Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
Search
OWASP Japan
March 10, 2018
9
3.2k
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
OWASP Japan
March 10, 2018
Tweet
Share
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
320
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
940
20190107_AbuseCaseCheatSheet
owaspjapan
0
160
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
900
Shifting Left Like a Boss
owaspjapan
2
270
OWASP Top 10 and Your Web Apps
owaspjapan
2
360
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
230
elegance_of_OWASP_Top10_2017
owaspjapan
2
500
OWASP Top10 Translation YOMOYAMA talk by Ando-san
owaspjapan
0
490
Featured
See All Featured
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Rails Girls Zürich Keynote
gr2m
94
13k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
8.3k
Faster Mobile Websites
deanohume
305
30k
Agile that works and the tools we love
rasmusluckow
328
21k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Designing for humans not robots
tammielis
250
25k
4 Signs Your Business is Dying
shpigford
181
21k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
Transcript
AWSクラスタに捧ぐウェブを衛っていく⽅法論と 死なない程度の修羅場の価値 〜OWASPとTop10とMINI Hardening〜 #owaspjapan Promotion Team 仲⽥ 翔⼀ 洲崎
俊 ⽥端 政弘 吉江 瞬
今⽇は以下の内容で発表します 仲⽥ 翔⼀ OWASPとは何か OWASPの有⽤な資料・ツールとは 洲崎 俊 OWASP最⾼の資料であるOWASP Top10とAWSの関連 ⽥端
政弘 AWSで構築したマイルドな精神と時の部屋 吉江 瞬 X-techセッショ ンで頑張ってい ます
AWSのホワイトペーパーにもOWASPが https://aws.amazon.com/jp/whitepapers/
残念ながらやや古いOWASP Top10 2017 RC1に 対応しているため今後の更新に期待 OWASP Top10 2013 OWASP Top10
2017 RC1 OWASP Top10 2017 RC2 OWASP Top10 2017 2013/6 2017/4 2017/11 2017/10
OWASPはウェブを取り巻く問題を解決するための 国際的な⾮営利コミュニティで誰もが参加可能です O W A S P pen eb pplication
ecurity roject
⽇本には8のチャプターが存在し、その環が拡 がっています Sendai Natori Fukushima Japan Nagoya Kansai Okinawa Kyushu
去年に引き続きコミュニティフレンドシップ参加
16時からのコミュトークにも参戦します
OWASP JAPANはさまざまな活動を⾏っています 3ヶ⽉に1度程度の勉強会 イベントでの プレゼン・ブース提供 他コミュニティとのコラボ 有益な資料やツールの公開 WG活動 開発者向けの ネットメディアへの寄稿
今⽇は有益な資料とコミュニティとのコラボを紹介 3ヶ⽉に1度程度の勉強会 イベントでの プレゼン・ブース提供 他コミュニティとのコラボ 有益な資料やツールの公開 WG活動 開発者向けの ネットメディアへの寄稿
セキュリティ対策は難しい ビジネス優先、セキュリティ対策は後回し セキュリティってだいたいこういう印象ですよね 1 2
ビジネス優先、セキュリティ対策は後回し 1 セキュリティ対策は難しい 2 セキュリティってだいたいこういう印象ですよね
システムを作るときには⾊々考えることがあります 要件⼤項⽬ 要件⼩項⽬ 実装 ユーザ満⾜ ⼯夫できることの⼀例 機能要件 ビジネスロジック 必須 直結
