AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値

AWSクラスタに捧ぐウェブを衛っていく⽅法論と
死なない程度の修羅場の価値
〜OWASPとTop10とMINI Hardening〜
#owaspjapan
Promotion Team
仲⽥翔⼀
洲崎俊
⽥端政弘
吉江瞬

View Slide

今⽇は以下の内容で発表します
仲⽥翔⼀
OWASPとは何か
OWASPの有⽤な資料・ツールとは
洲崎俊
OWASP最⾼の資料であるOWASP
Top10とAWSの関連
⽥端政弘
AWSで構築したマイルドな精神と時の部屋
吉江瞬
X-techセッショ
ンで頑張ってい
ます

View Slide

AWSのホワイトペーパーにもOWASPが
https://aws.amazon.com/jp/whitepapers/

View Slide

残念ながらやや古いOWASP Top10 2017 RC1に
対応しているため今後の更新に期待
OWASP Top10 2013
OWASP Top10 2017 RC1
OWASP Top10 2017 RC2
OWASP Top10 2017
2013/6
2017/4
2017/11
2017/10

View Slide

OWASPはウェブを取り巻く問題を解決するための
国際的な⾮営利コミュニティで誰もが参加可能です
O W A S P
pen eb pplication ecurity roject

View Slide

⽇本には8のチャプターが存在し、その環が拡
がっています
Sendai
Natori
Fukushima
Japan
Nagoya
Kansai
Okinawa
Kyushu

View Slide

去年に引き続きコミュニティフレンドシップ参加

View Slide

16時からのコミュトークにも参戦します

View Slide

OWASP JAPANはさまざまな活動を⾏っています
3ヶ⽉に1度程度の勉強会
イベントでの
プレゼン・ブース提供
他コミュニティとのコラボ
有益な資料やツールの公開
WG活動
開発者向けの
ネットメディアへの寄稿

View Slide

今⽇は有益な資料とコミュニティとのコラボを紹介
3ヶ⽉に1度程度の勉強会
イベントでの
プレゼン・ブース提供
他コミュニティとのコラボ
有益な資料やツールの公開
WG活動
開発者向けの
ネットメディアへの寄稿

View Slide

セキュリティ対策は難しい
ビジネス優先、セキュリティ対策は後回し
セキュリティってだいたいこういう印象ですよね
１
２

View Slide

１
２
セキュリティってだいたいこういう印象ですよね

View Slide

システムを作るときには⾊々考えることがあります
要件⼤項⽬要件⼩項⽬実装ユーザ満⾜⼯夫できることの⼀例
機能要件ビジネスロジック必須直結アジャイルやプロトタイピン
グなどスピード感のある開発
⼿法の導⼊
画⾯⼀覧・画⾯遷移
データモデル
外部インタフェース
バッチ⼀覧
帳票⼀覧
⾮機能要件
（≒品質）
規模・性能要件オンプレからクラウドに移⾏
運⽤・保守要件 DevOpsによる⾃動化
UI・UX 任意専⾨職の採⽤
外部に委譲
（≒コスト・時間がかかる）
ウェブデザイン
セキュリティ要件⾮直結

View Slide

セキュリティにはネガティブなイメージが、、、
要件⼤項⽬要件⼩項⽬実装ユーザ満⾜⼯夫できることの⼀例
機能要件ビジネスロジック必須直結アジャイルやプロトタイピン
グなどスピード感のある開発
⼿法の導⼊
画⾯⼀覧・画⾯遷移
データモデル
外部インタフェース
バッチ⼀覧
帳票⼀覧
⾮機能要件
（≒品質）
規模・性能要件オンプレからクラウドに移⾏
運⽤・保守要件 DevOpsによる⾃動化
UI・UX 任意専⾨職の採⽤
外部に委譲
（≒コスト・時間がかかる）
ウェブデザイン
セキュリティ要件⾮直結
Ⓐ
Ⓑ
Ⓒ
Ⓓ

View Slide

セキュリティを⾼めてもプラスにならない？
Ⓐセキュリティ対策は品質の1要素に過ぎない
Ⓑセキュリティ対策は付加価値であり実装は任意である
Ⓒセキュリティ対策はユーザ満⾜に⾮直結である
Ⓓセキュリティ対策はコスト・時間がかかる
１

View Slide

１
セキュリティ対策ってだいたいこうなりますよね
２

View Slide

いろいろ考慮しなくてはならないセキュリティ
⽴場⼯程考慮すべきセキュリティ事象
作成者企画・要件定義セキュリティ要件
設計・開発セキュリティバイデザイン
セキュアコーディング
テストペネトレーションテスト
運⽤・保守インシデントハンドリング
IDマネジメント
パッチマネジメント
利⽤者⽇常ウイルス/マルウェア対策
ソフトウェアアップデート
アカウント乗っ取り対策（パスワード保護）
フィッシング/ワンクリック詐欺対策
可搬記憶媒体の管理・・・等

View Slide

セキュリティを蔑ろにしていると痛い⽬に、、、
個⼈情報の漏えいによる謝罪対応
システムダウンによる事業停⽌
情報の改ざんによる⾵評被害
脆弱なシステムを作ることによる損害賠償請求

View Slide

セキュリティが重要なのは理解した。
けど、どうすればいいのか、、、

View Slide

無料でグローバル基準で誰もが⾃由に使える
OWASPから始めてみよう!!

