ネットワークセキュリティ第1回

321教室84名まで入れるけど、今85名許可済みらしい

まぁ教室に収まっている

なんかこの科目、融合科目になっているらしい？

資料共有はGoogleClassroomで行う

bit.lyっていう短縮URLサービス使っているみたい

ネットワークセキュリティ（履修前）アンケートやってーって感じ

ttym先生との共同研究でアンケート内容の分析したいみたい

成績には関係ないけれど、アンケート協力して欲しいですとのこと

出席兼ねているから、アンケート協力とは関係なくやってもらいたいとのこと

ネットワークセキュリティ（履修前）アンケート

「ネットワークセキュリティ」の概要を自分なりに記述せよ（大体200文字以内）

ネットワークセキュリティでは、ネットワークを通して行われる攻撃やネットワーク利用時にどのようなせキュティ設定などをすべきなのかなどの知識をまとめたもの

目的

脆弱性診断について座学と演習を通じて体験的に学ぶ

プラットフォーム診断とWebアプリケーション診断をする

教科書は必須じゃなそうな雰囲気

せっかくなので買っておきたいけどik.icon

Webセキュリティ担当者のための脆弱性診断スタートガイド第2版

背景

サイバー攻撃

物理的な距離の制約がない

参考

NICTER

ダークネットへの通信を観測するシステム

ダークネット：実際に使われていないIPアドレスのネットワーク

ランサムウェアによる攻撃・被害が拡大

IPAの「情報セキュリティ10大脅威」では、「ランサム攻撃による被害」が毎年ランクイン

セキュリティ関係で無限に聞く、情報セキュリティ10大脅威じゃんik.icon

ランサムウェアの被害例

KADOKAWAの事例

アサヒビールの話

なぜセキュリティを学ぶのか（講義の目的）

ソフトウェアや製品の開発者、サービスの提供者になる人が多い

そうじゃなくても、業務でITシステムを使用することがほとんど

コンピュータを使えることのように、セキュリティの知識も求められる時代になっている

各自がセキュリティの知識を身に付けることで被害を小さく、少なくする

セキュリティ分野は幅広い

AIに関するセキュリティとかもあったり…

授業ではネットワークセキュリティの脆弱性診断をする

要素

守る対象

起こってはいけない/避けたい事象

脆弱性診断

ソフトウェアやシステムにおけるセキュリティ上の弱点

脆弱性診断

脆弱性を発見するためのテスト手法

セキュリティ対策を行い被害リスクを下げる

脆弱性診断内製化ガイドに定義があったりもする

脆弱性診断

リスクの可視化

潜在的な脅威と脆弱性の特定

リスク一覧の作成、対策優先度の明確化

セキュリティレベル向上

継続的な改善サイクルの確立

セキュリティ成熟度の向上

コスト削減

事前対策による被害の最小化

インシデント対応コストの削減

信頼性の確保

顧客・利用者への安全性証明

ビジネス継続性の向上

脆弱性診断とペネトレーションテスト

ペネトレーションテスト

侵入テストとも

いかにシステムに深く侵入するかどうかという話

自動テストだけでは難しいので、セキュリティのプロフェッショナルが行うことがある

脆弱性診断の流れ

計画フェーズ

スコープ定義、リスク評価、スケジュール策定

実行フェーズ

情報収集、脆弱性スキャン、手動検証

分析フェーズ

結果の検証、誤検知の除外、リスク評価

報告フェーズ

報告書作成、改善提案、フォローアップ

脆弱性の調査方法

脆弱性の情報提供が各サイトで行われている

代表的なサイト

JVN iPedia

IPAによる脆弱性情報サイト

Known Exploited Vulnerabilities Catalog

米国CISAによる悪用されている脆弱性の情報サイト

脆弱性の分類：CVE

CVE＝共通脆弱性識別子、Common Vulnerabilities and Exposures

公開されている脆弱性に対して付与される一意の識別番号

CNAという米国の管理団体が番号を付与 https://www.cve.org/

脆弱性の管理に利用される

著名な脆弱性は個別に通称がつくこともある（例：Log4j、HeartBleed）

CVE番号の構造

例： CVE-2024-1234

CVE: 識別子の接頭辞

2024：脆弱性が割り当てられた年

1234：その年の通し番号

SCP味を感じるik.icon

脆弱性の評価：CVSS

脆弱性の深刻度を0.0〜10.0のスコアで定量的に評価する方法

CVSSの評価基準

以下の基準について選択・評価し、10点満点で評価

攻撃元区分（AV）：ネットワーク/隣接/ローカル/物理

攻撃条件の複雑さ（AC）：低/高

必要な特権レベル（PR）：不要/低/高

ユーザ関与（UI）：不要/要

影響範囲（S）：変更なし/変更あり

影響（CIA）：機密性/完全性/可用性への影響

計算サイト

https://jvndb.jvn.jp/cvss/

（プチ演習）脆弱性情報の調査〜CVEクイズ〜

以下のCVE番号の脆弱性についてのちほどクイズを出題します

必要な情報を

CVE番号

CVE-2019-6007

CVE-2021-44228

クイズのヒント

脆弱性の内容は？

影響のあるソフトウェアは？

CVSSのスコアは？

CWEってやつもあるのか面白いね〜

CVE-2019-6007

https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-000060.html

LINE 株式会社が提供する LINE (Android版) には、複数の整数オーバーフロー (CWE-190) の脆弱性が存在します。

診断の倫理と法的側面

脆弱性診断を行うことで、機密情報を知ったり、システムを停止する可能性がある。

このため、事前に許可を取ったり、適切な事後対応が必要となる。

不正アクセス禁止法

脆弱性診断では攻撃につながる行為もあるため注意が必要

以下の内容が禁止されている

権限なくシステムにアクセスする行為

他人のID・パスワードを使用する行為

脆弱性を利用した侵入

講義を受講した後において，今日の講義の概要を自分なりに記述せよ（大体200文字以内）

ランサムウェアによる攻撃・被害が拡大しており、セキュリティを学ぶことが必要。調査方法として、脆弱性診断とペネトレーションテストが挙げられる。脆弱性診断は4つのフェーズからなる。脆弱性の情報提供を行う代表的サイトとしてJVN iPediaなどがある。

脆弱性の分類にはCVE、脆弱性の評価にはCVSSが用いられる。不正アクセス禁止法に抵触しないよう、許可なき脆弱性診断はしない。

今日の講義のキーワードを自分なりに3~5ほど記述せよ（全角空白で区切る，最後のキーワード入力後に空白は入れない）

ランサムウェア　脆弱性診断　CVE　CVSS　不正アクセス禁止法