Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値

OWASP Japan
March 10, 2018
2.9k

 AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値

OWASP Japan

March 10, 2018
Tweet

Transcript

  1. AWSクラスタに捧ぐウェブを衛っていく⽅法論と
    死なない程度の修羅場の価値
    〜OWASPとTop10とMINI Hardening〜
    #owaspjapan
    Promotion Team
    仲⽥ 翔⼀
    洲崎 俊
    ⽥端 政弘
    吉江 瞬

    View full-size slide

  2. 今⽇は以下の内容で発表します
    仲⽥ 翔⼀
    OWASPとは何か
    OWASPの有⽤な資料・ツールとは
    洲崎 俊
    OWASP最⾼の資料であるOWASP
    Top10とAWSの関連
    ⽥端 政弘
    AWSで構築したマイルドな精神と時の部屋
    吉江 瞬
    X-techセッショ
    ンで頑張ってい
    ます

    View full-size slide

  3. AWSのホワイトペーパーにもOWASPが
    https://aws.amazon.com/jp/whitepapers/

    View full-size slide

  4. 残念ながらやや古いOWASP Top10 2017 RC1に
    対応しているため今後の更新に期待
    OWASP Top10 2013
    OWASP Top10 2017 RC1
    OWASP Top10 2017 RC2
    OWASP Top10 2017
    2013/6
    2017/4
    2017/11
    2017/10

    View full-size slide

  5. OWASPはウェブを取り巻く問題を解決するための
    国際的な⾮営利コミュニティで誰もが参加可能です
    O W A S P
    pen eb pplication ecurity roject

    View full-size slide

  6. ⽇本には8のチャプターが存在し、その環が拡
    がっています
    Sendai
    Natori
    Fukushima
    Japan
    Nagoya
    Kansai
    Okinawa
    Kyushu

    View full-size slide

  7. 去年に引き続きコミュニティフレンドシップ参加

    View full-size slide

  8. 16時からのコミュトークにも参戦します

    View full-size slide

  9. OWASP JAPANはさまざまな活動を⾏っています
    3ヶ⽉に1度程度の勉強会
    イベントでの
    プレゼン・ブース提供
    他コミュニティとのコラボ
    有益な資料やツールの公開
    WG活動
    開発者向けの
    ネットメディアへの寄稿

    View full-size slide

  10. 今⽇は有益な資料とコミュニティとのコラボを紹介
    3ヶ⽉に1度程度の勉強会
    イベントでの
    プレゼン・ブース提供
    他コミュニティとのコラボ
    有益な資料やツールの公開
    WG活動
    開発者向けの
    ネットメディアへの寄稿

    View full-size slide

  11.     セキュリティ対策は難しい
        ビジネス優先、セキュリティ対策は後回し
    セキュリティってだいたいこういう印象ですよね


    View full-size slide

  12.     ビジネス優先、セキュリティ対策は後回し

        セキュリティ対策は難しい

    セキュリティってだいたいこういう印象ですよね

    View full-size slide

  13. システムを作るときには⾊々考えることがあります
    要件⼤項⽬ 要件⼩項⽬ 実装 ユーザ満⾜ ⼯夫できることの⼀例
    機能要件 ビジネスロジック 必須 直結 アジャイルやプロトタイピン
    グなどスピード感のある開発
    ⼿法の導⼊
    画⾯⼀覧・画⾯遷移
    データモデル
    外部インタフェース
    バッチ⼀覧
    帳票⼀覧
    ⾮機能要件
    (≒品質)
    規模・性能要件 オンプレからクラウドに移⾏
    運⽤・保守要件 DevOpsによる⾃動化
    UI・UX 任意 専⾨職の採⽤
    外部に委譲
    (≒コスト・時間がかかる)
    ウェブデザイン
    セキュリティ要件 ⾮直結

    View full-size slide

  14. セキュリティにはネガティブなイメージが、、、
    要件⼤項⽬ 要件⼩項⽬ 実装 ユーザ満⾜ ⼯夫できることの⼀例
    機能要件 ビジネスロジック 必須 直結 アジャイルやプロトタイピン
    グなどスピード感のある開発
    ⼿法の導⼊
    画⾯⼀覧・画⾯遷移
    データモデル
    外部インタフェース
    バッチ⼀覧
    帳票⼀覧
    ⾮機能要件
    (≒品質)
    規模・性能要件 オンプレからクラウドに移⾏
    運⽤・保守要件 DevOpsによる⾃動化
    UI・UX 任意 専⾨職の採⽤
    外部に委譲
    (≒コスト・時間がかかる)
    ウェブデザイン
    セキュリティ要件 ⾮直結




    View full-size slide

  15. セキュリティを⾼めてもプラスにならない?
    Ⓐセキュリティ対策は品質の1要素に過ぎない
    Ⓑセキュリティ対策は付加価値であり実装は任意である
    Ⓒセキュリティ対策はユーザ満⾜に⾮直結である
    Ⓓセキュリティ対策はコスト・時間がかかる
        ビジネス優先、セキュリティ対策は後回し

