Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
web-application-security
Search
matsuihidetoshi
April 23, 2024
Technology
1
320
web-application-security
#ssmjp 41 にて、Web アプリケーション開発者目線でセキュリティを頑張った話を書きました。
matsuihidetoshi
April 23, 2024
Tweet
Share
More Decks by matsuihidetoshi
See All by matsuihidetoshi
AWS Summit Japan 2025 Community Stage - App workflow automation by AWS Step Functions
matsuihidetoshi
1
430
JAWS DAYS 2024 C-9
matsuihidetoshi
0
190
クラウドだからできた 地方主導のJAWS DevOps
matsuihidetoshi
2
500
既存システムのコンテナ化で得られた知見と、 全然関係ないけど自炊を支える技術
matsuihidetoshi
0
1k
Media JAWS 2023/1
matsuihidetoshi
1
600
Efforts to Organizing & Broadcastiong JAWS-UG's global event "JAWS PANKRATION 2021 -Up till Down-"
matsuihidetoshi
0
190
サーバレスアーキテクチャの考え方
matsuihidetoshi
0
100
コミュニティイベント配信基盤での サーバーレスアーキテクチャ実践
matsuihidetoshi
0
650
再利用可能なサーバーレス配信コンポーネント
matsuihidetoshi
0
210
Other Decks in Technology
See All in Technology
Claude Codeは仕様駆動の夢を見ない
gotalab555
23
6.6k
✨敗北解法コレクション✨〜Expertだった頃に足りなかった知識と技術〜
nanachi
1
720
金融サービスにおける高速な価値提供とAIの役割 #BetAIDay
layerx
PRO
1
830
風が吹けばWHOISが使えなくなる~なぜWHOIS・RDAPはサーバー証明書のメール認証に使えなくなったのか~
orangemorishita
15
5.8k
LLMで構造化出力の成功率をグンと上げる方法
keisuketakiguchi
0
830
Amazon Inspector コードセキュリティで手軽に実現するシフトレフト
maimyyym
0
110
薬屋のひとりごとにみるトラブルシューティング
tomokusaba
0
330
Amazon GuardDuty での脅威検出:脅威検出の実例から学ぶ
kintotechdev
0
110
MCP認可の現在地と自律型エージェント対応に向けた課題 / MCP Authorization Today and Challenges to Support Autonomous Agents
yokawasa
5
2.3k
ファッションコーディネートアプリ「WEAR」における、Vertex AI Vector Searchを利用したレコメンド機能の開発・運用で得られたノウハウの紹介
zozotech
PRO
0
320
LTに影響を受けてテンプレリポジトリを作った話
hol1kgmg
0
370
バクラクによるコーポレート業務の自動運転 #BetAIDay
layerx
PRO
1
950
Featured