View Slide

プロダクトマネジャー、CISO
（Manager）
アーキテクト、開発者
（Builder）
品質担当者、脆弱性診断⼠
（Breaker）
運⽤保守担当者、管理者
（Defender）
実施すべきセキュリティ対策例
・開発⽅針・体制整備
・セキュリティ要件の決定
活⽤可能な資料・ツール例
・ASVS
・セキュリティ要件書
・構成管理
・脆弱性への対応
・ModSecurity Core Rule Set
・Dependency Check
・脆弱性を作りこまない設計・実装
・セキュアコーディング
・Proactive Controls
・Cheat Sheet Series
・単体、結合、総合テスト
・ペネトレーションテスト
・ZAP
・Testing Guide
基礎
知識
OWASPからは幅広い資料・ツールが公開
企画
要件定義
設計
開発
テスト
運⽤
保守
全員
・OWASP Top10
・OWASP SAMM

View Slide

それぞれの資料・ツールの概要は以下のとおり
# ⼯程資料・ツール名概要
1 基礎知識 OWASP Top10 ウェブアプリにおいて最も注意すべき10のセキュリティリスク
を理解するための資料
2 OWASP SAMM ⼯程ごとに組織が直⾯するリスクに応じたセキュリティ対策の策
定・実施を⽀援するための資料
3 企画・
要件定義
ASVS（Application Security
Veriﬁcation Standard ）
組織におけるセキュリティに関する取組のレベルを設定し、その
レベルに応じた要件を実現するのに活⽤するための資料
4 セキュリティ要件書ウェブアプリに対して⼀般的に盛り込むべきと考えられるセキュ
リティ要件を理解するための資料
5 設計・開発 Proactive Controls ウェブアプリの開発者が注意すべき10のセキュリティ技術を理
解するための資料。OWASP Top10の脆弱性とも対応している
Cheat Sheet Series セキュリティを⾼めるための知識や、それら機能を実装する⽅法
を理解するための資料。50以上の分冊で構成されている
7 テスト ZAP
（Zed Attack Proxy）
ウェブアプリに対するセキュリティテストを実施するためのツー
ル。v2.1に対応した⽇本語の運⽤マニュアルが整備されている
Testing Guide ウェブアプリに対するテストに関して、その⽬的や⽅法を理解す
るための資料
9 運⽤・保守 ModSecurity Core Rule
Set
OWASP Top10のリスク等に対応したModSecurityのルールが記
載されている資料
Dependency Check 脆弱性が報告されているライブラリが利⽤されていないかを確認
するためのツール。Jenkins等のプラグインも存在している

View Slide

今⽇はOWASP Top10を深掘りして紹介
# ⼯程資料・ツール名概要
1 基礎知識 OWASP Top10 ウェブアプリにおいて最も注意すべき10のセキュリティリスク
を理解するための資料
2 OWASP SAMM ⼯程ごとに組織が直⾯するリスクに応じたセキュリティ対策の策
定・実施を⽀援するための資料
3 企画・
要件定義
ASVS（Application Security
Veriﬁcation Standard ）
組織におけるセキュリティに関する取組のレベルを設定し、その
レベルに応じた要件を実現するのに活⽤するための資料
4 セキュリティ要件書ウェブアプリに対して⼀般的に盛り込むべきと考えられるセキュ
リティ要件を理解するための資料
5 設計・開発 Proactive Controls ウェブアプリの開発者が注意すべき10のセキュリティ技術を理
解するための資料。OWASP Top10の脆弱性とも対応している
Cheat Sheet Series セキュリティを⾼めるための知識や、それら機能を実装する⽅法
を理解するための資料。50以上の分冊で構成されている
7 テスト ZAP
（Zed Attack Proxy）
ウェブアプリに対するセキュリティテストを実施するためのツー
ル。v2.1に対応した⽇本語の運⽤マニュアルが整備されている
Testing Guide ウェブアプリに対するテストに関して、その⽬的や⽅法を理解す
るための資料
9 運⽤・保守 ModSecurity Core Rule
Set
OWASP Top10のリスク等に対応したModSecurityのルールが記
載されている資料
Dependency Check 脆弱性が報告されているライブラリが利⽤されていないかを確認
するためのツール。Jenkins等のプラグインも存在している

