Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DevOps時代に明日から活かせる セキュリティ対策術#devsumi20160218

OWASP Japan
February 18, 2016

DevOps時代に明日から活かせる セキュリティ対策術#devsumi20160218

OWASP Japan

February 18, 2016
Tweet

More Decks by OWASP Japan

Other Decks in Technology

Transcript

  1. DevOps時代に明⽇から活かせる
    セキュリティ対策術
    OWASP Japan Promotion Team
    仲⽥ 翔⼀
    2016/02/18

    View full-size slide

  2. 本題に⼊る前に
    1.わたしはだれか?
    2.OWASPとはなにか?
    3.なぜデブサミで発表しているのか?

    View full-size slide

  3. 仲⽥ 翔⼀ , PMP, CISSP
    本業
    〜2014.3 セキュリティエンジニア
    2014.4〜 コンサルタント(IT、セキュリティ)
    OWASP
    2013.3  OWASP Japan勉強会 初参加
    2014.2  OWASP Japan勉強会 スピーカー
    2014.3  国際カンファレンス 運営メンバー
    2014.3〜 OWASP Japan 運営メンバー
    2014.7〜 OWASP Japan PRチームリード
    主な対外活動
    2015.2  SECCONカンファレンス スピーカー
    2015.10  PHPカンファレンス スピーカー
    2015.10〜 CodeZine 連載寄稿
    2016.2  NISCサイバーセキュリティ⽉間 単発寄稿
    わたしはだれか?

    View full-size slide

  4. ウェブを取り巻く問題を解決するための国際的な

    ⾮営利コミュニティで誰もが参加可能
    0 8 " 4 1
    QFO FC QQMJDBUJPO FDVSJUZ SPKFDU
    OWASPとはなにか?

    View full-size slide

  5. OWASP Kyushu
    2015.3〜
    OWASP Kansai
    2014.3〜
    OWASP Japan
    2012.3〜
    OWASP Sendai
    New
    ⽇本では⾸都圏をはじめ、4つのチャプターが存在
    OWASPとはなにか?

    View full-size slide

  6. 各地で3ヶ⽉に1度の頻度で勉強会(オワスプナイト)を開催
    ウェブをたしかなものに ウェブの問題を⾃分たちで解決したい!
    OWASPとはなにか?
    学⽣含めセキュリティを学ぶ TBD

    View full-size slide

  7. ワーキンググループを組成し、⽇本独⾃の成果物を作成
    OWASPとはなにか?
    脆弱性診断⼠ スキルマップ
    OWASP ZAP運⽤マニュアル
    OWASP成果物の⽇本語ver
    Webシステムセキュリティ要件書

    View full-size slide


  8. 前職の所属組織
    の影響
    セキュリティ部⾨と他部⾨のコラボレーションを実現したい!
    なぜデブサミで発表しているのか?
    OWASP Japanの活動を
    通じて受けた影響
    プログラマ、アーキテクト、プロジェクトマネジャー等
    多岐に亘る⽴場の⽅が参加するデブサミが最適!

    View full-size slide

  9. 今⽇話すこと
    1.セキュリティ対策に関する2つの勘違い
    2.効率的なセキュリティ対策を実現するには
    3.OWASPの成果物をどう使うか?
    4.ウェブ10⼤脆弱性の学びに!
    5.設計・開発時のリファレンスに!
    6.ウェブ開発における事前対策に!
    7.セキュリティの取組の設定・確認に!
    8.⼀歩進んでウェブ脆弱性テストに!
    9.IoTにおける10⼤脅威の学びに!

    View full-size slide

  10. セキュリティ対策に関する2つの勘違い
        セキュリティ対策は◯◯◯◯◯

        セキュリティ対策は◯◯◯◯◯

    View full-size slide


  11.     セキュリティ対策は後回しにしてよい

        セキュリティ対策は難しい
    セキュリティ対策に関する2つの勘違い

    View full-size slide


  12.     セキュリティ対策は後回しにしてよい

        セキュリティ対策は難しい
    セキュリティ対策に関する2つの勘違い

    View full-size slide

  13. なぜセキュリティ対策は難しいと考えられがちなのか?
    ⽴場 ⼯程 考慮すべきセキュリティ事象
    作成者 要件定義 セキュリティ要件
    設計・開発 セキュリティバイデザイン
    セキュアコーディング
    テスト・導⼊ セキュリティテスティング
    運⽤・保守 インシデントハンドリング
    ソフトウェアアップデート/パッチマネジメント
    利⽤者 ⽇常 ウイルス/マルウェア対策
    ソフトウェアアップデート
    アカウント乗っ取り対策(パスワード保護)
    フィッシング/ワンクリック詐欺対策
    可搬記憶媒体の管理          ・・・等
    セキュリティ対策に関する2つの勘違い

    View full-size slide

  14. なぜセキュリティ対策は難しいと考えられがちなのか?
    ⽴場 ⼯程 考慮すべきセキュリティ事象
    作成者 要件定義 セキュリティ要件
    設計・開発 セキュリティバイデザイン
    セキュアコーディング
    テスト・導⼊ セキュリティテスティング
    運⽤・保守 インシデントハンドリング
    ソフトウェアアップデート/パッチマネジメント
    利⽤者 ⽇常 ウイルス/マルウェア対策
    ソフトウェアアップデート
    アカウント乗っ取り対策(パスワード保護)
    フィッシング/ワンクリック詐欺対策
    可搬記憶媒体の管理          ・・・等
    Ⓐ Ⓑ
    セキュリティ対策に関する2つの勘違い

    View full-size slide

  15. なぜセキュリティ対策は難しいと考えられがちなのか?
    ⽴場 ⼯程 考慮すべきセキュリティ事象
    作成者 要件定義 セキュリティ要件
    設計・開発 セキュリティバイデザイン
    セキュアコーディング
    テスト・導⼊ セキュリティテスティング
    運⽤・保守 インシデントハンドリング
    ソフトウェアアップデート/パッチマネジメント
    利⽤者 ⽇常 ウイルス/マルウェア対策
    ソフトウェアアップデート
    アカウント乗っ取り対策(パスワード保護)
    フィッシング/ワンクリック詐欺対策
    可搬記憶媒体の管理          ・・・等

    Ⓐ⽴場・⼯程により考慮すべき
     セキュリティ事象が異なる
    セキュリティ対策に関する2つの勘違い

    View full-size slide

  16. なぜセキュリティ対策は難しいと考えられがちなのか?
    ⽴場 ⼯程 考慮すべきセキュリティ事象
    作成者 要件定義 セキュリティ要件
    設計・開発 セキュリティバイデザイン
    セキュアコーディング
    テスト・導⼊ セキュリティテスティング
    運⽤・保守 インシデントハンドリング
    ソフトウェアアップデート/パッチマネジメント
    利⽤者 ⽇常 ウイルス/マルウェア対策
    ソフトウェアアップデート
    アカウント乗っ取り対策(パスワード保護)
    フィッシング/ワンクリック詐欺対策
    可搬記憶媒体の管理          ・・・等

    Ⓑシステム固有のビジネスロジックに加え、
     OSI参照モデルの第1層から7層までの理解が必要となる
    (物理事象を除き、⽬に⾒えないサイバー空間のセキュリティが対象)
    セキュリティ対策に関する2つの勘違い

    View full-size slide

  17. Ⓐ⽴場・⼯程により考慮すべきセキュリティ事象が異なる
    Ⓑシステム固有のビジネスロジックに加え、
     OSI参照モデルの第1層から7層までの理解が必要となる
    (物理事象を除き、⽬に⾒えないサイバー空間のセキュリティが対象)
    幅広かつ深い知⾒が必要だからセキュリティ対策は難しい(?)