    View full-size slide

  16.     ビジネス優先、セキュリティ対策は後回し

        セキュリティ対策は難しい
    セキュリティ対策ってだいたいこうなりますよね

    View full-size slide

  17. いろいろ考慮しなくてはならないセキュリティ
    ⽴場 ⼯程 考慮すべきセキュリティ事象
    作成者 企画・要件定義 セキュリティ要件
    設計・開発 セキュリティバイデザイン
    セキュアコーディング
    テスト ペネトレーションテスト
    運⽤・保守 インシデントハンドリング
    IDマネジメント
    パッチマネジメント
    利⽤者 ⽇常 ウイルス/マルウェア対策
    ソフトウェアアップデート
    アカウント乗っ取り対策(パスワード保護)
    フィッシング/ワンクリック詐欺対策
    可搬記憶媒体の管理          ・・・等

    View full-size slide

  18. セキュリティを蔑ろにしていると痛い⽬に、、、
    個⼈情報の漏えいによる謝罪対応
    システムダウンによる事業停⽌
    情報の改ざんによる⾵評被害
    脆弱なシステムを作ることによる損害賠償請求

    View full-size slide

  19. セキュリティが重要なのは理解した。
    けど、どうすればいいのか、、、

    View full-size slide

  20. 無料でグローバル基準で誰もが⾃由に使える
    OWASPから始めてみよう!!

    View full-size slide

  21. プロダクトマネジャー、CISO
    (Manager)
    アーキテクト、開発者
    (Builder)
    品質担当者、脆弱性診断⼠
    (Breaker)
    運⽤保守担当者、管理者
    (Defender)
    実施すべきセキュリティ対策例
    ・開発⽅針・体制整備
    ・セキュリティ要件の決定
    活⽤可能な資料・ツール例
    ・ASVS
    ・セキュリティ要件書
    実施すべきセキュリティ対策例
    ・構成管理
    ・脆弱性への対応
    活⽤可能な資料・ツール例
    ・ModSecurity Core Rule Set
    ・Dependency Check
    実施すべきセキュリティ対策例
    ・脆弱性を作りこまない設計・実装
    ・セキュアコーディング
    活⽤可能な資料・ツール例
    ・Proactive Controls
    ・Cheat Sheet Series
    実施すべきセキュリティ対策例
    ・単体、結合、総合テスト
    ・ペネトレーションテスト
    活⽤可能な資料・ツール例
    ・ZAP
    ・Testing Guide
    基礎
    知識
    OWASPからは幅広い資料・ツールが公開
    企画
    要件定義
    設計
    開発
    テスト
    運⽤
    保守
    全員
    活⽤可能な資料・ツール例
    ・OWASP Top10
    ・OWASP SAMM

    View full-size slide

  22. それぞれの資料・ツールの概要は以下のとおり
    # ⼯程 資料・ツール名 概要
    1 基礎知識 OWASP Top10 ウェブアプリにおいて最も注意すべき10のセキュリティリスク
    を理解するための資料
    2 OWASP SAMM ⼯程ごとに組織が直⾯するリスクに応じたセキュリティ対策の策
    定・実施を⽀援するための資料
    3 企画・
    要件定義
    ASVS(Application Security
    Verification Standard )
    組織におけるセキュリティに関する取組のレベルを設定し、その
    レベルに応じた要件を実現するのに活⽤するための資料
    4 セキュリティ要件書 ウェブアプリに対して⼀般的に盛り込むべきと考えられるセキュ
    リティ要件を理解するための資料
    5 設計・開発 Proactive Controls ウェブアプリの開発者が注意すべき10のセキュリティ技術を理
    解するための資料。OWASP Top10の脆弱性とも対応している
    Cheat Sheet Series セキュリティを⾼めるための知識や、それら機能を実装する⽅法
    を理解するための資料。50以上の分冊で構成されている
    7 テスト ZAP
    (Zed Attack Proxy)
    ウェブアプリに対するセキュリティテストを実施するためのツー
    ル。v2.1に対応した⽇本語の運⽤マニュアルが整備されている
    Testing Guide ウェブアプリに対するテストに関して、その⽬的や⽅法を理解す
    るための資料
    9 運⽤・保守 ModSecurity Core Rule
    Set
    OWASP Top10のリスク等に対応したModSecurityのルールが記
    載されている資料
    Dependency Check 脆弱性が報告されているライブラリが利⽤されていないかを確認
    するためのツール。Jenkins等のプラグインも存在している

