WEBセキュリティ対策事例セミナー開催!!〜業務システムのセキュリティの理想と現実。各社が実際に行っているセキュリティ対策事例をお伝えします〜
[18/06/06]
提供元:DreamNews
提供元:DreamNews
株式会社スタイルズ(本社:東京都千代田区、代表取締役社長:梶原稔尚、以下スタイルズ)は、2018年6月27日(水)、「サポート切れJavaフレームワークのWEBセキュリティ対策事例セミナー」を開催いたします。
業務システムやインターネットを活用している企業にとって、つまりほとんどの企業にとって、避けては通れないソフトウェアのサポート終了問題。
サポート終了するとセキュリティの脆弱性が発生しても、脆弱性に対処するためのパッチが提供されないことを意味します。サポートが終了したからといって、ソフトウェアがすぐに使えなくなるわけではありません。
しかしながら、サポート終了したソフトウェアを使い続けることは、セキュリティ上大きなリスクを背負っています。
事実、昨年度はサポート終了したJavaフレームワークStruts1など多くのシステム脆弱性をついたセキュリティ攻撃が横行し、民間企業・行政問わず個人情報の漏洩が事件となりました。
本セミナーでは、Webシステムのセキュリティ対策の理想と現実を、
多くの企業のセキュリティコンサルティングをしてきたセキュリティベンダー、顧客のアプリケーション保守を長期的に担っているSIer、サポート終了したJavaフレームワークやOSSの移行ツールを開発・提供しているソリューションベンダーの3社で、
実施してきたお客様事例を交え、セキュリティ上考えなくてはいけない王道パターンから、実際に行ってきた解決の手段や対策方法を整理してお伝えいたします。
◆セミナー概要◆
セミナータイトル:サポート切れJavaフレームワークのWEBセキュリティ対策事例セミナー
開催日: 2018年6月27日(水) 14時00分〜17時00分 (受付開始:13時30分)
会場: 御茶ノ水ソラシティカンファレンスセンター RoomB(東京都 千代田区神田駿河台4丁目6)
登壇企業:EGセキュアソリューションズ株式会社、SCSK株式会社、株式会社スタイルズ
定員:70名
参加費: 無料(事前登録制)
お申込み・詳細:https://www.stylez.co.jp/news/20180627_seminar/
◆基調講演者プロフィール◆
徳丸 浩(とくまる ひろし) 氏
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。
1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。
2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立。2015年 イー・ガーディアングループに参画。
脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、「徳丸浩のWebセキュリティ教室」(日経BP社)「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ)」がある。
EGセキュアソリューションズ株式会社代表、京セラコミュニケーションシステム株式会社技術顧問、独立行政法人情報処理推進機構(IPA)非常勤研究員。技術士(情報工学部門)。
◆セミナータイムスケジュール◆
14:00〜14:40
基調講演
『安全なウェブサイト構築におけるサポートライフサイクルの重要性』
講演者:
EGセキュアソリューションズ株式会社 代表 徳丸 浩 氏
内容:
ウェブサイトに対する侵入事件が跡を絶ちません。昨年からWordPressやStruts2に
危険な脆弱性が相次いで発見され、多くのサイトが侵入を受け、深刻な被害が出ています。
独立行政法人 情報処理推進機構(IPA)による『情報セキュリティ10大脅威 2018』においても、
「脆弱性対策情報の公開に伴う悪用増加」が組織における脅威の4位にランクインしています。
脆弱性の発表から攻撃に至る間隔がますます短くなる中、ウェブワイトを守るために
今何をすべきかについて講演いたします。
14:40〜15:10
『Struts/Seasar2からSpringへ移行ツールサービスの特徴とうまくハマる案件』
講演者:
株式会社スタイルズ SIビジネスグループリーダー 鈴木 健夫
内容:
一時期、Webシステム開発フレームワークのデファクトスタンダードであったStruts、またその派生フレームワークSeasar2は、現在も広範囲に存在しています。
サポートが終了したOSSを使い続けることは、セキュリティ上で多大なリスクを抱えるため企業は速やかにStrutsやSeasar2から他のフレームワークに移行する必要がありますが、再開発には多くの期間とコストがかかることも事実です。
本セッションでは、Struts系フレームワークからSpringへ自動的にコンバートできるツールを活用して、コストを抑えながら移行する方法をご紹介します。また数多くの案件をこなしてきた中で本サービスがうまくハマる案件や、移行元システムの特徴について解説します。
15:10〜15:30
『戦略的ウェブセキュリティを実現するセキュリティサービスのご案内』
講演者:
EGセキュアソリューションズ株式会社 マネージャー セキュリティエンジニア 岡本 早和子 氏
内容:
安全なウェブサイトを構築するためには、サポートライフサイクルを考慮した