アジャイルやプロトタイピン グなどスピード感のある開発 ⼿法の導⼊ 画⾯⼀覧・画⾯遷移 データモデル 外部インタフェース バッチ⼀覧 帳票⼀覧 ⾮機能要件 (≒品質) 規模・性能要件 オンプレからクラウドに移⾏ 運⽤・保守要件 DevOpsによる⾃動化 UI・UX 任意 専⾨職の採⽤ 外部に委譲 (≒コスト・時間がかかる) ウェブデザイン セキュリティ要件 ⾮直結
セキュリティにはネガティブなイメージが、、、 要件⼤項⽬ 要件⼩項⽬ 実装 ユーザ満⾜ ⼯夫できることの⼀例 機能要件 ビジネスロジック 必須 直結
アジャイルやプロトタイピン グなどスピード感のある開発 ⼿法の導⼊ 画⾯⼀覧・画⾯遷移 データモデル 外部インタフェース バッチ⼀覧 帳票⼀覧 ⾮機能要件 (≒品質) 規模・性能要件 オンプレからクラウドに移⾏ 運⽤・保守要件 DevOpsによる⾃動化 UI・UX 任意 専⾨職の採⽤ 外部に委譲 (≒コスト・時間がかかる) ウェブデザイン セキュリティ要件 ⾮直結 Ⓐ Ⓑ Ⓒ Ⓓ
セキュリティを⾼めてもプラスにならない? Ⓐセキュリティ対策は品質の1要素に過ぎない Ⓑセキュリティ対策は付加価値であり実装は任意である Ⓒセキュリティ対策はユーザ満⾜に⾮直結である Ⓓセキュリティ対策はコスト・時間がかかる ビジネス優先、セキュリティ対策は後回し 1
ビジネス優先、セキュリティ対策は後回し 1 セキュリティ対策は難しい セキュリティ対策ってだいたいこうなりますよね 2
いろいろ考慮しなくてはならないセキュリティ ⽴場 ⼯程 考慮すべきセキュリティ事象 作成者 企画・要件定義 セキュリティ要件 設計・開発 セキュリティバイデザイン セキュアコーディング
テスト ペネトレーションテスト 運⽤・保守 インシデントハンドリング IDマネジメント パッチマネジメント 利⽤者 ⽇常 ウイルス/マルウェア対策 ソフトウェアアップデート アカウント乗っ取り対策(パスワード保護) フィッシング/ワンクリック詐欺対策 可搬記憶媒体の管理 ・・・等
セキュリティを蔑ろにしていると痛い⽬に、、、 個⼈情報の漏えいによる謝罪対応 システムダウンによる事業停⽌ 情報の改ざんによる⾵評被害 脆弱なシステムを作ることによる損害賠償請求
セキュリティが重要なのは理解した。 けど、どうすればいいのか、、、
無料でグローバル基準で誰もが⾃由に使える OWASPから始めてみよう!!
プロダクトマネジャー、CISO (Manager) アーキテクト、開発者 (Builder) 品質担当者、脆弱性診断⼠ (Breaker) 運⽤保守担当者、管理者 (Defender) 実施すべきセキュリティ対策例 ・開発⽅針・体制整備
・セキュリティ要件の決定 活⽤可能な資料・ツール例 ・ASVS ・セキュリティ要件書 実施すべきセキュリティ対策例 ・構成管理 ・脆弱性への対応 活⽤可能な資料・ツール例 ・ModSecurity Core Rule Set ・Dependency Check 実施すべきセキュリティ対策例 ・脆弱性を作りこまない設計・実装 ・セキュアコーディング 活⽤可能な資料・ツール例 ・Proactive Controls ・Cheat Sheet Series 実施すべきセキュリティ対策例 ・単体、結合、総合テスト ・ペネトレーションテスト 活⽤可能な資料・ツール例 ・ZAP ・Testing Guide 基礎 知識 OWASPからは幅広い資料・ツールが公開 企画 要件定義 設計 開発 テスト 運⽤ 保守 全員 活⽤可能な資料・ツール例 ・OWASP Top10 ・OWASP SAMM
それぞれの資料・ツールの概要は以下のとおり # ⼯程 資料・ツール名 概要 1 基礎知識 OWASP Top10 ウェブアプリにおいて最も注意すべき10のセキュリティリスク
を理解するための資料 2 OWASP SAMM ⼯程ごとに組織が直⾯するリスクに応じたセキュリティ対策の策 定・実施を⽀援するための資料 3 企画・ 要件定義 ASVS(Application Security Verification Standard ) 組織におけるセキュリティに関する取組のレベルを設定し、その レベルに応じた要件を実現するのに活⽤するための資料 4 セキュリティ要件書 ウェブアプリに対して⼀般的に盛り込むべきと考えられるセキュ リティ要件を理解するための資料 5 設計・開発 Proactive Controls ウェブアプリの開発者が注意すべき10のセキュリティ技術を理 解するための資料。OWASP Top10の脆弱性とも対応している Cheat Sheet Series セキュリティを⾼めるための知識や、それら機能を実装する⽅法 を理解するための資料。50以上の分冊で構成されている 7 テスト ZAP (Zed Attack Proxy) ウェブアプリに対するセキュリティテストを実施するためのツー ル。v2.1に対応した⽇本語の運⽤マニュアルが整備されている Testing Guide ウェブアプリに対するテストに関して、その⽬的や⽅法を理解す るための資料 9 運⽤・保守 ModSecurity Core Rule Set OWASP Top10のリスク等に対応したModSecurityのルールが記 載されている資料 Dependency Check 脆弱性が報告されているライブラリが利⽤されていないかを確認 するためのツール。Jenkins等のプラグインも存在している