    View full-size slide

  23. 今⽇はOWASP Top10を深掘りして紹介
    # ⼯程 資料・ツール名 概要
    1 基礎知識 OWASP Top10 ウェブアプリにおいて最も注意すべき10のセキュリティリスク
    を理解するための資料
    2 OWASP SAMM ⼯程ごとに組織が直⾯するリスクに応じたセキュリティ対策の策
    定・実施を⽀援するための資料
    3 企画・
    要件定義
    ASVS(Application Security
    Verification Standard )
    組織におけるセキュリティに関する取組のレベルを設定し、その
    レベルに応じた要件を実現するのに活⽤するための資料
    4 セキュリティ要件書 ウェブアプリに対して⼀般的に盛り込むべきと考えられるセキュ
    リティ要件を理解するための資料
    5 設計・開発 Proactive Controls ウェブアプリの開発者が注意すべき10のセキュリティ技術を理
    解するための資料。OWASP Top10の脆弱性とも対応している
    Cheat Sheet Series セキュリティを⾼めるための知識や、それら機能を実装する⽅法
    を理解するための資料。50以上の分冊で構成されている
    7 テスト ZAP
    (Zed Attack Proxy)
    ウェブアプリに対するセキュリティテストを実施するためのツー
    ル。v2.1に対応した⽇本語の運⽤マニュアルが整備されている
    Testing Guide ウェブアプリに対するテストに関して、その⽬的や⽅法を理解す
    るための資料
    9 運⽤・保守 ModSecurity Core Rule
    Set
    OWASP Top10のリスク等に対応したModSecurityのルールが記
    載されている資料
    Dependency Check 脆弱性が報告されているライブラリが利⽤されていないかを確認
    するためのツール。Jenkins等のプラグインも存在している

    View full-size slide

  24. OWASPが誇る最⾼の成果物
    セキュリティベンダの脆弱性診断においてOWASP Top10に掲載されているリス
    クに対応できているかを確認することがサービスメニューとなっていることもあ
    る等、⾮常に影響⼒の⾼い資料
    Top10アプリケーションのセキュリティリスクに注⽬が集まりがちだが、「セキュ
    リティテスト担当者のための次のステップ」等のTipsも実は⾒逃してはならない
    # Top10 2017 構成
    1 ⽬次、OWASPについて、前書き、導⼊、リリースノート
    2 アプリケーションセキュリティリスク
    3 OWASP Top10アプリケーションのセキュリティリスク
    4 開発者のための次のステップ
    5 セキュリティテスト担当者のための次のステップ
    6 組織のための次のステップ
    7 アプリケーションマネージャのための次のステップ
    8 リスクに関する注記、リスクファクターに関する詳細
    9 ⽅法論とデータ
    洲崎さんが説明
    次ページ以降

    View full-size slide

  25. 設計・開発⼯程で最もバグが発⽣するため、セキュリティ対策の効率
    性が最も⾼い!
    設計・開発 テスト 運⽤・保守

    80%が設計・開発⼯程で発⽣













    ⼯程
    80
    20

    View full-size slide

  26. 設計・開発⼯程でセキュリティ対策をするのが最も安い!

    93%のコスト抑制効果
    設計・開発 テスト 運⽤・保守















    Kevin Soo Hoo, “Tangible ROI through Secure Software Engineering.”Security Business Quarterly,. Vol.1, No.2, Fourth Quarter, 2001.参考
    ⼯程
    7
    100

    View full-size slide

  27. セキュリティテスト担当者のためのTipsが4年で⼤きく変わっており、
    テスト⼯程だけではなく前⼯程から活躍が求められるように
    +V: 検証者向けの次ステップ
    ■ コードレビュー
    ■ セキュリティとペネトレーションテスト
    ➞ コードレビュー/セキュリティとペネトレーションテストの両⾯でリスクを検出する
    +T: セキュリティテスト担当者のための次のステップ
    ■ 脅威モデルの理解
    ➞ 優先順位を検討し、費⽤対効果の⾼い⼿法をとる
    ■ SDLC(ソフトウェア開発ライフサイクル)の理解
    ➞ 開発チームの効率性を損なわないよう適切にフィードバックする
    ■ テスト戦略
    ➞ 簡単で、⾼速、かつ、正確なテストを実施する
    ■ 範囲と正確さの達成
    ➞ すべてをテストする必要はなく、重要なことから始め段階的に拡張する
    ■ 明確な結果の伝達
    ➞ 開発チームに結果を効果的に伝える
    year=year+4;
    2013
    2017

    View full-size slide

  28. Web Application Security
    for AWS クラスタ

    View full-size slide

  29. ⾃⼰紹介
    Shun Suzaki(洲崎 俊)
    ITイベントの参加・開催や⽇々の脆弱性検証を

    ライフワークとする「とあるセキュリティエンジニア」
    IʼM A CERTAIN
    PENTESTER!
    Twitter:
    とある診断員@tigerszk
    • ISOG-J WG1
    • Burp Suite Japan User Group
    • OWASP JAPAN Promotion Team
    • 謎のIT勉強会「#ssmjp」
    公開スライド:http://www.slideshare.net/zaki4649/
    Blog:http://tigerszk.hatenablog.com/

    View full-size slide

  30. 過去Security JAWSなどで登壇しています

    とある診断員とAWS :
    https://www.slideshare.net/zaki4649/aws-62094718
    AWS使って社内CTFやってみたよ - とある診断員の備忘録 :
    http://tigerszk.hatenablog.com/entry/2017/05/29/151728

    View full-size slide

  31. Q
    突然ですが、ここで問題

    View full-size slide

  32. AWSを利⽤していれば、別にアプリケーション
    のセキュリティなんか別に気にしなくても良い?
    YES NO

    View full-size slide

  33. 答えはもちろん
    NO
    ×

    View full-size slide

  34. 責任共有モデル
    「責任共有モデル – アマゾン ウェブ サービス (AWS)」 より引⽤
    https://aws.amazon.com/jp/compliance/shared-responsibility-model/

