OSSユーザーのための勉強会#16 Vuls (11/22)[終了]

2016年11月22日(火)に実施された「第16回 OSSユーザーのための勉強会」では、脆弱性スキャナーの「 Vuls 」を題材に、その概要から詳細な解説に至るまで、講演していただきました。
111
 

勉強会概要

日時:
2016年11月22日(火) 18:30~ (20:15終了予定、開場 18:00)
会場:
国立情報学研究所 12階 1208-1210会議室
参加者:
28名
実施概要:
注目すべきオープンソースソフトウェア(OSS)を題材に、開発コミュニティの当事者と、これからOSSを学びたい人との交流・相互理解を通じて、共に見識を高めるための勉強会シリーズ「OSSユーザーのための勉強会 」が開催されました。

今回の勉強会では、脆弱性スキャナーの「 Vuls 」をテーマに、その概要から詳細な解説に至るまで、フューチャーアーキテクトの林さんと神戸さんにご紹介していただきました。
また勉強会のあとの懇親会でも、参加者の有志の方から興味深いライトニング・トークが行われ、会場は参加者の熱気に溢れ、参加者同士の意見交換など活発な交流が行われました。

以下に発表資料を公開しております。
http://www.scsk.jp/product/oss/report2.html

概要:
 SCSK株式会社では、NPO法人トップエスイー教育センターの協賛の下、注目すべきオープンソースソフトウェア(OSS)を題材に、開発コミュニティの当事者とこれからOSSを学びたい人との交流・相互理解を通じて、共に見識を高めるための勉強会シリーズ「OSSユーザーのための勉強会 」を開催しております。

今回は脆弱性スキャンツール「 Vuls 」を題材に、その特長・アーキテクチャ・最新動向・今後の展望についてご紹介いたします。

また今回も、ユーザーからのご意見・ご要望を表明する場として、参加者によるライトニング・トーク(LT)の時間を設けています。
最新のOSS動向に触れるチャンスとして、お気軽にご参加ください。セッション終了後にはささやかな懇親の場を用意しております。

プログラム:

・開催日時:2016年11月22日(火) 18:30~ (20:15終了予定、開場 18:00)
・プログラム

1.「セキュリティの現状とOSSの応用」

フューチャーアーキテクト㈱ スペシャリスト 林 優二郎

2.「脆弱性スキャナーVuls徹底入門」

フューチャーアーキテクト㈱ スペシャリスト 神戸 康多

3. Q&A、ディスカッション

~ 終了後 懇親会(参加無料)~

4. 参加者によるライトニング・トーク(LT):懇親会で実施

※ 予告なくプログラム内容が変更される場合がございます。最新の情報は以下のページでご確認ください。
http://eventregist.com/e/ossx2016-11

※ 記載されている製品/サービス名称、社名、ロゴマークなどは該当する各社の商標または登録商標です。

・問い合わせ、登録フォーム
以下のページからご登録ください。
http://eventregist.com/e/ossx2016-11

定員:
60名(先着順)
※定員に達し次第,申し込みを締め切らせていただきます。
参加費:
無料
参加申込方法:
下記サイトよりお申込みください。
http://eventregist.com/e/ossx2016-11
主催(共催):
SCSK株式会社 R&Dセンター OSS戦略企画室
協力:
国立情報学研究所 GRACEセンター、フューチャーアーキテクト株式会社
協賛:
NPO法人 トップエスイー教育センター
お問合せ窓口:
申し込みページをご覧ください

IoT機器のセキュリティ検証の新潮流 - Tritonを題材として(8/31)

セミナー概要

タイトル:
IoT機器のセキュリティ検証の新潮流 - Tritonを題材として
日時:
2016年8月31日(水)
15:00-17:00(受付開始: 14:30)
会場:
国立情報学研究所 20階 ミーティングルーム(2009/2010)
概要:

「セキュリティ検証の現場で使える形式手法のツールがあるのか?」という疑問を、制御/IoT機器のセキュリティ検証業務を実施していく上で感じるようになりました。同じような疑問を持ったエンジニアの方もいらっしゃると思います。

