Let's know OWASP!#BPStudy20160226

Transcript

1. Let's know OWASP! Promotion Team

2. What is OWASP?

3. ウェブを取り巻く問題を解決するための 国際的なオープンコミュニティ

4. None

5. in Japan？

6. OWASP Kyushu 2015.3〜 OWASP Kansai 2014.3〜 OWASP Japan 2012.3〜 OWASP

   Sendai ⽇本では現在４つのチャプターが存在

7. 定期的に勉強会（OWASP Night)を開催

8. ⽇本独⾃の成果物も公開中 OWASP ZAP運⽤マニュアル OWASP セキュリティ要件書 OWASP成果物⽇本語版 脆弱性診断⼠ スキルマップ

9. ⽇本でOWASP Global AppSecを開催

10. What kinds of projects?

11. 現在100以上の成果物が公開 Category:OWASP Project - OWASP : https://www.owasp.org/ index.php/Category:OWASP_Project#tab=Project_Inventory

12. ① 要件定義 OWASP ASVS（Application Security Verification Standard ） Web システム／Web

    アプリケーションセキュリティ要件書 ② 設計・開発 OWASP Cheat Sheet Series OWASP Proactive Controls ③ テスト・導⼊ OWASP ZAP（Zed Attack Proxy） OWASP Testing Guide ④ 運⽤・保守 OWASP AppSensor OWASP Dependency Check ⑨ 知識 OWASP Top10 / Mobile Top10 / IoT Top 10 OWASP Snakes and Ladders テスト・導⼊ 運⽤・保守 設計・開発 要件定義 1 2 3 4 システムライフサイクルの各段階で活⽤可能

13. introduction !

14. TOP 10 SERIES

15. OWASP Top 10 概要 ウェブアプリにおいて最も注意すべき 10の脆弱性とその対処法を理解するた めの資料 特徴 公的な機関においても本書に掲載され ている脆弱性への対策がセキュリティ

    要件として定められることも

16. No ウェブアプリにおける脆弱性 A1 インジェクション A2 セッション管理の不備 A3 クロスサイトスクリプティング A4 安全でないオブジェクト直接参照

    A5 セキュリティ設定のミス A6 機密データの露出 A7 機能レベルアクセス制御の⽋落 A8 クロスサイトリクエストフォージェリ A9 既知の脆弱性を持つコンポーネントの使⽤ A10 未検討のリダイレクトとフォーワード 脆弱性、攻撃シナリオ、防⽌⽅法などを紹介

17. OWASP Mobile Top10 & IoT Top10 概要 OWASP Mobile Security

    Projectの⼀つ であり、モバイルアプリケーションに おける脅威と対処策を記載 概要 OWASP Internet of Things (IoT) Projectの⼀つであり、IoTにおける 脅威と対処策を記載

18. GUIDELINE DOCUMENT

19. OWASP Cheat Sheet Series 概要 Builder（設計・開発）、Breaker（テス ト・導⼊）、Defender（運⽤・保守）を 対象にセキュリティを⾼めるための知識 ／機能を実装するための⽅法論を紹介 特徴

    本発表時点でドラフト版を含めて48もの チートシートが公開され、いずれも頻繁 に更新されている

20. チートシートシリーズ概要⽇本語版を公開中 OWASP Japan Blog : OWASP Cheat Sheet Seriesを⽇本語訳して馴染みやすくしてみた。 http://blog.owaspjapan.org/post/130374053294/

21. OWASP Proactive Controls 概要 ウェブ開発時に考慮すべき10の セキュリティ技術を紹介 特徴 OWASP Top10やOWASP Cheat

    Sheet Seriesとの関連性が⾼い。最近 2016年版がリリースされ、現在⽇本 語に翻訳中であり、まもなく公開予定

22. OWASP Top10のどの脆弱性に対応できるかなども 把握できる

23. OWASP ASVS 概要 セキュアなウェブ開発のためのセキュ リティの取組の設定・確認に活⽤可能 なガイドライン 特徴 OWASPグローバルで最近最も評価され ているプロジェクトであり、1.0版は⽇ 本語化済み、最新の3.0版が2015年末