    View full-size slide

  35. 例えばEC2を利⽤していても…
    • ACLの設定が適切でなかった
    • 動作しているミドルウェアの設定に不備があった
    • パッチマネジメントできていない
    • デプロイしたWebアプリケーションの作り込みが⽢い
    脆弱性が存在

    View full-size slide

  36. AWSを利⽤していたとしても、
    公開するアプリケーションのセキュリティを

    担保する責任は基本的にユーザー側にあります
    Point!
    重要なポイント

    View full-size slide

  37. Webアプリケーション
    にはどんなリスクが?

    View full-size slide

  38. 近年話題になったもの

    View full-size slide

  39. WordPress REST APIの脆弱性
    WordPressサイトの改ざん被害は150万件超に 「最悪級の脆弱性」 - ITmedia エンタープライズ:
    http://www.itmedia.co.jp/enterprise/articles/1702/13/news045.html

    View full-size slide

  40. Apache Struts2の脆弱性
    Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起
    https://www.jpcert.or.jp/at/2017/at170009.html

    View full-size slide

  41. S3バケットの設定不備による情報漏洩
    Amazon S3バケットのアクセス設定に関する注意喚起メールにつきまして
    https://aws.amazon.com/jp/blogs/news/securing_amazon_s3_buckets/

    View full-size slide

  42. OWASP Top10
    Webアプリにおける重要度の⾼い脆弱性Top 10を選定したもの
    2017年11⽉に新しいバージョンが公開
    OWASP Top 10 - 2017
    https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf
    A1 インジェクション
    A2 認証の不備
    A3 機微な情報の露出
    A4 XML 外部エンティティ参照 (XXE)
    A5 アクセス制御の不備
    A6 不適切なセキュリティ設定
    A7 クロスサイトスクリプティング(XSS)
    A8 安全でないデシリアライゼーション
    A9 既知の脆弱性のあるコンポーネントの使⽤
    A10 不⼗分なロギングとモニタリング

    View full-size slide

  43. 2017年版の変更ポイント
    「OWASP Top 10 - 2017」より引⽤
    https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf
    A4,A8,A10が新たな項⽬として追加
    割とメジャーな脆弱性であるCSRFがランク外に

    View full-size slide

  44. AWSでのWebの衛り⽅

    View full-size slide

  45. Webアプリにおける対策の基本は同じ
    オンプレ環境などと同様に以下のような
    対策はもちろん有効であり重要です
    • セキュアコーディング
    • 脆弱性診断

    View full-size slide

  46. 開発時にはセキュリティ要件の盛り込みを
    Webシステム/Webアプリケーションセキュリティ要件書
    https://github.com/ueno1000/secreq

    View full-size slide

  47. 簡易的な脆弱性診断であれば⾃前でも
    AWS Marketplace: OWASP Zed Attack Proxy (ZAP) : 

    https://aws.amazon.com/marketplace/pp/B078MPYKP7

    View full-size slide

  48. • AWSが提供するマネージドサービスには、Web
    アプリケーションのセキュリティ向上を期待でき
    るものがある
    • OWASP Top10に絡めていくつかご紹介
    そしてAWSならではの選択肢
    「アマゾン ウェブ サービス(AWS)とは」より引⽤
    https://aws.amazon.com/jp/about-aws/

    View full-size slide

  49.    AWS WAF
    • AWSが提供しているWAF(Web Application
    Firewall)サービス
    • Cloudfront・ELB・ALBに追加する形で導⼊
    • 従量課⾦制なのでWAFとしては低コストで

    導⼊できる
    関連するOWASP Top10の項⽬
    A1:インジェクション、A7:クロスサイトスクリプティング(XSS)などを含んだ各種項⽬
    ※適⽤するルールセットによってカバーできる内容は変化

    View full-size slide

  50. AWSマーケットプレイスでサードパーティマネージドルールを導⼊でき
    るようになったので、さらに導⼊敷居が低くなった
    OWASP Top10に対応するようなルールやCMSに特化したルールなどを

    ⾃分で選択できる
    サードパーティのマネージドルールも提供
    AWS WAF のマネージドルール – ウェブアプリケーションファイアウォール
    https://aws.amazon.com/jp/mp/security/WAFManagedRules/

    View full-size slide

  51.     AWS Trusted Advisor
    • 「セキュリティ」以外にも「コスト最適化」、「パフォーマン
    ス」、「フォールトトレーランス」の4つの観点から利⽤者の
    AWS環境を⾃動で精査し、推奨設定を知らせてくれるサービス
    • 「セキュリティ」についてはIAMアカウント、セキュリティグ
    ループの設定状況などを含めた複数の項⽬を⾃動で調査し、通
    知してくれる
    • 全ての機能ではないが、いくつかの監査項⽬は無償で利⽤がで
    きる
    関連するOWASP Top10の項⽬
    A6:不適切なセキュリティ設定

