タグ: セキュリティ

2016年11月22日（火） 18:30～　（20:15終了予定、開場 18:00）

国立情報学研究所 12階 1208-1210会議室

28名

注目すべきオープンソースソフトウェア（OSS）を題材に、開発コミュニティの当事者と、これからOSSを学びたい人との交流・相互理解を通じて、共に見識を高めるための勉強会シリーズ「OSSユーザーのための勉強会 」が開催されました。

今回の勉強会では、脆弱性スキャナーの「 Vuls 」をテーマに、その概要から詳細な解説に至るまで、フューチャーアーキテクトの林さんと神戸さんにご紹介していただきました。
また勉強会のあとの懇親会でも、参加者の有志の方から興味深いライトニング・トークが行われ、会場は参加者の熱気に溢れ、参加者同士の意見交換など活発な交流が行われました。

以下に発表資料を公開しております。
http://www.scsk.jp/product/oss/report2.html

　SCSK株式会社では、NPO法人トップエスイー教育センターの協賛の下、注目すべきオープンソースソフトウェア（OSS）を題材に、開発コミュニティの当事者とこれからOSSを学びたい人との交流・相互理解を通じて、共に見識を高めるための勉強会シリーズ「OSSユーザーのための勉強会 」を開催しております。

今回は脆弱性スキャンツール「 Vuls 」を題材に、その特長・アーキテクチャ・最新動向・今後の展望についてご紹介いたします。

また今回も、ユーザーからのご意見・ご要望を表明する場として、参加者によるライトニング・トーク（LT）の時間を設けています。
最新のOSS動向に触れるチャンスとして、お気軽にご参加ください。セッション終了後にはささやかな懇親の場を用意しております。

・開催日時：2016年11月22日（火） 18:30～　（20:15終了予定、開場 18:00）
・プログラム

１．「セキュリティの現状とOSSの応用」

フューチャーアーキテクト㈱ スペシャリスト　林 優二郎

２．「脆弱性スキャナーVuls徹底入門」

フューチャーアーキテクト㈱ スペシャリスト　神戸 康多

３． Q&A、ディスカッション

～ 終了後　懇親会（参加無料）～

４. 参加者によるライトニング・トーク（LT）：懇親会で実施

※ 予告なくプログラム内容が変更される場合がございます｡最新の情報は以下のページでご確認ください｡
http://eventregist.com/e/ossx2016-11

※ 記載されている製品/サービス名称、社名、ロゴマークなどは該当する各社の商標または登録商標です。

・問い合わせ、登録フォーム
以下のページからご登録ください。
http://eventregist.com/e/ossx2016-11

60名(先着順)
※定員に達し次第，申し込みを締め切らせていただきます。

無料

下記サイトよりお申込みください。
http://eventregist.com/e/ossx2016-11

SCSK株式会社 R&Dセンター OSS戦略企画室

国立情報学研究所 GRACEセンター、フューチャーアーキテクト株式会社

NPO法人 トップエスイー教育センター

申し込みページをご覧ください

IoT機器のセキュリティ検証の新潮流 － Tritonを題材として

2016年8月31日(水)
15:00-17:00（受付開始: 14:30）

国立情報学研究所 20階 ミーティングルーム(2009/2010)

「セキュリティ検証の現場で使える形式手法のツールがあるのか？」という疑問を、制御/IoT機器のセキュリティ検証業務を実施していく上で感じるようになりました。同じような疑問を持ったエンジニアの方もいらっしゃると思います。

Microsoft社では、動的ソフトウェアモデル検査の考え方を用いて、OSやオフィスソフトの脆弱性診断を実施しています。ソフトウェアのコード中の条件分岐をできるだけ網羅するように、テストの入力データを試験の実行時に変化させる手法です。しかし、残念ながらその実装系(SAGE) は、一般には未公開でした。

この技術はもっと広範に使えるのではないか、と感じていたところ、最近では、オープンソースの実装系も登場し、アクティブに開発が進められています。今回のセミナーでは、この実装系を実際に動かすことで、現場までの距離感を掴んで頂ければと思います。対象をうまく絞れれば、または、Microsoft社のようにスケールさせれば、確かに使えるのかも、と実感できると思います。

こうしたツールが必要な背景には、IoT機器の増加に伴うセキュリティへの懸念、電力分野の制御システムおよびスマートメーターに関するセキュリティガイ ドラインの発行に代表される、制御システムのセキュリティへの懸念、があります。これらのセキュリティの検証も、機器の認証を取るだけであれば、ファジングツールによる過去の攻撃事例に基づくパケットと大量のパケットに対して仕様通りに機器が振る舞えれば十分です。しかし、ファジングツールに実装されていない独自プロトコルに対する攻撃やゼロデイ攻撃によるリスクを減らすためには、もう少し賢い検証ツールを使えることが間違い無く重要になります。

本セミナーでは、動的なバイナリ解析ツールであるTritonという実装系を用いて、セキュリティ検証に関して

・何ができるのか
・どうやっているのか

について、動作原理の解説と、例をハンズオン形式で実施することで習得できます。

当日はシンクライアントを使ってTritonの演習を行いますが、ご自身のPCで演習されたい方は、インストール手順(Triton-install-log.txt)を参考に、以下のサイトから最新のソースをダウンロードし、インストールしてくだしさい。

Triton: https://github.com/JonathanSalwan/Triton

本ツールは、以下の環境で動作を確認しています。

Ubuntu 16.04, libboost(1.55以上),libpython, libcapstone,
libz3(https://github.com/Z3Prover/z3.git), Pin

[前提知識]
デバッガの画面、抽象構文木（abstract syntax tree、AST）の表現をご覧になったことがあると面食らわずに理解しやすいと思います。また、Pythonの基礎知識があると、ハンズオンで利用するサンプルコードを理解する際に役立ちます。

