Save 37% off PRO during our Black Friday Sale! »

SHIFT LEFT PATH at AWS DEV DAY3 General Session

0fd678886c159fd728afecc7418e9684?s=47 Riotaro OKADA
September 30, 2021

SHIFT LEFT PATH at AWS DEV DAY3 General Session

AWS DEV DAY3 General Session

開発者はセキュリティを継続的に学んで、シフトレフトを主体的にやったほうがいいと思うよというお話

岡田良太郎 (@okdt)
アスタリスク・リサーチ
asteriskresearch.com

0fd678886c159fd728afecc7418e9684?s=128

Riotaro OKADA

September 30, 2021
Tweet

Transcript

  1. 4)*'5-&'51"5) Ԭా ྑଠ࿠ ΞελϦεΫɾϦαʔν

  2. アスタリスク・リサーチ セキュリティ実践のコンシェルジュ

  3. "TJTʜ 2021年

  4. 4UFQCZTUFQ 2021年

  5. riotaro@owasp.org @okdt OWASP Life-time member 15+ OWASPer AppSec professional OWASP

    Japan
  6. γϑτϨϑτ For your photo! #shiftleft

  7. "VEJFODF͋ͳͨʹ͍͓ͭͯฉ͖͠·͢ 1. ものづくり⼤好き 2. ものづくりしている⼈が⼤好き 3. ものづくりを⼿伝っている⼈が⼤好き 4. 作られたものが⼤好き 5.

    作ったものを使うのが⼤好き 6. 作ったものを壊すのが⼤好き 2021年
  8. ΋ͷͮ͘Γͷັྗ • 使ってくれる⼈を⼤切にできる • いいものにしていける • 壊されにくくできる • 挑戦できる •

    ともに成⻑できる • いいユーザやコンテンツ⼊ったら最⾼ 2021年
  9. Japanese

  10. ϓϩάϥϚ͕ηΩϡϦςΟΛ޷͖Ͱ͸ͳ͍ཧ༝τοϓ 1. Sec連中は、現場を理解していないし、たぶんコードの書き⽅も知らない。 2. 誰もセキュリティをやる⽅法を教えてくれない。 3. ここまで⼒を⼊れ、時間をかけるべき理由がわからない。 4. プロセスが難しい、またはちゃんと決まっていない。 5.

    変化が激しく、いつも⾔うことが違う。 6. 注意を払う時間が⾜りない。 7. 突然現れては、⾨番のように⾏く⼿の邪魔をする。 8. 量が多くたいへん。 9. どんより。成功を祝われることはない。 10. ツールは、うるさいし、不愉快だし、しかも、正確じゃない。 2021年 By Chris Romeo
  11. ηΩϡϦςΟ͸ʜ޷͖Ͱ͔͢ • 現場をわかってくれていない • 対応が⼤変すぎる • 難しすぎる • こわい •

    ⼤事だとはわかるけども、正直めんどくさい 2021年
  12. .POPMJUIJD WEB 各種DB Mobile App Browser API webview 冗長構成 重大な脆弱性:

    SQLi、XSS、 CSRF、ディレクトリートラバーサル、コードイン ジェクション 2021年
  13. REST REST REST REST WEB アカウント 在庫 出荷 ・・・・ APIゲートウェイ

    ウェブサイト Mobile App Browser アカウントサービス 在庫管理サービス 出荷管理サービス ・・・・ 重大な脆弱性: XXE、SSRF、コードインジェクション、 モニタリング不足 Monolith +API 2021年
  14. IdP 認証基盤 ・・・・ Mobile App Browser ・・・・ Cloud Native メール配信

    サービス ストレージ サービス No code/Low code サービス 決済代行 サービス SaaS オンライン会議 サービス コミュニケーション チャットサービス WebHook App+API UI 2021年 各社⼊り乱れたコンポーネント
  15. $PSFDPNQVUF.JDSPTFSWJDFT BSDIJUFDUVSF “サーバーレス技術を使⽤して、ウェブ、モバイル、マイクロサービスベースの アーキテクチャのバックエンドを構築し、強化する” Amazon API Gateway AWS AppSync Application

