Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱性診断を内製化してわかったこと

Avatar for KoujiMatsuda KoujiMatsuda
April 10, 2019
Technology
0
180

 脆弱性診断を内製化してわかったこと

総関西サイバーセキュリティLT大会(第14回)のLT資料です
Avatar for KoujiMatsuda

KoujiMatsuda

April 10, 2019
Tweet

More Decks by KoujiMatsuda

See All by KoujiMatsuda
OWASP Top 10 Proactive Controls 2024 で始めるセキュリティ
Avatar for KoujiMatsuda koujimatsuda11
0
33
FIDO2をPHPで実装してみた
Avatar for KoujiMatsuda koujimatsuda11
0
210

Other Decks in Technology

See All in Technology
Node-RED × MCP 勉強会 vol.1
Avatar for 1ft-seabass 1ftseabass
PRO
0
140
AWS CDK 実践的アプローチ N選 / aws-cdk-practical-approaches
Avatar for k.goto gotok365
6
740
Clineを含めたAIエージェントを 大規模組織に導入し、投資対効果を考える / Introducing AI agents into your organization
Avatar for Masato Ishigaki / 石垣雅人 i35_267
4
1.6k
あなたの声を届けよう! 女性エンジニア登壇の意義とアウトプット実践ガイド #wttjp / Call for Your Voice
Avatar for kondoyuko kondoyuko
4
440
Fabric + Databricks 2025.6 の最新情報ピックアップ
Avatar for Ryoma Nagata ryomaru0825
1
130
Prox Industries株式会社 会社紹介資料
Avatar for Prox proxindustries
0
280
GitHub Copilot の概要
Avatar for tomokusaba tomokusaba
1
130
BigQuery Remote FunctionでLooker Studioをインタラクティブ化
Avatar for CUEBiC Inc. cuebic9bic
3
270
Observability infrastructure behind the trillion-messages scale Kafka platform
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
140
Snowflake Summit 2025全体振り返り / Snowflake Summit 2025 Overall Review
Avatar for k.muguruma mtpooh
2
390
~宇宙最速~ 2025年AWS Summit レポート
Avatar for sleepingsato satodesu
1
1.8k
Javaで作る RAGを活用した Q&Aアプリケーション
Avatar for Recruit recruitengineers
PRO
1
110

Featured

See All Featured
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
45
7.4k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.3k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
507
140k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1031
460k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
42
7.3k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
72
4.9k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
53
7.7k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
233
17k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
32
1k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
48
2.8k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
337
57k

Transcript

  1. 2019.04.10 脆弱性診断を内製化してわかったこと 総関西サイバーセキュリティLT大会(第14回) 松田康司

  2. 1 自己紹介 • 松田 康司(まうだ こうじ) • 本業 • 神戸のSIerで主にWEBアプリケーション開発のPMを

    やってます。 • 自社の全ての開発案件でシフトレフトを推進するプ ロジェクトをしてます

  3. 2 今日の話 システム開発会社が、出荷前の脆弱性診断を 内製化したらわかったこと

  4. 3 脆弱性診断って • システムの脆弱性を見つける検査 • 攻撃者の視点から様々な疑似攻撃を仕掛ける • 攻撃をするためには専門的な知識が必要 • 今日の話の中では、ウェブアプリケーションに対する

    ブラックボックス型 Attack

  5. 4 なぜ、内製化したのか? ・・・割愛します。すごく長くなるので

  6. 5 内製化してわかったこと

  7. 6 内製化してわかったこと(1) 同じ診断結果が多い。修正に時間かかるやつも・・・ <多かったもの> • クロスサイトスクリプティングの脆弱性 • HTTPレスポンスヘッダの設定不備 • 登録可能なパスワードの文字数が短い

    ・・・

  8. 7 内製化してわかったこと(2) 開発者に説明したら、実はその脆弱性知らんかった クロスサイトスクリ プティングが・・・ ???

  9. 8 内製化してわかったこと(3) 見つけられないこともある Attack パスワードが暗号化さ れているか? ログが出力され ているか? 予防ではなく、検知の 仕組みはあるか?

    脆弱性とは言えないが、重要な機能 権限ごとのアクセス制 御ができているか?

  10. 9 内製化してわかったこと(4) 勉強すれば、できるようになる UP 本、OWASP BWA、Juice Shopなどのやられサイト など、勉強の方法は多い 身近にプロフェッショナ ルがいたことも大きい

  11. 10 内製化してわかったこと まとめ 勉強すれば、できるようになる 見つけられないこともある 開発者に説明したら、実はその脆弱性知らんかった 同じ診断結果が多い。修正に時間かかるやつも・・・

  12. 11 内製化してできたこと

  13. 12 内製化してできたこと(1) 脆弱性診断結果から生産技術へのFB 共通フレームワーク 開発者(生産技術) 案件開発者 脆弱性診断 ①フレームワーク実装 ②利用 ③納品前診断

    ④結果FB よくあるものは ここで対策

  14. 13 内製化してできたこと(2) 定期的な教育 OWASP TOP10と は・・ 対策方法は・・ 再現方法は・・ どう実装する か・・

    定期的な勉強会の開催と教育コンテンツの作成

  15. 14 内製化してできたこと(3) リリース後や開発期間中などの気軽な診断 追加開発したんだけど、 診断しといて ええよ~~ 特にアジャイル開発においては、絶大な効果がある!!

  16. 15 内製化してできたこと まとめ 診断の内製化がシフトレフトの始まりでした

  17. 16 最近の悩み 継続的な学習が・・・