脆弱性診断を内製化してわかったこと

Transcript

1. 2019.04.10 脆弱性診断を内製化してわかったこと 総関西サイバーセキュリティＬＴ大会（第14回） 松田康司

2. 1 自己紹介 • 松田 康司（まうだ こうじ） • 本業 • 神戸のSIerで主にWEBアプリケーション開発のPMを

   やってます。 • 自社の全ての開発案件でシフトレフトを推進するプ ロジェクトをしてます

3. 2 今日の話 システム開発会社が、出荷前の脆弱性診断を 内製化したらわかったこと

4. 3 脆弱性診断って • システムの脆弱性を見つける検査 • 攻撃者の視点から様々な疑似攻撃を仕掛ける • 攻撃をするためには専門的な知識が必要 • 今日の話の中では、ウェブアプリケーションに対する

   ブラックボックス型 Attack

5. 4 なぜ、内製化したのか？ ・・・割愛します。すごく長くなるので

6. 5 内製化してわかったこと

7. 6 内製化してわかったこと（１） 同じ診断結果が多い。修正に時間かかるやつも・・・ ＜多かったもの＞ • クロスサイトスクリプティングの脆弱性 • HTTPレスポンスヘッダの設定不備 • 登録可能なパスワードの文字数が短い

   ・・・

8. 7 内製化してわかったこと（２） 開発者に説明したら、実はその脆弱性知らんかった クロスサイトスクリ プティングが・・・ ？？？

9. 8 内製化してわかったこと（３） 見つけられないこともある Attack パスワードが暗号化さ れているか？ ログが出力され ているか？ 予防ではなく、検知の 仕組みはあるか？

   脆弱性とは言えないが、重要な機能 権限ごとのアクセス制 御ができているか？

10. 9 内製化してわかったこと（４） 勉強すれば、できるようになる UP 本、OWASP BWA、Juice Shopなどのやられサイト など、勉強の方法は多い 身近にプロフェッショナ ルがいたことも大きい

11. 10 内製化してわかったこと まとめ 勉強すれば、できるようになる 見つけられないこともある 開発者に説明したら、実はその脆弱性知らんかった 同じ診断結果が多い。修正に時間かかるやつも・・・

12. 11 内製化してできたこと

13. 12 内製化してできたこと（１） 脆弱性診断結果から生産技術へのFB 共通フレームワーク 開発者（生産技術） 案件開発者 脆弱性診断 ①フレームワーク実装 ②利用 ③納品前診断

    ④結果FB よくあるものは ここで対策

14. 13 内製化してできたこと（２） 定期的な教育 OWASP TOP10と は・・ 対策方法は・・ 再現方法は・・ どう実装する か・・

    定期的な勉強会の開催と教育コンテンツの作成

15. 14 内製化してできたこと（３） リリース後や開発期間中などの気軽な診断 追加開発したんだけど、 診断しといて ええよ～～ 特にアジャイル開発においては、絶大な効果がある！！

16. 15 内製化してできたこと まとめ 診断の内製化がシフトレフトの始まりでした

17. 16 最近の悩み 継続的な学習が・・・