    Load Balancer AWS Lambda AWS Lambda AWS Lambda
  16. None
  17. 1.マルウェア 2.ウェブの仕組みを利⽤した攻撃 3.フィッシング 4.ウェブアプリケーションへの攻撃 5.スパム 6.DDoS 7.id盗難 8.データ漏洩 9.内部脅威 10.ボットネット

    11.物理的な操作/損害/盗難/紛失 12.情報漏洩 13.ランサムウェア 14.サイバースパイ 15.クリプトジャッキング 2021年
  18. ૂ͍͸ɺϢʔβͱɺσʔλͱɺϓϥοτϑΥʔϜɻ • チケット販売サイト「Pea$x」利⽤者リスト ネットで取り引き(2020/11/20) NHK • 総連HPにウイルス疑い 警視庁、韓国籍の元学⽣書類送検(2020/12/16)⽇経 • EXILEサイトで流出か、4万件以上のカード情報(2020/12/8)⽇経

    • 「PayPay」不正アクセス受ける 最⼤2007万件余の可能性(2020/12/7)NHK • 福島医⼤病院でランサム被害 17年夏、公表せず(2020/12/2)⽇経 • クレカ番号など漏洩か フリー、設定ミスで2898件(2021/2/10)⽇経 • NTTデータも被害、広がるGitHub上のコード流出問題(2021/2/1)⽇経❗ • コード⼀部流出、情報漏洩はなし 三井住友銀(2021/1/30)⽇経❗ • サーバーが不正アクセス被害|共英製鋼株式会社(2021/2/19)CyberSecurity.com • 男性向けファッション通販サイトに不正アクセス(2021/2/18)Security NEXT • 新潟市と飯⽥市の緊急通報システム「Net119」へ不正アクセス、登録者情報が参照 された可能性(2021/2/18)ScanNetSecurity • マイナビ転職で不正ログインでウェブ履歴書約21万件流出の可能性(2021/2/18) CyberSecurity.com • サーバに不正アクセス、原因や影響を調査 - 伯東株式会社(2021/2/17)Security NEXT • ⻄条市の健診予約システムが不正アクセスでサービス⼀時閉鎖へ(2021/2/16) CyberSecurity.com • 2市の健診サイトに不正アクセス 個⼈情報流失か 奈良(2021/2/12)朝⽇新聞 • 「サイバーパンク2077」開発元にサイバー攻撃 データ奪われ脅迫される (2021/2/12)ITMedia • バンダイグループお客様相談センターに不正アクセス、クラウド型営業管理システ ムのセキュリティ設定不備を突く(2021/2/1)ScanNetSecurity • アクセス制御に問題 • 暗号化されていない露出 • アプリの脆弱性インジェクションによる窃取 • 安全が確認されない不安な設計を標的に乗っ取り • セキュリティの設定ミスの悪⽤ • 脆弱で古くなったコンポーネントを⼊り⼝に • セキュリティログとモニタリング不⾜で対応が遅れる 2021年
  19. プライバシー・コンプライアンス圧 2021年

  20. ϓϥΠόγΛڧԽͨ͠γεςϜͬͯʁ • 機能⾯の要求 • Privacy by Default か • 詳細な認可機能の必要?

    • ユーザの許諾範囲の遵守 • 実装⾯の要求 • 脆弱性の影響をうけないこと • データアクセスの安全 • データ保護の保証 • 運⽤管理⾯の要求 • インシデント発⽣時の対応 • 誰がどのように管理するか • 誰になにを許可するのか • 展開⾯の要求 • 他サービスとのデータ連携… 2021年
  21. ΢ΥʔλʔϑΥʔϧͷੈք؍ 要件 設計 実装 検証 リリース • 基本的に不可逆 • 要件の段階ですべて予知が求められる

    • 後戻り、⼿戻りは爆発的コスト。 • 品質は検証で担保する。 • やり直しは想定していない • 「時間とコスト」の政治⼒が⼀番⼤きい 2021年
  22. 4FDVSJUZ$IFDL 「これは、お持ち込みになれません」 「38度あるようです。入れません」 2021年

