Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性診断を内製化してわかったこと
Search
KoujiMatsuda
April 10, 2019
Technology
0
180
脆弱性診断を内製化してわかったこと
総関西サイバーセキュリティLT大会(第14回)のLT資料です
KoujiMatsuda
April 10, 2019
Tweet
Share
More Decks by KoujiMatsuda
See All by KoujiMatsuda
OWASP Projectsの歩き方
koujimatsuda11
0
50
OWASP Top 10 Proactive Controls 2024 で始めるセキュリティ
koujimatsuda11
0
41
FIDO2をPHPで実装してみた
koujimatsuda11
0
230
Other Decks in Technology
See All in Technology
境界線が消える世界におけるQAエンジニアのキャリアの可能性を考える / Considering the Career Possibilities for QA Engineers
mii3king
2
110
DMMの検索システムをSolrからElasticCloudに移行した話
hmaa_ryo
0
320
組織全員で向き合うAI Readyなデータ利活用
gappy50
5
2k
プレイドのユニークな技術とインターンのリアル
plaidtech
PRO
1
600
SREのキャリアから経営に近づく - Enterprise Risk Managementを基に -
shonansurvivors
1
620
アウトプットから始めるOSSコントリビューション 〜eslint-plugin-vueの場合〜 #vuefes
bengo4com
3
1.9k
ストレージエンジニアの仕事と、近年の計算機について / 第58回 情報科学若手の会
pfn
PRO
4
940
様々なファイルシステム
sat
PRO
0
280
re:Invent 2025の見どころと便利アイテムをご紹介 / Highlights and Useful Items for re:Invent 2025
yuj1osm
0
530
SOTA競争から人間を超える画像認識へ
shinya7y
0
660
Okta Identity Governanceで実現する最小権限の原則
demaecan
0
230
Observability — Extending Into Incident Response
nari_ex
2
700
Featured
See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.5k
Thoughts on Productivity
jonyablonski
71
4.9k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.1k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
How to train your dragon (web standard)
notwaldorf
97
6.3k
For a Future-Friendly Web
brad_frost
180
10k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
1.7k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
127
54k
Why Our Code Smells
bkeepers
PRO
340
57k
[RailsConf 2023] Rails as a piece of cake
palkan
57
6k
Build The Right Thing And Hit Your Dates
maggiecrowley
38
2.9k
Transcript
2019.04.10 脆弱性診断を内製化してわかったこと 総関西サイバーセキュリティLT大会(第14回) 松田康司
1 自己紹介 • 松田 康司(まうだ こうじ) • 本業 • 神戸のSIerで主にWEBアプリケーション開発のPMを
やってます。 • 自社の全ての開発案件でシフトレフトを推進するプ ロジェクトをしてます
2 今日の話 システム開発会社が、出荷前の脆弱性診断を 内製化したらわかったこと
3 脆弱性診断って • システムの脆弱性を見つける検査 • 攻撃者の視点から様々な疑似攻撃を仕掛ける • 攻撃をするためには専門的な知識が必要 • 今日の話の中では、ウェブアプリケーションに対する
ブラックボックス型 Attack
4 なぜ、内製化したのか? ・・・割愛します。すごく長くなるので
5 内製化してわかったこと
6 内製化してわかったこと(1) 同じ診断結果が多い。修正に時間かかるやつも・・・ <多かったもの> • クロスサイトスクリプティングの脆弱性 • HTTPレスポンスヘッダの設定不備 • 登録可能なパスワードの文字数が短い
・・・
7 内製化してわかったこと(2) 開発者に説明したら、実はその脆弱性知らんかった クロスサイトスクリ プティングが・・・ ???
8 内製化してわかったこと(3) 見つけられないこともある Attack パスワードが暗号化さ れているか? ログが出力され ているか? 予防ではなく、検知の 仕組みはあるか?
脆弱性とは言えないが、重要な機能 権限ごとのアクセス制 御ができているか?
9 内製化してわかったこと(4) 勉強すれば、できるようになる UP 本、OWASP BWA、Juice Shopなどのやられサイト など、勉強の方法は多い 身近にプロフェッショナ ルがいたことも大きい
10 内製化してわかったこと まとめ 勉強すれば、できるようになる 見つけられないこともある 開発者に説明したら、実はその脆弱性知らんかった 同じ診断結果が多い。修正に時間かかるやつも・・・
11 内製化してできたこと
12 内製化してできたこと(1) 脆弱性診断結果から生産技術へのFB 共通フレームワーク 開発者(生産技術) 案件開発者 脆弱性診断 ①フレームワーク実装 ②利用 ③納品前診断
④結果FB よくあるものは ここで対策
13 内製化してできたこと(2) 定期的な教育 OWASP TOP10と は・・ 対策方法は・・ 再現方法は・・ どう実装する か・・
定期的な勉強会の開催と教育コンテンツの作成
14 内製化してできたこと(3) リリース後や開発期間中などの気軽な診断 追加開発したんだけど、 診断しといて ええよ~~ 特にアジャイル開発においては、絶大な効果がある!!
15 内製化してできたこと まとめ 診断の内製化がシフトレフトの始まりでした
16 最近の悩み 継続的な学習が・・・
koujimatsuda11
mii3king
hmaa_ryo
gappy50
plaidtech
shonansurvivors
bengo4com
pfn
sat
yuj1osm
shinya7y
demaecan
nari_ex
jcasabona
jonyablonski
chriscoyier
tammyeverts
denniskardys
notwaldorf
brad_frost
garrettdimon
aki_iinuma
bkeepers
palkan
maggiecrowley