View Slide

OWASPが誇る最⾼の成果物
セキュリティベンダの脆弱性診断においてOWASP Top10に掲載されているリス
クに対応できているかを確認することがサービスメニューとなっていることもあ
る等、⾮常に影響⼒の⾼い資料
Top10アプリケーションのセキュリティリスクに注⽬が集まりがちだが、「セキュ
リティテスト担当者のための次のステップ」等のTipsも実は⾒逃してはならない
# Top10 2017 構成
1 ⽬次、OWASPについて、前書き、導⼊、リリースノート
2 アプリケーションセキュリティリスク
3 OWASP Top10アプリケーションのセキュリティリスク
4 開発者のための次のステップ
5 セキュリティテスト担当者のための次のステップ
6 組織のための次のステップ
7 アプリケーションマネージャのための次のステップ
8 リスクに関する注記、リスクファクターに関する詳細
9 ⽅法論とデータ
洲崎さんが説明
次ページ以降

View Slide

設計・開発⼯程で最もバグが発⽣するため、セキュリティ対策の効率
性が最も⾼い!
設計・開発テスト運⽤・保守
約
80%が設計・開発⼯程で発⽣
脆
弱
性
の
発
⽣
原
因
と
な
る
バ
グ
⼯程
80
20

View Slide

設計・開発⼯程でセキュリティ対策をするのが最も安い!
約
93%のコスト抑制効果
設計・開発テスト運⽤・保守
セ
キ
ュ
リ
テ
ィ
対
策
に
か
か
る
コ
ス
ト
Kevin Soo Hoo, “Tangible ROI through Secure Software Engineering.”Security Business Quarterly,. Vol.1, No.2, Fourth Quarter, 2001.参考
⼯程
7
100

View Slide

セキュリティテスト担当者のためのTipsが4年で⼤きく変わっており、
テスト⼯程だけではなく前⼯程から活躍が求められるように
+V: 検証者向けの次ステップ
■ コードレビュー
■ セキュリティとペネトレーションテスト
➞ コードレビュー／セキュリティとペネトレーションテストの両⾯でリスクを検出する
+T: セキュリティテスト担当者のための次のステップ
■ 脅威モデルの理解
➞ 優先順位を検討し、費⽤対効果の⾼い⼿法をとる
■ SDLC(ソフトウェア開発ライフサイクル)の理解
➞ 開発チームの効率性を損なわないよう適切にフィードバックする
■ テスト戦略
➞ 簡単で、⾼速、かつ、正確なテストを実施する
■ 範囲と正確さの達成
➞ すべてをテストする必要はなく、重要なことから始め段階的に拡張する
■ 明確な結果の伝達
➞ 開発チームに結果を効果的に伝える
year=year+4;
2013
2017

View Slide

Web Application Security
for AWS クラスタ

View Slide

⾃⼰紹介
Shun Suzaki(洲崎俊)
ITイベントの参加・開催や⽇々の脆弱性検証を 
ライフワークとする「とあるセキュリティエンジニア」
IʼM A CERTAIN
PENTESTER!
Twitter:
とある診断員@tigerszk
• ISOG-J WG1
• Burp Suite Japan User Group
• OWASP JAPAN Promotion Team
• 謎のIT勉強会「#ssmjp」
公開スライド:http://www.slideshare.net/zaki4649/
Blog:http://tigerszk.hatenablog.com/

View Slide

過去Security JAWSなどで登壇しています

とある診断員とAWS :
https://www.slideshare.net/zaki4649/aws-62094718
AWS使って社内CTFやってみたよ - とある診断員の備忘録 :
http://tigerszk.hatenablog.com/entry/2017/05/29/151728

View Slide

Q
突然ですが、ここで問題

View Slide

AWSを利⽤していれば、別にアプリケーション
のセキュリティなんか別に気にしなくても良い？
YES NO

View Slide

答えはもちろん
NO
×

View Slide

責任共有モデル
「責任共有モデル – アマゾンウェブサービス (AWS)」より引⽤
https://aws.amazon.com/jp/compliance/shared-responsibility-model/

View Slide

例えばEC2を利⽤していても…
• ACLの設定が適切でなかった
• 動作しているミドルウェアの設定に不備があった
• パッチマネジメントできていない
• デプロイしたWebアプリケーションの作り込みが⽢い
脆弱性が存在