今⽇はOWASP Top10を深掘りして紹介 # ⼯程 資料・ツール名 概要 1 基礎知識 OWASP Top10
ウェブアプリにおいて最も注意すべき10のセキュリティリスク を理解するための資料 2 OWASP SAMM ⼯程ごとに組織が直⾯するリスクに応じたセキュリティ対策の策 定・実施を⽀援するための資料 3 企画・ 要件定義 ASVS(Application Security Verification Standard ) 組織におけるセキュリティに関する取組のレベルを設定し、その レベルに応じた要件を実現するのに活⽤するための資料 4 セキュリティ要件書 ウェブアプリに対して⼀般的に盛り込むべきと考えられるセキュ リティ要件を理解するための資料 5 設計・開発 Proactive Controls ウェブアプリの開発者が注意すべき10のセキュリティ技術を理 解するための資料。OWASP Top10の脆弱性とも対応している Cheat Sheet Series セキュリティを⾼めるための知識や、それら機能を実装する⽅法 を理解するための資料。50以上の分冊で構成されている 7 テスト ZAP (Zed Attack Proxy) ウェブアプリに対するセキュリティテストを実施するためのツー ル。v2.1に対応した⽇本語の運⽤マニュアルが整備されている Testing Guide ウェブアプリに対するテストに関して、その⽬的や⽅法を理解す るための資料 9 運⽤・保守 ModSecurity Core Rule Set OWASP Top10のリスク等に対応したModSecurityのルールが記 載されている資料 Dependency Check 脆弱性が報告されているライブラリが利⽤されていないかを確認 するためのツール。Jenkins等のプラグインも存在している
OWASPが誇る最⾼の成果物 セキュリティベンダの脆弱性診断においてOWASP Top10に掲載されているリス クに対応できているかを確認することがサービスメニューとなっていることもあ る等、⾮常に影響⼒の⾼い資料 Top10アプリケーションのセキュリティリスクに注⽬が集まりがちだが、「セキュ リティテスト担当者のための次のステップ」等のTipsも実は⾒逃してはならない # Top10 2017
構成 1 ⽬次、OWASPについて、前書き、導⼊、リリースノート 2 アプリケーションセキュリティリスク 3 OWASP Top10アプリケーションのセキュリティリスク 4 開発者のための次のステップ 5 セキュリティテスト担当者のための次のステップ 6 組織のための次のステップ 7 アプリケーションマネージャのための次のステップ 8 リスクに関する注記、リスクファクターに関する詳細 9 ⽅法論とデータ 洲崎さんが説明 次ページ以降
設計・開発⼯程で最もバグが発⽣するため、セキュリティ対策の効率 性が最も⾼い! 設計・開発 テスト 運⽤・保守 約 80%が設計・開発⼯程で発⽣ 脆 弱 性
の 発 ⽣ 原 因 と な る バ グ ⼯程 80 20
設計・開発⼯程でセキュリティ対策をするのが最も安い! 約 93%のコスト抑制効果 設計・開発 テスト 運⽤・保守 セ キ ュ リ
テ ィ 対 策 に か か る コ ス ト Kevin Soo Hoo, “Tangible ROI through Secure Software Engineering.”Security Business Quarterly,. Vol.1, No.2, Fourth Quarter, 2001.参考 ⼯程 7 100
セキュリティテスト担当者のためのTipsが4年で⼤きく変わっており、 テスト⼯程だけではなく前⼯程から活躍が求められるように +V: 検証者向けの次ステップ ▪ コードレビュー ▪ セキュリティとペネトレーションテスト ➞ コードレビュー/セキュリティとペネトレーションテストの両⾯でリスクを検出する
+T: セキュリティテスト担当者のための次のステップ ▪ 脅威モデルの理解 ➞ 優先順位を検討し、費⽤対効果の⾼い⼿法をとる ▪ SDLC(ソフトウェア開発ライフサイクル)の理解 ➞ 開発チームの効率性を損なわないよう適切にフィードバックする ▪ テスト戦略 ➞ 簡単で、⾼速、かつ、正確なテストを実施する ▪ 範囲と正確さの達成 ➞ すべてをテストする必要はなく、重要なことから始め段階的に拡張する ▪ 明確な結果の伝達 ➞ 開発チームに結果を効果的に伝える year=year+4; 2013 2017
Web Application Security for AWS クラスタ
⾃⼰紹介 Shun Suzaki(洲崎 俊) ITイベントの参加・開催や⽇々の脆弱性検証を ライフワークとする「とあるセキュリティエンジニア」 IʼM A CERTAIN PENTESTER!
