SHIFT LEFT PATH at AWS DEV DAY3 General Session

Transcript

1. 4)*'5
   -&'5
   1"5) Ԭా ྑଠ࿠ ΞελϦεΫɾϦαʔν

2. アスタリスク・リサーチ セキュリティ実践のコンシェルジュ

3. "T
   JTʜ 2021年

4. 4UFQ
   CZ
   TUFQ 2021年

5. [email protected] @okdt OWASP Life-time member 15+ OWASPer AppSec professional OWASP

   Japan

6. γϑτϨϑτ For your photo! #shiftleft

7. "VEJFODF͋ͳͨʹ͍͓ͭͯฉ͖͠·͢ 1. ものづくり⼤好き 2. ものづくりしている⼈が⼤好き 3. ものづくりを⼿伝っている⼈が⼤好き 4. 作られたものが⼤好き 5.

   作ったものを使うのが⼤好き 6. 作ったものを壊すのが⼤好き 2021年

8. ΋ͷͮ͘Γͷັྗ • 使ってくれる⼈を⼤切にできる • いいものにしていける • 壊されにくくできる • 挑戦できる •

   ともに成⻑できる • いいユーザやコンテンツ⼊ったら最⾼ 2021年

9. Japanese

10. ϓϩάϥϚ͕ηΩϡϦςΟΛ޷͖Ͱ͸ͳ͍ཧ༝τοϓ 1. Sec連中は、現場を理解していないし、たぶんコードの書き⽅も知らない。 2. 誰もセキュリティをやる⽅法を教えてくれない。 3. ここまで⼒を⼊れ、時間をかけるべき理由がわからない。 4. プロセスが難しい、またはちゃんと決まっていない。 5.

    変化が激しく、いつも⾔うことが違う。 6. 注意を払う時間が⾜りない。 7. 突然現れては、⾨番のように⾏く⼿の邪魔をする。 8. 量が多くたいへん。 9. どんより。成功を祝われることはない。 10. ツールは、うるさいし、不愉快だし、しかも、正確じゃない。 2021年 By Chris Romeo

11. ηΩϡϦςΟ͸ʜ޷͖Ͱ͔͢ • 現場をわかってくれていない • 対応が⼤変すぎる • 難しすぎる • こわい •

    ⼤事だとはわかるけども、正直めんどくさい 2021年

12. .POPMJUIJD WEB 各種DB Mobile App Browser API webview 冗長構成 重大な脆弱性：

    SQLi、XSS、 CSRF、ディレクトリートラバーサル、コードイン ジェクション 2021年

13. REST REST REST REST WEB アカウント 在庫 出荷 ・・・・ APIゲートウェイ

    ウェブサイト Mobile App Browser アカウントサービス 在庫管理サービス 出荷管理サービス ・・・・ 重大な脆弱性： XXE、SSRF、コードインジェクション、 モニタリング不足 Monolith +API 2021年

14. IdP 認証基盤 ・・・・ Mobile App Browser ・・・・ Cloud Native メール配信

    サービス ストレージ サービス No code/Low code サービス 決済代行 サービス SaaS オンライン会議 サービス コミュニケーション チャットサービス WebHook App+API UI 2021年 各社⼊り乱れたコンポーネント

15. $PSF
    DPNQVUF
    .JDSPTFSWJDFT
    BSDIJUFDUVSF “サーバーレス技術を使⽤して、ウェブ、モバイル、マイクロサービスベースの アーキテクチャのバックエンドを構築し、強化する” Amazon API Gateway AWS AppSync Application

    Load Balancer AWS Lambda AWS Lambda AWS Lambda
16. None

17. 1.マルウェア 2.ウェブの仕組みを利⽤した攻撃 3.フィッシング 4.ウェブアプリケーションへの攻撃 5.スパム 6.DDoS 7.id盗難 8.データ漏洩 9.内部脅威 10.ボットネット

