Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP_Contents_Reference

 OWASP_Contents_Reference

OWASP Japan

April 05, 2016
Tweet

More Decks by OWASP Japan

Other Decks in Technology

Transcript

  1.   運⽤ 保守 企画 要件定義 テスト 設計 開発 プロダクトマネジャー、CISO (Manager)

    アーキテクト、開発者 (Builder) 品質担当者、脆弱性診断⼠ (Breaker) 運⽤保守担当者、管理者 (Defender) 実施すべきセキュリティ対策例 ・開発⽅針・体制整備 ・セキュリティ要件の決定 活⽤可能な資料・ツール例 ・OWASP ASVS ・セキュリティ要件書 実施すべきセキュリティ対策例 ・構成管理 ・脆弱性への対応 活⽤可能な資料・ツール例 ・Dependency Check ・AppSensor 実施すべきセキュリティ対策例 ・脆弱性を作りこまない設計・実装 ・セキュアコーディング 活⽤可能な資料・ツール例 ・Proactive Controls ・Cheat Sheet Series 実施すべきセキュリティ対策例 ・単体、結合、総合テスト ・セキュリティテスト 活⽤可能な資料・ツール例 ・Testing Guide ・Zed Attack Proxy(ZAP) 基礎 知識 ⼯程別活⽤可能な資料・ツールの紹介
  2. 名称 概要 対象 活⽤⽅法 OWASP Top 10 ウェブアプリにおいて 最も注意すべき10の脆 弱性とそれを作りこま

    ない対処法を理解する ための資料。モバイル 版やIoT版も存在する 脆弱性の内容、確認⽅ 法、攻撃シナリオ、防 ⽌⽅法等を理解するた めに、企業における教 育や⾃⼰啓発等に活⽤ されている OWASP ASVS v3 組織におけるセキュリ ティに関する取組のレ ベルを設定し、そのレ ベルに応じた要件を実 現するのに活⽤するた めの資料 組織やシステムに対す るセキュリティレベル の状況の確認に加え、 その状況を証明する際 のエビデンスの作成に も活⽤されている セキュリティ要件書 v2 ウェブアプリに対して ⼀般的に盛り込むべき と考えられるセキュリ ティ要件を理解するた めの資料 ウェブアプリの要件定 義⼯程におけるセキュ リティ要件の策定に活 ⽤されている Open SAMM v1 ⼯程ごとに組織が直⾯ するリスクに応じたセ キュリティ対策の策 定・実施を⽀援するた めの資料。最新版は v1.1 組織におけるセキュリ ティ対策の策定に活⽤ されている Manager Builder Breaker Defender Manager Builder Manager Builder 活⽤可能な主要な資料・ツールの⼀覧 Manager Builder Breaker Defender :資料 :ツール :⽇本語 :英語
  3. 名称 概要 対象 活⽤⽅法 Cheat Sheet Series セキュリティを⾼める ための知識や、それら 機能を実装する⽅法を

    理解するための資料。 50以上の分冊で構成さ れている 個別具体的なセキュリ ティに関する知⾒を習 得するための⾃⼰啓発 に活⽤されている Proactive Controls v2 ウェブアプリの開発者 が注意すべき10のセキ ュリティ技術を理解す るための資料。 OWASP Top10の脆弱 性とも対応している ウェブアプリの開発⼯ 程を担当する開発者を 対象とした⾃⼰啓発に 活⽤されている Testing Guide v4 ウェブアプリに対する テストに関して、その ⽬的や⽅法を理解する ための資料。slackによ る情報共有スペースが 作られている ウェブアプリに対する テスト⼿法を習得する ための⾃⼰啓発に活⽤ されている ZAP v2.4 ウェブアプリに対する セキュリティテストを 実施するためのツー ル。v2.1に対応した⽇ 本語の運⽤マニュアル が整備されている ウェブアプリに対する セキュリティテストを 実施する際に活⽤され ている Builder Breaker Defender Builder Builder 活⽤可能な主要な資料・ツールの⼀覧 Breaker Breaker :資料 :ツール :⽇本語 :英語
  4. 名称 概要 対象 活⽤⽅法 Dependency Check 脆弱性が報告されてい るライブラリが利⽤さ れていないかを確認す るためのツール。

    Jenkins等のプラグイ ンも存在している ビルドプロセスに組み 込等により、利⽤して いるライブラリに既知 の脆弱性が含まれてい ないことを確認する際 に活⽤されている AppSensor ウェブアプリに対する 攻撃を検知、分析し、 ⾃動的に応答すること により攻撃を防ぐため のツール ウェブアプリの運⽤時 に活⽤されている Broken Web Apps 既知の脆弱性を含むウ ェブアプリ、脆弱性を 敢えて作りこんだウェ ブアプリ等様々なウェ ブアプリが詰め合わさ れているツール 脆弱性の検出⽅法を理 解するための⾃⼰啓発 に活⽤されている Snakes and Ladders 遊びながらOWASP Top10とMobile Top10で紹介されてい る脆弱性を勉強するた めのツール ウェブアプリやモバイ ルアプリの脆弱性を理 解するための⾃⼰啓発 に活⽤されている Defender Builder 活⽤可能な主要な資料・ツールの⼀覧 Breaker Defender Manager Defender :資料 :ツール :⽇本語 :英語 Breaker Builder