[参考URL:]
SAGE: http://research.microsoft.com/en-us/um/people/pg/
Triton: https://github.com/JonathanSalwan/Triton

なお、その他の事例については、「ディペンダブル・システムのための形式手法の実践ポータル(http://formal.mri.co.jp/)」もご参照ください。

講師：松崎 和賢・（株）三菱総合研究所

16名(先着順)
※定員に達し次第，申し込みを締め切らせていただきます。

会員 1,000円／一般 8,000円／学生 1,000円
※NPO法人 トップエスイー教育センター会員および日本ソフトウェア科学会会員の方は、会員価格で参加いただけます。

参加申込みサイトより必要事項を入力の上、お申込みください。※こちらでPCを準備できますのでご希望の場合は申請時に選択してください。
https://ws.formzu.net/fgen/S41806214/

NPO法人 トップエスイー教育センター

国立情報学研究所 GRACEセンター

日本ソフトウェア科学会 ソフトウェア工学の基礎研究会

セミナーに関するご質問などは、下記アドレスにて承ります。
inquiry_[at]_topse.or.jp ※_[at]_部分を@に変えてください

2013年12月13日(金) 15：00-17:00 (受付開始 14:30)

国立情報学研究所 20階　ミーティングルーム1・2(2009/2010)

本セミナーでは、マッシュアップにおけるセキュリティ論点を解説します。
具体的には、IPAから公開されている『セキュア・プログラミング講座』の「Webアプリケーション編」の「マッシュアップ」の章（注１）において扱われている論点の中から、主要な論点をピックアップして解説します。これにより、今日的なWebアプリケーション開発案件にありうる新たなセキュリティ論点についての知識を学ぶことができます。
セミナーでは、まず、「Web API（Webサービス）」についての基礎知識を確認し、「マッシュアップの構図」について学びます。次に、ブラウザオブジェクトについての基礎知識を確認します。
これらの基礎知識に基づいて、「クライアント側コードに起因するスクリプト注入」、ブラウザからみた「同一源泉（same origin）」と「他源泉（cross origin）」について学びます。
最後に、このセミナーにおいて扱わない論点についての学習方法について紹介します。

注１：IPAの『セキュア・プログラミング講座』「Webアプリケーション編」本編の「マッシュアップ」の章は、こちらにあります。

参考リンク：第8章 マッシュアップ「WebサービスとマッシュアップAPI」
　　　　　：IPAセキュア・プログラミング講座

宮川寧夫、長谷川武（独立行政法人 情報処理推進機構）

(予定）
前半：
0. 導入
1. Web API（Webサービス）
2. マッシュアップの構図
3. ブラウザオブジェクト
＜休憩＞
後半：
4. クライアント側コードに起因するスクリプト注入
5. 「同一源泉」と「他源泉」
6. 他のマッシュアップ論点の学習方法【前提知識】
クライアント側のJavaScriptコードを書いたことがある方、もしくはJavaScriptの知識をお持ちの方を想定しています。

36名
※原則先着順としますが，ＮＰＯ法人トップエスイー教育センター、日本ソフトウェア科学会の会員の方は優先的に受講いただけます。定員に達し次第，申し込みを締め切らせていただきます。

無料

下記サイトよりお申込みください。
http://form1.fc2.com/form/?id=614321

NPO法人 トップエスイー教育センター

国立情報学研究所 GRACEセンター

日本ソフトウェア科学会 ソフトウェア工学の基礎研究会

inquiry@topse.or.jp

2013年6月28日(金)15：00-16:45(受付開始: 14:30)

国立情報学研究所 20階 ミーティングルーム1・2(2009/2010)

宮川寧夫、長谷川武（独立行政法人 情報処理推進機構）

本セミナーでは、Webアプリケーションを構築する際に考慮すべきセキュリティについての概要を解説します。具体的には、IPAから公開されている『セキュア・プログラミング講座』（注１）の「Webアプリケーション編」において扱われている論点の中から、主要な論点をピックアップして解説します。これにより、単純なものから高度な論点の順に段階的に必要なセキュリティ知識を学ぶことができます。セミナーでは、まず、「HTTPプロトコル」仕様の基礎知識を確認し、「SQL注入」や「スクリプト注入（XSS）」の論点について学びます。次に、セッションメカニズムとアクセス認証についての基礎知識を確認して、「セッションハイジャック（Session hijacking）」や「セッションフィクセーション（Sessionfixation：セッションIDのお膳立て）」の論点について学びます。その次に、「アクセス認可の実装」について学びます。最後に、このセミナーにおいて扱わない論点についての学習方法について指導します。

前半：（45分）
0. 導入
1. SQL 注入
2. スクリプト注入（XSS）
3. セッションメカニズムとアクセス認証についての基礎

休憩：（15分）

後半：（45分）
4. セッションハイジャック（Session hijacking）
5. セッションフィクセーション（Session fixation：セッションIDのお膳立て）
6. アクセス認可の実装
7. 他の論点の学習方法

注１：
IPAの『セキュア・プログラミング講座』の本編は、下記の通り開発工程
（開発ライフサイクルプロセス）の枠組みのもとに整理してあります。
http://www.ipa.go.jp/security/awareness/vendor/programming/index.html

36名
※原則先着順としますが，ＮＰＯ法人トップエスイー教育センターの会員の方は優先的に受講いただけます。定員に達し次第，申し込みを締め切らせていただきます。

無料

下記サイトよりお申込みください。
http://form1.fc2.com/form/?id=631867

NPO法人 トップエスイー教育センター

国立情報学研究所 GRACEセンター

独立行政法人 情報処理推進機構

inquiry@topse.or.jp