東京五輪会場の制御システムに対するペネトレーションテストから得られた知見を公開します 長年、実際の様々な 制御システム の ペネトレーションテスト にて、初期侵入から被害発生までの攻撃シナリオをテストしてきた中からの紹介です。 2021年に開催された東京オリンピック・パラリンピックでは、大会に向け様々なサイバーセキュリティ対策が行われた事をご存知の方も多いかと思います。 そのような中、弊社は、内閣サイバーセキュリティセンター（NISC）が実施した大会会場の制御システムに対するペネトレーションテスト1にテスト実施事業者として参加しました。 本件はNISCのサイバー関連事業者グループのページにて、「主な施策　1.リスクマネジメントの促進 大規模国際イベントにおけるサイバーセキュリティ対策 競技会場に対するペネトレーションテスト結果の事例の情報共有　〜東京オリンピック・パラリンピック競技大会の取

定期的に更新・追加していきます。 セキュリティガイドライン、フレームワーク集 サイバーセキュリティガイドラインやフレームワーク等を参照することは、自組織でのセキュリティステータスを把握し、実際にセキュリティ施策を打つうえで非常に重要となります。 ただ、これらの文書の要件を満たすような施策を実施するためには、 1. 自組織が適用（組織・技術的に対策）したい各種ガイドラインやフレームワーク等を選定する 2. これら文書における抽象的な要件を具体的な要件へ落とし込む 3. 具体的な要件を満たすために最適なセキュリティ策を実施する のような流れを踏む必要があります。 2、3についてはセキュリティ策や技術動向に精通したセキュリティ専門家による対応が求められますが、1については自組織が目指す目的に依存するため専門家の手を借りずともある程度は対応することができます。 また、業界や技術等の軸で存在感のある

Hello there, ('ω')ノ 下記は、Webアプリケーションの脆弱性診断をするための。 一般的なガイドラインを概要レベルでまとめたもので。 当然のことながら常に更新されるもので。 企業として自信をもってサービスを提供しているのであれば。 この程度の方法論については、十分に理解しておくべきレベルかと。 1 アプリケーションのコンテンツをマッピング 1.1 目に見えるコンテンツの探索 1.2 パブリックリソースの参照 1.3 隠しコンテンツの発見 1.4 デフォルトコンテンツの検出 1.5 識別子で指定された関数の列挙 1.6 デバッグパラメータのテスト 2 アプリケーションの分析 2.1 機能の特定 2.2 データ入力ポイントの特定 2.3 使用されているテクノロジーの特定 2.4 攻撃対象領域をマッピング 3 クライアント側のコントロールのテスト 3.1 クライアント経由のデータ

はじめに はじめまして。完全に出オチ感はありますが2024年3月にOffSec社が主催するOSCPに合格したので、その軌跡をこれから受験する方々に向けて参考にしてもらえればなと記事を書きたいと思います。 偉大なる先人の方々が分かりやすくまとめてくださっておりますので色々と省略しているところもありますがぜひ参考になさってください。 OSCPってなに？ OSCPはOffSec Certified Professionalの略で、ペネトレーションテストに関する技能を認定する資格です。 ここでは大きな特徴として以下の２点を軽く説明します。 実技試験 IPAや大手ベンダー系の資格のような４択や記述式の問題はなく完全な実技試験であるのが特徴です。 脆弱なマシンに対して試験時間内に調査～権限昇格を実施し管理者権限を取得するというシンプルな内容です。 故に丸暗記では通用せず根本的な理解や発想力が必要になり