    セキュリティ対策に関する2つの勘違い
        セキュリティ対策は難しい

    View full-size slide

  18. ここでQuestion! どっちの鞄から狙いますか?
    チャックが全開 チャックが全閉
    セキュリティ対策に関する2つの勘違い

    View full-size slide

  19. 効率性を考えたらチャックが全開の鞄ですよね?
    チャックが全開 チャックが全閉
    セキュリティ対策に関する2つの勘違い

    View full-size slide

  20. 攻撃者は効率性を重視し、楽な対象すなわちセキュリティ意
    識が低い利⽤者、セキュリティ対策が⽢いシステムを狙う!
    攻撃にかかる負担やコストを⾼めるちょっとしたセキュ
    リティ意識向上やセキュリティ対策でも⼗分効果がある!
    セキュリティ対策に関する2つの勘違い
    研究レベルのセキュリティは難しいけれど、システム実装に
    おけるセキュリティ対策はそれほど難しいものではない!

    View full-size slide


  21.     セキュリティ対策は後回しにしてよい

        セキュリティ対策は難しい
    セキュリティ対策に関する2つの勘違い

    View full-size slide

  22. なぜセキュリティ対策は後回しにされがちなのか?
    要件⼤項⽬ 要件⼩項⽬ 実装 ユーザ満⾜ ⼯夫できることの⼀例
    機能要件 ビジネスロジック 必須 直結 アジャイルやプロトタイピン
    グなどスピード感のある開発
    ⼿法の導⼊
    画⾯⼀覧・画⾯遷移
    データモデル
    外部インタフェース
    バッチ⼀覧
    帳票⼀覧
    ⾮機能要件
    (≒品質)
    規模・性能要件 オンプレからクラウドに移⾏
    運⽤・保守要件 CIによる⾃動化
    UI・UX 任意 専⾨職の採⽤
    外部に委譲
    (≒コスト・時間がかかる)
    ウェブデザイン
    セキュリティ要件 ⾮直結
    セキュリティ対策に関する2つの勘違い

    View full-size slide

  23. 要件⼤項⽬ 要件⼩項⽬ 実装 ユーザ満⾜ ⼯夫できることの⼀例
    機能要件 ビジネスロジック 必須 直結 アジャイルやプロトタイピン
    グなどスピード感のある開発
    ⼿法の導⼊
    画⾯⼀覧・画⾯遷移
    データモデル
    外部インタフェース
    バッチ⼀覧
    帳票⼀覧
    ⾮機能要件
    (≒品質)
    規模・性能要件 オンプレからクラウドに移⾏
    運⽤・保守要件 DevOpsによる⾃動化
    UI・UX 任意 専⾨職の採⽤
    外部に委譲
    (≒コスト・時間がかかる)
    ウェブデザイン
    セキュリティ要件 ⾮直結
    なぜセキュリティ対策は後回しにされがちなのか?




    セキュリティ対策に関する2つの勘違い

    View full-size slide

  24. Ⓐセキュリティ対策は品質の1要素に過ぎない
    Ⓑセキュリティ対策は付加価値であり実装は任意である
    プラスにならないからセキュリティ対策は後回しにしてよい(?)
        セキュリティ対策は後回しにしてよい

    Ⓒセキュリティ対策はユーザ満⾜に⾮直結である
    Ⓓセキュリティ対策はコスト・時間がかかる
    セキュリティ対策に関する2つの勘違い

    View full-size slide

  25. 否!セキュリティ対策は当前と解釈された判決がある
    http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/012100467/
    http://blog.tokumaru.org/2015/01/sql.html
    セキュリティ対策に関する2つの勘違い

    View full-size slide

  26. 受注側はもちろん、発注側もセキュリティの知⾒を備える必要がある
    原告が運営するECサイトにおいて外部からのSQLi攻撃によって
    クレジットカード情報などの個⼈情報が漏えい
    仕様書にセキュリティ対策の記載はなかったがSQLi対策を怠っ
    たのは重過失として被告に2262万3697円の損害賠償請求
    クレジットカード情報をDBに保存しないという被告からのセキュ
    リティ向上の提案を原告が採⽤しなかったため過失相殺が認定
    セキュリティ対策に関する2つの勘違い

    View full-size slide

  27. 受注側においてはセキュリティ対策は必須で取り組
    む必要があるのに加え、発注側においてもセキュリ
    ティ対策を理解する必要がある!!
    セキュリティ対策を任意のものにするのではなく、
    前もってセキュリティ対策を必須のものとして考慮
    することが重要!!
    セキュリティ対策に関する2つの勘違い
    セキュリティ対策を後回しにしてはならない!!

    View full-size slide

  28. 効率的なセキュリティ対策を実現するには
       ◯◯◯◯でセキュリティ対策するのが最も効果が⾼い

       ◯◯◯◯でセキュリティ対策するのが最もコストが安い

    セキュリティ対策が重要で必須なのは分かった。ではいつやるか?

    View full-size slide

  29. 効率的なセキュリティ対策を実現するには

    View full-size slide

  30. 設計・開発 テスト・導⼊ 運⽤・保守













    効率的なセキュリティ対策を実現するには
    ⼯程

    View full-size slide

  31. 設計・開発 テスト・導⼊ 運⽤・保守

    80%が設計・開発⼯程で発⽣!
    設計・開発⼯程でセキュリティ対策するのが最も効果が⾼い!













    効率的なセキュリティ対策を実現するには
    ⼯程
    80
    20

    View full-size slide

  32. 効率的なセキュリティ対策を実現するには
       ◯◯◯◯でセキュリティ対策するのが最も効果が⾼い

       ◯◯◯◯でセキュリティ対策するのが最もコストが安い

    ちょっとしたセキュリティ対策が重要で必須なのは分かった。ではいつやるか?

    View full-size slide

  33. 効率的なセキュリティ対策を実現するには

    View full-size slide
















  34. 設計・開発 テスト・導⼊ 運⽤・保守
    効率的なセキュリティ対策を実現するには
    ⼯程

    View full-size slide


  35. 93%のコスト抑制効果!
    設計・開発 テスト・導⼊ 運⽤・保守
    設計・開発⼯程でセキュリティ対策するのが最もコストが安い!















    Kevin Soo Hoo, “Tangible ROI through Secure Software Engineering.”Security Business Quarterly,. Vol.1, No.2, Fourth Quarter, 2001.参考
    効率的なセキュリティ対策を実現するには
    ⼯程
    7
    100

    View full-size slide

  36.     設計・開発⼯程でセキュリティ対策するのが最も効果が⾼い

        設計・開発⼯程でセキュリティ対策するのが最もコストが安い

    効率的なセキュリティ対策を実現するには
    攻撃の負担やコストを⾼めるちょっとしたセキュリティ対策が重要で必須
    セキュリティ対策のカギは、設計・開発⼯程の主役であるプ
    ログラマ、アーキテクト、それらの⼯程を管理するプロジェ
    クトマネジャー、さらにはその前⼯程でセキュリティ要件を
    策定するプロダクトマネジャーこそが握っている!!