    11.物理的な操作/損害/盗難/紛失 12.情報漏洩 13.ランサムウェア 14.サイバースパイ 15.クリプトジャッキング 2021年

18. ૂ͍͸ɺϢʔβͱɺσʔλͱɺϓϥοτϑΥʔϜɻ • チケット販売サイト「Pea$x」利⽤者リスト ネットで取り引き（2020/11/20） NHK • 総連HPにウイルス疑い 警視庁、韓国籍の元学⽣書類送検(2020/12/16)⽇経 • EXILEサイトで流出か、4万件以上のカード情報（2020/12/8）⽇経

    • 「PayPay」不正アクセス受ける 最⼤2007万件余の可能性（2020/12/7）NHK • 福島医⼤病院でランサム被害 17年夏、公表せず（2020/12/2）⽇経 • クレカ番号など漏洩か フリー、設定ミスで2898件（2021/2/10）⽇経 • NTTデータも被害、広がるGitHub上のコード流出問題（2021/2/1）⽇経❗ • コード⼀部流出、情報漏洩はなし 三井住友銀（2021/1/30）⽇経❗ • サーバーが不正アクセス被害|共英製鋼株式会社（2021/2/19）CyberSecurity.com • 男性向けファッション通販サイトに不正アクセス（2021/2/18）Security NEXT • 新潟市と飯⽥市の緊急通報システム「Net119」へ不正アクセス、登録者情報が参照 された可能性（2021/2/18）ScanNetSecurity • マイナビ転職で不正ログインでウェブ履歴書約21万件流出の可能性（2021/2/18） CyberSecurity.com • サーバに不正アクセス、原因や影響を調査 - 伯東株式会社（2021/2/17）Security NEXT • ⻄条市の健診予約システムが不正アクセスでサービス⼀時閉鎖へ（2021/2/16） CyberSecurity.com • 2市の健診サイトに不正アクセス 個⼈情報流失か 奈良（2021/2/12）朝⽇新聞 • 「サイバーパンク2077」開発元にサイバー攻撃 データ奪われ脅迫される （2021/2/12）ITMedia • バンダイグループお客様相談センターに不正アクセス、クラウド型営業管理システ ムのセキュリティ設定不備を突く（2021/2/1）ScanNetSecurity • アクセス制御に問題 • 暗号化されていない露出 • アプリの脆弱性インジェクションによる窃取 • 安全が確認されない不安な設計を標的に乗っ取り • セキュリティの設定ミスの悪⽤ • 脆弱で古くなったコンポーネントを⼊り⼝に • セキュリティログとモニタリング不⾜で対応が遅れる 2021年

19. プライバシー・コンプライアンス圧 2021年

20. ϓϥΠόγΛڧԽͨ͠γεςϜͬͯʁ • 機能⾯の要求 • Privacy by Default か • 詳細な認可機能の必要？

    • ユーザの許諾範囲の遵守 • 実装⾯の要求 • 脆弱性の影響をうけないこと • データアクセスの安全 • データ保護の保証 • 運⽤管理⾯の要求 • インシデント発⽣時の対応 • 誰がどのように管理するか • 誰になにを許可するのか • 展開⾯の要求 • 他サービスとのデータ連携… 2021年

21. ΢ΥʔλʔϑΥʔϧͷੈք؍ 要件 設計 実装 検証 リリース • 基本的に不可逆 • 要件の段階ですべて予知が求められる

    • 後戻り、⼿戻りは爆発的コスト。 • 品質は検証で担保する。 • やり直しは想定していない • 「時間とコスト」の政治⼒が⼀番⼤きい 2021年

22. 4FDVSJUZ
    $IFDL 「これは、お持ち込みになれません」 「38度あるようです。入れません」 2021年

23. ηΩϡϦςΟ඼࣭ͷ໰୊͸ɺ ઃܭ൒෼ɺ࣮૷൒෼ɻ 2021年

24. ࣮૷ͷ໰୊ɿൈ͚ɾ࿙ΕɾϜϥ 24 XSS, SQLiなど インジェクション 妙な出力 エラーメッセー ジやコメント 機能不全 重すぎる処理

    なりすまし 改ざん データ露出 ログなし アラートなし エラー処理と 例外処理不備 リリース前診断で指摘されるとデスマーチ決定。

25. ઃܭͷ໰୊ɿߏ଄ͱ࣮૷ܭը 25 リファレンス ・アーキテク チャ 権限マトリック ス 採用する認証 メカニズム データ制御の

    構造 機密データの 識別と暗号化 基盤とコンポー ネント ログ、エラー ハンドリング ポリシー 想定脅威と防 御戦略 テスト戦略 訓練の調達 リリース前テストでは指摘しづらい

