徳丸浩氏ご登壇!サポート切れJavaフレームワークの WEBセキュリティ対策事例セミナー
サポート切れJavaフレームワークの
WEBセキュリティ対策事例セミナー
2018年6月27日(水)
14:00 ~ 17:00 (受付開始13:30~)
定員:70名
会場:御茶ノ水ソラシティカンファレンスセンター RoomB
所在地:東京都 千代田区神田駿河台4丁目6
最寄り駅:JR御茶ノ水駅、地下鉄千代田線新御茶ノ水駅 徒歩1分
登壇企業:EGセキュアソリューションズ株式会社、SCSK株式会社、株式会社スタイルズ
本セミナーは終了いたしました。たくさんのご来場ありがとうございます。
struts/seasar2からsperingへ移行ツールサービス
セミナー資料のご請求はこちら
業務システムのセキュリティの理想と現実
各社が実際に行っている対策事例をお伝えします
業務システムやインターネットを活用している企業にとって、つまりほとんどの企業にとって、避けては通れないソフトウェアのサポート終了問題。
サポート終了するとセキュリティの脆弱性が発生しても、脆弱性に対処するためのパッチが提供されないことを意味します。しかし、サポートが終了したからといって、ソフトウェアがすぐに使えなくなるわけではありません。システムのメンテナンスをしている担当者にとっては、できればサポート終了したソフトウェアを最新のソフトウェアに移行することはしたくないかもしれません。
しかしながら、サポート終了したソフトウェアを使い続けることは、セキュリティ上大きなリスクを背負っています。事実、昨年度はサポート終了したJavaフレームワークStruts1など多くのシステム脆弱性をついたセキュリティ攻撃が横行し、民間企業・行政問わず個人情報の漏洩が事件となりました。
本セミナーでは、Webシステムのセキュリティ対策の理想と現実を、多くの企業のセキュリティコンサルティングをしてきたEGセキュアソリューションズ、顧客のアプリケーション保守を長期的に担っているSCSK、サポート終了したJavaフレームワークやOSSの移行ツールを開発・提供しているスタイルズの3社で、実際に実施してきたお客様事例を交え、セキュリティ上考えなくてはいけない王道パターンから、実際に行ってきた解決の手段や対策方法を整理してお伝えいたします。
本セミナーは以下のような方々にオススメのセミナーです。
- WEBシステムのセキュリティ対策やその最適なコストをご検討の皆様
- WEBセキュリティにご興味のある皆様
- サポート終了Javaフレームワーク(Struts1,Seasar2)をご利用中の情報システム部門の皆様
- Javaフレームワークの移行をご検討中、実施中の皆様
基調講演者紹介
徳丸 浩(とくまる ひろし) 氏
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。
1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。
2004年同分野を事業化。
2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社を設立。
2015年イー・ガーディアングループに参画。
脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、「徳丸浩のWebセキュリティ教室」(日経BP社)「体系的に学ぶ 安全なWebアプリケーションの作り方
脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ)」がある。
HASHコンサルティング株式会社代表、京セラコミュニケーションシステム株式会社技術顧問、独立行政法人情報処理推進機構(IPA)非常勤研究員。技術士(情報工学部門)。
Twitter IDは @ockeghem
プログラム
- 13:30 ~
受付開始
- 14:00~14:40
基調講演 『安全なウェブサイト構築におけるサポートライフサイクルの重要性』
EGセキュアソリューションズ株式会社
代表 徳丸 浩 氏内容:
ウェブサイトに対する侵入事件が跡を絶ちません。昨年からWordPressやStruts2に危険な脆弱性が相次いで発見され、多くのサイトが侵入を受け、深刻な被害が出ています。独立行政法人 情報処理推進機構(IPA)による『情報セキュリティ10大脅威 2018』においても、「脆弱性対策情報の公開に伴う悪用増加」が組織における脅威の4位にランクインしています。