View Slide

AWSを利⽤していたとしても、
公開するアプリケーションのセキュリティを 
担保する責任は基本的にユーザー側にあります
Point!
重要なポイント

View Slide

Webアプリケーション
にはどんなリスクが？

View Slide

近年話題になったもの

View Slide

WordPress REST APIの脆弱性
WordPressサイトの改ざん被害は150万件超に「最悪級の脆弱性」 - ITmedia エンタープライズ:
http://www.itmedia.co.jp/enterprise/articles/1702/13/news045.html

View Slide

Apache Struts2の脆弱性
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170009.html

View Slide

S3バケットの設定不備による情報漏洩
Amazon S3バケットのアクセス設定に関する注意喚起メールにつきまして
https://aws.amazon.com/jp/blogs/news/securing_amazon_s3_buckets/

View Slide

OWASP Top10
Webアプリにおける重要度の⾼い脆弱性Top 10を選定したもの
2017年11⽉に新しいバージョンが公開
OWASP Top 10 - 2017
https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf
A1 インジェクション
A2 認証の不備
A3 機微な情報の露出
A4 XML 外部エンティティ参照 (XXE)
A5 アクセス制御の不備
A6 不適切なセキュリティ設定
A7 クロスサイトスクリプティング(XSS)
A8 安全でないデシリアライゼーション
A9 既知の脆弱性のあるコンポーネントの使⽤
A10 不⼗分なロギングとモニタリング

View Slide

2017年版の変更ポイント
「OWASP Top 10 - 2017」より引⽤
https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf
A4,A8,A10が新たな項⽬として追加
割とメジャーな脆弱性であるCSRFがランク外に

View Slide

AWSでのWebの衛り⽅

View Slide

Webアプリにおける対策の基本は同じ
オンプレ環境などと同様に以下のような
対策はもちろん有効であり重要です
• セキュアコーディング
• 脆弱性診断

View Slide

開発時にはセキュリティ要件の盛り込みを
Webシステム／Webアプリケーションセキュリティ要件書
https://github.com/ueno1000/secreq

View Slide

簡易的な脆弱性診断であれば⾃前でも
AWS Marketplace: OWASP Zed Attack Proxy (ZAP) :  
https://aws.amazon.com/marketplace/pp/B078MPYKP7

View Slide

• AWSが提供するマネージドサービスには、Web
アプリケーションのセキュリティ向上を期待でき
るものがある
• OWASP Top10に絡めていくつかご紹介
そしてAWSならではの選択肢
「アマゾンウェブサービス（AWS）とは」より引⽤
https://aws.amazon.com/jp/about-aws/

View Slide

AWS WAF
• AWSが提供しているWAF(Web Application
Firewall)サービス
• Cloudfront・ELB・ALBに追加する形で導⼊
• 従量課⾦制なのでWAFとしては低コストで 
導⼊できる
関連するOWASP Top10の項⽬
A1：インジェクション、A7：クロスサイトスクリプティング(XSS)などを含んだ各種項⽬
※適⽤するルールセットによってカバーできる内容は変化

View Slide

AWSマーケットプレイスでサードパーティマネージドルールを導⼊でき
るようになったので、さらに導⼊敷居が低くなった
OWASP Top10に対応するようなルールやCMSに特化したルールなどを 
⾃分で選択できる
サードパーティのマネージドルールも提供
AWS WAF のマネージドルール – ウェブアプリケーションファイアウォール
https://aws.amazon.com/jp/mp/security/WAFManagedRules/

View Slide

AWS Trusted Advisor
• 「セキュリティ」以外にも「コスト最適化」、「パフォーマン
ス」、「フォールトトレーランス」の４つの観点から利⽤者の
AWS環境を⾃動で精査し、推奨設定を知らせてくれるサービス
• 「セキュリティ」についてはIAMアカウント、セキュリティグ
ループの設定状況などを含めた複数の項⽬を⾃動で調査し、通
知してくれる
• 全ての機能ではないが、いくつかの監査項⽬は無償で利⽤がで
きる
A6：不適切なセキュリティ設定

View Slide

2018年の2⽉よりS3バケットのアクセス権限
チェックが無料で提供されるようになった
無料でS3アクセス権限をチェック

View Slide

Amazon Inspector
• EC2におけるOS・ミドルウェアのセキュリティ評価を実施
してくれるサービス
• パッケージソフトのパッチの適⽤状況や推奨されない設定な
どについて⾃動で洗い出しを実施してくれる
• ホスト側にエージェントのインストールが必要
• 本サービスはペネトレーションテスト申請が不要であり、 
継続的なプラットフォーム側のリスクの可視化が期待できる
A6：不適切なセキュリティ設定
A9：既知の脆弱性のあるコンポーネント使⽤