Microsoft社では、動的ソフトウェアモデル検査の考え方を用いて、OSやオフィスソフトの脆弱性診断を実施しています。ソフトウェアのコード中の条件分岐をできるだけ網羅するように、テストの入力データを試験の実行時に変化させる手法です。しかし、残念ながらその実装系(SAGE) は、一般には未公開でした。

この技術はもっと広範に使えるのではないか、と感じていたところ、最近では、オープンソースの実装系も登場し、アクティブに開発が進められています。今回のセミナーでは、この実装系を実際に動かすことで、現場までの距離感を掴んで頂ければと思います。対象をうまく絞れれば、または、Microsoft社のようにスケールさせれば、確かに使えるのかも、と実感できると思います。

こうしたツールが必要な背景には、IoT機器の増加に伴うセキュリティへの懸念、電力分野の制御システムおよびスマートメーターに関するセキュリティガイ ドラインの発行に代表される、制御システムのセキュリティへの懸念、があります。これらのセキュリティの検証も、機器の認証を取るだけであれば、ファジングツールによる過去の攻撃事例に基づくパケットと大量のパケットに対して仕様通りに機器が振る舞えれば十分です。しかし、ファジングツールに実装されていない独自プロトコルに対する攻撃やゼロデイ攻撃によるリスクを減らすためには、もう少し賢い検証ツールを使えることが間違い無く重要になります。

本セミナーでは、動的なバイナリ解析ツールであるTritonという実装系を用いて、セキュリティ検証に関して

・何ができるのか
・どうやっているのか

について、動作原理の解説と、例をハンズオン形式で実施することで習得できます。

当日はシンクライアントを使ってTritonの演習を行いますが、ご自身のPCで演習されたい方は、インストール手順(Triton-install-log.txt)を参考に、以下のサイトから最新のソースをダウンロードし、インストールしてくだしさい。

Triton: https://github.com/JonathanSalwan/Triton

本ツールは、以下の環境で動作を確認しています。

Ubuntu 16.04, libboost(1.55以上),libpython, libcapstone,
libz3(https://github.com/Z3Prover/z3.git), Pin

[前提知識]
デバッガの画面、抽象構文木(abstract syntax tree、AST)の表現をご覧になったことがあると面食らわずに理解しやすいと思います。また、Pythonの基礎知識があると、ハンズオンで利用するサンプルコードを理解する際に役立ちます。

[参考URL:]
SAGE: http://research.microsoft.com/en-us/um/people/pg/
Triton: https://github.com/JonathanSalwan/Triton

なお、その他の事例については、「ディペンダブル・システムのための形式手法の実践ポータル(http://formal.mri.co.jp/)」もご参照ください。

講師:松崎 和賢・(株)三菱総合研究所

定員:
16名(先着順)
※定員に達し次第,申し込みを締め切らせていただきます。
参加費:
会員 1,000円/一般 8,000円/学生 1,000円
※NPO法人 トップエスイー教育センター会員および日本ソフトウェア科学会会員の方は、会員価格で参加いただけます。
参加申込方法:
参加申込みサイトより必要事項を入力の上、お申込みください。※こちらでPCを準備できますのでご希望の場合は申請時に選択してください。
https://ws.formzu.net/fgen/S41806214/
主催:
NPO法人 トップエスイー教育センター
協力:
国立情報学研究所 GRACEセンター
協賛:
日本ソフトウェア科学会 ソフトウェア工学の基礎研究会
お問合せ窓口:
セミナーに関するご質問などは、下記アドレスにて承ります。
inquiry_[at]_topse.or.jp ※_[at]_部分を@に変えてください

組込み機器のセーフティーとセキュリティ最前線(9/1)