See All Featured
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
44
2.4k
Balancing Empowerment & Direction
lara
1
540
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
358
30k
Done Done
chrislema
185
16k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
7
800
Visualization
eitanlees
146
16k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
183
54k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
131
19k
Adopting Sorbet at Scale
ufuk
77
9.5k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4k
Side Projects
sachag
455
43k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
29
9.6k
Transcript
TTNPOMJOF দҪӳढ़ 8FCΞϓϦέʔγϣϯ։ൃऀ͕ ηΩϡϦςΟΛͪΐͬͱؤுͬͨ
ࣗݾհ 9!IJEF দҪӳढ़ ελʔτΞοϓςΫϊϩδʔςοΫϦʔυ w 8FCΞϓϦέʔγϣϯ։ൃ w Ϋϥυઃܭɺߏங ಘҙ झຯ
w ྉཧ w Իָ
લஔ͖ w ઐ͡Όͳ͍ʹؔͯ͠ܦݧϕʔεͰޠΔͷͰࢦఠิܴͰ͢ w ۩ମతͳ໊͕ग़͖ͯ·͕࣮͢ࡍʹݕ౼ɾ࠾༻ͨ͠ྫͱͯ͠ग़͍͚ͨͩ͠ͳͷͰએͰ͋Γ·ͤΜ w "84ʹ͍ͩͿدͬͨͰ͢ w ༏͍͠ͰϚαΧϦ͛ͯͶʂʂ 🪓ϛʋ
ŋТŋ ʋ
੬ऑੑͷಛੑ ˠશʹʹ͢Δͷ͘͠ɺݶΓͳ͘ʹ͚͍ۙͮͯ͘ ɹίετͱಉ͘͡Ұରࡦͯ͠ऴΘΓͰͳ͘ৗʹվળ
੬ऑੑͷ
ڥ w يಓʹ͖ͬͯͯɺηΩϡϦςΟʹϦιʔεΛׂ͚Δ༷ʹͳ͖ͬͯͨελʔτΞοϓ w ։ൃऀਓͰɺϑϩϯτΤϯυɺόοΫΤϯυɺΠϯϑϥִͨΓͳ͘Δ w ڥશ໘తʹ"84Λ͍ͬͯΔ w ࣮͔ࣗΒ͠Β͘Ε͍ͯͯɺΠϯϑϥ ЋͷϦʔυͱͯ͠֎෦͔Βࢀը
Ϗδωε ېࢭࣄ߲ɾن Ψόφϯε ΞΧϯτใͷཧͳͲͷϧʔϧ ࢹɾஅ ֤छ4BB4πʔϧ ϑΝΠΞΥʔϧ ੬ऑੑอޢ%%P4ɺෆਖ਼ར༻ରࡦ Πϯϑϥ ωοτϫʔΫݖݶͷཧ
ΞϓϦέʔγϣϯ ༷ͷߟྀΕόάͷࢭ ηΩϡϦςΟύονͷద༻ ؾʹ͠ͳ͍ͱ͍͚ͳ͍ϨΠϠʔͷ۠ ˠͲ͔͜Ұखʹ୲͏ͷͰͳؔ͘ऀશһͷ
Ϗδωε ˠٕज़తҎ֎ʹߟྀࣄ߲͕͋Δ w ن w େྔΞΫηεΫϩʔϦϯάɺࣗಈԽͷ੍ݶېࢭͷݕ౼ w "1*ϦΫΤετ্ݶͷܾఆ w ௨ͱ߹ҙ
w نͷݟ͠ɺվఆ w վఆ༰ͷ௨ͱ߹ҙ w ෦ؒͷௐ w ։ൃ෦͔ΒͷఏҊͷݕ౼ w ։ൃ෦ͷཁ
Ψόφϯε ˠ։ൃऀઢͩͱҊ֎खബʹ w ൿಗใ w γʔΫϨοτྨύϒϦοΫͳॴʹஔ͠ͳ͍ w ը૾ͳͲ݁ߏ w ΞΧϯτཧ
w .'"ͷઃఆ w ͷอޢ w ΟϧεରࡦιϑτͷಋೖͳͲ w ೝূͷऔಘॿ͚ʹͳΔ͔
ࢹɾஅ ࢹɺՄࢹԽπʔϧ ҟৗΞΫςΟϏςΟͷݕਖ਼ৗੑͷ֬ೝɺ௨ ɾΤϥʔܯࠂʹΑΓ߈ܸΛೝ ɾγεςϜϝτϦΫεͷ؍ଌ ɾ௨ͷࣗಈԽ
ࢹɾஅ அπʔϧ Ұൠతͳ8FCΞϓϦέʔγϣϯ੬ऑੑͷݕ ɾϩάΠϯγφϦΦొʹΑΔཏతͳ८ճ ɾύε͝ͱͷࣗಈϦΫΤετʹΑΔ੬ऑੑݕग़ ɾෳࡶͳϖʔδͷγφϦΦొ ˠ։ൃʹΑΔ੬ऑੑͷ࡞ΓࠐΈΛܧଓతʹൃݟɾରॲͰ͖Δ