View Slide

AWS Certiﬁcate Manager
• AWSサービスで使⽤するSSL/TLSサーバ証明書を管理して
くれるサービス
• DV証明書であれば無料で利⽤できる（アプリケーションを
実⾏するために作成したAWSリソースの料⾦はかかる）
• 証明書の更新とデプロイを⾃動化できる
• ELB,CloudFrontでのみ利⽤可能
関連するOWASP Top10の項⽬ 
A3：機微な情報の露出

View Slide

マネージドな認証サービスの利⽤
• AWS Cognito
Webやモバイルアプリで利⽤できるAWSが提供する 
認証・認可基盤サービス
• AWS Directory Service
AWSが提供するマネージド型のディレクトリサービス
A2：認証の不備
ར༻༻్ͳͲʹΑͬͯ͸"84ଆ͕ఏڙ͍ͯ͠Δೝূج൫Λ
ར༻͢Δ͜ͱͰɺೝূػೳࣗମͷಠ࣮ࣗ૷Λආ͚Δ 
Ξϓϩʔν΋͋Γ·͢

View Slide

マネージドなログ取得・監視サービスの利⽤
• AWS Cloud Trail
AWSアカウントのアクティビティを記録してくれるサービス
• VPC Flow Logs
VPC内のネットワークインターフェイスを通過するIPトラフィック情報を 
記録できるサービス
• Amazon CloudWatch
AWSが提供しているマネージドな運⽤監視サービス
• Amazon GuardDuty
複数のデータソースを分析し、AWS内で予期しない活動や、悪意ある⾏為を 
検出するサービス
A10：不⼗分なロギングとモニタリング
取得したいログや監視したい項⽬にあったサービスの 
利⽤をご検討をしてみてはいかがでしょうか

View Slide

まとめ
•AWSであっても、もちろん公開するWebアプリケー
ションのセキュリティ対策を意識しなければならない
•オンプレ環境などで定番となる対策はAWSであって
も有効であり、実施をした⽅が良い
•AWSならではの選択肢を有効活⽤して、セキュリティ
向上を図ろう

View Slide

AWSを使ったサイバーセキュリティ競技
「MINI Hardening」の紹介

View Slide

ḟࢠࡏॅɻझຯ͸ङྌ࠾ूɻ
BBQͰϚάϩͦͯͨ͠·ʹಲΛ͞͹͖·͢ɻ
ʲॴଐʳ 
ɾOwasp Japan Promotion Team
ɾMINI Hardening ӡӦ(ϑΝγϦςʔγϣϯʣ
 
Masahiro Tabataʢా୺ ੓߂ʣ 
γεςϜίϯαϧλϯτͯ͠·͢ɻ 
ηΩϡϦςΟ͸ͨ͠ͳΈఔ౓ɻ
⾃⼰紹介
@delphinz

View Slide

理論はわかった！
でもサイバー攻撃されるとどんなことが起こるの？

View Slide

Hardening Projectとは、最⾼の「衛る」技術を持つトップエンジニア
を発掘・顕彰することを⽬的として2012年から現在までに11回開催さ
れている競技会です。 
基本的に2⽇間の⽇程で⾏われ、１⽇⽬は技術競技(コンペティション)
であるHardening day、２⽇⽬は全チームの展開したセキュリティ施
策の発表会の形式のSoftning dayを実施しています。
このイベントはWAS Forumが主催しています。
Hardening Projectをご存知ですか？

View Slide

ڠྗ
Web Application Security Forum(通称WASForum)は、2004年に発
⾜した、⾮営利の任意団体です。
ウェブアプリケーションのセキュリティにかかわる課題を研究し、安全
性向上のための情報を共有することにより、適切な対策や構築⼿段に関
する有効な情報を普及啓蒙することを活動の⽬的としています。
その活動の⼀つとして「Hardening Project」があります。
今回の紹介させていただいた Owasp Japanとは特定の関係はありませ
んが、『連携と啓発のOWASP』、『実践と研鑽のWAS Forum  
(＆Hardening Project)』という協⼒関係にあります。
WAS Forumのご紹介

View Slide

Hardening Project - 競技の概要
Ҿ༻8"4/JHIU,JDLP⒎CZLVSPNBNF )JSPTIJ,BXBHVDIJ

IUUQTTQFBLFSEFDLDPNLBXBHVDIJXBTOJHIULJDLP⒎CZLVSPNBNF
໊લޙͷ
νʔϜઓ
୆Λ௒͑Δ
αʔόͷݎ࿚Խ
&$αΠτͷ
4-"ɾച্61
ച্͔ۚΒ֎෦αʔ
Ϗεͷߪೖ΋Մೳ
੓෎๊͓͑ϋοΧʔʹ
ΑΔ՗྽ͳ߈ܸʂ
͍͔ͭΒ͔ʮਫ਼ਆͱ࣌ͷ෦԰ʯͱݺ͹ΕΔΑ͏