Twitter: とある診断員@tigerszk • ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • 謎のIT勉強会「#ssmjp」 公開スライド:http://www.slideshare.net/zaki4649/ Blog:http://tigerszk.hatenablog.com/
過去Security JAWSなどで登壇しています とある診断員とAWS : https://www.slideshare.net/zaki4649/aws-62094718 AWS使って社内CTFやってみたよ - とある診断員の備忘録 :
http://tigerszk.hatenablog.com/entry/2017/05/29/151728
Q 突然ですが、ここで問題
AWSを利⽤していれば、別にアプリケーション のセキュリティなんか別に気にしなくても良い? YES NO
答えはもちろん NO ×
責任共有モデル 「責任共有モデル – アマゾン ウェブ サービス (AWS)」 より引⽤ https://aws.amazon.com/jp/compliance/shared-responsibility-model/
例えばEC2を利⽤していても… • ACLの設定が適切でなかった • 動作しているミドルウェアの設定に不備があった • パッチマネジメントできていない • デプロイしたWebアプリケーションの作り込みが⽢い 脆弱性が存在
AWSを利⽤していたとしても、 公開するアプリケーションのセキュリティを 担保する責任は基本的にユーザー側にあります Point! 重要なポイント
Webアプリケーション にはどんなリスクが?
近年話題になったもの
WordPress REST APIの脆弱性 WordPressサイトの改ざん被害は150万件超に 「最悪級の脆弱性」 - ITmedia エンタープライズ: http://www.itmedia.co.jp/enterprise/articles/1702/13/news045.html
Apache Struts2の脆弱性 Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170009.html
S3バケットの設定不備による情報漏洩 Amazon S3バケットのアクセス設定に関する注意喚起メールにつきまして https://aws.amazon.com/jp/blogs/news/securing_amazon_s3_buckets/
OWASP Top10 Webアプリにおける重要度の⾼い脆弱性Top 10を選定したもの 2017年11⽉に新しいバージョンが公開 OWASP Top 10 - 2017
https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf A1 インジェクション A2 認証の不備 A3 機微な情報の露出 A4 XML 外部エンティティ参照 (XXE) A5 アクセス制御の不備 A6 不適切なセキュリティ設定 A7 クロスサイトスクリプティング(XSS) A8 安全でないデシリアライゼーション A9 既知の脆弱性のあるコンポーネントの使⽤ A10 不⼗分なロギングとモニタリング
2017年版の変更ポイント 「OWASP Top 10 - 2017」より引⽤ https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf A4,A8,A10が新たな項⽬として追加 割とメジャーな脆弱性であるCSRFがランク外に
AWSでのWebの衛り⽅
Webアプリにおける対策の基本は同じ オンプレ環境などと同様に以下のような 対策はもちろん有効であり重要です • セキュアコーディング • 脆弱性診断
開発時にはセキュリティ要件の盛り込みを Webシステム/Webアプリケーションセキュリティ要件書 https://github.com/ueno1000/secreq
簡易的な脆弱性診断であれば⾃前でも AWS Marketplace: OWASP Zed Attack Proxy (ZAP) :
https://aws.amazon.com/marketplace/pp/B078MPYKP7
• AWSが提供するマネージドサービスには、Web アプリケーションのセキュリティ向上を期待でき るものがある • OWASP Top10に絡めていくつかご紹介 そしてAWSならではの選択肢 「アマゾン ウェブ
サービス(AWS)とは」より引⽤ https://aws.amazon.com/jp/about-aws/
AWS WAF • AWSが提供しているWAF(Web Application Firewall)サービス • Cloudfront・ELB・ALBに追加する形で導⼊ • 従量課⾦制なのでWAFとしては低コストで