セミナー概要

タイトル:
組込み機器のセーフティーとセキュリティ最前線
日時:
2016年9月1日(木)
13:00-17:00(受付開始: 12:30)
会場:
国立情報学研究所 20階 ミーティングルーム(2009/2010)
内容:
近年、さまざまな組込み機器がインターネットにつながり、自動運転などの高度な機能を提供する様になってくると、そのセーフティとセキュリティが重要になってきます。本セミナーでは、セーフティーとセキュリティの基本的な考え方から、医療や車の事例を中心に最近の組込み機器のセーフティーとセキュリティの最新動向を専門家に解説して頂きます。

13:00-14:00 セーフティーとセキュリティ概論 ~ 乗り物の安全の観点から ~
講師: 大久保 隆夫 氏(情報セキュリティ大学院大学・教授)
概要:近年、重要インフラへのサイバー攻撃が増加し、従来の機能安全とともに、セキュリティへの対策を講じることが必要になってきています。セキュリティを考える上で、従来の機能安全的手法でカバーできるのか、できないとすれば、どのようなアプローチが必要になるのか?セーフティとセキュリティ、前者は乗り物の製品開発において従来から考慮されてきた概念であり、後者はIT分野を中心に考慮されてきたものです。両者は,共通点もあるが相違もあるため、双方を実現するためには、手法も含め課題が多く存在します。本講演では、機能安全に代表されるセーフティとセキュリティの共通点と相違、それぞれの脅威、リスク分析の考え方について、乗り物を例に概説します。

14:00-15:20 組込みソフトウェアとセーフティ ~ 医療機器を題材に考える ~
講師: 宇佐美 雅紀 氏(国立情報学研究所 GRCEセンター トップエスイー 講師)
概要:モノのインターネット IoT(Internet of Things)は、大きな経済効果が期待できると言われていることもあり、大変な注目が集まっています。IoTのように、ソフトウェアが現実世界と密接に関わってくるようになると、今まで以上に安全性が重要になります。本講演では、安全性が最重要である医療機器のソフトウェアを題材にして、ソフトウェアにおける安全について考えます。安全なソフトウェアを作るための規格の要求、開発プロセスや技術に加えて、開発現場での苦労や工夫について説明します。本講演は、規格解説ではありません。様々な分野の方と一緒にソフトウェアと安全について考えてみたいと思います。

15:20-15:30 休憩

15:30-16:50 自動車向けセーフティ&セキュリティ分析の一考え方と事例紹介
講師: 稲垣 徳也氏 (株式会社デンソー電子基盤システム開発部セーフティ・
セキュリティ技術開発室)
概要:車業界では、自動運転社会におけるセキュアな車載製品開発の早期実現を目指し、ユーザへ安心・安全を提供するための開発スタイル確立の動きが活発化しています。現在、日・米・欧などで自動車向け開発プロセスの標準規格の検討が本格化していますが、車業界全体で足並みを揃えた規格化までにはまだ時間がかかります。本講演は、自動車向けのセキュリティ開発プロセス標準化の現状を解説し、車業界としてのこれまでの強みである「品質・安全」を活かしたセーフティ&セキュリティ分析の一考え方を事例とともに紹介します。

16:50-17:00 質疑

定員:
36名(先着順)
※定員に達し次第,申し込みを締め切らせていただきます。
参加費:
会員 1,000円/一般 5,000円/学生 1,000円
※NPO法人 トップエスイー教育センター会員および日本ソフトウェア科学会会員の方は、会員価格で参加いただけます。
参加申込方法:
参加申込みサイトより必要事項を入力の上、お申込みください。※こちらでPCを準備できますのでご希望の場合は申請時に選択してください。
http://ws.formzu.net/fgen/S53074529/
主催:
NPO法人 トップエスイー教育センター
協力:
国立情報学研究所 GRACEセンター
協賛:
日本ソフトウェア科学会 ソフトウェア工学の基礎研究会
お問合せ窓口:
セミナーに関するご質問などは、下記アドレスにて承ります。
inquiry_[at]_topse.or.jp ※_[at]_部分を@に変えてください

つながる世界のセキュリティ設計入門(5/23)