    View full-size slide

  52. 2018年の2⽉よりS3バケットのアクセス権限
    チェックが無料で提供されるようになった
    無料でS3アクセス権限をチェック

    View full-size slide

  53.     Amazon Inspector
    • EC2におけるOS・ミドルウェアのセキュリティ評価を実施
    してくれるサービス
    • パッケージソフトのパッチの適⽤状況や推奨されない設定な
    どについて⾃動で洗い出しを実施してくれる
    • ホスト側にエージェントのインストールが必要
    • 本サービスはペネトレーションテスト申請が不要であり、

    継続的なプラットフォーム側のリスクの可視化が期待できる
    関連するOWASP Top10の項⽬
    A6:不適切なセキュリティ設定
    A9:既知の脆弱性のあるコンポーネント使⽤

    View full-size slide

  54.     AWS Certificate Manager
    • AWSサービスで使⽤するSSL/TLSサーバ証明書を管理して
    くれるサービス
    • DV証明書であれば無料で利⽤できる(アプリケーションを
    実⾏するために作成したAWSリソースの料⾦はかかる)
    • 証明書の更新とデプロイを⾃動化できる
    • ELB,CloudFrontでのみ利⽤可能
    関連するOWASP Top10の項⽬

    A3:機微な情報の露出

    View full-size slide

  55. マネージドな認証サービスの利⽤
    • AWS Cognito
    Webやモバイルアプリで利⽤できるAWSが提供する

    認証・認可基盤サービス
    • AWS Directory Service
    AWSが提供するマネージド型のディレクトリサービス
    関連するOWASP Top10の項⽬
    A2:認証の不備
    ར༻༻్ͳͲʹΑͬͯ͸"84ଆ͕ఏڙ͍ͯ͠Δೝূج൫Λ
    ར༻͢Δ͜ͱͰɺೝূػೳࣗମͷಠ࣮ࣗ૷Λආ͚Δ

    Ξϓϩʔν΋͋Γ·͢

    View full-size slide

  56. マネージドなログ取得・監視サービスの利⽤
    • AWS Cloud Trail
    AWSアカウントのアクティビティを記録してくれるサービス
    • VPC Flow Logs
    VPC内のネットワークインターフェイスを通過するIPトラフィック情報を

    記録できるサービス
    • Amazon CloudWatch
    AWSが提供しているマネージドな運⽤監視サービス
    • Amazon GuardDuty
    複数のデータソースを分析し、AWS内で予期しない活動や、悪意ある⾏為を

    検出するサービス
    関連するOWASP Top10の項⽬
    A10:不⼗分なロギングとモニタリング
    取得したいログや監視したい項⽬にあったサービスの

    利⽤をご検討をしてみてはいかがでしょうか

    View full-size slide

  57. まとめ
    •AWSであっても、もちろん公開するWebアプリケー
    ションのセキュリティ対策を意識しなければならない
    •オンプレ環境などで定番となる対策はAWSであって
    も有効であり、実施をした⽅が良い
    •AWSならではの選択肢を有効活⽤して、セキュリティ
    向上を図ろう

    View full-size slide

  58. AWSを使ったサイバーセキュリティ競技
    「MINI Hardening」の紹介

    View full-size slide

  59. ḟࢠࡏॅɻझຯ͸ङྌ࠾ूɻ
    BBQͰϚάϩͦͯͨ͠·ʹಲΛ͞͹͖·͢ɻ
    ʲॴଐʳ

    ɾOwasp Japan Promotion Team
    ɾMINI Hardening ӡӦ(ϑΝγϦςʔγϣϯʣ

    Masahiro Tabataʢా୺ ੓߂ʣ

    γεςϜίϯαϧλϯτͯ͠·͢ɻ

    ηΩϡϦςΟ͸ͨ͠ͳΈఔ౓ɻ
    ⾃⼰紹介
    @delphinz

    View full-size slide

  60. 理論はわかった!
    でもサイバー攻撃されるとどんなことが起こるの?

    View full-size slide

  61. Hardening Projectとは、最⾼の「衛る」技術を持つトップエンジニア
    を発掘・顕彰することを⽬的として2012年から現在までに11回開催さ
    れている競技会です。

    基本的に2⽇間の⽇程で⾏われ、1⽇⽬は技術競技(コンペティション)
    であるHardening day、2⽇⽬は全チームの展開したセキュリティ施
    策の発表会の形式のSoftning dayを実施しています。
    このイベントはWAS Forumが主催しています。
    Hardening Projectをご存知ですか?

    View full-size slide

  62. ڠྗ
    Web Application Security Forum(通称WASForum)は、2004年に発
    ⾜した、⾮営利の任意団体です。
    ウェブアプリケーションのセキュリティにかかわる課題を研究し、安全
    性向上のための情報を共有することにより、適切な対策や構築⼿段に関
    する有効な情報を普及啓蒙することを活動の⽬的としています。
    その活動の⼀つとして「Hardening Project」があります。
    今回の紹介させていただいた Owasp Japanとは特定の関係はありませ
    んが、『連携と啓発のOWASP』、『実践と研鑽のWAS Forum 

