[Rapport d'événement] Séminaire d'étude de cas sur les mesures de sécurité WEB pour le cadre Java hors support

Cet article est Nous avons invité le Professeur Hiroshi Tokumaru, l'auteur du soi-disant "Tokumarumoto", "Comment faire une application Web sécurisée pour apprendre systématiquement", dont la deuxième édition vient de paraître l'autre jour, à faire un discours d'ouverture. Nos styles, EG Secure Solutions et SCSK ont pris la parole "Séminaire sur les mesures de sécurité Web pour les cadres Java hors support" (2018/6 / 27) Rapport d'événement.

　 Pour les entreprises qui utilisent les systèmes d'entreprise et Internet, c'est, pour la plupart des entreprises, l'inévitable problème de fin de support des logiciels.

Dans ce séminaire, nous discuterons des idéaux et de la réalité des mesures de sécurité pour les systèmes Web. ** ・ EG Secure Solutions **, qui a fourni des conseils en sécurité à de nombreuses entreprises **, ** ・ SCSK **, qui est responsable de la maintenance à long terme des applications client ** - Styles, qui développe et fournit des outils de migration pour les frameworks Java et OSS qui ne sont plus pris en charge ** De 3 entreprises Il a donné une conférence sur les schémas de routes royales qui doivent être considérés en termes de sécurité et de solutions pratiques et de contre-mesures avec des exemples.

▼ État du lieu le jour

Voici un aperçu de ce séminaire.

Qu'est-ce qui n'est pas supporté en premier lieu?

• Même si une faille de sécurité se produit lorsque le support est coupé (fin du support) Signifie qu'aucun correctif n'est fourni pour corriger la vulnérabilité

• Le logiciel est une "promesse" à l'acheteur Il existe une politique de cycle de vie du support.

Pensez au cycle de vie du système

En tant que manuel de sécurité de l'information, Au moment de la planification du développement et de la construction du système

• En prévision de la fin du support logiciel Il faut réfléchir au type de mesures à prendre.

Quelles sont les vulnérabilités qui nécessitent une attention particulière?

• Il y a eu beaucoup d'agitation lorsque la fin du support de Windows XP a été signalée, Étant donné que Windows XP est essentiellement à l'intérieur du pare-feu, il est difficile pour les attaquants malveillants d'entreprendre des actions actives.

• Le framework Java sur Internet est Etre en dehors du pare-feu, via Internet, Les attaquants malveillants sont plus susceptibles de prendre des mesures actives.

Une solution réaliste à la vulnérabilité est

• Migrer vers le logiciel successeur --Fermer le site

Était requis dans le manuel.

L'utilisation de frameworks Java hors support est particulièrement difficile

Logiciel qui n'est plus pris en charge Les correctifs de sécurité ne sont pas mis à jour non plus ** Il n'y a aucune option pour continuer à l'utiliser. ** **

Cependant, en fait Pour les logiciels en fin de vie, en particulier les frameworks adoptés dans le domaine du développement tels que les frameworks Java

• Du coût, de l'efficacité, de la prise en compte d'autres contre-mesures, etc. Dans de nombreux cas, nous ne pouvons pas répondre rapidement.

Mais ** Pour continuer avec le framework Java de fin de support Cela coûte une opération considérable. ** **

Parce que

• Vous devez garder un œil sur les informations de vulnérabilité
• Une réponse critique est requise
• Par conséquent, les coûts d'exploitation sont élevés

finalement

Enfin, mes impressions en tant qu'organisateur de séminaire. ..

Dans ce séminaire Il y a un coin où vous pouvez poser des questions aux intervenants sous forme de discussions (entretiens) sur les «questions» reçues à l'avance des candidats au séminaire. C'était la première fois que je l'essayais dans le cadre d'un séminaire organisé par Styles.

En tant qu'intervieweur, tout en réfléchissant à ce qui n'était pas une bonne interview, À la fin, nous avons reçu de nombreuses questions supplémentaires sur place. Parmi les séminaires d'entreprise que j'ai prévus jusqu'à présent Ce fut un séminaire qui a pu stimuler la communication entre les intervenants et les visiteurs! 　 Merci à tous ceux qui sont venus à l'événement pour leur aimable soutien. 　 　 Pour des questions supplémentaires et du matériel de séminaire sur les styles Nous sommes impatients de vous entendre via le Formulaire de demande de renseignements sur le site Web de Styles!