    View full-size slide

  37. セキュリティ対策が重要なのは理解した。
    けど、どうすればいいのか、、、

    View full-size slide

  38. 無料でグローバル基準で誰もが⾃由に使える
    OWASPの成果物から始めてみよう!!

    View full-size slide

  39. OWASPの成果物をどう使うか?
    テスト・導⼊ 運⽤・保守
    設計・開発
    要件定義

    ① 要件定義
    OWASP ASVS(Application Security Verification Standard )
    Web システム/Web アプリケーションセキュリティ要件書
    ② 設計・開発
    OWASP Cheat Sheet Series
    OWASP Proactive Controls
    ③ テスト・導⼊
    OWASP ZAP(Zed Attack Proxy)
    OWASP Testing Guide
    ④ 運⽤・保守
    OWASP AppSensor
    OWASP Dependency Check
    ⑨ 知識
    OWASP Top10 / Mobile Top10 / IoT Top 10
    OWASP Snakes and Ladders
    システムライフサイクルの各段階で活⽤可能な100以上の成果物!

    View full-size slide

  40. OWASPの成果物をどう使うか?
    ① 要件定義
    OWASP ASVS(Application Security Verification Standard )
    Web システム/Web アプリケーションセキュリティ要件書
    ② 設計・開発
    OWASP Cheat Sheet Series
    OWASP Proactive Controls
    ③ テスト・導⼊
    OWASP ZAP(Zed Attack Proxy)
    OWASP Testing Guide
    ④ 運⽤・保守
    OWASP AppSensor
    OWASP Dependency Check
    ⑨ 知識
    OWASP Top10 / Mobile Top10 / IoT Top 10
    OWASP Snakes and Ladders
    システムライフサイクルの各段階で活⽤可能な100以上の成果物!
    テスト・導⼊ 運⽤・保守
    設計・開発
    要件定義

    View full-size slide

  41. OWASPの成果物をどう使うか?
    ⼀歩進んでウェブ脆弱性
    テストに!
    OWASP
    Top 10
    OWASP
    ASVS
    OWASP
    ZAP
    本発表では主に以下6つの成果物を紹介!
    設計・開発時の
    リファレンスに!
    ウェブ10⼤脆弱性の
    学びに!
    ウェブ開発における
    事前対策に!
    セキュリティの
    取組の設定・確認に!
    IoTにおける
    10⼤脅威の学びに!
    OWASP
    Proactive
    Controls
    OWASP
    Cheat Sheet
    Series
    OWASP
    IoT Top 10

    View full-size slide

  42. OWASPの成果物をどう使うか?
    OWASP
    Top 10
    ウェブ10⼤脆弱性の
    学びに!

    View full-size slide

  43. OWASPが誇る最⾼の成果物! OWASP Top 10
    概要
    ウェブアプリにおいて最も注意すべき10
    の脆弱性(≒悪⽤可能なバグ)とそれを
    作りこまないようにする対処法を理解す
    るための資料
    特徴
    公的な機関においても本書に掲載されて
    いる脆弱性への対策が講じられているこ
    とをセキュリティ要件として定めている
    こともあり、その品質が認められている
    ウェブ10⼤脆弱性の学びに!

    View full-size slide

  44. No ウェブアプリにおける脆弱性
    A1 インジェクション
    A2 セッション管理の不備
    A3 クロスサイトスクリプティング
    A4 安全でないオブジェクト直接参照
    A5 セキュリティ設定のミス
    A6 機密データの露出
    A7 機能レベルアクセス制御の⽋落
    A8 クロスサイトリクエストフォージェリ
    A9 既知の脆弱性を持つコンポーネントの使⽤
    A10 未検討のリダイレクトとフォーワード
    ウェブアプリにおける脆弱性、攻撃シナリオ、防⽌⽅法などを紹介
    ウェブ10⼤脆弱性の学びに!

    View full-size slide

  45. No ウェブアプリにおける脆弱性
    A1 インジェクション
    A2 セッション管理の不備
    A3 クロスサイトスクリプティング
    A4 安全でないオブジェクト直接参照
    A5 セキュリティ設定のミス
    A6 機密データの露出
    A7 機能レベルアクセス制御の⽋落
    A8 クロスサイトリクエストフォージェリ
    A9 既知の脆弱性を持つコンポーネントの使⽤
    A10 未検討のリダイレクトとフォーワード
    簡単に取り組むことができ、効果が⾼いのはA9
    No 防⽌⽅法
    1 使⽤しているCMSやフレームワークとそのバ
    ージョン、またプラグインなどの依存関係を
    確認すること
    2 公開データベース、CMSやフレームワークの
    公式アナウンス、セキュリティに関連するメ
    ーリングリストなどを⽤いて、最新の脆弱性
    情報を把握すること
    3 開発⼿法、脆弱性テストによる検証、運⽤ル
    ールの策定などCMSやフレームワークを管理
    するためのポリシーを確⽴すること
    4 不必要なプラグインなどを無効化すること
    ウェブ10⼤脆弱性の学びに!

    View full-size slide

  46. グーグル先⽣の調査でソフトウェアの管理が重要という結果に
    ウェブ10⼤脆弱性の学びに!
    http://googlejapan.blogspot.jp/2016/02/blog-post.html

    View full-size slide

  47. もチェック!!
    ウェブ10⼤脆弱性の学びに!
    http://codezine.jp/article/detail/9033

    View full-size slide

  48. OWASPの成果物をどう使うか?
    設計・開発時の
    リファレンスに!
    OWASP
    Cheat Sheet
    Series

    View full-size slide

  49. 設計・開発時のリファレンスに!
    セキュリティの教本の集合体!!OWASP Cheat Sheet Series
    概要
    Builder(設計・開発)、Breaker(テス
    ト・導⼊)、Defender(運⽤・保守)
    を対象にセキュリティを⾼めるための知
    識/機能を実装するための⽅法論を紹介
    特徴
    本発表時点でドラフト版を含めて48も
    のチートシートが公開され、いずれも頻
    繁に更新されている

    View full-size slide

  50. 設計・開発時のリファレンスに!
    設計・開発時に活⽤したいチートシートが多数存在
    No チートシート
    1 Webアプリの認証に関するチートシート
    2 ユーザーがパスワードを忘れた場合の措置に関す
    るチートシート
    3 Webアプリにおけるログの取得などに関するチー
    トシート
    4 パスワードなどの保持に関するチートシート
    5
    PHPにおけるセキュリティ対策に関するチートシ
    ート
    6
    Ruby on Railsにおけるセキュリティ対策に関す
    るチートシート
    7 HTML5におけるセキュリティ対策に関するチー
    トシート
    8 セキュアコーディングに関するチートシート
    9 XSS対策に関するチートシート
    10 DOM XSS対策に関するチートシート
    11 SQLインジェクション対策に関するチートシート
    12 ・・・・

