Vuls祭り#10 | 脆弱性管理の最前線 〜リスク評価からSSVC、VEX、AIまで〜を開催しました

Vuls祭りの運営を務めました、平井です!
2024年8月20日(火)に第10回目となるVuls祭りを開催いたしました。
今回は 「脆弱性管理の最前線 〜リスク評価からSSVC、VEX、AIまで〜」 をテーマに、実に140名以上の方にお申込みいただき、オフラインイベントならではの熱い交流と知見の共有が行われました!
本記事ではVuls祭り#10の内容をまとめていこうと思います!

IMG

✨イベント概要

Vuls祭り#10 イベントページ

今回のイベントでは脆弱性管理に関する最新の知識と実践的なスキルを習得し、リスクを効率的に評価する方法を学ぶことを目的としております。

開催の背景

8月30日の「金曜ロードショー」にて『天空の城ラピュタ』が放映されます。
「バルス」の呪文がラピュタを崩壊させるように、我々はシステムをバルスされないようリスクを適切に管理する必要があります。
ということで急遽、バルス祭りを開催することになりました。
by 神戸

タイムライン

時間 内容 スピーカー
17:30-18:00 開場(受付時間は17:30-18:30)
18:15-18:45 リスクアセスメントツールの根柢思想・脆弱性対応の実際 @58_158_177_102@kawada_syogo225
18:45-19:15 脆弱性管理のパラダイムシフト - VEXの理論と実践 @knqyf263 (中東から緊急帰国)
19:15-19:30 VexLLM: LLMを用いたVEX自動生成ツール @_AkihiroSuda_
19:30-19:40 トイレ休憩
19:40-20:10 「残業?来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ @kotakanbe
20:10 -20:25 脆弱性検知を支える技術 @MaineK00n
20:25 - 会場準備 -> 乾杯 -> Beerスポンサーセッション(5分)-> ご歓談
20:50 - 公開アスクザスピーカーほろ酔い編(終了後ご歓談)
21:30 - 撤収

🚀メインセッション

リスクアセスメントツールの根柢思想・脆弱性対応の実際

登壇者

佐藤氏 (@58_158_177_102):リサーチャー
羽鶴氏 (@kawada_syogo225):リサーチャー

セッション概要

最近、ICI リスクアセスメントツールというサイバーセキュリティーのリスク対応に特化したツールを公開しました。 前半では、このツールの輪郭と中身を必死こいて作っていた作者から、ツールを作成する際に気を付けていた暗黙のルールについて共有します。 後半では、現場で実際に脆弱性対応を指示しているリサーチャーが、実際に行っている一連の対応サイクルを紹介します。


脆弱性管理のパラダイムシフト - VEXの理論と実践

IMG

登壇者

中東いくべぇ (@knqyf263):pet 開発者

セッション概要

Software Bill of Materials (SBOM)やSoftware Composition Analysis (SCA)ツールの普及により、既知の脆弱性の可視化が進んできました(というのはサービストークで本当はSBOMは認めてない😡)。しかし、その一方で過剰な脆弱性検出による対応負荷の増大という新たな課題が生じています。この課題に対応するため、米国商務省電気通信情報局(NTIA)のマルチステークホルダーグループにおいて考案されたのが、VEX(Vulnerability Exploitability eXchange)です。VEXは、製品が特定の脆弱性の影響を実際に受けるかどうかを示す、機械可読な仕組みです。”First, SBOM turns on all relevant lights, and VEX turns off all the unnecessary ones.”という例えは、この概念を端的に表現しています。SBOMが全ての潜在的な脆弱性を可視化し、VEXがそれらの中から実際に対処が必要なものを自動的に絞り込みます。
本発表では、VEXの理論的背景を解説するとともに、OSSのセキュリティスキャナーTrivyにおける実装を紹介します。VEXの普及は、より効率的な脆弱性管理の未来を切り開く鍵となると信じています。