導⼊できる 関連するOWASP Top10の項⽬ A1:インジェクション、A7:クロスサイトスクリプティング(XSS)などを含んだ各種項⽬ ※適⽤するルールセットによってカバーできる内容は変化
AWSマーケットプレイスでサードパーティマネージドルールを導⼊でき るようになったので、さらに導⼊敷居が低くなった OWASP Top10に対応するようなルールやCMSに特化したルールなどを ⾃分で選択できる サードパーティのマネージドルールも提供 AWS WAF のマネージドルール –
ウェブアプリケーションファイアウォール https://aws.amazon.com/jp/mp/security/WAFManagedRules/
AWS Trusted Advisor • 「セキュリティ」以外にも「コスト最適化」、「パフォーマン ス」、「フォールトトレーランス」の4つの観点から利⽤者の AWS環境を⾃動で精査し、推奨設定を知らせてくれるサービス • 「セキュリティ」についてはIAMアカウント、セキュリティグ
ループの設定状況などを含めた複数の項⽬を⾃動で調査し、通 知してくれる • 全ての機能ではないが、いくつかの監査項⽬は無償で利⽤がで きる 関連するOWASP Top10の項⽬ A6:不適切なセキュリティ設定
2018年の2⽉よりS3バケットのアクセス権限 チェックが無料で提供されるようになった 無料でS3アクセス権限をチェック
Amazon Inspector • EC2におけるOS・ミドルウェアのセキュリティ評価を実施 してくれるサービス • パッケージソフトのパッチの適⽤状況や推奨されない設定な どについて⾃動で洗い出しを実施してくれる •
ホスト側にエージェントのインストールが必要 • 本サービスはペネトレーションテスト申請が不要であり、 継続的なプラットフォーム側のリスクの可視化が期待できる 関連するOWASP Top10の項⽬ A6:不適切なセキュリティ設定 A9:既知の脆弱性のあるコンポーネント使⽤
AWS Certificate Manager • AWSサービスで使⽤するSSL/TLSサーバ証明書を管理して くれるサービス • DV証明書であれば無料で利⽤できる(アプリケーションを 実⾏するために作成したAWSリソースの料⾦はかかる)
• 証明書の更新とデプロイを⾃動化できる • ELB,CloudFrontでのみ利⽤可能 関連するOWASP Top10の項⽬ A3:機微な情報の露出
マネージドな認証サービスの利⽤ • AWS Cognito Webやモバイルアプリで利⽤できるAWSが提供する 認証・認可基盤サービス • AWS Directory Service
AWSが提供するマネージド型のディレクトリサービス 関連するOWASP Top10の項⽬ A2:認証の不備 ར༻༻్ͳͲʹΑͬͯ"84ଆ͕ఏڙ͍ͯ͠Δೝূج൫Λ ར༻͢Δ͜ͱͰɺೝূػೳࣗମͷಠ࣮ࣗΛආ͚Δ Ξϓϩʔν͋Γ·͢
マネージドなログ取得・監視サービスの利⽤ • AWS Cloud Trail AWSアカウントのアクティビティを記録してくれるサービス • VPC Flow Logs
VPC内のネットワークインターフェイスを通過するIPトラフィック情報を 記録できるサービス • Amazon CloudWatch AWSが提供しているマネージドな運⽤監視サービス • Amazon GuardDuty 複数のデータソースを分析し、AWS内で予期しない活動や、悪意ある⾏為を 検出するサービス 関連するOWASP Top10の項⽬ A10:不⼗分なロギングとモニタリング 取得したいログや監視したい項⽬にあったサービスの 利⽤をご検討をしてみてはいかがでしょうか
まとめ •AWSであっても、もちろん公開するWebアプリケー ションのセキュリティ対策を意識しなければならない •オンプレ環境などで定番となる対策はAWSであって も有効であり、実施をした⽅が良い •AWSならではの選択肢を有効活⽤して、セキュリティ 向上を図ろう
AWSを使ったサイバーセキュリティ競技 「MINI Hardening」の紹介
ḟࢠࡏॅɻझຯङྌ࠾ूɻ BBQͰϚάϩͦͯͨ͠·ʹಲΛ͖͞·͢ɻ ʲॴଐʳ ɾOwasp Japan Promotion Team ɾMINI Hardening ӡӦ(ϑΝγϦςʔγϣϯʣ
Masahiro Tabataʢా ߂ʣ γεςϜίϯαϧλϯτͯ͠·͢ɻ ηΩϡϦςΟͨ͠ͳΈఔɻ ⾃⼰紹介 @delphinz
理論はわかった! でもサイバー攻撃されるとどんなことが起こるの?
Hardening Projectとは、最⾼の「衛る」技術を持つトップエンジニア を発掘・顕彰することを⽬的として2012年から現在までに11回開催さ れている競技会です。 基本的に2⽇間の⽇程で⾏われ、1⽇⽬は技術競技(コンペティション) であるHardening day、2⽇⽬は全チームの展開したセキュリティ施 策の発表会の形式のSoftning dayを実施しています。 このイベントはWAS
Forumが主催しています。 Hardening Projectをご存知ですか?