セミナー概要

タイトル:
つながる世界のセキュリティ設計入門~セキュリティ要件の見える化~
日時:
2016年5月23日(月)
13:30-17:20(受付開始: 13:00)
会場:
国立情報学研究所 国立情報学研究所 20階 ミーティングルーム(2009/2010)
概要:
 近年、異なる製品やサービスがインターネットを通じてつながり、新たなサービスや価値が提供される「IoT時代」が実現しつつあります。一方、異なる製品やサービスがつながることで、セキュリティ上の問題が懸念されます。
本セミナーでは、セキュリティ設計の入門として、はじめにセキュリティ設計手法を解説し、さらに演習形式でセキュリティ要件の見える化について理解を深めます。
【講師】情報セキュリティ大学院大学 客員研究員 金子 朋子 氏
【内容】
13:30~14:45 セキュリティ設計手法解説
セキュリティ設計において必要となる脅威分析・リスク評価や設計手法について解説します。
14:45~15:00 休憩
15:00~17:20 アシュアランスケースによるセキュリティ要件の見える化
第三者へ論理的に説明するときや認証のために近年用いられるようになったアシュアランスケースについて解説し、演習形式でアシュアランスケースによるセキュリティ要件の見える化の習得を目指します。

※本セミナーは、IPAで開催された以下のセミナーとほぼ同様の内容です。
http://sec.ipa.go.jp/seminar/20160323.html

【参考資料】つながる世界のセーフティ&セキュリティ設計入門, IPA
※ 参考資料は参加者に配布する予定です
【講師プロフィール】
情報セキュリティ大学院大学 客員研究員、博士(情報学)
公認情報セキュリティ監査人
日本ネットワークセキュリティ協会(JNSA)優秀論文賞受賞(2015年)

定員:
35名(先着順)
※定員に達し次第,申し込みを締め切らせていただきます。
参加費:
一般 2,000円/学生 無料
会員: 無料
※日本ソフトウェア科学会 会員の方も無料となります。
※トップエスイー受講生、修了生の方も無料となります。
※NPO法人 トップエスイー教育センター会員及び日本ソフトウェア科学会会員の方は、優先的に受講いただけます。
参加申込方法:
参加申込みサイトより必要事項を入力の上、お申込みください。※こちらでPCを準備できますのでご希望の場合は申請時に選択してください。
http://ws.formzu.net/fgen/S53074529/
主催:
NPO法人 トップエスイー教育センター
協力:
国立情報学研究所 GRACEセンター トップエスイー
協賛:
日本ソフトウェア科学会 ソフトウェア工学の基礎研究会、脅威分析研究会(予定)
後援:
情報処理推進機構(予定)
お問合せ窓口:
セミナーに関するご質問などは、下記アドレスにて承ります。
inquiry_[at]_topse.or.jp ※_[at]_部分を@に変えてください

『セキュア・プログラミング講座(Webアプリケーション編)』第2弾:マッシュアップ(12/13)[終了]

セミナー概要

資料:
日時:
2013年12月13日(金) 15:00-17:00 (受付開始 14:30)
会場:
国立情報学研究所 20階 ミーティングルーム1・2(2009/2010)
概要:

本セミナーでは、マッシュアップにおけるセキュリティ論点を解説します。
具体的には、IPAから公開されている『セキュア・プログラミング講座』の「Webアプリケーション編」の「マッシュアップ」の章(注1)において扱われている論点の中から、主要な論点をピックアップして解説します。これにより、今日的なWebアプリケーション開発案件にありうる新たなセキュリティ論点についての知識を学ぶことができます。
セミナーでは、まず、「Web API(Webサービス)」についての基礎知識を確認し、「マッシュアップの構図」について学びます。次に、ブラウザオブジェクトについての基礎知識を確認します。
これらの基礎知識に基づいて、「クライアント側コードに起因するスクリプト注入」、ブラウザからみた「同一源泉(same origin)」と「他源泉(cross origin)」について学びます。
最後に、このセミナーにおいて扱わない論点についての学習方法について紹介します。

