弊社イベントでイエラエセキュリティさんの「脆弱性とセキュリティの話」を聴いてきた[レポート] #cmdevio2019sec

こんにちは。 先日、「Developers.IO 2019 Security」という弊社主催のイベントを開催させていただきました。 芳賀も運営しながら、セッションを楽しませてもらいました。

イエラエセキュリティについて

株式会社イエラエセキュリティ 伊藤章博様

株式会社イエラエセキュリティとは?

Webアプリケーション、iOS・Androidアプリなどのセキュリティ診断を行う企業 診断エンジニアだけでも50名近くいる
エンジニアを働きたい場所で採用するため、札幌や川口など拠点が多いそうです。

セキュリティ技術クオリティ

FUDマーケティングをおこなう企業もあるが、スキルを全面に押し出していきたい
世界各国で開催されているCTFへ参加し、結果を残している
そんな、世界で有数のスキルを持ったエンジニアが在籍するセキュリティ診断会社

対応している技術分野

Androidアプリ iOSアプリの脆弱性診断が行える
iOSアプリの診断が結構難しいが、得意とするエンジニアが在籍している

脆弱性とセキュリティの話

株式会社イエラエセキュリティ 植草大地様

対策を必要と状況

2020年のオリンピックなど大きなイベントで攻撃されることが多い
イスラエルやロシアは軍事やテロ対策としてセキュリティをとらえている

よく悪用される脆弱性

  1. SQLインジェクション
    • 危険度が高く、ポピュラーな脆弱性
  2. クロスサイトスクリプティング(XSS)
    • 診断していると見つけない事がないぐらい多くある脆弱性
  3. アクセス制御の不備
    • ツールなどの自動診断が苦手とする脆弱性
    • 登壇者の植草さんは、これを発見するのが得意だそうです。
  4. クロスサイトリクエストフォージェリ(CSRF)
    • XSSと同じく受動的な攻撃
    • 最近は検出されることが少なく、ECサイトは対策が進んでいる。

まとめ

防犯のために自分の家に鍵をかける行為と同じです。

所感

日ごろから診断されているエンジニアから聞く脆弱性の話だったので、やはり開発段階から対策を施すべきだと改めて考えさせられました。