脆弱性の発表から攻撃に至る間隔がますます短くなる中、ウェブワイトを守るために今何をすべきかについて講演いたします。
- 14:40~15:10
『Struts/Seasar2からSpringへ移行ツールサービスの特徴とうまくハマる案件』
株式会社スタイルズ SIビジネスグループ
リーダー 鈴木 健夫内容:
一時期、Webシステム開発フレームワークのデファクトスタンダードであったStruts、またその派生フレームワークSeasar2は、現在も広範囲に存在しています。サポートが終了したOSSを使い続けることは、セキュリティ上で多大なリスクを抱えるため企業は速やかにStrutsやSeasar2から他のフレームワークに移行する必要がありますが、再開発には多くの期間とコストがかかることも事実です。
本セッションでは、Struts系フレームワークからSpringへ自動的にコンバートできるツールを活用して、コストを抑えながら移行する方法をご紹介します。
また数多くの案件をこなしてきた中で本サービスがうまくハマる案件や、移行元システムの特徴について解説します。
- 15:10~15:30
『戦略的ウェブセキュリティを実現するセキュリティサービスのご案内』
EGセキュアソリューションズ株式会社
マネージャー セキュリティエンジニア 岡本 早和子 氏内容:
安全なウェブサイトを構築するためには、サポートライフサイクルを考慮したシステム計画をはじめ、企画・要件定義段階での計画と、計画の確実な実行が重要です。これを実現するための戦略を支える、セキュリティサービスをご紹介します。
- 15:30~15:40
休憩
- 15:40~16:40
各社顧客事例のご紹介およびセキュリティ対策に関するディスカッション
EGセキュアソリューションズ株式会社 セキュリティエンジニア 松本 隆則 氏
SCSK株式会社 製造・通信システム事業部門 通信・公共システム事業本部 通信システム第三部 第一課 課長 内田 英幸 氏
SCSK株式会社 製造・通信システム事業部門 通信・公共システム事業本部 通信システム第三部 第一課 ITスペシャリスト 高野 貴史 氏
株式会社スタイルズ SIビジネスグループ リーダー 鈴木 健夫
内容:
各社の立場から実際に案件に対応していく中で、セキュリティ対策において、どのような判断をしてきたか、案件事例をご紹介いたします。また、ご来場者からいただいたディスカッションのテーマに各社の立場からお答えします。
※ディスカッションのテーマについては、セミナー申し込みページのお問合せフォームよりご連絡いただけますと幸いです。
- 16:40~17:00
質疑応答・ネットワーキング
※講演内容・プログラムは都合により一部変更させていただくことがございます。予めご了承ください。
登壇者プロフィール
EGセキュアソリューションズ株式会社
マネージャー セキュリティエンジニア
岡本 早和子 氏
ユーザー企業、ベンダー企業双方でウェブアプリケーション開発の上流から下流まで一通りの業務経験を持つ。ベンダー企業においてプロジェクトマネジメントに従事したのち、セキュリティマネジメント分野へ。
開発現場の疲弊やマネージャの苦悩、セキュリティ担当の悲哀を身をもって知るからこそ、現場目線のムリ・ムラ・ムダの無いセキュリティ対策で現場を幸せにすることを自らのミッションとする。
EGセキュアソリューションズ株式会社
セキュリティエンジニア
松本 隆則 氏
長年のシステム開発を経て、脆弱性診断歴は10年以上のベテランエンジニア。脆弱性診断と脆弱性診断教育をこよなく愛し、自らが主宰している「脆弱性診断研究会」で毎月開催しているハンズオンセミナーの受講者数は延べ1000人を超え、そのざっくばらんな語り口で多数のリピーターの心を鷲づかみにしている。
セキュリティ人材不足解消、セキュリティ人材のレベル向上を使命とし、効果的な教育カリキュラムの考案と講師としてのスキル向上に日々余念がない。
株式会社スタイルズ
SIビジネスグループ
リーダー
鈴木 健夫
StrutsとSpringを使った開発案件に数多く関わってきたJavaエンジニア。2006年頃よりSpring/iBatisを使用しはじめ、Springの虜に。