    (&Hardening Project)』という協⼒関係にあります。
    WAS Forumのご紹介

    View full-size slide

  63. Hardening Project - 競技の概要
    Ҿ༻8"4/JHIU,JDLP⒎CZLVSPNBNF )JSPTIJ,BXBHVDIJ

    IUUQTTQFBLFSEFDLDPNLBXBHVDIJXBTOJHIULJDLP⒎CZLVSPNBNF
    ໊લޙͷ
    νʔϜઓ
    ୆Λ௒͑Δ
    αʔόͷݎ࿚Խ
    &$αΠτͷ
    4-"ɾച্61
    ച্͔ۚΒ֎෦αʔ
    Ϗεͷߪೖ΋Մೳ
    ੓෎๊͓͑ϋοΧʔʹ
    ΑΔ՗྽ͳ߈ܸʂ
    ͍͔ͭΒ͔ʮਫ਼ਆͱ࣌ͷ෦԰ʯͱݺ͹ΕΔΑ͏

    View full-size slide

  64. Hardening Project から始まった派⽣プロジェクト。
    もっとライトなHardeningを実現したいという思いを持つ
    有志が2014年 に⽴ち上げました。
    コンセプトは「カジュアルにインシデント体験を!」

    MINI Hardeningでは全⾏程半⽇程度で以下を実施
    ① Hardening競技(3時間)
    ② 参加者による振り返り
    ③ 運営チームによるフィードバック
    MINI Hardeningの紹介
    ૝ఆࢀՃऀɿ
    ৽ਓCSIRT୲౰ऀɺΠϯϑϥӡ༻ɺΞϓϦ։ൃऀ

    View full-size slide

  65. ɾ৘ใ࿙Ӯͷൃ֮
    ɾϋΫςΟϏετʹΑΔ
    ɹ൜ߦ੠໌
    ɾαʔόμ΢ϯ
    ɾhttpsରԠ
    ɾෆਖ਼ͳԾ૝௨՟ϚΠχϯά
    具体的なインシデント体験をご紹介
    ɾӡ༻ใࠂॻͷ࡞੒
    ɾࣾ௕͔Βແ஡ϒϦϝʔϧ
    ෆ۩߹ରԠ ϏδωεରԠ աڈʹى͖ͨࣄ݅ͷମݧ
    4-"؂ࢹύωϧͰ
    αʔόঢ়ଶΛදࣔ
    ΍΍͍͜͠Ϗδωε൑அ
    Λ؅ཧऀʹഭΔࣾ௕
    %%04߈ܸΛ։࢝͢Δɻ
    γϣʔλΠϜͩʂ

    View full-size slide

  66. なぜ競技の環境にAWSを選択したのか

    View full-size slide

  67. ɾ߈ܸ͸γϯϓϧ
    ɾಘҙ෼໺Ͱߩݙ
    ɾࣗ༝ͳ׆ಈ
    ɾϦϞʔτΑΓࢀՃ
    ɾڧྗͳαϙʔτ
    ୭Ͱ΋ࢀՃՄೳ
    ɾνʔϜྗͰରԠ
    ɾ܇࿅ɾ୾ྗɾݱ৔ྗ
    ɾ࣮ફྗ޲্
    ɾ໨ઢΛ্͛ͯ΋Β͏
    ɾৼΓฦΓɾؾ͖ͮ
    MINI Hardeningの”カジュアル”実現に向けて
    ɾجૅରԠ
    ɾԭೄͷ࿅शʹ
    ɾγφϦΦ௨Γͷ߈ܸ
    ɾͲ͜Ͱ΋։࠵Մೳ
    ɾΫϥ΢υ׆༻
    ࢀՃऀʹΧδϡΞϧΛ ؀ڥΛΧδϡΞϧʹ Staff΋ΧδϡΞϧʹ
    "84Λ࢖༻͢Δ͜ͱͰ͜ͷϙΠϯτΛ
    ࣮ݱ͢Δ͜ͱ͕Մೳʹͳͬͨʂ ೥࣌఺ʣ
    ˞ͪͳΈʹ"84Ϛωδϝϯτίϯιʔϧͷ೔ຊޠԽ͸೥

    View full-size slide

  68. 競技環境はAWS上に構築しています。
    MINI Hardening 競技環境の構成図(バージョン2)
    ڝٕऀ؀ڥ(8ηοτ)
    踏み台サーバ
    管理⽤PC
    ӡӦऀ؀ڥ
    踏み台サーバ
    攻撃サーバ 社⻑PC
    ECサーバ
    運営チーム
    購⼊クローラ/認証局
    競技者
    ߈ܸύέοτ͸
    ઈର࿙Β͞ͳ͍
    ؀ڥ͸Πϝʔδ
    Խͯ͠࠶ར༻
    採点対象はココだけ

    View full-size slide

  69. 現在バージョン3開催に向けて鋭意構築中!
    MINI Hardening バージョン3(構想)
    ڝٕऀ؀ڥ(8ηοτ)
    踏み台サーバ
    管理⽤PC
    ӡӦऀ؀ڥ
    踏み台サーバ
    攻撃サーバ 社⻑PC
    ECサーバ
    運営チーム
    購⼊クローラ/認証局
    競技者
    ؀ڥߏஙͷ
    ׬શࣗಈԽ
    Ϋϥ΢υ޲
    ͚ͷ؅ཧػೳ
    ϩάӾཡ༻
    ύωϧͷఏڙ
    8JOEPXT
    ΋࠾఺ର৅ʹ
    ࠾఺ͷࣗಈԽ

