$30 off During Our Annual Pro Sale. View Details »
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性診断を内製化してわかったこと
Search
KoujiMatsuda
April 10, 2019
Technology
0
180
脆弱性診断を内製化してわかったこと
総関西サイバーセキュリティLT大会(第14回)のLT資料です
KoujiMatsuda
April 10, 2019
Tweet
Share
More Decks by KoujiMatsuda
See All by KoujiMatsuda
OWASP Projectsの歩き方
koujimatsuda11
0
52
OWASP Top 10 Proactive Controls 2024 で始めるセキュリティ
koujimatsuda11
0
42
FIDO2をPHPで実装してみた
koujimatsuda11
0
240
Other Decks in Technology
See All in Technology
2025年のデザインシステムとAI 活用を振り返る
leveragestech
0
260
たまに起きる外部サービスの障害に備えたり備えなかったりする話
egmc
0
410
AWSに革命を起こすかもしれない新サービス・アップデートについてのお話
yama3133
0
510
AI駆動開発の実践とその未来
eltociear
2
500
通勤手当申請チェックエージェント開発のリアル
whisaiyo
3
470
Bedrock AgentCore Evaluationsで学ぶLLM as a judge入門
shichijoyuhi
2
250
Knowledge Work の AI Backend
kworkdev
PRO
0
260
Oracle Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
1
770
なぜ あなたはそんなに re:Invent に行くのか?
miu_crescent
PRO
0
210
AWS運用を効率化する!AWS Organizationsを軸にした一元管理の実践/nikkei-tech-talk-202512
nikkei_engineer_recruiting
0
170
業務の煩悩を祓うAI活用術108選 / AI 108 Usages
smartbank
9
11k
2025-12-27 Claude CodeでPRレビュー対応を効率化する@機械学習社会実装勉強会第54回
nakamasato
4
1k
Featured
See All Featured
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
850
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
74
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
9
1k
GitHub's CSS Performance
jonrohan
1032
470k
Bash Introduction
62gerente
615
210k
Technical Leadership for Architectural Decision Making
baasie
0
180
Game over? The fight for quality and originality in the time of robots
wayneb77
1
66
The SEO identity crisis: Don't let AI make you average
varn
0
39
Color Theory Basics | Prateek | Gurzu
gurzu
0
150
Into the Great Unknown - MozCon
thekraken
40
2.2k
Darren the Foodie - Storyboard
khoart
PRO
0
2k
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
130
Transcript
2019.04.10 脆弱性診断を内製化してわかったこと 総関西サイバーセキュリティLT大会(第14回) 松田康司
1 自己紹介 • 松田 康司(まうだ こうじ) • 本業 • 神戸のSIerで主にWEBアプリケーション開発のPMを
やってます。 • 自社の全ての開発案件でシフトレフトを推進するプ ロジェクトをしてます
2 今日の話 システム開発会社が、出荷前の脆弱性診断を 内製化したらわかったこと
3 脆弱性診断って • システムの脆弱性を見つける検査 • 攻撃者の視点から様々な疑似攻撃を仕掛ける • 攻撃をするためには専門的な知識が必要 • 今日の話の中では、ウェブアプリケーションに対する
ブラックボックス型 Attack
4 なぜ、内製化したのか? ・・・割愛します。すごく長くなるので
5 内製化してわかったこと
6 内製化してわかったこと(1) 同じ診断結果が多い。修正に時間かかるやつも・・・ <多かったもの> • クロスサイトスクリプティングの脆弱性 • HTTPレスポンスヘッダの設定不備 • 登録可能なパスワードの文字数が短い
・・・
7 内製化してわかったこと(2) 開発者に説明したら、実はその脆弱性知らんかった クロスサイトスクリ プティングが・・・ ???
8 内製化してわかったこと(3) 見つけられないこともある Attack パスワードが暗号化さ れているか? ログが出力され ているか? 予防ではなく、検知の 仕組みはあるか?
脆弱性とは言えないが、重要な機能 権限ごとのアクセス制 御ができているか?
9 内製化してわかったこと(4) 勉強すれば、できるようになる UP 本、OWASP BWA、Juice Shopなどのやられサイト など、勉強の方法は多い 身近にプロフェッショナ ルがいたことも大きい
10 内製化してわかったこと まとめ 勉強すれば、できるようになる 見つけられないこともある 開発者に説明したら、実はその脆弱性知らんかった 同じ診断結果が多い。修正に時間かかるやつも・・・
11 内製化してできたこと
12 内製化してできたこと(1) 脆弱性診断結果から生産技術へのFB 共通フレームワーク 開発者(生産技術) 案件開発者 脆弱性診断 ①フレームワーク実装 ②利用 ③納品前診断
④結果FB よくあるものは ここで対策
13 内製化してできたこと(2) 定期的な教育 OWASP TOP10と は・・ 対策方法は・・ 再現方法は・・ どう実装する か・・
定期的な勉強会の開催と教育コンテンツの作成
14 内製化してできたこと(3) リリース後や開発期間中などの気軽な診断 追加開発したんだけど、 診断しといて ええよ~~ 特にアジャイル開発においては、絶大な効果がある!!
15 内製化してできたこと まとめ 診断の内製化がシフトレフトの始まりでした
16 最近の悩み 継続的な学習が・・・
koujimatsuda11
leveragestech
egmc
yama3133
eltociear
whisaiyo
shichijoyuhi
kworkdev
oracle4engineer
miu_crescent
nikkei_engineer_recruiting
smartbank
nakamasato
szymonslowik
techseoconnect
addyosmani
jonrohan
62gerente
baasie
wayneb77
varn
gurzu
thekraken
khoart
cassininazir