VexLLM: LLMを用いたVEX自動生成ツール

IMG
スライドURL

登壇者

須田氏 (@_AkihiroSuda_):各種コンテナ関連OSSメンテナ (Moby, BuildKit, containerd, runc, Lima等)

セッション概要

Trivyなどのコンテナイメージ脆弱性スキャナを用いると大量の脆弱性が検出されることがありますが、それらの全てが対処を必要とするわけではありません。 コンテナイメージに含まれる全てのライブラリやコマンドラインツールの全ての機能が使われるわけではないからです。
例えば python:3.12.4 イメージには、脆弱性 CVE-2024-32002 を持つ git バイナリが含まれていますが、実行するPythonアプリケーションが git コマンドを実行しないことがわかっているならば、当該の脆弱性について直ちに対処する必要性はありません。 OpenVEXなどのVEX (Vulnerability-Exploitability eXchange)を用いて脆弱性の対処要否を記述すると、Trivy などのツールの無駄な警告の出力を抑制させることができます。
しかしながら、大量の脆弱性について対処要否を評価し、VEXを記述するには手間がかかります。 本発表では、GPTなどのLLMに脆弱性の対処要否を評価させ、VEXを生成させるツール VexLLM を紹介します。


「残業?来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ

登壇者

バルスのニキ 神戸氏(@kotakanbe)

セッション概要

神戸の記事はこちら

VulsやTrivyなどのツールで資産リストアップや脆弱性検知、SBOM作成が自動化されましたが、検知された大量の脆弱性の影響調査とリスク判断、優先順位付けが次の課題です。
SSVC(Stakeholder-Specific Vulnerability Categorization)は、カーネギーメロン大学が提案し、CISAも推奨するリスクベースで判断可能な最近話題のトリアージ手法で、決定木を用いて対応優先度を判断します。
本セッションでは、SSVCの概要と判断に使える無償データソース(CISA-KEV, Vulncheck KEV, ShadowServer, EPSS, Vulnrichment)を紹介し、脆弱性と脅威情報を用いてトリアージを実演します。このセッションを聞けば金曜午後に知った重大脆弱性が残業対象か来週なるはや対応で良いを自信と説得力をもって判断できるようになるでしょう。


脆弱性検知を支える技術

登壇者

フューチャー株式会社 CSIG所属 中岡氏 (@MaineK00n)

イベント概要

VulsやTrivyなどのOSSセキュリティスキャナが2016年ごろから公開され、気軽に脆弱性を検知できるようになりました。今回は、Vulsで実装されている脆弱性検知方法の中から、CPEを利用した脆弱性検知を紹介します。また、それを支えるデータソースのNVDが更新を一時停止したことによって、MITRE CVE List / CISA Vulnrichment といった新たなデータソースを検討した結果を共有します。
Vulsは手探りの中開発を進めてきて、8年経ちました。我々は現代のセキュリティスキャナに求められる機能を実装するために、大規模なリファクタリングを行う予定です。リファクタリング途中ではありますが、デモを交えながら今後のVulsがどのように進化していくかを示します。

🍻Beerスポンサーセッション

Beerスポンサーセッションでは、FutureVulsのSSVC機能の簡単な紹介を行いました。

💭ご歓談タイム

セッション終了後のご歓談の時間では、ビールを片手にオフラインイベントならではの対面での交流を行いました🍻
イベントへの高い満足度を伝えてくださる方や、次回への参加を希望してくださる方などが多くいらっしゃいました!

IMG

最後に

Vuls祭りにご参加くださった皆様、ありがとうございました!
過去のVuls祭りと比べても、規模も大きく熱気のあるイベントになりました!
セッションやネットワーキングを通して、1つでも気付きを得ることができましたら幸いです!

また、今回惜しくも参加枠から漏れてしまった方々も、次回以降お会いできることを楽しみにしています。

それでは皆様、次回のVuls祭りでお会いしましょう!


🔍FutureVulsに関する資料請求、無償PoC、詳細なデモ、脆弱性管理のお悩み相談などは、Vulsのランディングページよりお気軽にお問い合わせください。