ڠྗ Web Application Security Forum(通称WASForum)は、2004年に発 ⾜した、⾮営利の任意団体です。 ウェブアプリケーションのセキュリティにかかわる課題を研究し、安全 性向上のための情報を共有することにより、適切な対策や構築⼿段に関 する有効な情報を普及啓蒙することを活動の⽬的としています。 その活動の⼀つとして「Hardening
Project」があります。 今回の紹介させていただいた Owasp Japanとは特定の関係はありませ んが、『連携と啓発のOWASP』、『実践と研鑽のWAS Forum (&Hardening Project)』という協⼒関係にあります。 WAS Forumのご紹介
Hardening Project - 競技の概要 Ҿ༻8"4/JHIU,JDLP⒎CZLVSPNBNF )JSPTIJ,BXBHVDIJ IUUQTTQFBLFSEFDLDPNLBXBHVDIJXBTOJHIULJDLP⒎CZLVSPNBNF ໊લޙͷ νʔϜઓ
Λ͑Δ αʔόͷݎ࿚Խ &$αΠτͷ 4-"ɾച্61 ച্͔ۚΒ֎෦αʔ ϏεͷߪೖՄೳ ๊͓͑ϋοΧʔʹ ΑΔͳ߈ܸʂ ͍͔ͭΒ͔ʮਫ਼ਆͱ࣌ͷ෦ʯͱݺΕΔΑ͏
Hardening Project から始まった派⽣プロジェクト。 もっとライトなHardeningを実現したいという思いを持つ 有志が2014年 に⽴ち上げました。 コンセプトは「カジュアルにインシデント体験を!」 MINI Hardeningでは全⾏程半⽇程度で以下を実施
① Hardening競技(3時間) ② 参加者による振り返り ③ 運営チームによるフィードバック MINI Hardeningの紹介 ఆࢀՃऀɿ ৽ਓCSIRT୲ऀɺΠϯϑϥӡ༻ɺΞϓϦ։ൃऀ
ɾใ࿙Ӯͷൃ֮ ɾϋΫςΟϏετʹΑΔ ɹ൜ߦ໌ ɾαʔόμϯ ɾhttpsରԠ ɾෆਖ਼ͳԾ௨՟ϚΠχϯά 具体的なインシデント体験をご紹介 ɾӡ༻ใࠂॻͷ࡞ ɾ͔ࣾΒແϒϦϝʔϧ ෆ۩߹ରԠ
ϏδωεରԠ աڈʹى͖ͨࣄ݅ͷମݧ 4-"ࢹύωϧͰ αʔόঢ়ଶΛදࣔ ͍͜͠Ϗδωεஅ ΛཧऀʹഭΔࣾ %%04߈ܸΛ։࢝͢Δɻ γϣʔλΠϜͩʂ
なぜ競技の環境にAWSを選択したのか
ɾ߈ܸγϯϓϧ ɾಘҙͰߩݙ ɾࣗ༝ͳ׆ಈ ɾϦϞʔτΑΓࢀՃ ɾڧྗͳαϙʔτ ୭ͰࢀՃՄೳ ɾνʔϜྗͰରԠ ɾ܇࿅ɾྗɾݱྗ ɾ࣮ફྗ্ ɾઢΛ্͛ͯΒ͏
ɾৼΓฦΓɾؾ͖ͮ MINI Hardeningの”カジュアル”実現に向けて ɾجૅରԠ ɾԭೄͷ࿅शʹ ɾγφϦΦ௨Γͷ߈ܸ ɾͲ͜Ͱ։࠵Մೳ ɾΫϥυ׆༻ ࢀՃऀʹΧδϡΞϧΛ ڥΛΧδϡΞϧʹ StaffΧδϡΞϧʹ "84Λ༻͢Δ͜ͱͰ͜ͷϙΠϯτΛ ࣮ݱ͢Δ͜ͱ͕Մೳʹͳͬͨʂ ࣌ʣ ˞ͪͳΈʹ"84ϚωδϝϯτίϯιʔϧͷຊޠԽ
競技環境はAWS上に構築しています。 MINI Hardening 競技環境の構成図(バージョン2) ڝٕऀڥ(8ηοτ) 踏み台サーバ 管理⽤PC ӡӦऀڥ 踏み台サーバ 攻撃サーバ
社⻑PC ECサーバ 運営チーム 購⼊クローラ/認証局 競技者 ߈ܸύέοτ ઈର࿙Β͞ͳ͍ ڥΠϝʔδ Խͯ͠࠶ར༻ 採点対象はココだけ
現在バージョン3開催に向けて鋭意構築中! MINI Hardening バージョン3(構想) ڝٕऀڥ(8ηοτ) 踏み台サーバ 管理⽤PC ӡӦऀڥ 踏み台サーバ 攻撃サーバ
社⻑PC ECサーバ 運営チーム 購⼊クローラ/認証局 競技者 ڥߏஙͷ શࣗಈԽ Ϋϥυ ͚ͷཧػೳ ϩάӾཡ༻ ύωϧͷఏڙ 8JOEPXT ࠾ରʹ ࠾ͷࣗಈԽ MBNCEB 08"41501 Λ࠾༻ ͍ͨ͠
運営ノウハウ1 - ぶっちゃけいくらで開催できるの イベント開催:8,000円前後/⽉(インスタンス20台前後) イベントなし:4,000円前後/⽉(インスタンス 2〜3台) →環境イメージのEBS料⾦が負担(汗) ౦ژ ਆށ ౦ژ
େࡕ ʹ͚ͯཧ 【AWSコストエクスプローラより】
よく「AWS侵⼊テスト申請」って⼤変じゃないですか?」 という質問をいただくのでその⽅法を公開します! 運営ノウハウ2 - AWS侵⼊テスト申請 Ҿ༻ɿIUUQTBXTBNB[PODPNKQTFDVSJUZQFOFUSBUJPOUFTUJOH ODI@MT 【イベント種類】 【申請に必要な項⽬】 ηΩϡϦςΟ
ήʔϜͱͯ͠ਃ ਃϑΥʔϜʹ *1ࢦఆͷهࡌ͋Γ $5'Έ͍ͨͳήʔϜΛ71$ͰΠϯελϯε͘Β͍ͬͯ%04߈ܸ Γ·͢ɻͰ·ͩ*1&$ͷ*OTUBODF*%Θ͔Μͳ͍ɻ ͍͍Αʔɻྑ͍ΠϕϯτʹͳΔͱ͍͍Ͷʔɻ ݁ɿਃҙ֎ͱ͔ܰͬͨɻԲͤͣਃͯ͠Έ·͠ΐ͏ʂ 私 AWS