    MBNCEB

    08"41501
    Λ࠾༻ ͍ͨ͠

    View full-size slide

  70. 運営ノウハウ1 - ぶっちゃけいくらで開催できるの
    イベント開催:8,000円前後/⽉(インスタンス20台前後)
    イベントなし:4,000円前後/⽉(インスタンス 2〜3台)
     →環境イメージのEBS料⾦が負担(汗)
    ౦ژ
    ਆށ
    ౦ژ
    େࡕ
    ʹ޲͚ͯ੔ཧ
    【AWSコストエクスプローラより】

    View full-size slide

  71. よく「AWS侵⼊テスト申請」って⼤変じゃないですか?」
    という質問をいただくのでその⽅法を公開します!
    運営ノウハウ2 - AWS侵⼊テスト申請
    Ҿ༻ɿIUUQTBXTBNB[PODPNKQTFDVSJUZQFOFUSBUJPOUFTUJOH ODI@MT
    【イベント種類】 【申請に必要な項⽬】
    ηΩϡϦςΟ
    ήʔϜͱͯ͠ਃ੥
    ਃ੥ϑΥʔϜʹ
    *1ࢦఆͷهࡌ͋Γ
    $5'Έ͍ͨͳήʔϜΛ71$಺ͰΠϯελϯε୆͘Β͍࢖ͬͯ%04߈ܸ
    ΋΍Γ·͢ɻͰ΋·ͩ*1΍&$ͷ*OTUBODF*%͸Θ͔Μͳ͍ɻ
    ͍͍Αʔɻྑ͍ΠϕϯτʹͳΔͱ͍͍Ͷʔɻ
    ݁࿦ɿਃ੥͸ҙ֎ͱ͔ܰͬͨɻԲͤͣਃ੥ͯ͠Έ·͠ΐ͏ʂ

    AWS

    View full-size slide

  72. 申請フォームにワナがあるのでご注意を!
    AWSの侵⼊テスト申請ひとこと⾔いたい
    Ҿ༻ɿͱ͋Δ਍அһͷඋ๨࿥ʮ"84ͷ৵ೖςετਃ੥ϑΥʔϜ͕มߋ͞Εͨ݅ʯ

    IUUQUJHFST[LIBUFOBCMPHDPNFOUSZ
    ͪͳΈʹSource Dataͷ߲໨ʹ ʮDoes the testing company haveɹa NDS with AWS?ʯ ͱه
    ࡌ͕͋ΓɺॳΊ͸͜ͷʮNDSʯʹ͍ͭͯௐ΂ͯ΋ྑ͘Θ͔Βͳ͔ͬͨͷͰṖͩͬͨͷͰ͢
    ͕ɺ஌Γ߹͍ͷํΑΓͲ͏΍ΒʮNDAʯͷهࡌϛεΒ͍͠ͱ͍͏͓࿩͠Λฉ͖·ͨ͆͠
    【申請フォームの「source data」より】
    ޡهࡌͱ͍͏͜ͱ͕֬ఆͰ͢ͷͰɺͦͷ಺मਖ਼͍͚ͨͩΔͷͩͱࢥ͍·͢ɻ ͜ͷϒϩάΛ
    ެ։͔ͯ͠ΒɺԿਓ͔ͷ஌Γ߹͍ͷํʹʮ΍ͬͺΓΈΜͳͦΕ໰͍߹Θͤ·͢ΑͶʔ͆ʯ
    ͱ͔ͬͯ͝࿈བྷΛ͍͍ͨͩͨͷ͕ͪΐͬͱ໘ന͔ͬͨͰ͆͢
    /%4ͬͯԿʁ
    "84͞Μमਖ਼Λ͓ئ͍·͢ʂ

    View full-size slide

  73. ʮηΩϡϦςΟΠϯγσϯτΛΧδϡΞϧʹମݧʯ
    ɹɹͳͥ͜ͷίϯηϓτ͕ॏཁ͔ʁ
    最後にもう⼀度CONCEPT

    View full-size slide

  74. ࢮͳͳ͍ఔ౓ͷमཏ৔͕ͦ͜ඈ༂తͳ੒௕Λଅ͢͜ͱ͕
    ূ໌͞Ε͍ͯΔʂ
    ຊՈHardening Project → ਫ਼ਆͱ࣌ͷ෦԰
    MINI Hardening → ΧϦϯౝͰͷमߦ
    マイルドな修羅場に⾝を投じよう!
    ʮετϨονͳ؀ڥ͕ਓΛҭͯΔʯ@ٴ઒୎໵

    ʢݩMicrosoft , ݩgoogleɺݱqiita ϓϩμΫτϚωʔδϟ)
    http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016

    View full-size slide

  75. 各種イベントの紹介

    View full-size slide

  76. 2018年は7⽉6、7⽇で開催予定!
    今から予定を押さえておきましょう!
    「Hardening Project」
    2018年の開催も決定しています!
    Ҿ༻ɿ8"4'PSVNʮ೥࠷ॳͷڝٕձ೔ఔʹ͖ͭ·ͯ͠
    IUUQTXBTGPSVNKQIBSEFOJOHBOOPVODF

