脆弱性対応を特別なモノにしない為に #mixleap

脆弱性対応を 特別なモノにしない為に 2019/10/16 ヤフー株式会社 CISO室 セキュリティ監視室 中村 暢宏 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved.

プロフィール 中村 暢宏 CISO室セキュリティ監視室 YJ-CSIRT 2013新卒入社 社内向けの認証基盤や脆弱性スキャナの開発・構築・運用を担当 2019/07にYJ-CSIRTへ異動 CI / CDパイプラインへの脆弱性検査の組み込み、脆弱性スキャナの運用に従事 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 2

[PR] ここにいる経緯 こんなブログ記事を書きました(YJ-CSIRT所属後初業務) 脆弱性に対するヤフーの取り組みについて https://techblog.yahoo.co.jp/entry/20190807719914 関連記事 守れサイバーセキュリティ〜SOCとは？ ヤフーにおけるその役割 https://techblog.yahoo.co.jp/entry/20190711705562 ヤフーのサイバーセキュリティに対する考えと取り組み https://techblog.yahoo.co.jp/entry/20190910749572 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 3

本日のお題 ぜい じゃく せい 脆弱性 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 4

もくじ 脆弱性とは VS.脆弱性対応 ヤフーの脆弱性への取り組み Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 5

脆弱性とは Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 6

脆弱性とは 脆弱性 ( Vulnerability, vuln ) 開発者が意図しない動作をさせてしまう、 攻撃者が利用できるシステムの欠陥 脅威に対して対策がとられていない状態 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 7

脆弱性が潜む所 ソースコード 使用しているOSS ミドルウェア ネットワーク構成 認証/認可/権限 etc 自プロダクト OSS 直接指定 他OSS 他OSS 他OSS 他OSS 他OSS Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 8

脆弱性への対応は？ 脆弱性検査 認知・評価 対応計画 修正対応 脆弱性対応は、各ステップを 回す事で実施される 一度対応して終わり、と出来る モノでは無い 定期的、継続的に実施が必要 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 9

脆弱性対応に終わりは無い 5191 7946 6484 6447 14714 16556 2013 2014 2015 2016 2017 2018 新しい脆弱性は、 毎日のように報告されている 気付かないうちに、多くの脆 弱性が混入している事も 何も検出されなくなったから と言って、安心する事が出来 ない 参考: https://www.cvedetails.com/browse-by-date.php Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 10

放置した場合 侵入・情報の窃盗・不正利用 お客様の信用を失う サービスを継続できなくなる 画像:アフロ Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 11

放置した場合 侵入・情報の窃盗・不正利用 安全なサービス提供には、 お客様の信用を失う 脆弱性に対する対応が不可欠 サービスを継続できなくなる 画像:アフロ Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 12

VS.脆弱性対応 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 13

質問 ぜい じゃく せい 脆弱性 対応 していますか？ Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 14

開発中に、こんなことありませんか？ ある日、セキュリティ担当者から、脆弱性 対応の指示が入る 急遽、影響範囲・対応方法を調べて、 差し込みタスクとして対処 結果、業務が止まってしまう Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 15

脆弱性対応のコストが重い 対応作業の内容がよくわからない 対象を把握していない 対応に必要な作業コストを見積もれない 対応した際の影響もわからない Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 16

脆弱性対応のコストが重い 対応作業の内容がよくわからない 対象を把握していない 対応に必要な作業コストを見積もれない 対応した際の影響もわからない 脆弱性対応に馴れていれば判るのでは？ Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 17

脆弱性対応に慣れるには 場数を踏むしか無いのでは Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 18

脆弱性対応に慣れるには 場数を踏むしか無いのでは 実際に、弊社内でヒアリングしてみた → Q: 脆弱性対応はできている？ Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 19

ネガティブな意見を抽出してみた 本来の工数が削られるので、、 セキュリティ担当じゃない 労力をかけたくない 指示されたのでやる Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 20

ネガティブな意見を抽出してみた 本来の工数が削られるので、、 セキュリティ担当じゃない 「手間がかかる、担当外の作業」 という認識 労力をかけたくない 指示されたのでやる Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 21

現場のニーズ 脆弱性対応に余計なコストが掛からない環境 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 22

YJ-CSIRTが目指す所 脆弱性対応を余計なコストと現場が思わない環境 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 23

脆弱性への取り組み Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 24

ヤフーの脆弱性への取り組み 従来までは、開発者が手動でセキュリティチェック チェックは、開発の各フェイズで実施 担当者の手動診断や、診断ベンダーへの委託も Plan Code Build Test Deploy Configure Monitor Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 25

ヤフーの脆弱性への取り組み 従来までは、開発者が手動でセキュリティチェック チェックは、開発の各フェイズで実施 担当者の手動診断や、診断ベンダーへの委託も 何か見つかったら連絡 何か見つかったら対応 Plan Code Build Test Deploy Configure Monitor Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 26

ヤフーの脆弱性への取り組み 従来までは、開発者が手動でセキュリティチェック チェックは、開発の各フェイズで実施 担当者の手動診断や、診断ベンダーへの委託も 脆弱性の対応が「イベント」になっている Plan Code Build Test Deploy Configure Monitor Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 27

脆弱性対応のイベント化 トップダウンの指示で混乱が生じる 「はやり」に影響される ノウハウが引き継がれない Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 28

新しい取り組み 開発サイクルが変わった為、 チェックリストによる運用が困難 Plan Code Build Test Deploy Configure Monitor Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 29

新しい取り組み チェックリストを元に、 パイプラインへ検査ツールを組み込む ビルド時にチェック Plan Code Build ビルドパイプライン Deploy Configure Monitor Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 30

Screwdriver.cd GUIDE BLOG CONTACT US CONTRIBUTING SCREWDRIVER Build. Test. Deploy. TRY IT TODAY Screwdriver is an open source build platform designed for Continuous Delivery. 参考: https://screwdriver.cd/ 31

パイプラインへの組み込み 1 Commit 2 Notify 3 Trigger Build 4 Build 5 Publish Artifact(s) 6 Continue pipeline User Github Screwdriver API Screwdriver API Datastore Log Storage Build Cache Screwdriver Launcher Build Container(s) Execution Engine Deployable Resource(s) Artifact Store(s) 参考: https://docs.screwdriver.cd/ja/cluster-management/ 32

パイプラインへの組み込みの利点 トップダウンの指示で混乱が生じる → 指示されてやるわけでは無く、業務フローの中で実施 「はやり」に影響される → 突発イベントを、普段の業務で処理する ノウハウが引き継がれない → 日常的に実施する事で、都度調査のコストを削減 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 33

一方で 脆弱性対応をやり続けるだけのチームにならないか不安 依存するOSSライブラリに脆弱性があった時、 修正対応が出来ないのでは ビジネス判断をシステムに組み込めるのか Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 34

一方で 技術だけで解決出来ない課題 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 35

課題：技術だけで解決出来ない箇所 システムを導入して終わりでは無い サポート体制を構築 ルールやガイドラインの見直し Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 36

まとめ Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 37

まとめ 日々増加する脆弱性に対応しなければならない 脆弱性対応の習慣化が重要 YJ-CSIRTでは、 余計なコストと現場が思わない環境作りを進めています Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 38

end Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 39