    View full-size slide

  51. 設計・開発時のリファレンスに!
    http://codezine.jp/article/detail/9149
    http://codezine.jp/article/detail/9204
    もチェック!!
    No チートシート
    1 Webアプリの認証に関するチートシート
    2 ユーザーがパスワードを忘れた場合の措置に関す
    るチートシート
    3 Webアプリにおけるログの取得などに関するチー
    トシート
    4 パスワードなどの保持に関するチートシート
    5
    PHPにおけるセキュリティ対策に関するチートシ
    ート
    6
    Ruby on Railsにおけるセキュリティ対策に関す
    るチートシート
    7 HTML5におけるセキュリティ対策に関するチー
    トシート
    8 セキュアコーディングに関するチートシート
    9 XSS対策に関するチートシート
    10 DOM XSS対策に関するチートシート
    11 SQLインジェクション対策に関するチートシート
    12 ・・・・

    View full-size slide

  52. 設計・開発時のリファレンスに!
    チートシートシリーズ概要⽇本語版を公開中
    https://docs.google.com/spreadsheets/d/12CFdiw-bb6cVIv_8cE6quOWXWFgSAg5x8VxPGONZArk/

    View full-size slide

  53. がチートシートシリーズの翻訳を調達中
    設計・開発時のリファレンスに!

    View full-size slide

  54. OWASPの成果物をどう使うか?
    ウェブ開発における
    事前対策に!
    Proactive
    Controls

    View full-size slide

  55. 的を絞ってセキュリティ対策を解説! Proactive Controls
    概要
    ウェブ開発時に考慮したい10のセキュ
    リティ技術を紹介
    特徴
    OWASP Top10やOWASP Cheat
    Sheet Seriesとの関連性が⾼い。最近
    2016年版がリリースされ、現在⽇本
    語に翻訳中であり、まもなく⽇本語版
    を公開予定
    ウェブ開発における事前対策に!

    View full-size slide

  56. 脆弱性を事前に除去または低減可能なセキュリティ技術を紹介
    No ウェブ開発時に考慮すべき事前対策
    C1 早期に繰り返しのセキュリティ検証
    C2 クエリーのパラメータ化
    C3 データのエンコーディング
    C4 すべての⼊⼒値の検証
    C5 アイデンティティと認証制御の実装
    C6 アクセス制御の実装
    C7 データの保護
    C8 ロギングと侵⼊検知
    C9 セキュリティフレームワークやライブラリの活⽤
    C10 エラー処理と例外処理
    ウェブ開発における事前対策に!

    View full-size slide

  57. 要件定義や設計⼯程でセキュリティが考慮されることが重要視
    No 2016年版 2014年版
    C1 早期に繰り返しのセキュリティ検証 クエリーのパラメータ化
    C2 クエリーのパラメータ化 データのエンコーディング
    C3 データのエンコーディング すべての⼊⼒値の検証
    C4 すべての⼊⼒値の検証 アクセス制御の実装
    C5 アイデンティティと認証制御の実装 アイデンティティと認証制御の実装
    C6 アクセス制御の実装 データの保護
    C7 データの保護 ロギングと侵⼊検知
    C8 ロギングと侵⼊検知 セキュリティフレームワークやライブラリの活⽤
    C9 セキュリティフレームワークやライブラリの活⽤ セキュリティ要件の考慮
    C10 エラー処理と例外処理 セキュリティ設計の考慮
    ウェブ開発における事前対策に!

    View full-size slide

  58. OWASP Top10のどの脆弱性に対応できるかを把握できる
    ウェブ開発における事前対策に!
    OWASP Top 10
    O
    1
    :
    +
    N
    6
    ,
    1
    5
    H
    N
    O
    2
    :

    %
    8
    ;
    5
    H
    N


    '


    O
    3
    :
    1
    L
    7
    4
    +
    >
    7
    1
    I
    C
    <
    *
    N
    2
    O
    4
    :


    $
    &
    "
    /
    B
    6
    ,
    1
    >




    O
    5
    :
    8
    0
    G
    I
    <
    *

    '
    F
    7
    O
    6
    :



    =
    9
    '
    !

    O
    7
    :


    K
    D
    J
    '
    )
    1
    8
    7


    '


    O
    8
    :
    1
    L
    7
    4
    +
    >
    I
    1
    -
    7
    >
    A
    .
    6
    ,
    I
    O
    9
    :


    '



    (

    #
    3
    N
    E
    @
    N
    >
    '


    O
    10
    :



    '
    I
    :
    +
    K
    1
    >
    %
    A
    .
    M
    ?
    OWASP Top 10 Proac0ve Controls
    C1:
    C2:
    C3:
    C4:
    C5:
    C6:
    C7:
    C8:
    C9:
    C10:

    View full-size slide

  59. チートシートシリーズと合わせてセキュリティ対策を学べる
    No ウェブ開発時に考慮すべき事前対策 対応するチートシート
    C1 早期に繰り返しのセキュリティ検証 該当なし
    C2 クエリーのパラメータ化 ・クエリパラメータに関するチートシート
    ・SQLインジェクション対策に関するチートシート
    C3 データのエンコーディング ・XSS対策に関するチートシート
    C4 すべての⼊⼒値の検証 ・ホワイトリストによる⼊⼒値バリデーションチェックに関するチートシ
    ート
    C5 アイデンティティと認証制御の実装 ・Webアプリの認証に関するチートシート
    ・パスワードなどの保持に関するチートシート
    ・ユーザーがパスワードを忘れた場合の措置に関するチートシート
    ・セッション管理などに関するチートシート
    C6 アクセス制御の実装 ・アクセス制御に関するチートシート
    C7 データの保護 ・保存データの暗号化に関するチートシート
    ・パスワードなどの保持に関するチートシート
    C8 ロギングと侵⼊検知 ・Webアプリにおけるログの取得などに関するチートシート
    C9 セキュリティフレームワークやライブラリの活⽤ ・PHPにおけるセキュリティ対策に関するチートシート
    ・.NETフレームワークにおけるセキュリティ対策に関するチートシート
    C10 エラー処理と例外処理 該当なし
    ウェブ開発における事前対策に!

    View full-size slide

  60. もチェック!!
    http://codezine.jp/article/detail/9091
    ウェブ開発における事前対策に!

    View full-size slide

  61. OWASPの成果物をどう使うか?
    OWASP
    ASVS
    セキュリティの
    取組の設定・確認に!

    View full-size slide

  62. できていることとできていないことを把握! OWASP ASVS
    概要
    ⾃⾝が所属する組織におけるセキュリ
    ティの取組の設定・確認に活⽤可能な
    ガイドライン
    特徴
    OWASPグローバルで最近最も評価され
    ている成果物であり、1.0版は⽇本語化
    済み、最新の3.0版が2015年末にリ
    リース
    セキュリティの取組の設定・確認に!

    View full-size slide

  63. Level0
    テストする価値なし
    Level1
    簡単に脆弱性が⾒つかる
    Level2
    標準的
    Level3
    より進んだ脆弱性に対応
    まずはどのレベルにありたいかを設定
    セキュリティの取組の設定・確認に!