View Slide

Hardening Project から始まった派⽣プロジェクト。
もっとライトなHardeningを実現したいという思いを持つ
有志が2014年に⽴ち上げました。
コンセプトは「カジュアルにインシデント体験を！」
 
MINI Hardeningでは全⾏程半⽇程度で以下を実施
① Hardening競技（３時間）
② 参加者による振り返り
③ 運営チームによるフィードバック
MINI Hardeningの紹介
૝ఆࢀՃऀɿ
৽ਓCSIRT୲౰ऀɺΠϯϑϥӡ༻ɺΞϓϦ։ൃऀ

View Slide

ɾ৘ใ࿙Ӯͷൃ֮
ɾϋΫςΟϏετʹΑΔ
ɹ൜ߦ੠໌
ɾαʔόμ΢ϯ
ɾhttpsରԠ
ɾෆਖ਼ͳԾ૝௨՟ϚΠχϯά
具体的なインシデント体験をご紹介
ɾӡ༻ใࠂॻͷ࡞੒
ɾࣾ௕͔Βແ஡ϒϦϝʔϧ
ෆ۩߹ରԠ ϏδωεରԠ աڈʹى͖ͨࣄ݅ͷମݧ
4-"؂ࢹύωϧͰ
αʔόঢ়ଶΛදࣔ
΍΍͍͜͠Ϗδωε൑அ
Λ؅ཧऀʹഭΔࣾ௕
%%04߈ܸΛ։࢝͢Δɻ
γϣʔλΠϜͩʂ

View Slide

なぜ競技の環境にAWSを選択したのか

View Slide

ɾ߈ܸ͸γϯϓϧ
ɾಘҙ෼໺Ͱߩݙ
ɾࣗ༝ͳ׆ಈ
ɾϦϞʔτΑΓࢀՃ
ɾڧྗͳαϙʔτ
୭Ͱ΋ࢀՃՄೳ
ɾνʔϜྗͰରԠ
ɾ܇࿅ɾ୾ྗɾݱ৔ྗ
ɾ࣮ફྗ޲্
ɾ໨ઢΛ্͛ͯ΋Β͏
ɾৼΓฦΓɾؾ͖ͮ
MINI Hardeningの”カジュアル”実現に向けて
ɾجૅରԠ
ɾԭೄͷ࿅शʹ
ɾγφϦΦ௨Γͷ߈ܸ
ɾͲ͜Ͱ΋։࠵Մೳ
ɾΫϥ΢υ׆༻
ࢀՃऀʹΧδϡΞϧΛ ؀ڥΛΧδϡΞϧʹ Staff΋ΧδϡΞϧʹ
"84Λ࢖༻͢Δ͜ͱͰ͜ͷϙΠϯτΛ
࣮ݱ͢Δ͜ͱ͕Մೳʹͳͬͨʂ ೥࣌఺ʣ
˞ͪͳΈʹ"84Ϛωδϝϯτίϯιʔϧͷ೔ຊޠԽ͸೥

View Slide

競技環境はAWS上に構築しています。
MINI Hardening 競技環境の構成図(バージョン2)
ڝٕऀ؀ڥ(8ηοτ)
踏み台サーバ
管理⽤PC
ӡӦऀ؀ڥ
踏み台サーバ
攻撃サーバ社⻑PC
ECサーバ
運営チーム
購⼊クローラ/認証局
競技者
߈ܸύέοτ͸
ઈର࿙Β͞ͳ͍
؀ڥ͸Πϝʔδ
Խͯ͠࠶ར༻
採点対象はココだけ

View Slide

現在バージョン3開催に向けて鋭意構築中！
MINI Hardening バージョン3（構想）
ڝٕऀ؀ڥ(8ηοτ)
踏み台サーバ
管理⽤PC
ӡӦऀ؀ڥ
踏み台サーバ
攻撃サーバ社⻑PC
ECサーバ
運営チーム
購⼊クローラ/認証局
競技者
؀ڥߏஙͷ
׬શࣗಈԽ
Ϋϥ΢υ޲
͚ͷ؅ཧػೳ
ϩάӾཡ༻
ύωϧͷఏڙ
8JOEPXT
΋࠾఺ର৅ʹ
࠾఺ͷࣗಈԽ 
MBNCEB

08"41501
Λ࠾༻ ͍ͨ͠

View Slide

運営ノウハウ1 - ぶっちゃけいくらで開催できるの
イベント開催：8,000円前後／⽉(インスタンス20台前後)
イベントなし：4,000円前後／⽉(インスタンス 2〜3台)
→環境イメージのEBS料⾦が負担(汗)
౦ژ
ਆށ
౦ژ
େࡕ
ʹ޲͚ͯ੔ཧ
【AWSコストエクスプローラより】