システム計画をはじめ、企画・要件定義段階での計画と、計画の確実な実行が重要です。
これを実現するための戦略を支える、セキュリティサービスをご紹介します。
15:40〜16:40
各社顧客事例のご紹介およびセキュリティ対策に関するディスカッション
登壇者:
EGセキュアソリューションズ株式会社 セキュリティエンジニア 松本 隆則 氏
SCSK株式会社 アプリケーション保守アカウント ご担当者
SCSK株式会社 通信・公共システム事業本部 ご担当者
株式会社スタイルズ SIビジネスグループ リーダー 鈴木 健夫
内容:
各社の立場から実際に案件に対応していく中で、セキュリティ対策において、どのような判断をしてきたか、案件事例をご紹介いたします。
また、ご来場者からいただいたディスカッションのテーマに各社の立場からお答えします。
◆お申込み・詳細◆
以下の申し込みフォームからご参加のお申込みをお願いいたします。
https://www.stylez.co.jp/news/20180627_seminar/
◆株式会社スタイルズについて◆
スタイルズは2003年の設立以来、企業が円滑な事業を行うのに必要なITインフラの構築や、システム開発・保守、 モバイルアプリやソフトウェアの開発などを手掛けているシステムインテグレーション会社です。AWS(Amazon Web Services)をはじめ各種クラウドやベンダーパートナーとして総合的なITサービスを展開しています。
近年、サポート切れソフトウェアや費用対効果が悪くなった環境下にある Webシステムを、最適な環境下や最新システムへの移植を行う「レガシーアプリ移行サービス」に特に注力しています。サポート切れによる脆弱性の脅威に対応するだけでなく、TCO(IT システムの導入 、維持・管理などにかかる総費用)の削減にも貢献することを目指しています。
【公式サイト】https://www.stylez.co.jp/
【CloudShift公式サイト】:https://cloudshift.stylez.co.jp/
【会社概要】 株式会社スタイルズ 代表取締役社長 梶原稔尚 設立:2003年 資本金:3,000万円
本社: 〒101-0052 東京都千代田区神田小川町1-2 風雲堂ビル6階 TEL:03-5244-4111
URL: https://www.stylez.co.jp 事業内容:情報システム開発・構築・運用保守・監視・人材サービス等
【資料編】
◆スタイルズの提供サービスについて◆
スタイルズ開発のStruts自動移行ツールはJavaコードを解析し、Struts仕様のタグをSpring/JSTL(Java Server Pages Standard Tag Library)のタグに自動変換を行います。仕様に踏み込まず、ソースコード※5ベースの自動変換を行うため、一般的なソースコード部分については要件定義をする必要がなくなります。
さらに、自動変換を行った後は、スタイルズのエンジニアが自動移行の対象外のソースコードを解析、手作業による移行・画面疎通テストを実施します。
これにより、発注者の機械的な作業はなくなり、開発工数・納期の削減を可能とします。昨年度の実績では、要件定義を含めた新規システムを構築する場合の工数と本サービスでソースコードの移行を行った場合を比較すると、発注者の開発にかかる工数を約9割削減することを実現しています。
サービスページ:https://www.stylez.co.jp/java-renew/
◆近年起こったJavaフレームワークのセキュリティ事故◆
JavaのWebアプリケーションフレームワーク「Apache Struts2」に任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)が見つかり、2017年3月20日時点で7組織が被害に遭っていることが報道されています。
情報漏洩した可能性のある個人情報は合計で79万4566件に上っています。セキュリティ専門企業からは、この脆弱性を突く攻撃が広く横行していると伝えており、システムに脆弱性があるかどうかを探ろうとするコードや、Linuxファイアウォールを停止させ、マルウェアをダウンロードして実行させるコードなど、多数の事例が見つかっていると伝えています。
また、2018年4月には、Spring Frameworkに複数の脆弱性が存在し、第三者がリモートでコードを実行されてしまう脆弱性(CVE-2018-1270)が発見されました。深刻な脆弱性が含まるとしてPivotal Softwareでは脆弱性を解消した「同5.0.5」「同4.3.15」を4月3日にリリースされています。
同月には、Oracle社が提供する JRE (Java Runtime Environment) に脆弱性が存在し、外部より第三者から任意のコードを実行される可能性がある脆弱性(CVE-2018-2814)が発見され、こちらもOracle社から最新のソフトウェアが提供されています。
脆弱性の発見とその脆弱性に対応はシステム管理者にとって、切っても切り離せない関係です。これはオープンソースソフトウェアであろうと、メーカーの商用製品であろうと変わりません。
その時にシステム担当者が気をつけて置く必要があることは、パッチの提供が確実にされるサポート内の最新のソフトウェアにしておくことです。一部の企業では、サポート終了のソフトウェアは、必ず最新のバージョンを活用することが求められています。
※商品名称等に関する表示、記載している会社名・団体名・製品名は各社の商標または登録商標です。
