Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性診断を内製化してわかったこと
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
KoujiMatsuda
April 10, 2019
Technology
190
0
Share
脆弱性診断を内製化してわかったこと
総関西サイバーセキュリティLT大会(第14回)のLT資料です
KoujiMatsuda
April 10, 2019
More Decks by KoujiMatsuda
See All by KoujiMatsuda
OWASP Projectsの歩き方
koujimatsuda11
0
57
OWASP Top 10 Proactive Controls 2024 で始めるセキュリティ
koujimatsuda11
0
49
FIDO2をPHPで実装してみた
koujimatsuda11
0
250
Other Decks in Technology
See All in Technology
Zephyr(RTOS)でOpenPLCを実装してみた
iotengineer22
0
180
The essence of decision-making lies in primary data
kaminashi
0
230
20260326_AIDD事例紹介_ULSC.pdf
findy_eventslides
0
390
OCI技術資料 : ロード・バランサ 概要 - FLB・NLB共通
ocise
4
27k
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
11k
Cortex Codeでデータの仕事を全部Agenticにやりきろう!
gappy50
0
220
【Oracle Cloud ウェビナー】データ主権はクラウドで守れるのか?NTTデータ様のOracle Alloyで実現するソブリン対応クラウドの最適解
oracle4engineer
PRO
3
130
不確実性と戦いながら見積もりを作成するプロセス/mitsumori-process
hirodragon112
1
180
MCPで決済に楽にする
mu7889yoon
0
170
QA組織のAI戦略とAIテスト設計システムAITASの実践
sansantech
PRO
1
310
パワポ作るマンをMCP Apps化してみた
iwamot
PRO
0
290
Physical AI on AWS リファレンスアーキテクチャ / Physical AI on AWS Reference Architecture
aws_shota
1
310
Featured
See All Featured
Ruling the World: When Life Gets Gamed
codingconduct
0
190
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
170
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
210
We Have a Design System, Now What?
morganepeng
55
8.1k
Building the Perfect Custom Keyboard
takai
2
720
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
1
250
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
300
エンジニアに許された特別な時間の終わり
watany
106
240k
SEO for Brand Visibility & Recognition
aleyda
0
4.4k
30 Presentation Tips
portentint
PRO
1
270
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
uxyall
0
950
Sam Torres - BigQuery for SEOs
techseoconnect
PRO
0
230
Transcript
2019.04.10 脆弱性診断を内製化してわかったこと 総関西サイバーセキュリティLT大会(第14回) 松田康司
1 自己紹介 • 松田 康司(まうだ こうじ) • 本業 • 神戸のSIerで主にWEBアプリケーション開発のPMを
やってます。 • 自社の全ての開発案件でシフトレフトを推進するプ ロジェクトをしてます
2 今日の話 システム開発会社が、出荷前の脆弱性診断を 内製化したらわかったこと
3 脆弱性診断って • システムの脆弱性を見つける検査 • 攻撃者の視点から様々な疑似攻撃を仕掛ける • 攻撃をするためには専門的な知識が必要 • 今日の話の中では、ウェブアプリケーションに対する
ブラックボックス型 Attack
4 なぜ、内製化したのか? ・・・割愛します。すごく長くなるので
5 内製化してわかったこと
6 内製化してわかったこと(1) 同じ診断結果が多い。修正に時間かかるやつも・・・ <多かったもの> • クロスサイトスクリプティングの脆弱性 • HTTPレスポンスヘッダの設定不備 • 登録可能なパスワードの文字数が短い
・・・
7 内製化してわかったこと(2) 開発者に説明したら、実はその脆弱性知らんかった クロスサイトスクリ プティングが・・・ ???
8 内製化してわかったこと(3) 見つけられないこともある Attack パスワードが暗号化さ れているか? ログが出力され ているか? 予防ではなく、検知の 仕組みはあるか?
脆弱性とは言えないが、重要な機能 権限ごとのアクセス制 御ができているか?
9 内製化してわかったこと(4) 勉強すれば、できるようになる UP 本、OWASP BWA、Juice Shopなどのやられサイト など、勉強の方法は多い 身近にプロフェッショナ ルがいたことも大きい
10 内製化してわかったこと まとめ 勉強すれば、できるようになる 見つけられないこともある 開発者に説明したら、実はその脆弱性知らんかった 同じ診断結果が多い。修正に時間かかるやつも・・・
11 内製化してできたこと
12 内製化してできたこと(1) 脆弱性診断結果から生産技術へのFB 共通フレームワーク 開発者(生産技術) 案件開発者 脆弱性診断 ①フレームワーク実装 ②利用 ③納品前診断
④結果FB よくあるものは ここで対策
13 内製化してできたこと(2) 定期的な教育 OWASP TOP10と は・・ 対策方法は・・ 再現方法は・・ どう実装する か・・
定期的な勉強会の開催と教育コンテンツの作成
14 内製化してできたこと(3) リリース後や開発期間中などの気軽な診断 追加開発したんだけど、 診断しといて ええよ~~ 特にアジャイル開発においては、絶大な効果がある!!
15 内製化してできたこと まとめ 診断の内製化がシフトレフトの始まりでした
16 最近の悩み 継続的な学習が・・・
koujimatsuda11
iotengineer22
kaminashi
findy_eventslides
ocise
fullkaiten
gappy50
oracle4engineer
hirodragon112
mu7889yoon
sansantech
iwamot
aws_shota
codingconduct
nikkihalliwell
cassininazir
morganepeng
takai
ks91
inesmontani
watany
aleyda
portentint
uxyall
techseoconnect
