利根川さんをお誘いした第2回。利根川さんの商売の話。 セキュリティ顧問って何？ メンバーとしてのかかわりかた 経営陣に対してのトレーニング セキュリティベンダーで感じた限界 セキュリティ顧問をやる人はまだ増えてはいない セキュリティ顧問のケイパビリティ セキュリティ顧問の事件簿

利根川さんの自己紹介 レッドチームとはなにか？ 検知されたら終わり？ ぶっちゃけレッドチームで本番に影響を完全になくせるのか？ レッドチームやペンテストを一体誰に依頼すればいいのか？ ペンテストのトレンドの変化。依頼者のリテラシーの高まりとビジネスとしてのペンテスト 最初から1台侵入されている状態からのペンテスト セキュリティ診断、脆弱性診断の言葉の定義が業界で曖昧ではないか PCIDSSではツールに寄る診断を3ヶ月おきにじゃないといけない。ペンテストは年1

Blackhat 2019 サイバーインシュランスのセッションの増加 BlackhatにCISOの方が参加する時代へ 保険料の計算方法がまだ定まっていない 何処までが瑕疵なのか 以外とブロックチェーンの話がなかった DevSecOps、セキュリティ・バイ・デザイン DEFCONは3万人の来場者 子供と一緒にピッキング体験ができる ハッキングに成功すると車を壊すことができる？ AVTOKYOはちとせ会館で開催 カジノの話

blackhatに行ってきた話です。 4Gの攻撃 サイバー保険 カジノ コミュニティ

IoTベンチャーの草分け、shiftallの岩佐さんにお話を伺いました。 岩佐さんの自己紹介 cerevoとshiftall 攻撃者のモチベーションは金銭に対して一直線ではない プライバシーと身体 IoTデバイスがハックされた時どのようにして私たちはそれを知るのか？ Insecam、デフォルトパスワードの危険性 Wifi routerのセキュリティレベル アンコントローラブルなIoT機器 IoTの脆弱性診断の流行と、チェックポイント IoT固有の攻撃手段としての物理アタック。 中古マーケットから購入商品が攻撃されていた時消費者はわかるのか？ TPM による上書き不能なファームウエア監視 Azure sphereのアーキテクチャがやばい。 温水洗浄便座のハッキング 重要機能のネットワークからの…

マキナレコードの軍司さんをお誘いして、セキュリティ系のイベントについて話しました。 マキナレコードは最近 サイバーインテリジェンス summitというイベントを開催 国内系セキュリティイベント CODE BLUE、セキュリティデイズ、INTEROP 海外系セキュリティイベント Black hat(DEFCON)、RSA Conference、 国内系温泉イベント 越後湯沢、白浜、道後温泉 3大温泉イベントは一瞬でチケットが売り切れる

マキナレコードの軍司さんをお誘いして、サイバーインテリジェンスについてあれこれお話しました。 マキナレコードと言う会社 サイバーインテリジェンスってなに？ サイバーインテリジェンスの構造がどうなっているのか？ いつからサイバーインテリジェンスは取り組むべきか 予算はどのぐらいかかるのか .onionやTor 脆弱性等のマーケットプレイス 情報機関が脆弱性を購入して、実際に実験したらできた話 ダークウェブのフォーラムにおける、あるサービスに対しての攻撃情報のやり取り 中国とダークウェブ

なんとかpayに関してのお話 お金をモチベーションとした攻撃の加速 スピード感を持った攻撃 仮想通貨とバーコード決済 システム全体のシステムレビュー、セキュリティレビュー 複数サービスが組み合わさることで発生するリスク セキュリティ関連の事例がなぜユーザー企業に浸透しないのか 二要素認証、二段階認証やっても被害は起きる

15分程度で量産することにしました。今回は仮想通貨取引所の1件について。PCのファンの音を拾うというミスにより、過去最低の音質となっております。

自社でプロダクトを作ることになった会社はどの様にセキュリティに向き合うべきか セキュリティの予算ぐみ 内製化/アウトソースについて議論がかみ合わない二人 PCIDSS / ISMS / FISC CISSP 外患罪はサイバー空間というバトルフィールドに適用されるのか？ デジタルリスク対策について対して知らないのに語り合い、わからないねと言って終わる二人 法律的に正しい / 感情的に正しい 脆弱性診断NO.1 海外/日本の脆弱性診断 昨年？CSRFがOWASP TOP10から消えました devsecopsと文化とそのマネジメント

大企業のセキュリティチェックシートとクラウドサービス（ここでの取り扱い許諾済み） アンチウイルスとEDRの違い threatが発音できない松岡 セキュリティ予算及びコストか投資か EC-Cubeに対して無償でシフトセキュリティがサポート パッケージソフトから自社構築に切り替わったとき、会社はどの様にセキュリティの能力を得るのか？（→宿題） FIRST.orgに行ってきたよ