View Slide

よく「AWS侵⼊テスト申請」って⼤変じゃないですか？」
という質問をいただくのでその⽅法を公開します！
運営ノウハウ2 - AWS侵⼊テスト申請
Ҿ༻ɿIUUQTBXTBNB[PODPNKQTFDVSJUZQFOFUSBUJPOUFTUJOH [email protected]
【イベント種類】【申請に必要な項⽬】
ηΩϡϦςΟ
ήʔϜͱͯ͠ਃ੥
ਃ੥ϑΥʔϜʹ
*1ࢦఆͷهࡌ͋Γ
$5'Έ͍ͨͳήʔϜΛ71$಺ͰΠϯελϯε୆͘Β͍࢖ͬͯ%04߈ܸ
΋΍Γ·͢ɻͰ΋·ͩ*1΍&$ͷ*OTUBODF*%͸Θ͔Μͳ͍ɻ
͍͍Αʔɻྑ͍ΠϕϯτʹͳΔͱ͍͍Ͷʔɻ
݁࿦ɿਃ੥͸ҙ֎ͱ͔ܰͬͨɻԲͤͣਃ੥ͯ͠Έ·͠ΐ͏ʂ
私
AWS

View Slide

申請フォームにワナがあるのでご注意を！
AWSの侵⼊テスト申請ひとこと⾔いたい
Ҿ༻ɿͱ͋Δ਍அһͷඋ๨࿥ʮ"84ͷ৵ೖςετਃ੥ϑΥʔϜ͕มߋ͞Εͨ݅ʯ

IUUQUJHFST[LIBUFOBCMPHDPNFOUSZ
ͪͳΈʹSource Dataͷ߲໨ʹ ʮDoes the testing company haveɹa NDS with AWS?ʯ ͱه
ࡌ͕͋ΓɺॳΊ͸͜ͷʮNDSʯʹ͍ͭͯௐ΂ͯ΋ྑ͘Θ͔Βͳ͔ͬͨͷͰṖͩͬͨͷͰ͢
͕ɺ஌Γ߹͍ͷํΑΓͲ͏΍ΒʮNDAʯͷهࡌϛεΒ͍͠ͱ͍͏͓࿩͠Λฉ͖·ͨ͆͠
【申請フォームの「source data」より】
ޡهࡌͱ͍͏͜ͱ͕֬ఆͰ͢ͷͰɺͦͷ಺मਖ਼͍͚ͨͩΔͷͩͱࢥ͍·͢ɻ ͜ͷϒϩάΛ
ެ։͔ͯ͠ΒɺԿਓ͔ͷ஌Γ߹͍ͷํʹʮ΍ͬͺΓΈΜͳͦΕ໰͍߹Θͤ·͢ΑͶʔ͆ʯ
ͱ͔ͬͯ͝࿈བྷΛ͍͍ͨͩͨͷ͕ͪΐͬͱ໘ന͔ͬͨͰ͆͢
/%4ͬͯԿʁ
"84͞Μमਖ਼Λ͓ئ͍·͢ʂ

View Slide

ʮηΩϡϦςΟΠϯγσϯτΛΧδϡΞϧʹମݧʯ
ɹɹͳͥ͜ͷίϯηϓτ͕ॏཁ͔ʁ
最後にもう⼀度CONCEPT

View Slide

ࢮͳͳ͍ఔ౓ͷमཏ৔͕ͦ͜ඈ༂తͳ੒௕Λଅ͢͜ͱ͕
ূ໌͞Ε͍ͯΔʂ
ຊՈHardening Project → ਫ਼ਆͱ࣌ͷ෦԰
MINI Hardening → ΧϦϯౝͰͷमߦ
マイルドな修羅場に⾝を投じよう！
ʮετϨονͳ؀ڥ͕ਓΛҭͯΔʯ@ٴ઒୎໵ 
ʢݩMicrosoft , ݩgoogleɺݱqiita ϓϩμΫτϚωʔδϟ)
http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016

View Slide

各種イベントの紹介

View Slide

2018年は7⽉6、7⽇で開催予定！
今から予定を押さえておきましょう！
「Hardening Project」
2018年の開催も決定しています！
Ҿ༻ɿ8"4'PSVNʮ೥࠷ॳͷڝٕձ೔ఔʹ͖ͭ·ͯ͠
IUUQTXBTGPSVNKQIBSEFOJOHBOOPVODF

