Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性診断を内製化してわかったこと
Search
KoujiMatsuda
April 10, 2019
Technology
190
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
脆弱性診断を内製化してわかったこと
総関西サイバーセキュリティLT大会(第14回)のLT資料です
KoujiMatsuda
April 10, 2019
More Decks by KoujiMatsuda
See All by KoujiMatsuda
OWASP Projectsの歩き方
koujimatsuda11
0
71
OWASP Top 10 Proactive Controls 2024 で始めるセキュリティ
koujimatsuda11
0
74
FIDO2をPHPで実装してみた
koujimatsuda11
0
260
Other Decks in Technology
See All in Technology
5分でわかる Amazon Connect_20260608
hwangbyeonghun
0
150
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」紹介資料
laysakura
2
7.8k
From Prompt Engineering to Loop Engineering
shibuiwilliam
1
310
Oracle Exadata Database Service on Cloud@Customer X11M (ExaDB-C@C) サービス概要
oracle4engineer
PRO
2
8.3k
「ビジネスがわかるエンジニア」とは何か?
ryooob
0
440
どうして今サーバーサイドKotlinを選択したのか
nealle
0
160
AWS Summit Japan 2026の振り返りと2027へ向けて / AWS Summit Japan 2026 Recap and Prospects for 2027
kaminashi
1
150
勉強会企画をアプリで構造化してみた 〜そこで見えた、AIとの付き合い方〜 / I've structured a study group plan using an app.
pauli
0
230
「勝手に広まる」人気 AI エージェントを爆速で作ろう!(AWS Summit Japan 2026講演資料)
minorun365
PRO
10
2.8k
AWS Summit 2026で見えたSIerにとっての Amazon Quickの位置づけ
maf_0521
0
140
フルAIで個人開発して学んだあれこれ / yuruai vol.1
isaoshimizu
0
160
水を運ぶ人としてのリーダーシップ
izumii19
4
1.1k
Featured
See All Featured
Tips & Tricks on How to Get Your First Job In Tech
honzajavorek
1
550
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
akashhashmi
0
380
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
The Illustrated Children's Guide to Kubernetes
chrisshort
51
52k
sira's awesome portfolio website redesign presentation
elsirapls
0
290
Tell your own story through comics
letsgokoyo
1
980
A designer walks into a library…
pauljervisheath
211
24k
The SEO Collaboration Effect
kristinabergwall1
1
500
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
220
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
tomoyanonymous
2
870
Sam Torres - BigQuery for SEOs
techseoconnect
PRO
0
290
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
1
400
Transcript
2019.04.10 脆弱性診断を内製化してわかったこと 総関西サイバーセキュリティLT大会(第14回) 松田康司
1 自己紹介 • 松田 康司(まうだ こうじ) • 本業 • 神戸のSIerで主にWEBアプリケーション開発のPMを
やってます。 • 自社の全ての開発案件でシフトレフトを推進するプ ロジェクトをしてます
2 今日の話 システム開発会社が、出荷前の脆弱性診断を 内製化したらわかったこと
3 脆弱性診断って • システムの脆弱性を見つける検査 • 攻撃者の視点から様々な疑似攻撃を仕掛ける • 攻撃をするためには専門的な知識が必要 • 今日の話の中では、ウェブアプリケーションに対する
ブラックボックス型 Attack
4 なぜ、内製化したのか? ・・・割愛します。すごく長くなるので
5 内製化してわかったこと
6 内製化してわかったこと(1) 同じ診断結果が多い。修正に時間かかるやつも・・・ <多かったもの> • クロスサイトスクリプティングの脆弱性 • HTTPレスポンスヘッダの設定不備 • 登録可能なパスワードの文字数が短い
・・・
7 内製化してわかったこと(2) 開発者に説明したら、実はその脆弱性知らんかった クロスサイトスクリ プティングが・・・ ???
8 内製化してわかったこと(3) 見つけられないこともある Attack パスワードが暗号化さ れているか? ログが出力され ているか? 予防ではなく、検知の 仕組みはあるか?
脆弱性とは言えないが、重要な機能 権限ごとのアクセス制 御ができているか?
9 内製化してわかったこと(4) 勉強すれば、できるようになる UP 本、OWASP BWA、Juice Shopなどのやられサイト など、勉強の方法は多い 身近にプロフェッショナ ルがいたことも大きい
10 内製化してわかったこと まとめ 勉強すれば、できるようになる 見つけられないこともある 開発者に説明したら、実はその脆弱性知らんかった 同じ診断結果が多い。修正に時間かかるやつも・・・
11 内製化してできたこと
12 内製化してできたこと(1) 脆弱性診断結果から生産技術へのFB 共通フレームワーク 開発者(生産技術) 案件開発者 脆弱性診断 ①フレームワーク実装 ②利用 ③納品前診断
④結果FB よくあるものは ここで対策
13 内製化してできたこと(2) 定期的な教育 OWASP TOP10と は・・ 対策方法は・・ 再現方法は・・ どう実装する か・・
定期的な勉強会の開催と教育コンテンツの作成
14 内製化してできたこと(3) リリース後や開発期間中などの気軽な診断 追加開発したんだけど、 診断しといて ええよ~~ 特にアジャイル開発においては、絶大な効果がある!!
15 内製化してできたこと まとめ 診断の内製化がシフトレフトの始まりでした
16 最近の悩み 継続的な学習が・・・