    View full-size slide

  64. No 要件設定
    V1 セキュリティアーキテクチャ、設計、脅威モデ
    ルに関する要件
    V2 認証に関する要件
    V3 セッション管理に関する要件
    V4 アクセスコントロールに関する要件
    V5 ⼊⼒のバリデーションに関する要件
    V7 暗号化に関する要件
    V8 エラー処理及びログの記録に関する要件
    V9 データの保護に関する要件
    V10 通信のセキュリティに関する要件
    V11 HTTPのセキュリティに関する要件
    V13 悪意のあるコードに関する要件
    V15 ビジネスロジックに関する要件
    V16 ファイル及びリソースに関する要件
    V17 モバイルに関する要件
    V18 ウェブサービスに関する要件
    V19 構成管理に関する要件
    V20 クライアントサイドセキュリティに関する要件
    No 認証に関する要件設定 1 2 3
    V2.1 ⾃由なアクセスを意図していない全て
    のページ及びリソースに認証がかかっ
    ている
    ✓ ✓ ✓
    V2.2 パスワードフォームのオートコンプリ
    ートが無効である
    ✓ ✓ ✓
    V2.4 全ての認証管理がサーバ側で⾏われる ✓ ✓ ✓
    V2.5 外部認証サービスを利⽤しているライ
    ブラリを含む全ての認証制御が集中実
    装されている

    V2.6 認証失敗の場合の安全対策を施してい
    ることを保証する
    ✓ ✓ ✓
    V2.7 実働環境における典型的な脅威に対し
    て、認証の証明が⼗分な対策を施して
    いる
    ✓ ✓
    V2.8 全てのアカウント管理機能は、基礎的
    な認証メカニズムとしての機能を備え
    ており攻撃に耐えうる
    ✓ ✓
    ・・・ ・・・・・・・・・・・・・・・・ ・ ・ ・
    設定レベルに応じてどの程度の要件を充⾜すればよいかを把握
    セキュリティの取組の設定・確認に!

    View full-size slide

  65. No 要件設定
    V1 セキュリティアーキテクチャ、設計、脅威モデ
    ルに関する要件
    V2 認証に関する要件
    V3 セッション管理に関する要件
    V4 アクセスコントロールに関する要件
    V5 ⼊⼒のバリデーションに関する要件
    V7 暗号化に関する要件
    V8 エラー処理及びログの記録に関する要件
    V9 データの保護に関する要件
    V10 通信のセキュリティに関する要件
    V11 HTTPのセキュリティに関する要件
    V13 悪意のあるコードに関する要件
    V15 ビジネスロジックに関する要件
    V16 ファイル及びリソースに関する要件
    V17 モバイルに関する要件
    V18 ウェブサービスに関する要件
    V19 構成管理に関する要件
    V20 クライアントサイドセキュリティに関する要件
    No PHPにおいて重要な要件設定 1 2 3
    V1.1 すべてのCMSやフレームワークを個別
    に確認していること
    ✓ ✓ ✓
    V1.5 すべてのCMSやフレームワークが業務
    上の機能⼜はセキュリティ上の機能に
    よって定義づけられていること
    ✓ ✓
    V1.8 CMSやフレームワークのセキュリティ
    はネットワークセグメントやファイア
    ウォールなどによるセキュリティ対策
    とは別の独⽴した対策を施しているこ

    ✓ ✓
    V19.1 CMSやフレームワークのバージョンは
    最新であること、また不要なサービス
    は削除されていること
    ✓ ✓ ✓
    簡単に取り組むことができ、効果が⾼いのはV1とV19
    セキュリティの取組の設定・確認に!

    View full-size slide

  66. セキュリティの取組の設定・確認に!
    がASVS 3.0版の翻訳を調達中

    View full-size slide

  67. OWASPの成果物をどう使うか?
    ⼀歩進んでウェブ脆弱性
    テストに!
    OWASP
    ZAP

    View full-size slide

  68. ⼀歩進んでウェブ脆弱性テストに!
    初学者にも⽞⼈にもウケが良い脆弱性診断ツール! OWASP ZAP
    概要
    実⾏ボタン1つでも簡易なウェブ脆弱性
    テストを実施可能なツール
    特徴
    IPAテクニカルウォッチ「ウェブサイト
    における脆弱性検査⼿法の紹介」におい
    て、セキュリティ初学者でも使いやすく、
    検知精度が⾼く、⾮常に効率的と評価
    参考:https://www.ipa.go.jp/about/technicalwatch/20131212.html

    View full-size slide

  69. ⼀歩進んでウェブ脆弱性テストに!
    ウェブ閲覧の際はブラウザを利⽤してサーバにアクセス
    テスター ブラウザ ウェブサーバ
    POST /confirm.php HTTP/1.1
    (中略)
    Cookie: PHPSESSID=xxxxxx
    name=owaspjapan&mail=owaspjapan
    %40example.org&gender=1
    ⽒名:owaspjapan
    メール:[email protected]
    性別:男

    ⽒名:owaspjapan

    メール:[email protected]

    性別:男


    登録
    ⽒名:owaspjapan
    メール:[email protected]
    性別:男 ⼥
    確認
    リクエスト
    レスポンス

    View full-size slide

  70. ⼀歩進んでウェブ脆弱性テストに!
    OWASP ZAPがサーバにアクセス、脆弱性有無を⾃動判断
    テスター ウェブサーバ
    POST /confirm.php HTTP/1.1
    (中略)
    Cookie: PHPSESSID=xxxxxx
    name=owaspjapan”>xss&mail=owaspjapa
    n%40example.org&gender=1
    リクエスト
    レスポンス

    ⽒名:owaspjapan”>xss

    メール:[email protected]

    性別:男


    OWASP ZAP
    エスケープされて
    ないから脆弱だ!!

    View full-size slide

  71. ⼀歩進んでウェブ脆弱性テストに!
    OWASP ZAPの様々な⾃動診断機能で、脆弱性の検査が可能!
    主要⾃動診断機能
    オートクローリング
    動的スキャン
    ローカルプロキシ
    ディレクトリ探査
    簡易レポート作成
    診断可能な脆弱性例
    XSS
    SQLi
    パストラバーサル
    オープンリダイレクタ
    ヘッダインジェクション

    View full-size slide

  72. OWASPの成果物をどう使うか?
    IoTにおける
    10⼤脅威の学びに!
    OWASP
    IoT Top 10

    View full-size slide

  73. IoTにおける脅威の基礎の理解に最適! IoT Top10
    概要
    OWASP Top10と同様の形式でIoTにおける
    脅威とその対処策を理解できる
    特徴
    OWASP Internet of Things (IoT) Project
    の⼀つとして位置付けられており、サービ
    ス提供者、開発者、テスター、ユーザなど
    の⽴場に応じた考慮点をまとめたOWASP
    IoT Security GuidanceやOWASP IoT
    Testing Guideなどの派⽣成果物が多数存在
    IoTにおける10⼤脅威の学びに!

