Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP Top 10 Proactive Controls 2024 で始めるセキュリティ

KoujiMatsuda
September 28, 2024
0
11

OWASP Top 10 Proactive Controls 2024 で始めるセキュリティ

OWASP Top 10 Proactive Controls 2024 の紹介と活用方法の提案
2024/9/21 OWASP Kansai

KoujiMatsuda

September 28, 2024
Tweet

More Decks by KoujiMatsuda

See All by KoujiMatsuda
FIDO2をPHPで実装してみた
koujimatsuda11
0
180
脆弱性診断を内製化してわかったこと
koujimatsuda11
0
160

Featured

See All Featured
10 Git Anti Patterns You Should be Aware of
lemiorhan
654
59k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Making the Leap to Tech Lead
cromwellryan
133
8.9k
Building Your Own Lightsaber
phodgson
102
6.1k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Docker and Python
trallard
40
3.1k
Code Review Best Practice
trishagee
64
17k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
[RailsConf 2023] Rails as a piece of cake
palkan
51
4.9k

Transcript

  1. OWASP Top 10 Proactive Controls 2024 で始めるセキュリティ OWASP Kansai 松田康司

    2024/9/21

  2. 自己紹介 • 松田 康司 – OWASP Kansai ボードメンバー – 神戸デジタル・ラボ

    – 生産技術チーム / PSIRT

  3. OWASPとは Open Worldwide Application Security Project みんなの力で 世界中で つくられたもんの セキュリティを

    何とかする活動

  4. OWASP Project • OWASP Top Ten • OWASP ASVS •

    OWASP Dependency-Check • OWASP Juice Shop • OWASP API Security Project • OWASP Cheat Sheet Series • OWASP WSTG • OWASP SAMM • OWASP MAS • OWASP ModSecurity さらに詳しく知りたい方は、 https://owasp.org/projects/

  5. OWASP Top 10 Proactive Controls https://top10proactive.owasp.org/

  6. OWASP Top 10 Proactive Controlsとは OWASP Top 10 Proactive Controls

    “Introduction” https://top10proactive.owasp.org/the-top-10/introduction/ OWASP Top 10 Proactive Controls 2024は、すべてのソフトウェア・ アーキテクトと開発者が知っておくべき、そして留意すべきセキュリ ティ技術のリストである。

  7. OWASP Top 10 Proactive Controls 2024 OWASP Top 10 Proactive

    Controls https://top10proactive.owasp.org/ C1: Implement Access Control /アクセス制御の実装 C2: Use Cryptography the proper way /正しく暗号を使う C3: Validate all Input & Handle Exceptions / すべての入力を検証し、例外を処理する C4: Address Security from the Start /最初からセキュリティに取り組む C5: Secure By Default Configurations /デフォルト設定を安全にする

  8. OWASP Top 10 Proactive Controls 2024 C6: Keep your Components

    Secure /コンポーネントを安全に使い続ける C7: Implement Digital Identity /デジタルアイデンティティを実装する C8: Leverage Browser Security Features / ブラウザのセキュリティ機能を活用する C9: Implement Security Logging and Monitoring / セキュリティログと監視を実装する C10: Stop Server Side Request Forgery / SSRFを阻止する OWASP Top 10 Proactive Controls https://top10proactive.owasp.org/

  9. 余談:OWASP Top 10との比較 OWASP Top 10 A01 アクセス制御の不備 A02 暗号化の失敗

    A03 インジェクション A04 安全が確認されない不安な設計 A05 セキュリティの設定ミス A06 脆弱で古くなったコンポーネント A07 識別と認証の失敗 A08 ソフトウェアとデータの整合性の不具合 A09 セキュリティログとモニタリングの失敗 A10 サーバーサイドリクエストフォージェリ (SSRF) OWASP Top 10 Proactive Controls 2024 C1: アクセス制御の実装 C2: 正しく暗号化を使う C3: すべての入力を検証し、例外を処理する C4: 最初からセキュリティに取り組む C5: デフォルト設定を安全にする C6: コンポーネントを安全に使い続ける C7: デジタルアイデンティティを実装する C8: ブラウザのセキュリティ機能を活用する C9: セキュリティログと監視を実装する C10: サーバサイドリクエストフォージェリーを阻止する

  10. 余談:OWASP Top 10 Proactive Controls 2018との違い OWASP Top 10 Proactive

    Controls 2018 C1: セキュリティ要件の定義 C2: セキュリティフレームワークとライブラリを活用 C3: 安全なデータベースアクセス C4: データのエンコードとエスケープ C5: すべての入力を検証する C6: デジタルアイデンティティの実装 C7: アクセス制御の強制 C8: あらゆる場所でデータを保護する C9: セキュリティログと監視を実装する C10: すべてのエラーと例外を処理する OWASP Top 10 Proactive Controls 2024 C1: アクセス制御の実装 C2: 正しく暗号化を使う C3: すべての入力を検証し、例外を処理する C4: 最初からセキュリティに取り組む C5: デフォルト設定を安全にする C6: コンポーネントを安全に使い続ける C7: デジタルアイデンティティを実装する C8: ブラウザのセキュリティ機能を活用する C9: セキュリティログと監視を実装する C10: サーバサイドリクエストフォージェリーを阻止する

  11. OWASP Top 10 Proactive Controls 2024 で始めるセキュリティ

  12. Final word 最後に OWASP Top 10 Proactive Controlsは、包括的な技術や実践の集合ではなく、出発点。 OWASP Top

    10 OWASP ASVS OWASP MASVS OWASP Top 10 Proactive Controls OWASP Cheat Sheet Series Threat Modeling Cheat Sheet

  13. ご清聴ありがとうございます ご質問があれば、お声がけください