    にリリース

24. Level0 テストする価値なし Level1 簡単に脆弱性が⾒つかる Level2 標準的 Level3 より進んだ脆弱性に対応 まずはどのレベルにありたいかを設定

25. No 要件設定 V1 セキュリティアーキテクチャ、設計、脅威モデ ルに関する要件 V2 認証に関する要件 V3 セッション管理に関する要件 V4

    アクセスコントロールに関する要件 V5 ⼊⼒のバリデーションに関する要件 V7 暗号化に関する要件 V8 エラー処理及びログの記録に関する要件 V9 データの保護に関する要件 V10 通信のセキュリティに関する要件 V11 HTTPのセキュリティに関する要件 V13 悪意のあるコードに関する要件 V15 ビジネスロジックに関する要件 V16 ファイル及びリソースに関する要件 V17 モバイルに関する要件 V18 ウェブサービスに関する要件 V19 構成管理に関する要件 V20 クライアントサイドセキュリティに関する要件 No 認証に関する要件設定 1 2 3 V2.1 ⾃由なアクセスを意図していない全て のページ及びリソースに認証がかかっ ている ✓ ✓ ✓ V2.2 パスワードフォームのオートコンプ リートが無効である ✓ ✓ ✓ V2.4 全ての認証管理がサーバ側で⾏われる ✓ ✓ ✓ V2.5 外部認証サービスを利⽤しているラ イブラリを含む全ての認証制御が 集中実装されている ✓ V2.6 認証失敗の場合の安全対策を施してい ることを保証する ✓ ✓ ✓ V2.7 実働環境における典型的な脅威に対し て、認証の証明が⼗分な対策を施し ている ✓ ✓ V2.8 全てのアカウント管理機能は、基礎的 な認証メカニズムとしての機能を備 えており攻撃に耐えうる ✓ ✓ ・・・ ・・・・・・・・・・・・・・・・ ・ ・ ・ 設定レベルに応じた必要な要件を把握

26. TOOLS

27. OWASP ZAP 概要 実⾏ボタン1つでも簡易なウェブ脆弱性テスト を実施可能なツール 特徴 IPAテクニカルウォッチ「ウェブサイトにおけ る脆弱性検査⼿法の紹介」において、セキュリ ティ初学者でも使いやすく、検知精度が⾼く、 ⾮常に効率的と評価

    参考：https://www.ipa.go.jp/about/technicalwatch/ 20131212.html

28. OWASP Dependency Check 概要 指定したディレクトリやファイルをスキャン し、脆弱性が報告されているようなライブラ リを利⽤していないかチェックするツール 特徴 現在はJava・.Net・pythonアプリケーショ ンをサポート

    コマンドライン以外にも、以下のような連携 プラグインが⽤意されている •  Maven Plugin •  Ant Task •  Jenkins Plugin

29. をチェックすべし!! OWASPでビルトイン・セキュリティ http://codezine.jp/article/corner/608

30. Let's join OWASP!

31. まずは、OWASPJapanメーリングリストに 参加しよう！ •  会合の告知 •  ボランティアの募集 •  カンファレンスの早期登録の ご案内 • 

    プロジェクト参加の募集 •  ドキュメントのレビューなどの 呼びかけ https://lists.owasp.org/mailman/listinfo/owasp-japan

32. 公式HPに加え、FacebookやTwitterからも 情報発信しています! https://www.facebook.com/owaspjapan https://twitter.com/owaspjapan https://www.owasp.org/index.php/Japan

33. 昨年よりブログも始めました！ OWASP Japan Blog 〜I can blog a little〜 http://

    blog.owaspjapan.org/ 公式サイトではお伝えしきれない、 マル得情報が配信されるかも！

34. OWASP Nightに参加しよう！

35. Promotion Teamに参加しませんか？

36. ご清聴ありがとうございました！ ウェブをたしかなものに