26. "HJMF
    r %FW0QT $*$%ͷੈք؍ 要件 設計 実装 検証 リリース • 段階的な完成

    • Minimum Viable Product もっとも使う機能から作る • 実装と検証と学習は並⾏ • 連続的な検証 • 学習する組織として成⻑する 要件 設計 実装 検証 リリース 要件 設計 実装 検証 リリース 要件 設計 実装 検証 リリース 2021年 開発チームが主体者になったほうがいい

27. Japanese

28. (c) Riotaro OKADA / Asterisk Research, Inc. 28 New ３項⽬

    • A04 安全が確認されない不安な設計 • A08ソフトウェアとデータの整合性の不具合 • A10サーバーサイド・リクエスト・フォージェリ

29. (c) Riotaro OKADA / Asterisk Research, Inc. 29 Up 5項⽬

    • A01 アクセス制御の不備 • A02 暗号化の失敗 • A05 セキュリティの設定ミス • A06 脆弱で古くなったコンポーネント • A09セキュリティログとモニタリングの失敗

30. 2021年

31. エコシステムのモニタリング 2021年

32. 戦場を設計と実装が⽀える 2021年

33. 認証と認可を⾒直せ 2021年

34. ήʔτͰ͸ͳ͘ɺΨʔυϨʔϧ ͱͯ͠ͷηΩϡϦςΟ • 作りやすく、衛りやすい「構造」(⼀例) • リファレンスアーキテクチャ • 認証と認可 (権限マトリックス) •

    コンポーネントの活⽤ • コードそのものの管理 • データ保存と暗号化 • モニタリングと運⽤ • セキュリティを含むテストの計画 • ・・・ 2021年

35. ॳ৺ऀ͡Όͳ͍ਓ΄ͲಡΉ΂͖ ʮॳ৺ऀ޲͚ࢿྉʯ 2021年

36. γϑτϨϑτ セキュリテイとうまくつきあうには 2021年

37. シフトレフト - SHIFT LEFT By @akiko_pusu, 2017

38. γϑτϨϑτ ͷผ໊ フロントローディング レトロスペクティブ カイゼン なぜ 5回

39. γϑτϨϑτͷ໨త͸ͳʹ͔ 「リリース直前に初めて発⾒された怒涛のセキュリティ脆弱性 とのぎりぎりのデスマーチ」からの脱却にとどまらず →「安全が確認しやすい設計と実装を学習的にすすめていく 開発と運⽤技術とチーム」への転換 2021年

40. γϑτϨϑτͷ੒ޭཁҼ 相互理解を 作り維持する ビジネス目標と リスク認識の共有 状況と情報を 新鮮に

41. ηΩϡϦςΟͱͷ૬ޓཧղͰਪਐͰ͖Δ͜ͱ ガードレールを作ろう 最も効果的な修正ポイン トとそのタイミングを話 し合おう 使っている⾔語や環境を 共有する。 頻繁な更新と柔軟性を 兼ね備える リスクをほったらかさない。

    合理的な対策を得る。プラ ンBなこともある。 開発者が⾃分で問題を 確認する⽅法をゲット 共通の⽬標を持ち、 その成功をたたえる 異なった役割の⼈と協⼒ する経験をたくさんする Join OWASP

42. 侵害者のセリフ？チームのセリフ？ 2021年

43. Hardening 2021 Active Fault ITシステムの活断層 に対応する総合⼒を 体感できます。 お待ちしています。 (申込10/4まで) (c)

    Riotaro OKADA / Asterisk Research, Inc. 44 wasforum.jp

44. 5IBOLT [email protected] @okdt