    View full-size slide

  74. No IoTにおける脅威
    I1 安全でないウェブインタフェース
    I2 ⽋陥のある認証・認可機構
    I3 安全でないネットワークサービス
    I4 通信路の暗号化の⽋如
    I5 プライバシー
    I6 安全でないクラウドインタフェース
    I7 安全でないモバイルインタフェース
    I8 セキュリティ設定の不備
    I9 安全でないソフトウェア・ファームウェア
    I10 貧弱な物理セキュリティ
    IoTにおいてもウェブセキュリティの知識が不可⽋である
    IoTにおける10⼤脅威の学びに!
    No 参照先のOWASP Top10の項⽬
    A1 インジェクション
    A3 クロスサイトスクリプティング
    A8 クロスサイトリクエストフォージェリ
    A6 機密データの露出

    View full-size slide

  75. もチェック!!
    http://codezine.jp/article/detail/9232
    IoTにおける10⼤脅威の学びに!

    View full-size slide

  76. 本⽇ご紹介した成果物を是⾮ご活⽤ください!
    脆弱性と
    その対処法を
    理解
    セキュアな
    設計・開発を
    実現
    レベルに応じた
    セキュリティ
    体制の構築
    開発⼯程で
    脆弱性を発⾒
    即改修
    SDLCにセキュリティをビルトイン
    ウェブ10⼤脆弱性の
    学びに!
    設計・開発時の
    リファレンスに!
    ウェブ開発における
    事前対策に!
    脆弱性の除去
    または
    低減を実現
    セキュリティの
    取組の設定・確認に!
    ⼀歩進んでウェブ脆弱性
    テストに!
    IoTにおける
    10⼤脅威の学びに!
    来るIoT時代
    の脅威を理解

    View full-size slide

  77. はじめようOWASPのある⽣活
    成果物を活⽤
    プロジェクト
    に貢献
    勉強会に参加
    OWASPには誰もが⾃由に参加可能!

    View full-size slide

  78. はじめようOWASPのある⽣活
    来る2/27(⼟)にOWASP DAYを開催! 是⾮ご参加ください

    View full-size slide

  79. はじめようOWASPのある⽣活
    詳しくはOWASP Japanのコミュニティブースで!

    View full-size slide

  80. https://www.owasp.org/index.php/japan
    https://twitter.com/owaspjapan
    https://www.facebook.com/owaspjapan
    http://blog.owaspjapan.org
    ウェブをたしかなものに
    ご静聴ありがとうございました!!

    View full-size slide

  81. 参考URL
    OWASP Project URL
    Web システム/Web アプリケーションセキュリティ要件書 https://www.owasp.org/images/8/88/
    Web_application_security_requirements.pdf
    OWASP Proactive Controls https://www.owasp.org/index.php/OWASP_Proactive_Controls
    OWASP ASVS(Application Security Verification
    Standard )Project
    https://www.owasp.org/index.php/
    Category:OWASP_Application_Security_Verification_Standard_Pr
    oject
    OWASP Cheat Sheet Series https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series
    OWASP Zed Attack Proxy https://www.owasp.org/index.php/
    OWASP_Zed_Attack_Proxy_Project
    https://docs.google.com/file/d/
    0B1e1Cma1GUllazNUNVp6OWdGYzg/edit
    OWASP Testing Guide https://www.owasp.org/index.php/OWASP_Testing_Project
    OWASP OWTF(Offensive Web Testing Framework) https://www.owasp.org/index.php/OWASP_OWTF
    OWASP ModSecurity Core Rule Set Project https://www.owasp.org/index.php/
    Category:OWASP_ModSecurity_Core_Rule_Set_Project
    OWASP AppSensor https://www.owasp.org/index.php/OWASP_AppSensor_Project
    OWASP Dependency Check https://www.owasp.org/index.php/OWASP_Dependency_Check

    View full-size slide

  82. 参考URL
    OWASP Project URL
    OWASP Top10 https://www.owasp.org/index.php/
    Category:OWASP_Top_Ten_Project
    https://www.owasp.org/images/7/79/
    OWASP_Top_10_2013_JPN.pdf
    OWASP Mobile Top10 https://www.owasp.org/index.php/
    OWASP_Mobile_Security_Project
    https://docs.google.com/document/d/
    1QOWOrsAo-33bHLdAZksKa4F_8_A_6XndoDF6ri4na_k/edit
    OWASP IoT Top 10 https://www.owasp.org/index.php/
    OWASP_Internet_of_Things_Top_Ten_Project
    OWASP Snakes and Ladders https://www.owasp.org/index.php/
    OWASP_Snakes_and_Ladders
    https://www.owasp.org/index.php/
    OWASP_Snakes_and_Ladders
    https://www.owasp.org/images/c/c1/OWASP-
    SnakesAndLadders-MobileApps-JA.pdf
    https://twitter.com/OWASPSnakesWeb
    https://twitter.com/OWASPSnakesMob
    OpenSAMM(Software Assurance Maturity Model) https://www.owasp.org/index.php/
    Category:Software_Assurance_Maturity_Model
    http://www.opensamm.org/downloads/SAMM-1.0-ja_JP.pdf

    View full-size slide

  83. 時間が余った時のコンテンツ

    View full-size slide

  84. OWASP Cornucopia(カードゲーム)をやってみよう!
    遊んでセキュリティリスクを理解

    View full-size slide

  85. OWASP 蛇とはしご(ボードゲーム)をやってみよう!
    遊んでTop10を理解
    100 99 98 97 96 95 94 93 92 91
    90
    89
    88
    87
    86
    85
    84
    83
    82
    81
    80 79 78
    77
    76 75 74 73
    72
    71
    70
    69
    68
    67
    66
    65
    64
    63
    62
    61
    60 59 58 57 56
    55 54
    53 52 51
    50
    49
    48
    47
    46
    45
    44
    43
    42
    41
    40
    39 38 37
    36
    35 34 33 32
    31
    30
    29
    28
    27
    26
    25
    24
    23
    22
    21
    20
    19 18 17 16 15 14
    13
    12 11
    10
    9
    8
    7
    6
    5
    4
    3
    2
    1
    D
    p
    f

    P

    ελʔτ
    ΰʔϧ
    08"41$
    ϞόΠϧσόΠεʹ
    ͓͚Δػີσʔλͷ
    ಛఆͱอޢ
    08"41$
    σόΠεʹ͓͚Δ
    ύεϫʔυͷ
    ҆શͳऔΓѻ͍
    08"41$
    ػີσʔλͷ఻ૹͷ
    อޢΛ֬อ
    08"41$
    Ϣʔβʔೝূɺ
    ೝՄ
    ͓Αͼ
    ηογϣϯ؅ཧͷ
    ਖ਼͍࣮͠૷
    08"41$
    όοΫΤϯυͷ"1*
    ʢαʔϏεʣ
    ͱϓϥο
    τ
    ϑΥʔϜ
    ʢαʔόʣ
    ͷ
    ҆શੑͷҡ࣋
    08"41$
    αʔυύʔςΟͷ
    αʔϏε΍
    ΞϓϦέʔγϣϯͱͷ
    σʔλ౷߹Λ҆શʹ
    08"41$
    Ϣʔβʔσʔλͷ
    ར༻ͱऩूͷͨΊͷ
    ঝ୚ͷऩूͱอ؅ʹ
    ಛผͳ஫ҙΛ෷͏
    08"41$
    ༗ྉͷϦιʔε΁ͷ
    ෆਖ਼ΞΫηεΛ๷͙
    ͨΊͷ੍ޚͷ࣮૷
    08"41$
    ϞόΠϧΞϓϦͷ
    ഑෍ఏڙͷ
    ҆શੑͷ֬อ
    08"41$
    ίʔυ࣮ߦ࣌ʹΤϥʔ
    ͕ൃੜͨ͠৔߹ͷ࣮૷
    Λ৻ॏʹ֬ೝ
    08"41.
    ශऑͳαʔόଆͷ
    ੍ޚ
    08"41.
    ҆શͰͳ͍
    σʔλͷอ؅
    08"41.
    ෆे෼ͳ
    τϥϯεϙʔτ૚อޢ
    08"41.
    ҙਤ͠ͳ͍
    σʔλ࿙͍͑
    08"41.
    ශऑͳೝূͱೝՄ
    08"41.
    յΕͨ҉߸Խॲཧ
    08"41.
    ΫϥΠΞϯταΠυ
    ΠϯδΣΫγϣϯ
    08"41.
    ৴པͰ͖ͳ͍ೖྗʹ
    ΑΔηΩϡϦςΟ൑அ
    08"41.
    ෆద੾ͳ
    ηογϣϯॲཧ
    08"41.
    όΠφϦอޢͷܽ೗
    Created by Colin Watson Version MobApp-1.02-JA (Farringdon)
    08"41τοϓϞόΠϧίϯτϩʔϧ

