OWASPの歩き方

Transcript

1. OWASPの歩き⽅ OWASP Japan Chapter Leader Sen Ueno

2. Profile: 上野 宣 (Sen UENO) 株式会社トライコーダ 代表取締役 奈良先端科学技術⼤学院⼤学で情報セキュリティを専攻、2006年に株式会社トライコーダを設⽴。ハッ キング技術を駆使して企業などに侵⼊を⾏うペネトレーションテストや各種サイバーセキュリティ実践ト レーニングなどを提供

   OWASP Japan代表、株式会社Flatt Security社外取締役、グローバルセキュリティエキスパート株式会 社社外取締役、ScanNetSecurity 編集⻑、情報処理安全確保⽀援⼠ カリキュラム検討委員会・実践講習 講師、JNSA ISOG-J WG1リーダー、⼀般社団法⼈セキュリティ・キャンプ協議会理事・顧問、 Hardening Project 実⾏委員、SECCON 実⾏委員、⽇本ハッカー協会理事、⼀般社団法⼈ ITキャリア推 進協会 (JAIC) アドバイザリーボードメンバー、情報経営イノベーション専⾨職⼤学 客員教員などを務め る 第11回 ISC2 アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA)受賞 第16回 情報セキュリティ⽂化賞受賞 主な著書 Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術、HTTPの教科書、 めんどうくさいWebセキュリティ、他多数 

3. OWASP Foundation について • Open Worldwide Application Security Project (OWASP)

   • ソフトウェアのセキュリティを向上させる開発者・技術者・エ ヴァンジェリストのコミュニティ – ⽶国の⾮営利慈善団体 – 世界中に250以上の⽀部、数万⼈の会員 • ツール、コード、ドキュメント、ガイドラインを含むコミュニ ティ主導のオープンソースプロジェクト • https://owasp.org/ 3

4. OWASP Projects • Flagship Projects – OWASP とアプリケーションセキュリティ全体にとって戦略的価値を実 証したプロジェクト •

   Production Projects – 本番稼動可能なプロジェクト • その他 – Lab, Incubator • https://owasp.org/projects/ 4

5. Flagship Projects • OWASP Amass • OWASP Application Security Verification

   Standard • OWASP Cheat Sheet Series • OWASP CycloneDX • OWASP Defectdojo • OWASP Dependency-Check • OWASP Dependency-Track • OWASP Juice Shop • OWASP Mobile Application Security • OWASP ModSecurity Core Rule Set • OWASP OWTF • OWASP SAMM • OWASP Security Shepherd • OWASP Top 10 • OWASP Web Security Testing Guide 5

6. 代表的なプロジェクト OWASP Projects

7. 代表的なプロジェクト 全体 • OWASP Top 10 要件定義 • Webシステム/Webアプリケーションセキュリティ要件書 設計・開発

   • OWASP ASVS • OWASP Cheat Sheet Series テスト • Webアプリケーション脆弱性診断ガイドライン • OWASP Testing Guide • ZAP 運⽤・保守 • OWASP Dependency-Check 要件定義 設計・開発 テスト 運⽤・保守 7

8. OWASP Top 10 • Webアプリケーションに対する重⼤なセキュリティリスク – 単なるランキングではなく、脆弱性の解説、防⽌⽅法、攻撃シナリオの解説も含まれる – 世界中のさまざまなガイドラインなどから参照されている •

   OWASP Top 10:2021 – A01 アクセス制御の不備 – A02 暗号化の失敗 – A03 インジェクション – A04 安全が確認されない不安な設計 – A05 セキュリティの設定ミス – A06 脆弱で古くなったコンポーネント – A07 識別と認証の失敗 – A08 ソフトウェアとデータの整合性の不具合 – A09 セキュリティログとモニタリングの失敗 – A10 サーバーサイドリクエストフォージェリ (SSRF) https://owasp.org/Top10/ja/ 8

9. Webシステム/Webアプリケーションセキュリティ要件書 • 安全なWebアプリケーションの開発に必要な要件書 – 認証・認可、セッション管理、⼊⼒処理、出⼒処理、HTTPS、cookie、 提出物について https://github.com/OWASP/www-chapter-japan/tree/master/secreq 9

10. OWASP ASVS (Application Security Verification Standard) • 業界標準のアプリケーションセキュリティ検証標準 – 設計・開発・テストに必要なセキュリティ要件および管理策のフレーム

    ワークの標準化 – 要求されるセキュリティレベルに応じて定義 https://owasp.org/www-project-application-security-verification-standard/ V1: アーキテクチャ、設計、脅威モデリング要件 V2: 認証の検証要件 V3: セッション管理の検証要件 V4: アクセス制御検証要件 V5: バリデーション、無害化とエンコーディング 検証要件 V6: 保存時の暗号化の検証要件 V7: エラー処理とログ記録の検証要件 V8: データ保護の検証要件 V9: 通信の検証要件 V10: 悪性コードの検証要件 V11: ビジネスロジックの検証要件 V12: ファイルとリソースの検証要件 V13: APIとWebサービスの検証要件 V14: 構成の検証要件 10

11. OWASP Cheat Sheet Series • さまざまなセキュリティトピックに関する設計・実装事例集 – Top10やASVSとの対応⼀覧もある https://cheatsheetseries.owasp.org/ •

    AJAX Security • Abuse Case • Access Control • Attack Surface Analysis • Authentication • Authorization • Authorization Testing Automation • Bean Validation • C-Based Toolchain Hardening • CI CD Security • Choosing and Using Security Questions • Clickjacking Defense • Content Security Policy • Credential Stuffing Prevention • Cross-Site Request Forgery Prevention • Cross Site Scripting Prevention • Cryptographic Storage • DOM Clobbering Prevention • DOM based XSS Prevention • Database Security • Denial of Service • Deserialization • Django REST Framework • Django Security • Docker Security • DotNet Security • Error Handling • File Upload • Forgot Password • GraphQL • HTML5 Security • HTTP Headers • HTTP Strict Transport Security • Infrastructure as Code Security 掲載されているチートシートの⼀例 11

12. Webアプリケーション脆弱性診断ガイドライン • Webアプリケーションに最低限必要な診断項⽬と⼿順書 – 主に⼿動診断で実施する項⽬について記載 • OWASP Testing Guide –

    Webアプリケーションに関しての多岐に渡るテスト⼿法の解説 https://github.com/WebAppPentestGuidelines/WebAppPentestGuidelines https://owasp.org/www-project-web-security-testing-guide/ 12

13. ZAP • プロキシ型Webアプリケーション脆弱性診断ツール – ⼿動／⾃動診断に対応、CI/CDに組み込み可能 – もともとOWASPのプロジェクト https://www.zaproxy.org/ 13

14. OWASP Dependency-Check • ソフトウェア構成分析ツール（SCA:Software Composition Analysis） – ソフトウェアの依存関係内に含まれる脆弱性を検出する https://owasp.org/www-project-dependency-check/ 14

15. ⽬的に応じたプロジェクトを探す Application Security Wayfinder https://owasp.org/projects/ 15

16. OWASPに関わる • 寄付をする – 個⼈会員になる • 年間50USD（グローバル）、500USD（ライフタイム） • サポートするチャプター（⽀部）を選ぶことができる –

    企業として • ローカル・スポンサーシップ • サポートするチャプター（⽀部）を選ぶことができる • WGに参加する – 脆弱性診断⼠スキルマッププロジェクト • プロジェクトに参加する – 1単語の翻訳から参加できるプロジェクトもある https://owasp.org/www-chapter-japan/ 16