申請フォームにワナがあるのでご注意を! AWSの侵⼊テスト申請ひとこと⾔いたい Ҿ༻ɿͱ͋Δஅһͷඋʮ"84ͷ৵ೖςετਃϑΥʔϜ͕มߋ͞Εͨ݅ʯ IUUQUJHFST[LIBUFOBCMPHDPNFOUSZ ͪͳΈʹSource Dataͷ߲ʹ ʮDoes the
testing company haveɹa NDS with AWS?ʯ ͱه ࡌ͕͋ΓɺॳΊ͜ͷʮNDSʯʹ͍ͭͯௐͯྑ͘Θ͔Βͳ͔ͬͨͷͰṖͩͬͨͷͰ͢ ͕ɺΓ߹͍ͷํΑΓͲ͏ΒʮNDAʯͷهࡌϛεΒ͍͠ͱ͍͏͓͠Λฉ͖·ͨ͆͠ 【申請フォームの「source data」より】 ޡهࡌͱ͍͏͜ͱ͕֬ఆͰ͢ͷͰɺͦͷमਖ਼͍͚ͨͩΔͷͩͱࢥ͍·͢ɻ ͜ͷϒϩάΛ ެ։͔ͯ͠ΒɺԿਓ͔ͷΓ߹͍ͷํʹʮͬͺΓΈΜͳͦΕ͍߹Θͤ·͢ΑͶʔ͆ʯ ͱ͔ͬͯ͝࿈བྷΛ͍͍ͨͩͨͷ͕ͪΐͬͱ໘ന͔ͬͨͰ͆͢ /%4ͬͯԿʁ "84͞Μमਖ਼Λ͓ئ͍·͢ʂ
ʮηΩϡϦςΟΠϯγσϯτΛΧδϡΞϧʹମݧʯ ɹɹͳͥ͜ͷίϯηϓτ͕ॏཁ͔ʁ 最後にもう⼀度CONCEPT
ࢮͳͳ͍ఔͷमཏ͕ͦ͜ඈ༂తͳΛଅ͢͜ͱ͕ ূ໌͞Ε͍ͯΔʂ ຊՈHardening Project → ਫ਼ਆͱ࣌ͷ෦ MINI Hardening → ΧϦϯౝͰͷमߦ
マイルドな修羅場に⾝を投じよう! ʮετϨονͳڥ͕ਓΛҭͯΔʯ@ٴ ʢݩMicrosoft , ݩgoogleɺݱqiita ϓϩμΫτϚωʔδϟ) http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016
各種イベントの紹介
2018年は7⽉6、7⽇で開催予定! 今から予定を押さえておきましょう! 「Hardening Project」 2018年の開催も決定しています! Ҿ༻ɿ8"4'PSVNʮ࠷ॳͷڝٕձఔʹ͖ͭ·ͯ͠ IUUQTXBTGPSVNKQIBSEFOJOHBOOPVODF
MINI Hardeningよりさらに敷居を下げた「Micro Hardening」も始まっています。東京以外にも全国各地で開 催予定。興味のある⽅は奮ってご参加ください。 もう⼀つの派⽣プロジェクト 「Micro Hardening」のご紹介 Ҿ༻ɿ .JDSP)BSEFOJOHͱʁ IUUQTTQFBLFSEFDLDPNLBXBHVDIJBCPVUNJDSPIBSEFOJOH
$POOQBTT.JDSP)BSEFOJOHIUUQTNJDSPIBSEFOJOHDPOOQBTTDPN
OWASPが提供しているドキュメントを使⽤し、セキュアな WordPressの構築をハンズオン形式で⾏います。 開催:名古屋市市⺠活動推進センター 「OWASP Nagoya」のイベントご紹介 Ҿ༻ɿ $POOQBTT08"41/BHPZB$IBQUFSϛʔςΟϯάୈճϋϯζΦϯ IUUQTPXBTQOBHPZBDPOOQBTTDPNFWFOU
⽇本のセキュリティ国際会議であるCODE BLUE主宰の篠⽥ 佳奈さんに「ゼロデイマーケット」についてトーク頂きます 開催:ソシラボ 「OWASP Sendai」のイベントご紹介 Ҿ༻ɿ $POOQBTTୈճ08"414FOEBJϛʔςΟϯά IUUQTPXBTQTFOEBJDPOOQBTTDPNFWFOU
https://www.owasp.org/index.php/japan https://twitter.com/owaspjapan https://www.facebook.com/owaspjapan http://blog.owaspjapan.org ご静聴ありがとうございました! OWASP Japanの投稿をチェックし、 是⾮勉強会にきてください!
参考: OWASP Top10から参照されているOWASP PJのURL (1/2) OWASP PJ URL OWASP Cheat
Sheet Series https://www.owasp.org/index.php/Category:Cheatsheets https://docs.google.com/spreadsheets/d/ 1KNsAK1QbGih3WvmeTNeX5dj3_H1IHJTXrr98ZbFZZkg/edit#gid=0 https://jpcertcc.github.io/OWASPdocuments/ OWASP ASVS https://www.owasp.org/index.php/ Category:OWASP_Application_Security_Verification_Standard_Project https://jpcertcc.github.io/OWASPdocuments/ASVS/ OWASPApplicationSecurityVerificationStandard3.0.pdf