    08"41το
    ϓϞόΠϧίϯτϩʔϧ͸ɺ
    ੬ऑੑ΁ͷ߈ܸʹΑΔඃ֐ɺ
    ͋Δ͍͸ͦͷՄೳੑΛݮগͤ͞ΔͨΊͷ։ൃ੍ޚͷҰཡͰ͢ɻ
    $ ϞόΠϧσόΠεͷػີσʔλͷಛఆͱอޢ
    $ σόΠεͷύεϫʔυͷ҆શͳऔΓѻ͍
    $ ػີσʔλͷ఻ૹͷอޢΛ֬อ
    $ Ϣʔβʔೝূɺ
    ೝՄ͓Αͼηογϣϯ؅ཧͷਖ਼͍࣮͠૷
    $ όοΫΤϯυͷ"1*
    ʢαʔϏεʣ
    ͱϓϥο
    τ
    ϑΥʔϜ
    ʢαʔόʣ
    ͷ҆શੑͷ
    ҡ࣋
    $ αʔυύʔςΟͷαʔϏε΍ΞϓϦέʔγϣϯͱͷσʔλ౷߹Λ҆શʹ
    $ Ϣʔβʔσʔλͷར༻ͱऩूͷͨΊͷঝ୚ͷऩूͱอ؅ʹಛผͳ஫ҙ
    Λ෷͏
    $ ༗ྉͷϦιʔε
    ʢࡒ෍ɺ
    4.4ɺ
    ి࿩౳ʣ
    ΁ͷෆਖ਼ΞΫηεΛ๷͙ͨΊͷ
    ੍ޚͷ࣮૷
    $ ϞόΠϧΞϓϦͷ഑෍ఏڙͷ҆શੑͷ֬อ
    $ίʔυ࣮ߦ࣌ʹΤϥʔ͕ൃੜͨ͠৔߹ͷ࣮૷Λ৻ॏʹ֬ೝ
    08"41τοϓϞόΠϧϦεΫ

