、4つに絞ってご紹介します。 1.いろいろな環境が用意されている 様々なOS（Linux/Windows等）多種多様な脆弱性色々な攻撃が体験できるシナリオが用意されている 2.難易度の範囲が広い 初心者用でも楽しめる環境がある経験者も楽しめる難易度の高い環境もある 3.困ったとき用のWriteUPがある 攻略方法のヒントが公式に記載された資料(WriteUP)がある※動画などが付いているものもあり初心者でもわかる内容になっている。 4.ゲーム要素もあり楽しめる 点数制度があり、ゲーム感覚でクリアを楽しめる簡単なものから難しいものまで幅広く環境があるサイト自体も遊び心がある作りになっていて楽しい ペンテスターがペネトレーションテストのスキルに集中して学習できる。また、初心者から熟練者までが、継続的に楽しみながらスキルアップ出来る良い環境だと個人的に感じています。 余談 実は、夏季休暇中の夜は『Hack the Box』に勤しんでいました。まだまだ遊び足りないので、ライフワーク的に続ける予定です。 弊社では、社内でのハードニングイベントも実施しますので、そちらの環境（内製）にも活かして行きたいと考えています。 おわりに 今回は、ペンテスターの効果的なスキルアップ方法として『Hack The BOX』をお勧めしましたが、興味もって頂けましたでしょうか。 セキュリティエンジニアの仕事は見えづらいものなので少しでも興味を持って頂けたら嬉しいです。