<本リリース・セミナーに関するお問い合わせ>
株式会社スタイルズ 広報担当
TEL:03-5244-4111
公式サイト:https://www.stylez.co.jp
業務システムやインターネットを活用している企業にとって、つまりほとんどの企業にとって、避けては通れないソフトウェアのサポート終了問題。
サポート終了するとセキュリティの脆弱性が発生しても、脆弱性に対処するためのパッチが提供されないことを意味します。サポートが終了したからといって、ソフトウェアがすぐに使えなくなるわけではありません。
しかしながら、サポート終了したソフトウェアを使い続けることは、セキュリティ上大きなリスクを背負っています。
事実、昨年度はサポート終了したJavaフレームワークStruts1など多くのシステム脆弱性をついたセキュリティ攻撃が横行し、民間企業・行政問わず個人情報の漏洩が事件となりました。
本セミナーでは、Webシステムのセキュリティ対策の理想と現実を、
多くの企業のセキュリティコンサルティングをしてきたセキュリティベンダー、顧客のアプリケーション保守を長期的に担っているSIer、サポート終了したJavaフレームワークやOSSの移行ツールを開発・提供しているソリューションベンダーの3社で、
実施してきたお客様事例を交え、セキュリティ上考えなくてはいけない王道パターンから、実際に行ってきた解決の手段や対策方法を整理してお伝えいたします。
◆セミナー概要◆
セミナータイトル:サポート切れJavaフレームワークのWEBセキュリティ対策事例セミナー
開催日: 2018年6月27日(水) 14時00分〜17時00分 (受付開始:13時30分)
会場: 御茶ノ水ソラシティカンファレンスセンター RoomB(東京都 千代田区神田駿河台4丁目6)
登壇企業:EGセキュアソリューションズ株式会社、SCSK株式会社、株式会社スタイルズ
定員:70名
参加費: 無料(事前登録制)
お申込み・詳細:https://www.stylez.co.jp/news/20180627_seminar/
◆基調講演者プロフィール◆
徳丸 浩(とくまる ひろし) 氏
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。
1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。
2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立。2015年 イー・ガーディアングループに参画。
脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、「徳丸浩のWebセキュリティ教室」(日経BP社)「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ)」がある。
EGセキュアソリューションズ株式会社代表、京セラコミュニケーションシステム株式会社技術顧問、独立行政法人情報処理推進機構(IPA)非常勤研究員。技術士(情報工学部門)。
◆セミナータイムスケジュール◆
14:00〜14:40
基調講演
『安全なウェブサイト構築におけるサポートライフサイクルの重要性』
講演者:
EGセキュアソリューションズ株式会社 代表 徳丸 浩 氏
内容:
ウェブサイトに対する侵入事件が跡を絶ちません。昨年からWordPressやStruts2に
危険な脆弱性が相次いで発見され、多くのサイトが侵入を受け、深刻な被害が出ています。
独立行政法人 情報処理推進機構(IPA)による『情報セキュリティ10大脅威 2018』においても、
「脆弱性対策情報の公開に伴う悪用増加」が組織における脅威の4位にランクインしています。
脆弱性の発表から攻撃に至る間隔がますます短くなる中、ウェブワイトを守るために
今何をすべきかについて講演いたします。
14:40〜15:10
『Struts/Seasar2からSpringへ移行ツールサービスの特徴とうまくハマる案件』
講演者:
株式会社スタイルズ SIビジネスグループリーダー 鈴木 健夫
内容:
一時期、Webシステム開発フレームワークのデファクトスタンダードであったStruts、またその派生フレームワークSeasar2は、現在も広範囲に存在しています。
サポートが終了したOSSを使い続けることは、セキュリティ上で多大なリスクを抱えるため企業は速やかにStrutsやSeasar2から他のフレームワークに移行する必要がありますが、再開発には多くの期間とコストがかかることも事実です。
本セッションでは、Struts系フレームワークからSpringへ自動的にコンバートできるツールを活用して、コストを抑えながら移行する方法をご紹介します。また数多くの案件をこなしてきた中で本サービスがうまくハマる案件や、移行元システムの特徴について解説します。
15:10〜15:30
『戦略的ウェブセキュリティを実現するセキュリティサービスのご案内』
講演者:
EGセキュアソリューションズ株式会社 マネージャー セキュリティエンジニア 岡本 早和子 氏
内容:
安全なウェブサイトを構築するためには、サポートライフサイクルを考慮した
システム計画をはじめ、企画・要件定義段階での計画と、計画の確実な実行が重要です。
これを実現するための戦略を支える、セキュリティサービスをご紹介します。
15:40〜16:40
各社顧客事例のご紹介およびセキュリティ対策に関するディスカッション