    5IF08"41το
    ϓϞόΠϧϦεΫ͸ɺ
    ΞϓϦέʔγϣϯ૚Ͱͷ࠷ॏཁͳϞόΠϧ
    ΞϓϦͷϦεΫʹ͍ͭͯͷڞ௨ೝࣝΛࣔ͢΋ͷͰ͢ɻ
    . ශऑͳαʔόʔଆͷ੍ޚ
    .҆શͰͳ͍σʔλͷอ؅
    . ෆे෼ͳτϥϯεϙʔτ૚อޢ
    . ҙਤ͠ͳ͍σʔλ࿙͍͑
    . ශऑͳೝূͱೝՄ
    . յΕͨ҉߸Խॲཧ
    . ΫϥΠΞϯταΠυͷΠϯδΣΫγϣϯ
    . ৴པͰ͖ͳ͍ೖྗʹΑΔηΩϡϦςΟ൑அ
    . ෆద੾ͳηογϣϯॲཧ
    .
    όΠφϦอޢͷܽ೗
    ίϯτϩʔϧͱϦεΫͷ྆ํͱ΋ɺ
    ͪ͜Βͷ08"41ϓϩδΣΫτͷαΠτʹৄड़͞Ε͍ͯ·͢ɻ
    IUUQTXXXPXBTQPSHJOEFYQIQ08"[email protected]@4FDVSJUZ@1SPKFDU
    ϓϩδΣ
    Ϋ
    τ
    Ϧʔμʔ
    Colin Watson
    ຋༁ऀͦͷଞͷߩݙऀ
    Manuel Lopez Arredondo, Fabio Cerullo, Tobias Gondrom,
    Martin Haslinger, Yongliang He, Cédric Messeguer, Takanori
    Nakanowatari, Riotaro Okada, Ferdinand Vroom, Ivy Zhang
    ऄͱ͸͠͝͸ɺ
    ΞϓϦέʔγϣϯ
    ɾ
    ηΩϡϦςΟೝ஌޲্ͷͨΊͷڭҭతͳήʔϜͰ͢ɻ
    ͜ͷ൛͸ϞόΠϧΞϓϦέʔγϣϯʹॏ఺Λஔ͍
    ͓ͯΓɺ
    ʮ08"41το
    ϓϞόΠϧίϯτϩʔϧʯ
    Λ
    ʮ͸͠͝ʯ
    ɺ
    ·ͨ༗໊ͳ
    ʮ08"41το
    ϓϞόΠϧϦεΫʯ
    Λ
    ʮऄʯ
    ͱ͠·ͨ͠ɻ
    ͜ΕΒͷϓϩδΣΫτͷϦʔμʔͳΒͼʹߩݙ͞Εͨํʑʹײँ͍ͨ͠·͢ɻ
    αΠίϩ΍ίϚ͕ͳ͍ʁԼͷਤܗΛ੾Γऔͬͯ࢖͍ͬͯͩ͘͞ɻ
    ৭ͷؙ͍͍ͭͨ΋ͷΛίϚͱͯ͠࢖͑ΔͰ͠ΐ͏ɻ
    ͋Δ͍͸ɺ
    ̒໘ͷαΠίϩγϛϡϨʔλΛϓϩάϥϜ͢Δͱ͔ɺ
    εϚϗ͔ύιίϯͰ͔Β·Ͱͷ੔਺ͷཚ਺ΞϓϦΛ࢖͑͹͍͍ɻ
    ͨͩ͠ɺ
    ग़Δ໨͕ϥϯμϜ͔Ͳ͏͔͸ͪΌΜͱνΣοΫ͢Δ͜ͱ
    ʂ
    ͜ͷγʔτͷιʔεϑΝΠϧɺ
    ଞͷΞϓϦέʔγϣϯηΩϡϦςΟ
    τϐοΫͷγʔτɺ
    ଞͷ༷ʑͳݴޠ൛ɺ
    ·ͨ
    ʮ08"41ऄͱ͸͠͝ϓϩδΣΫτʯ
    ʹؔ͢Δ৘ใ͸ɺ
    ҎԼͷ08"41ͷ΢ΣϒαΠτʹ͋Γ·͢ɻ
    https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders
    എܠ
    ʮऄͱ͸͠͝ʯ
    ͸ΞδΞൃ঵ͷϘʔυήʔϜͰɺ
    ϏΫτϦΞே
    ࣌୅ʹӳࠃʹ༌ೖ͞ΕͨਓؾͷϘʔυήʔϜͰ͢ɻ
    ΋ͱ΋ͱɺ
    ͜ͷήʔϜ͸ળͱѱɺ
    ඒಙͱѱಙͷͦΕͧΕͷޮՌΛࣔͨ͠
    ΋ͷͰͨ͠ɻ
    ͜ͷήʔϜ͸ɺ
    ΞϝϦΧͷҰ෦ͷ৔ॴͰ͸ɺ
    ʮӍͲ
    ͍ͱ͸͠͝ʯ
    ͱͯ͠஌ΒΕ͍ͯ·͢ɻ
    ͜ͷ08"41൛Ͱ͸ɺ
    ηΩϡΞͳίʔσΟϯά
    ʢϓϩΞΫςΟϒ
    ίϯτϩʔϧʣ
    Λߴܿͳߦಈͱ͠ɺ
    ΞϓϦέʔγϣϯϦεΫΛ
    ѱಙͱ͍ͯ͠·͢ɻ
    ܯࠂ
    08"41ऄͱ͸͠͝͸ɺ
    ن໛ͷେখΛ໰Θͣɺ
    ιϑτ΢ΣΞϓϩ
    άϥϚʔʹ࢖͍ͬͯͨͩ͘
    ͜ͱΛҙਤ͍ͯ͠·͢ɻ
    ͜ͷࢴͷήʔ
    Ϝγʔτͦͷ΋ͷ͸༗֐Ͱ͸͋Γ·ͤΜ͕ɺ
    ར༻ऀ͕ɺ
    ࣗ෼Ͱ
    ॴ༗͍ͯ͠ΔϓϥενοΫ͋Δ͍͸໦੡ͷαΠίϩ΍Χ΢ϯλʔ
    ίϚ
    Λ࢖͏͜ͱʹ͢Δ৔߹ɺ
    ࡀҎԼͷࢠڙͨͪʹ͸޴ʹ٧
    ·Βͤͯ஠ଉ͢ΔϦεΫ͕͋Δ͔΋͠Ε·ͤΜɻ
    ϧʔϧ
    ͜ͷήʔϜ͸ਓ͔ΒਓͰ༡ͼ·͢ɻ
    ͦΕͧΕͷϓϨΠϠʔ
    ʹ৭ͷ͍ͭͨίϚΛ഑͍ͬͯͩ͘͞ɻ
    ࠷ॳʹɺ
    ͦΕͧΕͷϓϨ
    ΠϠʔ͸αΠίϩΛৼͬͯ୭͕࠷ॳʹϓϨΠ͢Δ͔ܾΊ·͢ɻ
    Ұ൪େ͖ͳ਺ͷ໨Λग़ͨ͠ਓ͕࠷ॳͰ͢ɻ
    શϓϨΠϠʔͷίϚΛ
    ʮελʔτʯ
    ͱ͋Δ࠷ॳͷϚε໨ʹஔ͖
    ·͢ɻ
    ॱʹɺ
    ֤ϓϨΠϠʔ͸αΠίϩΛৼΓɺ
    ͦͷ਺ʹ͕ͨͬͯ͠
    ίϚΛҠಈ͠·͢ɻ
    Ҡಈͨ࣌͠ʹɺ
    ΋͠ίϚ͕͸͠͝ͷԼʹདྷͨͳΒɺ
    ίϚΛ͸͠͝
    ͷ࠷্ஈͷͱ͜Ζʹ͋ΔϚε໨ʹ্͛ͳ͚Ε͹ͳΓ·ͤΜɻ
    ίϚ͕ऄͷޱͷͱ͜ΖʹདྷͨͳΒɺ
    ͦͷίϚΛऄͷ৲ඌͷͱ͜Ζ
    ʹ߱Ζ͞ͳ͚Ε͹ͳΓ·ͤΜɻ
    ࠨ্ͷͷͱ͜Ζʹ࠷ॳʹདྷͨϓϨΠϠʔ͕উऀͱͳΓ·͢ɻ
    ͜ͷγʔτ͔Β੾Γऔͬͨ΋ͷͰαΠίϩΛ࡞Δʹ͸ɺ
    ఺ઢʹԊͬͯંΓۂ͛ɺ
    ͷΓ͠Ζͷͱ͜Ζʹ઀ணࡎΛ͚ͭɺ
    ࢛֯͘ͳΔΑ͏ʹ৻ॏʹ੔ܗ͍ͯͩ͘͠͞ɻ
    Ұඖͷऄ͕࣍ͷॱ൪ͷΩϛͷαΠίϩ
    ͷ໨Λݴ͓͏͔ͬͯɺ
    ΢ΟϯΫͯ͠ΔΑɻ
    ݟ͔ͭͬͨʁ
    08"41ऄͱ͸͠͝͸ɺ
    ແྉͰࣗ༝ʹ͓࢖͍͍͚ͨͩ·͢ɻ
    ΫϦΤΠςΟϒίϞϯζදࣔܧঝϥΠηϯεʹج͖ͮɺ
    ͜ͷ੒Ռ෺Λෳࣸɺ
    ഑෍ɺ
    ૹ৴ɺ
    վมɺ
    ঎ۀతར༻͕Մೳ
    Ͱ͕͢ɺ
    ͜ͷ࡞඼ʹجͮ͘
    ͍͔ͳΔ΋ͷʹ͍ͭͯɺ
    ·ͨ࠶ར༻ɺ
    సૹɺ
    ೋ࣍తஶ࡞෺ʹ͍ͭͯ͸ɺ
    ͜ͷϥΠηϯεͱಉ͡࢖༻
    ڐ୚৚݅Ͱͳ͚Ε͹ͳΓ·ͤΜɻ
    © OWASP Foundation 2014.
    OWASP Snakes and Ladders
    – ऄͱ͸͠͝ϞόΠϧΞϓϦ൛ –
    ΢ΣϒΞϓϦέʔγϣϯ൛ ϞόΠϧΞϓϦέʔγϣϯ൛

    View full-size slide

  86. No モバイル Top 10
    1 Weak Server Side Controls
    2 Insecure Data Storage
    3 Insufficient Transport Layer Protection
    4 Unintended Data Leakage
    5 Poor Authorization and Authentication
    6 Broken Cryptography
    7 Client Side Injection
    8 Security Decisions Via Untrusted Inputs
    9 Improper Session Handling
    10 Lack of Binary Protections
    モバイルの脆弱性を理解
    Top10シリーズとしてモバイル版も存在!
    OWASP モバイル
    Top10

    View full-size slide

  87. Webシステム/Webアプリケーションセキュリティ要件書を⾒よう!
    セキュリティ要件を策定
    No セキュリティ要件
    1 認証
    2 認可(アクセス制御)
    3 セッション管理
    4 パラメータ
    5 ⽂字列処理
    6 HTTPS
    7 Cookie
    8 画⾯設計
    9 その他

    View full-size slide