最近は目下Strutsを使用したシステムをSpring MVCへ移植する案件のPMを担当。
近年起こったJavaフレームワークのセキュリティ事故
JavaのWebアプリケーションフレームワーク「Apache Struts2」に任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)が見つかり、2017年3月20日時点で7組織が被害に遭っていることが報道されています。
情報漏洩した可能性のある個人情報は合計で79万4566件に上っています。セキュリティ専門企業からは、この脆弱性を突く攻撃が広く横行していると伝えており、システムに脆弱性があるかどうかを探ろうとするコードや、Linuxファイアウォールを停止させ、マルウェアをダウンロードして実行させるコードなど、多数の事例が見つかっていると伝えています。
また、2018年4月には、Spring Frameworkに複数の脆弱性が存在し、第三者がリモートでコードを実行されてしまう脆弱性(CVE-2018-1270)が発見されました。深刻な脆弱性が含まるとしてPivotal Softwareでは脆弱性を解消した「同5.0.5」「同4.3.15」を4月3日にリリースされています。
同月には、Oracle社が提供する JRE (Java Runtime Environment)に脆弱性が存在し、外部より第三者から任意のコードを実行される可能性がある脆弱性(CVE-2018-2814)が発見され、こちらもOracle社から最新のソフトウェアが提供されています。
脆弱性の発見とその脆弱性に対応はシステム管理者にとって、切っても切り離せない関係です。これはオープンソースソフトウェアであろうと、メーカーの商用製品であろうと変わりません。
その時にシステム担当者が気をつけて置く必要があることは、パッチの提供が確実にされるサポート内の最新のソフトウェアにしておくことです。一部の企業では、サポート終了のソフトウェアは、必ず最新のバージョンを活用することが求められています。
ご注意事項
- 本セミナーのお申込受付が完了したお客様の個人情報(会社名、氏名、メールアドレス他)は、共催企業であるEGセキュアソリューションズ株式会社様、SCSK株式会社様、株式会社スタイルズで共有致します。お客様の個人情報につきましては、各社のプライバシーポリシーに従い、厳重な管理の元、お取り扱いいたします。各社のマーケティングおよび販売部門からスタイルズの製品、サービス、プロモーション、ニュース、アンケート、イベントに関する最新情報を、当該会社からご連絡する場合がございます。 本提供についてご同意の上お申込みください。
- 当日の受付時には、お名刺を1枚頂戴いたします。ご準備の程よろしくお願いいたします。
会社紹介
EGセキュアソリューションズ株式会社
EGセキュアソリューションズでは、脆弱性診断やコンサルティング、教育等、ウェブサイトのライフサイクルすべての工程におけるセキュリティをサポートするサービスを提供しています。
増え続けるサイバーセキュリティーの課題に対して本質的な解決策を提供する、絵空事ではない、実績に裏打ちされた経験こそが私たちのバリューです。
SCSK株式会社
お客様のニーズの先にあるもの。
私たちは、それぞれの専門知識を持ちより、互いに連携し、
最適な解決策をご提案します。
私たちが描くアウトプットは、お客様が、安心して長く使い続けていけるシステム。
さまざまなニーズに対して、深く、広くアイデアを考え、全てのお客様に喜んでいただけるソリューションを生み出します。コンサルティング、システム開発、ITインフラ構築、ITマネジメント、BPO(Business Process Outsourcing)だけでなく、ITハード・ソフト販売まで。ビジネスに求められる、全てのITサービスをご提供していきます。
株式会社スタイルズ
スタイルズは2003年の設立以来、企業が円滑な事業を行うのに必要なITインフラの構築や、システム開発・保守、 モバイルアプリやソフトウェアの開発などを手掛けているシステムインテグレーション会社です。
AWS(Amazon Web Services)をはじめ各種クラウドやベンダーパートナーとして総合的なITサービスを展開しています。