登壇者:
EGセキュアソリューションズ株式会社 セキュリティエンジニア 松本 隆則 氏
SCSK株式会社 アプリケーション保守アカウント ご担当者
SCSK株式会社 通信・公共システム事業本部 ご担当者
株式会社スタイルズ SIビジネスグループ リーダー 鈴木 健夫
内容:
各社の立場から実際に案件に対応していく中で、セキュリティ対策において、どのような判断をしてきたか、案件事例をご紹介いたします。
また、ご来場者からいただいたディスカッションのテーマに各社の立場からお答えします。
◆お申込み・詳細◆
以下の申し込みフォームからご参加のお申込みをお願いいたします。
https://www.stylez.co.jp/news/20180627_seminar/
◆株式会社スタイルズについて◆
スタイルズは2003年の設立以来、企業が円滑な事業を行うのに必要なITインフラの構築や、システム開発・保守、 モバイルアプリやソフトウェアの開発などを手掛けているシステムインテグレーション会社です。AWS(Amazon Web Services)をはじめ各種クラウドやベンダーパートナーとして総合的なITサービスを展開しています。
近年、サポート切れソフトウェアや費用対効果が悪くなった環境下にある Webシステムを、最適な環境下や最新システムへの移植を行う「レガシーアプリ移行サービス」に特に注力しています。サポート切れによる脆弱性の脅威に対応するだけでなく、TCO(IT システムの導入 、維持・管理などにかかる総費用)の削減にも貢献することを目指しています。
【公式サイト】https://www.stylez.co.jp/
【CloudShift公式サイト】:https://cloudshift.stylez.co.jp/
【会社概要】 株式会社スタイルズ 代表取締役社長 梶原稔尚 設立:2003年 資本金:3,000万円
本社: 〒101-0052 東京都千代田区神田小川町1-2 風雲堂ビル6階 TEL:03-5244-4111
URL: https://www.stylez.co.jp 事業内容:情報システム開発・構築・運用保守・監視・人材サービス等
【資料編】
◆スタイルズの提供サービスについて◆
スタイルズ開発のStruts自動移行ツールはJavaコードを解析し、Struts仕様のタグをSpring/JSTL(Java Server Pages Standard Tag Library)のタグに自動変換を行います。仕様に踏み込まず、ソースコード※5ベースの自動変換を行うため、一般的なソースコード部分については要件定義をする必要がなくなります。
さらに、自動変換を行った後は、スタイルズのエンジニアが自動移行の対象外のソースコードを解析、手作業による移行・画面疎通テストを実施します。
これにより、発注者の機械的な作業はなくなり、開発工数・納期の削減を可能とします。昨年度の実績では、要件定義を含めた新規システムを構築する場合の工数と本サービスでソースコードの移行を行った場合を比較すると、発注者の開発にかかる工数を約9割削減することを実現しています。
サービスページ:https://www.stylez.co.jp/java-renew/
◆近年起こったJavaフレームワークのセキュリティ事故◆
JavaのWebアプリケーションフレームワーク「Apache Struts2」に任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)が見つかり、2017年3月20日時点で7組織が被害に遭っていることが報道されています。
情報漏洩した可能性のある個人情報は合計で79万4566件に上っています。セキュリティ専門企業からは、この脆弱性を突く攻撃が広く横行していると伝えており、システムに脆弱性があるかどうかを探ろうとするコードや、Linuxファイアウォールを停止させ、マルウェアをダウンロードして実行させるコードなど、多数の事例が見つかっていると伝えています。
また、2018年4月には、Spring Frameworkに複数の脆弱性が存在し、第三者がリモートでコードを実行されてしまう脆弱性(CVE-2018-1270)が発見されました。深刻な脆弱性が含まるとしてPivotal Softwareでは脆弱性を解消した「同5.0.5」「同4.3.15」を4月3日にリリースされています。
同月には、Oracle社が提供する JRE (Java Runtime Environment) に脆弱性が存在し、外部より第三者から任意のコードを実行される可能性がある脆弱性(CVE-2018-2814)が発見され、こちらもOracle社から最新のソフトウェアが提供されています。
脆弱性の発見とその脆弱性に対応はシステム管理者にとって、切っても切り離せない関係です。これはオープンソースソフトウェアであろうと、メーカーの商用製品であろうと変わりません。
その時にシステム担当者が気をつけて置く必要があることは、パッチの提供が確実にされるサポート内の最新のソフトウェアにしておくことです。一部の企業では、サポート終了のソフトウェアは、必ず最新のバージョンを活用することが求められています。
※商品名称等に関する表示、記載している会社名・団体名・製品名は各社の商標または登録商標です。
<本リリース・セミナーに関するお問い合わせ>
株式会社スタイルズ 広報担当
TEL:03-5244-4111
公式サイト:https://www.stylez.co.jp