注1:IPAの『セキュア・プログラミング講座』「Webアプリケーション編」本編の「マッシュアップ」の章は、こちらにあります。

参考リンク:第8章 マッシュアップ「WebサービスとマッシュアップAPI」
     :IPAセキュア・プログラミング講座

講師:
宮川寧夫、長谷川武(独立行政法人 情報処理推進機構)
プログラム:
(予定)
前半:
0. 導入
1. Web API(Webサービス)
2. マッシュアップの構図
3. ブラウザオブジェクト
<休憩>
後半:
4. クライアント側コードに起因するスクリプト注入
5. 「同一源泉」と「他源泉」
6. 他のマッシュアップ論点の学習方法【前提知識】
クライアント側のJavaScriptコードを書いたことがある方、もしくはJavaScriptの知識をお持ちの方を想定しています。
定員:
36名
※原則先着順としますが,NPO法人トップエスイー教育センター、日本ソフトウェア科学会の会員の方は優先的に受講いただけます。定員に達し次第,申し込みを締め切らせていただきます。
参加費:
無料
参加申込方法:
下記サイトよりお申込みください。
http://form1.fc2.com/form/?id=614321
主催:
NPO法人 トップエスイー教育センター
協力:
国立情報学研究所 GRACEセンター
協賛:
日本ソフトウェア科学会 ソフトウェア工学の基礎研究会
お問合せ窓口:
inquiry@topse.or.jp

『セキュア・プログラミング講座(Webアプリケーション編)』ブートアップセミナー(6/28)[終了]

セミナー概要

当日資料:
日時:
2013年6月28日(金)15:00-16:45(受付開始: 14:30)
会場:
国立情報学研究所 20階 ミーティングルーム1・2(2009/2010)
講師:
宮川寧夫、長谷川武(独立行政法人 情報処理推進機構)
概要:
本セミナーでは、Webアプリケーションを構築する際に考慮すべきセキュリティについての概要を解説します。具体的には、IPAから公開されている『セキュア・プログラミング講座』(注1)の「Webアプリケーション編」において扱われている論点の中から、主要な論点をピックアップして解説します。これにより、単純なものから高度な論点の順に段階的に必要なセキュリティ知識を学ぶことができます。セミナーでは、まず、「HTTPプロトコル」仕様の基礎知識を確認し、「SQL注入」や「スクリプト注入(XSS)」の論点について学びます。次に、セッションメカニズムとアクセス認証についての基礎知識を確認して、「セッションハイジャック(Session hijacking)」や「セッションフィクセーション(Sessionfixation:セッションIDのお膳立て)」の論点について学びます。その次に、「アクセス認可の実装」について学びます。最後に、このセミナーにおいて扱わない論点についての学習方法について指導します。

前半:(45分)
0. 導入
1. SQL 注入
2. スクリプト注入(XSS)
3. セッションメカニズムとアクセス認証についての基礎

休憩:(15分)

後半:(45分)
4. セッションハイジャック(Session hijacking)
5. セッションフィクセーション(Session fixation:セッションIDのお膳立て)
6. アクセス認可の実装
7. 他の論点の学習方法

注1:
IPAの『セキュア・プログラミング講座』の本編は、下記の通り開発工程
(開発ライフサイクルプロセス)の枠組みのもとに整理してあります。
http://www.ipa.go.jp/security/awareness/vendor/programming/index.html

定員:
36名
※原則先着順としますが,NPO法人トップエスイー教育センターの会員の方は優先的に受講いただけます。定員に達し次第,申し込みを締め切らせていただきます。
参加費:
無料
参加申込方法:
下記サイトよりお申込みください。
http://form1.fc2.com/form/?id=631867
主催:
NPO法人 トップエスイー教育センター
協力:
国立情報学研究所 GRACEセンター
協賛:
独立行政法人 情報処理推進機構
お問合せ窓口:
inquiry@topse.or.jp