近年、サポート切れソフトウェアや費用対効果が悪くなった環境下にある Webシステムを、最適な環境下や最新システムへの移植を行う「レガシーアプリ移行サービス」に特に注力しています。
サポート切れによる脆弱性の脅威に対応するだけでなく、TCO(IT システムの導入、維持・管理などにかかる総費用)の削減にも貢献することを目指しています。
「Struts/Seasar2からSperingへ移行ツールサービス」紹介
自動変換ツールを使う3つのメリットで脆弱性対策×工数削減
スタイルズでは、Struts1からSpringMVCの自動変換ツールをご提供し、移行コストの削減を図っています。このツールはコードを解析して、Struts1仕様のタグを、Spring/JSTL(Java Server Pages Standard Tag Library)のタグに自動変換します。
自動化でコスト削減
JSP・アクション・ホームといった比較的共通性のある部分の移行は自社開発の変換ツールにより自動的に行います。
これにより、開発工数を削減し、納期・コストの縮小につなげます。
要件定義はいらない
通常の移行作業では、システムの要件定義から始めるため、時間も工数も多くなりがちですが、現状のシステムをそのまま変換することで、変更の必要がない部分について無駄な要件定義をする必要がなくなります。
SpringMVC
SpringMVCはSpring開発当初からあるコンポーネントで、現在も活発に開発が行われています。
最新のフレームワークのデファクトスタンダードとして、多くのシステムで使用されています。
struts/seasar2からsperingへ移行ツールサービス
セミナー資料のご請求はこちら
Strutsの脆弱性の歴史と対策課題
10年以上前、Webシステム開発のデファクト・スタンダードは、Struts1でした。2013年4月にEOL(サポート切れ)を迎えましたが、多くのシステムがそのまま利用され続けているのが現状です。
サポート切れ後には、大きな話題となった「ClassLoaderを操作可能な脆弱性」等、多くのセキュリティ上の弱点が指摘されてきました。
[2014年04月25日] ClassLoader を操作可能な脆弱性(CVE-2014-0094)
[2015年03月24日] 入力チェックをスルーできるValidator の脆弱性(CVE-2015-0899)
[2016年06月07日] メモリ上のコンポーネントを操作可能な脆弱性(CVE-2016-1181)
[2016年06月07日] 入力値検証に関する設定を変更可能な脆弱性(CVE-2016-1182)
その後、開発されるWebシステムにおいては、後継としてのStruts2、SpringMVC、JavaEE等のフレームワークが利用されてきましたが、Struts2は、2014年以降、何度も脆弱性の問題が発見され、2017年に入っては、「任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)」が見つかり、クレジットカード情報や個人情報の流出など、非常に深刻な被害が発生しています。
[2016年04月18日]Apache Struts における任意のコードを実行される脆弱性(JVNDB-2016-002075)
[2017年03月09日] Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起<<< JPCERT/CC Alert 2017-03-09 >>>
Struts系フレームワークは、過去に多くの脆弱性の指摘を受けている歴史からいって、今後も問題が発生する可能性が大きいことも指摘されており、以下の理由から被害が甚大化する可能性もあります。
- 過去に多くのRCEを提供してきた実績があり、完全に攻撃者が目を付ける侵入経路となっている
- (WordPress等と比較して)大型で重要なWebシステムで使われているケースが多い
- 日本国内においてはやや慎重なベンダーがシステムを運用しているケースが多く、バージョンアップが素早く行われない
そのため、Struts系フレームワークを採用している企業にとっては、可能な限り迅速に、根本的な対策を行なうことが急務と言えます。
その対策のために今回の緊急セミナーをご利用頂ければ幸いです。