ϑΝΠΞΥʔϧ "848"' 8"' $MPVE'SPOU &MBTUJD-PBE#BMBODJOH w "845IJSEQBSUZͷϚωʔδυϧʔϧΛઃఆ w ಠࣗͷϧʔϧઃఆՄೳ w
֤छ"84Ϧιʔεͱ౷߹Մೳ w 8"'ͦͷͷ Ϛωʔδυϧʔϧ͝ͱͷྉۚ
ϑΝΠΞΥʔϧ "848"' ར 8"' $MPVE'SPOU &MBTUJD-PBE#BMBODJOH w ϚωʔδυͰଟ͘ͷ੬ऑੑʹରԠͰ͖Δ w ಈతʹγάωνϟ͕Ξοϓσʔτ͞ΕΔ
w ΞϓϦέʔγϣϯͷϨΠϠʔ͔ΒΓͤΔ w ΞϓϦέʔγϣϯϦιʔεʹෛՙ͕͔͔Βͳ͍
8"' "848"' ݕ౼ࣄ߲ͱେମܾ·ͬͯ͘Δ͜ͱ w ରϦιʔε w "-# w $MPVE'SPOU w
ϧʔϧ w ˞ཁݕ౼ w ϩΪϯά w $MPVE8BUDI-PHT w 4 w "NB[PO,JOFTJT%BUB'JSFIPTF
8"' "848"' ྉۚ ྫ '3VMFTGPS"848"' $PNNPO7VMOFSBCJMJUJFT&YQPTVSFT $7& 3VMFT ͷ߹ wϦʔδϣϯ͝ͱʹ
݄ wສϦΫΤετ ˠ8"' Ϛωʔδυϧʔϧ 8$6ͷίετ͕͔͔Δ
8"' "848"' ߟ͑Δ͖͜ͱ w ಋೖλΠϛϯά w ॳظಋೖ͓͚ͯ͠ΞϓϦέʔγϣϯଆͷӨڹΛ࠷খݶʹͰ͖Δ͕ɺίετ͕͔͔Δ w ಈ࡞ͷӨڹ w
ॳظಋೖͷ߹ཁ݅ΛຬͨͤΔ͔Α͘ݕ౼͢Δඞཁ͕͋Δ w ్தಋೖͷ߹طଘಈ࡞ʹӨڹ͕ͳ͍͔ݕ౼͢Δඞཁ͕͋Δ w ίετࢼࢉ w ผϨΠϠʔͰͷରԠ w 8"'ͱผͷϨΠϠʔͰରԠՄೳͳͷ͋ΔʢFUD*1੍ݶͳͲʣ
Πϯϑϥʢ͍ͯ͏͔"84ʣ w *".ϩʔϧʹ༩͍͑ͯΔݖݶ࠷ݶʹͳ͍ͬͯΔ͔ʁ w ωοτϫʔΫઃఆඞཁ࠷ݶʹͳ͍ͬͯΔ͔ʁ w αϒωοτ w ηΩϡϦςΟάϧʔϓ w
Πϯλʔωοτʹग़͞ͳͯ͘ྑ͍௨৴͕ग़ͯͳ͍͔ʁ w ڥมͳͲͷγʔΫϨοτྨͷཧద͔ʁ w 1BSBNFUFS4UPSF w 4FDSFU.BOBHFS w ෆཁͳڞ༗͕ͳ͍͔ʁ
Πϯϑϥʢ͍ͯ͏͔"84ʣ w ڥʹଓͰ͖ΔՕॴՄೳͳݶΓด͍ͯ͡Δ͔ʁ w ౿Έ w FDTFYFDVUFDPNNBOE w αʔόʔίϯςφʹ੬ऑੑͳ͍͔ʁ w
ΠϝʔδεΩϟϯ͢Δ w ηΩϡϦςΟύονͷద༻ w ݕ௨ͷΈಋೖ͞Ε͍ͯΔ͔ʁ w 4FDVSJUZ)VC (VBSE%VUZͰͷ4MBDL௨ͳͲ w ΞΧϯτӡ༻ద͔ʁ
ΞϓϦέʔγϣϯ ҰൠతʹΒΕΔ੬ऑੑΛ࡞ΓࠐΜͰ͠·͍ͬͯΔɺ·ͨରࡦ͕ෆेͳՄೳੑ͋Δɻ w $43' w ϒϧʔτϑΥʔε w ηογϣϯϋΠδϟοΫ w 42-ΠϯδΣΫγϣϯ
w ѱҙ͋ΔιʔείʔυΛؚΉ044ϥΠϒϥϦͷར༻ w FUD ྫ
ΞϓϦέʔγϣϯ ϩάΠϯηογϣϯͷཧ͕దͰɺϩάΠϯॲཧࣗମʹ੬ऑੑ͕ͳ͍ͱ͍͏લఏͰ͋ͬͯ ϩάΠϯޙͷը໘ͷ࣮࣍ୈͰ੬ऑੑΛੜΜͰ͠·͏ةݥੑ͕͋Δɻ w ࣮ଞͷϢʔβʔͷߘΛվ͟ΜͰ͖ͯ͠·͏ w ଞͷϢʔβʔͷ*%Λࢦఆ͢Εݸਓใ͕ݟ͑ͯ͠·͏ w 6*తʹఆͨ͠ૢ࡞͔͠Ͱ͖ͳ͍͕ɺπʔϧΛ͑ఆ֎ͷ$36%ཱ͕ͯ͠͠·͏ ྫ
ˠࣗಈςετͰରԠͰ͖Δ͕ɺࣗಈςετͷ؍͕࿙Ε͍ͯͨΒൃੜͯ͠͠·͏ ɹϨϏϡʔܒͰؤுΔ͔͠ͳ͍͔
ͦͷଞ w 8FC্ͷҰൠతͳΨΠυϥΠϯͷ९क w ύεϫʔυϙϦγʔϩάΠϯͷ༷ w ϝʔϧͷૹ৴ w Ξοϓσʔτ w
ݴޠϑϨʔϜϫʔΫ w ϥΠϒϥϦ w ϛυϧΣΞ
·ͱΊ w ؔΘΔϝϯόʔશһ͕ࣗ͝ͱͱͯ͠ηΩϡϦςΟʹऔΓΈ·͠ΐ͏ w ͋ΒΏΔϨΠϠʔͰ੬ऑੑ͕ൃੜ͑͠·͢ w Ұରࡦͨ͠Β0,Ͱͳ͘ܧଓతʹ੬ऑੑΛʹ͚͍͖ۙͮͯ·͠ΐ͏ w ҟͳΔׂͷνʔϜؒͰ࿈ܞͯ͠ରࡦ͠·͠ΐ͏
ηΩϡϦςΟʹؔ͢Δใऩू w 08"41+BQBO w $ZCFSTFD w 4FDVSJUZ+"84
͓ΘΓ