OWASP Proactive Controls https://www.owasp.org/index.php/OWASP_Proactive_Controls https://www.owasp.org/images/a/a8/ OWASPTop10ProactiveControls2016-Japanese.pdf OWASP SAMM https://www.owasp.org/index.php/OWASP_SAMM_Project https://www.jpcert.or.jp/research/2010/SAMM_20100407.pdf OWASP Testing Guide https://www.owasp.org/index.php/OWASP_Testing_Project https://www.owasp.org/images/1/1e/OTGv3Japanese.pdf OWASP Risk Rating Methdology https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology https://www.owasp.org/index.php/ OWASP_Risk_Rating_Methodology(Japanese) Thread Risk Modeling https://www.owasp.org/index.php/Threat_Risk_Modeling
参考: OWASP Top10から参照されているOWASP PJのURL (2/2) OWASP PJ URL OWASP Automated
Threats to Web Applications https://www.owasp.org/index.php/ OWASP_Automated_Threats_to_Web_Applications OWASP Secure Headers Project https://www.owasp.org/index.php/OWASP_Secure_Headers_Project OWASP Java Encoder Project https://www.owasp.org/index.php/OWASP_Java_Encoder_Project OWASP Dependency Check https://www.owasp.org/index.php/OWASP_Dependency_Check Virtual Patching Best Practices https://www.owasp.org/index.php/Virtual_Patching_Best_Practices OWASP ZAP https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP AppSensor https://www.owasp.org/index.php/OWASP_AppSensor_Project OWASP ModSecurity Core Rule Set Project https://www.owasp.org/index.php/ Category:OWASP_ModSecurity_Core_Rule_Set_Project OWASP Secure Software Contract Annex https://www.owasp.org/index.php/ OWASP_Secure_Software_Contract_Annex OWASP WebGoat Project https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project OWASP Juice Shop Project https://www.owasp.org/index.php/OWASP_Juice_Shop_Project OWASP Broken Web Application Project https://www.owasp.org/index.php/ OWASP_Broken_Web_Applications_Project OWASP Security Knowledge Framework https://www.owasp.org/index.php/ OWASP_Security_Knowledge_Framework Application Security Guide for CISOs https://www.owasp.org/index.php/ Application_Security_Guide_For_CISOs