View Slide

MINI Hardeningよりさらに敷居を下げた「Micro
Hardening」も始まっています。東京以外にも全国各地で開
催予定。興味のある⽅は奮ってご参加ください。
もう⼀つの派⽣プロジェクト
「Micro Hardening」のご紹介
Ҿ༻ɿ
.JDSP)BSEFOJOHͱ͸ʁ
IUUQTTQFBLFSEFDLDPNLBXBHVDIJBCPVUNJDSPIBSEFOJOH
$POOQBTT.JDSP)BSEFOJOHIUUQTNJDSPIBSEFOJOHDPOOQBTTDPN

View Slide

OWASPが提供しているドキュメントを使⽤し、セキュアな
WordPressの構築をハンズオン形式で⾏います。
開催：名古屋市市⺠活動推進センター
「OWASP Nagoya」のイベントご紹介
Ҿ༻ɿ
$POOQBTT08"41/BHPZB$IBQUFSϛʔςΟϯάୈճϋϯζΦϯ 
IUUQTPXBTQOBHPZBDPOOQBTTDPNFWFOU

View Slide

⽇本のセキュリティ国際会議であるCODE BLUE主宰の篠⽥
佳奈さんに「ゼロデイマーケット」についてトーク頂きます
開催：ソシラボ
「OWASP Sendai」のイベントご紹介
Ҿ༻ɿ
$POOQBTTୈճ08"414FOEBJϛʔςΟϯά 
IUUQTPXBTQTFOEBJDPOOQBTTDPNFWFOU

View Slide

https://www.owasp.org/index.php/japan
https://twitter.com/owaspjapan
https://www.facebook.com/owaspjapan
http://blog.owaspjapan.org
ご静聴ありがとうございました！
OWASP Japanの投稿をチェックし、
是⾮勉強会にきてください！

View Slide

参考: OWASP Top10から参照されているOWASP PJのURL (1/2)
OWASP PJ URL
OWASP Cheat Sheet Series https://www.owasp.org/index.php/Category:Cheatsheets
https://docs.google.com/spreadsheets/d/
1KNsAK1QbGih3WvmeTNeX5dj3_H1IHJTXrr98ZbFZZkg/edit#gid=0
https://jpcertcc.github.io/OWASPdocuments/
OWASP ASVS https://www.owasp.org/index.php/
Category:OWASP_Application_Security_Veriﬁcation_Standard_Project
https://jpcertcc.github.io/OWASPdocuments/ASVS/
OWASPApplicationSecurityVeriﬁcationStandard3.0.pdf
OWASP Proactive Controls https://www.owasp.org/index.php/OWASP_Proactive_Controls
https://www.owasp.org/images/a/a8/
OWASPTop10ProactiveControls2016-Japanese.pdf
OWASP SAMM https://www.owasp.org/index.php/OWASP_SAMM_Project
https://www.jpcert.or.jp/research/2010/SAMM_20100407.pdf
OWASP Testing Guide https://www.owasp.org/index.php/OWASP_Testing_Project
https://www.owasp.org/images/1/1e/OTGv3Japanese.pdf
OWASP Risk Rating Methdology https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
https://www.owasp.org/index.php/
OWASP_Risk_Rating_Methodology(Japanese)
Thread Risk Modeling https://www.owasp.org/index.php/Threat_Risk_Modeling

View Slide

参考: OWASP Top10から参照されているOWASP PJのURL (2/2)
OWASP PJ URL
OWASP Automated Threats to Web Applications https://www.owasp.org/index.php/
OWASP_Automated_Threats_to_Web_Applications
OWASP Secure Headers Project https://www.owasp.org/index.php/OWASP_Secure_Headers_Project
OWASP Java Encoder Project https://www.owasp.org/index.php/OWASP_Java_Encoder_Project
OWASP Dependency Check https://www.owasp.org/index.php/OWASP_Dependency_Check
Virtual Patching Best Practices https://www.owasp.org/index.php/Virtual_Patching_Best_Practices
OWASP ZAP https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
OWASP AppSensor https://www.owasp.org/index.php/OWASP_AppSensor_Project
OWASP ModSecurity Core Rule Set Project https://www.owasp.org/index.php/
Category:OWASP_ModSecurity_Core_Rule_Set_Project
OWASP Secure Software Contract Annex https://www.owasp.org/index.php/
OWASP_Secure_Software_Contract_Annex
OWASP WebGoat Project https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
OWASP Juice Shop Project https://www.owasp.org/index.php/OWASP_Juice_Shop_Project
OWASP Broken Web Application Project https://www.owasp.org/index.php/
OWASP_Broken_Web_Applications_Project
OWASP Security Knowledge Framework https://www.owasp.org/index.php/
OWASP_Security_Knowledge_Framework
Application Security Guide for CISOs https://www.owasp.org/index.php/
Application_Security_Guide_For_CISOs

View Slide

AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値

AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値

OWASP Japan

More Decks by OWASP Japan

Featured

Transcript