  23. ηΩϡϦςΟ඼࣭ͷ໰୊͸ɺ ઃܭ൒෼ɺ࣮૷൒෼ɻ 2021年

  24. ࣮૷ͷ໰୊ɿൈ͚ɾ࿙ΕɾϜϥ 24 XSS, SQLiなど インジェクション 妙な出力 エラーメッセー ジやコメント 機能不全 重すぎる処理

    なりすまし 改ざん データ露出 ログなし アラートなし エラー処理と 例外処理不備 リリース前診断で指摘されるとデスマーチ決定。
  25. ઃܭͷ໰୊ɿߏ଄ͱ࣮૷ܭը 25 リファレンス ・アーキテク チャ 権限マトリック ス 採用する認証 メカニズム データ制御の

    構造 機密データの 識別と暗号化 基盤とコンポー ネント ログ、エラー ハンドリング ポリシー 想定脅威と防 御戦略 テスト戦略 訓練の調達 リリース前テストでは指摘しづらい
  26. "HJMFr %FW0QT $*$%ͷੈք؍ 要件 設計 実装 検証 リリース • 段階的な完成

    • Minimum Viable Product もっとも使う機能から作る • 実装と検証と学習は並⾏ • 連続的な検証 • 学習する組織として成⻑する 要件 設計 実装 検証 リリース 要件 設計 実装 検証 リリース 要件 設計 実装 検証 リリース 2021年 開発チームが主体者になったほうがいい
  27. Japanese

  28. (c) Riotaro OKADA / Asterisk Research, Inc. 28 New 3項⽬

    • A04 安全が確認されない不安な設計 • A08ソフトウェアとデータの整合性の不具合 • A10サーバーサイド・リクエスト・フォージェリ
  29. (c) Riotaro OKADA / Asterisk Research, Inc. 29 Up 5項⽬

    • A01 アクセス制御の不備 • A02 暗号化の失敗 • A05 セキュリティの設定ミス • A06 脆弱で古くなったコンポーネント • A09セキュリティログとモニタリングの失敗
  30. 2021年

  31. エコシステムのモニタリング 2021年

  32. 戦場を設計と実装が⽀える 2021年

  33. 認証と認可を⾒直せ 2021年

  34. ήʔτͰ͸ͳ͘ɺΨʔυϨʔϧ ͱͯ͠ͷηΩϡϦςΟ • 作りやすく、衛りやすい「構造」(⼀例) • リファレンスアーキテクチャ • 認証と認可 (権限マトリックス) •

    コンポーネントの活⽤ • コードそのものの管理 • データ保存と暗号化 • モニタリングと運⽤ • セキュリティを含むテストの計画 • ・・・ 2021年
  35. ॳ৺ऀ͡Όͳ͍ਓ΄ͲಡΉ΂͖ ʮॳ৺ऀ޲͚ࢿྉʯ 2021年

  36. γϑτϨϑτ セキュリテイとうまくつきあうには 2021年

  37. シフトレフト - SHIFT LEFT By @akiko_pusu, 2017

  38. γϑτϨϑτ ͷผ໊ フロントローディング レトロスペクティブ カイゼン なぜ 5回

  39. γϑτϨϑτͷ໨త͸ͳʹ͔ 「リリース直前に初めて発⾒された怒涛のセキュリティ脆弱性 とのぎりぎりのデスマーチ」からの脱却にとどまらず →「安全が確認しやすい設計と実装を学習的にすすめていく 開発と運⽤技術とチーム」への転換 2021年

  40. γϑτϨϑτͷ੒ޭཁҼ 相互理解を 作り維持する ビジネス目標と リスク認識の共有 状況と情報を 新鮮に

  41. ηΩϡϦςΟͱͷ૬ޓཧղͰਪਐͰ͖Δ͜ͱ ガードレールを作ろう 最も効果的な修正ポイン トとそのタイミングを話 し合おう 使っている⾔語や環境を 共有する。 頻繁な更新と柔軟性を 兼ね備える リスクをほったらかさない。

    合理的な対策を得る。プラ ンBなこともある。 開発者が⾃分で問題を 確認する⽅法をゲット 共通の⽬標を持ち、 その成功をたたえる 異なった役割の⼈と協⼒ する経験をたくさんする Join OWASP
  42. 侵害者のセリフ?チームのセリフ? 2021年

  43. Hardening 2021 Active Fault ITシステムの活断層 に対応する総合⼒を 体感できます。 お待ちしています。 (申込10/4まで) (c)

    Riotaro OKADA / Asterisk Research, Inc. 44 wasforum.jp
  44. 5IBOLT riotaro@rsrch.jp @okdt