こんにちは、GMO NIKKO インフラエヴァンジェリスト(メンバーに命名してもらいました!)のhakumaiです。
前回の記事「弊社初!SLOモニタリングを導入してみた話」を読んでいただいた方々、ありがとうございます。
今回は、GMOインターネットグループのグループセキュリティ対策室が主催したプラットフォーム診断勉強会に参加してきたので、学んだことや感じたことをお話しいたします。
プラットフォーム診断勉強会とは
今回のプラットフォーム診断については、対象のサーバやネットワーク機器に対して擬似的な攻撃を行い、脆弱性やセキュリティリスクの有無を確認するということを定義としています。
GMOインターネットグループでは、3S(System Security Support)というコミュニティを結成して情報セキュリティの情報共有と連携を強化し、GMOインターネットグループ各社の情報セキュリティ対策の向上を図っています。
3Sの運用を担当しているGMOインターネットグループ株式会社のグループセキュリティ対策室が、グループ各社のプラットフォーム診断の実施を取りまとめています。今回の勉強会では、各社でプラットフォーム診断の内製化に向けての支援を目的として、勉強会を開催いただきました。
勉強会の開催概要
日程はDay1からDay4の計4日間で行われました。
内容としては主に、診断対象のコンポーネントごとに診断ツールの使い方を学びつつ演習を行い、最終日には診断レポートの作成を行う座学+演習を含めたものになっていました。
参加しようと思ったきっかけ
普段は各プロダクトのインフラ運用のサポートやプロダクト横断のインフラ改善のための開発業務を中心に行っていて、プラットフォーム診断については診断レポートを確認し各プロダクトチームに検知結果の共有や修正の依頼を行っており、あくまで診断結果を受け取るだけの立場でした。ですがインフラエヴァンジェリストとして、診断手法やレポートの作成方法など診断を実施する側の知見も深めておきたいと思い参加を決めました。
また、弊社でプラットフォーム診断の内製化を進めるにあたって、適切なメンバーフォローができるようになっておきたいと思ったからです。
勉強会で学んだツール
座学では、主に以下のツールについて学びました。
ホストスキャン系
ツール/コマンド名 |
概要/確認できる情報 |
nmap |
|
netcat |
|
ping |
|
hping3 |
|
HTTP関連情報取得系
ツール/コマンド名 | 概要 |
curl |
|
nikto |
|
dirb |
|
WordPressスキャナー
WordPressはプラグイン(特に非公式プラグイン)の脆弱性が圧倒的に多く存在し、かつファイル構成が複雑になっているため、WordPressに特化した以下ツールでのスキャンを行うことが推奨されています。
ツール/コマンド名 | 概要 |
wpscan |
|
SSL/TLSスキャン系
ツール/コマンド名 | 概要 |
openssl |
|
testssl |
|
sslscan |
|
自動診断ツール
実際の診断では自動診断ツールを使って診断を実施しますが、診断結果には誤検知や過検知が含まれている場合もあります。この診断結果の精査のために手動ツールでも診断を行うことが最適です。
ツール名 | 概要 |
Nessus |
|
演習について
演習では、検証用に用意された環境に対して実際に上記の検証ツールを使ってそれぞれ情報を確認しました。
加えて最終日の演習では、Nessusを使って診断を行い診断結果を確認してレポートの作成を行いました。
検証ツールは初めて使うものばかりだったので、欲しい情報を取得するためにコマンドのオプションを設定したり結果を読み解くことに苦労しました。診断レポートの作成も初めての経験だったので、Nessusの診断結果について「どんなリスクがあってどのような対策が必要なのか」をわかりやすくまとめるには各脆弱性についての理解が必要だと感じました。
所感
この勉強会を通して、プラットフォーム診断の手法や結果の確認方法はもちろん、検出された脆弱性に対する緊急度の決め方についても学ぶことができました。また、実際の診断業務ではどのようなフローで診断を実施しレポート作成まで行っているのかについても聞くことができ、普段の業務では得られない知見も得ることができ興味深かったです。
おわりに
簡単ではありますが、今回はプラットフォーム診断勉強会で学んだことや感じたことを紹介しました。
普段の業務とは少し違った経験をすることができ、とても面白く感じました。
今後のプラットフォーム診断の結果を確認する時や内製化を検討していく上で、今回学んだことを活かしていければと思っております。
GMOアドマーケティングのインフラエンジニア。(♀)
クラウドインフラのアーキテクチャ設計が得意です。
アプリ開発もできます。
白米と服とおいしいものとFPSと技術が好きです。