    View full-size slide

  77. MINI Hardeningよりさらに敷居を下げた「Micro
    Hardening」も始まっています。東京以外にも全国各地で開
    催予定。興味のある⽅は奮ってご参加ください。
    もう⼀つの派⽣プロジェクト
    「Micro Hardening」のご紹介
    Ҿ༻ɿ
    .JDSP)BSEFOJOHͱ͸ʁ
    IUUQTTQFBLFSEFDLDPNLBXBHVDIJBCPVUNJDSPIBSEFOJOH
    $POOQBTT.JDSP)BSEFOJOHIUUQTNJDSPIBSEFOJOHDPOOQBTTDPN

    View full-size slide

  78. OWASPが提供しているドキュメントを使⽤し、セキュアな
    WordPressの構築をハンズオン形式で⾏います。
    開催:名古屋市市⺠活動推進センター
    「OWASP Nagoya」のイベントご紹介
    Ҿ༻ɿ
    $POOQBTT08"41/BHPZB$IBQUFSϛʔςΟϯάୈճϋϯζΦϯ

    IUUQTPXBTQOBHPZBDPOOQBTTDPNFWFOU

    View full-size slide

  79. ⽇本のセキュリティ国際会議であるCODE BLUE主宰の篠⽥
    佳奈さんに「ゼロデイマーケット」についてトーク頂きます
    開催:ソシラボ
    「OWASP Sendai」のイベントご紹介
    Ҿ༻ɿ
    $POOQBTTୈճ08"414FOEBJϛʔςΟϯά

    IUUQTPXBTQTFOEBJDPOOQBTTDPNFWFOU

    View full-size slide

  80. https://www.owasp.org/index.php/japan
    https://twitter.com/owaspjapan
    https://www.facebook.com/owaspjapan
    http://blog.owaspjapan.org
    ご静聴ありがとうございました!
    OWASP Japanの投稿をチェックし、
    是⾮勉強会にきてください!

    View full-size slide

  81. 参考: OWASP Top10から参照されているOWASP PJのURL (1/2)
    OWASP PJ URL
    OWASP Cheat Sheet Series https://www.owasp.org/index.php/Category:Cheatsheets
    https://docs.google.com/spreadsheets/d/
    1KNsAK1QbGih3WvmeTNeX5dj3_H1IHJTXrr98ZbFZZkg/edit#gid=0
    https://jpcertcc.github.io/OWASPdocuments/
    OWASP ASVS https://www.owasp.org/index.php/
    Category:OWASP_Application_Security_Verification_Standard_Project
    https://jpcertcc.github.io/OWASPdocuments/ASVS/
    OWASPApplicationSecurityVerificationStandard3.0.pdf
    OWASP Proactive Controls https://www.owasp.org/index.php/OWASP_Proactive_Controls
    https://www.owasp.org/images/a/a8/
    OWASPTop10ProactiveControls2016-Japanese.pdf
    OWASP SAMM https://www.owasp.org/index.php/OWASP_SAMM_Project
    https://www.jpcert.or.jp/research/2010/SAMM_20100407.pdf
    OWASP Testing Guide https://www.owasp.org/index.php/OWASP_Testing_Project
    https://www.owasp.org/images/1/1e/OTGv3Japanese.pdf
    OWASP Risk Rating Methdology https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
    https://www.owasp.org/index.php/
    OWASP_Risk_Rating_Methodology(Japanese)
    Thread Risk Modeling https://www.owasp.org/index.php/Threat_Risk_Modeling

    View full-size slide

  82. 参考: OWASP Top10から参照されているOWASP PJのURL (2/2)
    OWASP PJ URL
    OWASP Automated Threats to Web Applications https://www.owasp.org/index.php/
    OWASP_Automated_Threats_to_Web_Applications
    OWASP Secure Headers Project https://www.owasp.org/index.php/OWASP_Secure_Headers_Project
    OWASP Java Encoder Project https://www.owasp.org/index.php/OWASP_Java_Encoder_Project
    OWASP Dependency Check https://www.owasp.org/index.php/OWASP_Dependency_Check
    Virtual Patching Best Practices https://www.owasp.org/index.php/Virtual_Patching_Best_Practices
    OWASP ZAP https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
    OWASP AppSensor https://www.owasp.org/index.php/OWASP_AppSensor_Project
    OWASP ModSecurity Core Rule Set Project https://www.owasp.org/index.php/
    Category:OWASP_ModSecurity_Core_Rule_Set_Project
    OWASP Secure Software Contract Annex https://www.owasp.org/index.php/
    OWASP_Secure_Software_Contract_Annex
    OWASP WebGoat Project https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
    OWASP Juice Shop Project https://www.owasp.org/index.php/OWASP_Juice_Shop_Project
    OWASP Broken Web Application Project https://www.owasp.org/index.php/
    OWASP_Broken_Web_Applications_Project
    OWASP Security Knowledge Framework https://www.owasp.org/index.php/
    OWASP_Security_Knowledge_Framework
    Application Security Guide for CISOs https://www.owasp.org/index.php/
    Application_Security_Guide_For_CISOs

    View full-size slide