Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性診断を内製化してわかったこと
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
KoujiMatsuda
April 10, 2019
Technology
190
0
Share
脆弱性診断を内製化してわかったこと
総関西サイバーセキュリティLT大会(第14回)のLT資料です
KoujiMatsuda
April 10, 2019
More Decks by KoujiMatsuda
See All by KoujiMatsuda
OWASP Projectsの歩き方
koujimatsuda11
0
63
OWASP Top 10 Proactive Controls 2024 で始めるセキュリティ
koujimatsuda11
0
63
FIDO2をPHPで実装してみた
koujimatsuda11
0
250
Other Decks in Technology
See All in Technology
ESP32 IoTを動かしながらメモリ使用量を観測してみた話
zozotech
PRO
0
130
Agent の「自由」と「安全」〜未来に向けて今できること〜
katayan
0
360
The Bag-of-Documents Model for Query Understanding and Retrieval
dtunkelang
0
120
AI対話分析の夢と、汚いデータの現実 Looker / Dataplex / Dataform で実現する品質ファーストな基盤設計
waiwai2111
0
520
エムスリーテクノロジーズ株式会社 エンジニア向け紹介資料 / M3 Technologies Company Deck
m3_engineering
0
110
RedmineをAIで効率的に使う検証
yoshiokacb
0
110
20260515 ID管理は会社を守る大切な砦!〜🔰情シス向け〜
oidfj
0
550
マンション備え付けのネットワークとLTE回線を組み合わせた ネットワークの安定化の考案
harutiro
1
130
20260515 OpenIDファウンデーション・ジャパンご紹介
oidfj
0
120
Claude Codeウェビナー資料 - AWSの最新機能をClaude Codeで高速に検証する
oshanqq
0
770
How to learn AWS Well-Architected with AWS BuilderCards: Security Edition
coosuke
PRO
0
140
O'Reilly Infrastructure & Ops Superstream: Platform Engineering for Developers, Architects & the Rest of Us
syntasso
0
160
Featured
See All Featured
Designing for Timeless Needs
cassininazir
1
220
Navigating Team Friction
lara
192
16k
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
2
370
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
740
VelocityConf: Rendering Performance Case Studies
addyosmani
333
25k
Optimising Largest Contentful Paint
csswizardry
37
3.7k
Building an army of robots
kneath
306
46k
Art, The Web, and Tiny UX
lynnandtonic
304
21k
4 Signs Your Business is Dying
shpigford
187
22k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.4k
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
530
Transcript
2019.04.10 脆弱性診断を内製化してわかったこと 総関西サイバーセキュリティLT大会(第14回) 松田康司
1 自己紹介 • 松田 康司(まうだ こうじ) • 本業 • 神戸のSIerで主にWEBアプリケーション開発のPMを
やってます。 • 自社の全ての開発案件でシフトレフトを推進するプ ロジェクトをしてます
2 今日の話 システム開発会社が、出荷前の脆弱性診断を 内製化したらわかったこと
3 脆弱性診断って • システムの脆弱性を見つける検査 • 攻撃者の視点から様々な疑似攻撃を仕掛ける • 攻撃をするためには専門的な知識が必要 • 今日の話の中では、ウェブアプリケーションに対する
ブラックボックス型 Attack
4 なぜ、内製化したのか? ・・・割愛します。すごく長くなるので
5 内製化してわかったこと
6 内製化してわかったこと(1) 同じ診断結果が多い。修正に時間かかるやつも・・・ <多かったもの> • クロスサイトスクリプティングの脆弱性 • HTTPレスポンスヘッダの設定不備 • 登録可能なパスワードの文字数が短い
・・・
7 内製化してわかったこと(2) 開発者に説明したら、実はその脆弱性知らんかった クロスサイトスクリ プティングが・・・ ???
8 内製化してわかったこと(3) 見つけられないこともある Attack パスワードが暗号化さ れているか? ログが出力され ているか? 予防ではなく、検知の 仕組みはあるか?
脆弱性とは言えないが、重要な機能 権限ごとのアクセス制 御ができているか?
9 内製化してわかったこと(4) 勉強すれば、できるようになる UP 本、OWASP BWA、Juice Shopなどのやられサイト など、勉強の方法は多い 身近にプロフェッショナ ルがいたことも大きい
10 内製化してわかったこと まとめ 勉強すれば、できるようになる 見つけられないこともある 開発者に説明したら、実はその脆弱性知らんかった 同じ診断結果が多い。修正に時間かかるやつも・・・
11 内製化してできたこと
12 内製化してできたこと(1) 脆弱性診断結果から生産技術へのFB 共通フレームワーク 開発者(生産技術) 案件開発者 脆弱性診断 ①フレームワーク実装 ②利用 ③納品前診断
④結果FB よくあるものは ここで対策
13 内製化してできたこと(2) 定期的な教育 OWASP TOP10と は・・ 対策方法は・・ 再現方法は・・ どう実装する か・・
定期的な勉強会の開催と教育コンテンツの作成
14 内製化してできたこと(3) リリース後や開発期間中などの気軽な診断 追加開発したんだけど、 診断しといて ええよ~~ 特にアジャイル開発においては、絶大な効果がある!!
15 内製化してできたこと まとめ 診断の内製化がシフトレフトの始まりでした
16 最近の悩み 継続的な学習が・・・
koujimatsuda11
zozotech
katayan
dtunkelang
waiwai2111
.jpg){kind=avatar}
m3_engineering
yoshiokacb
.png){kind=avatar}
oidfj
harutiro
.jpg){kind=avatar}
oshanqq
coosuke
syntasso
cassininazir
lara
jct
nmsamuel
addyosmani
csswizardry
kneath
lynnandtonic
shpigford
denniskardys
tammyeverts
reverentgeek
