Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up
for free
OWASP_Contents_Reference
OWASP Japan
April 05, 2016
Technology
2
900
OWASP_Contents_Reference
OWASP Japan
April 05, 2016
Tweet
Share
More Decks by OWASP Japan
See All by OWASP Japan
owaspjapan
0
250
owaspjapan
0
360
owaspjapan
0
110
owaspjapan
5
410
owaspjapan
9
2.1k
owaspjapan
2
160
owaspjapan
2
330
owaspjapan
1
150
owaspjapan
2
400
Other Decks in Technology
See All in Technology
karabish
0
250
nisshii0313
1
170
miyakemito
1
590
clustervr
0
240
inductor
1
130
twada
PRO
6
2k
mizzy
1
120
subroh0508
4
220
yuzutas0
8
3k
iwashi86
54
24k
1027kg
0
200
iwashi
1
200
Featured
See All Featured
bkeepers
321
53k
michaelherold
225
8.5k
notwaldorf
15
1.8k
lauravandoore
437
28k
colly
66
3k
caitiem20
308
17k
frogandcode
128
20k
shlominoach
176
7.5k
destraynor
222
47k
carmenhchung
31
1.5k
malarkey
119
16k
jonrohan
1021
380k
Transcript
運⽤ 保守 企画 要件定義 テスト 設計 開発 プロダクトマネジャー、CISO (Manager)
アーキテクト、開発者 (Builder) 品質担当者、脆弱性診断⼠ (Breaker) 運⽤保守担当者、管理者 (Defender) 実施すべきセキュリティ対策例 ・開発⽅針・体制整備 ・セキュリティ要件の決定 活⽤可能な資料・ツール例 ・OWASP ASVS ・セキュリティ要件書 実施すべきセキュリティ対策例 ・構成管理 ・脆弱性への対応 活⽤可能な資料・ツール例 ・Dependency Check ・AppSensor 実施すべきセキュリティ対策例 ・脆弱性を作りこまない設計・実装 ・セキュアコーディング 活⽤可能な資料・ツール例 ・Proactive Controls ・Cheat Sheet Series 実施すべきセキュリティ対策例 ・単体、結合、総合テスト ・セキュリティテスト 活⽤可能な資料・ツール例 ・Testing Guide ・Zed Attack Proxy(ZAP) 基礎 知識 ⼯程別活⽤可能な資料・ツールの紹介
名称 概要 対象 活⽤⽅法 OWASP Top 10 ウェブアプリにおいて 最も注意すべき10の脆 弱性とそれを作りこま
ない対処法を理解する ための資料。モバイル 版やIoT版も存在する 脆弱性の内容、確認⽅ 法、攻撃シナリオ、防 ⽌⽅法等を理解するた めに、企業における教 育や⾃⼰啓発等に活⽤ されている OWASP ASVS v3 組織におけるセキュリ ティに関する取組のレ ベルを設定し、そのレ ベルに応じた要件を実 現するのに活⽤するた めの資料 組織やシステムに対す るセキュリティレベル の状況の確認に加え、 その状況を証明する際 のエビデンスの作成に も活⽤されている セキュリティ要件書 v2 ウェブアプリに対して ⼀般的に盛り込むべき と考えられるセキュリ ティ要件を理解するた めの資料 ウェブアプリの要件定 義⼯程におけるセキュ リティ要件の策定に活 ⽤されている Open SAMM v1 ⼯程ごとに組織が直⾯ するリスクに応じたセ キュリティ対策の策 定・実施を⽀援するた めの資料。最新版は v1.1 組織におけるセキュリ ティ対策の策定に活⽤ されている Manager Builder Breaker Defender Manager Builder Manager Builder 活⽤可能な主要な資料・ツールの⼀覧 Manager Builder Breaker Defender :資料 :ツール :⽇本語 :英語
名称 概要 対象 活⽤⽅法 Cheat Sheet Series セキュリティを⾼める ための知識や、それら 機能を実装する⽅法を
理解するための資料。 50以上の分冊で構成さ れている 個別具体的なセキュリ ティに関する知⾒を習 得するための⾃⼰啓発 に活⽤されている Proactive Controls v2 ウェブアプリの開発者 が注意すべき10のセキ ュリティ技術を理解す るための資料。 OWASP Top10の脆弱 性とも対応している ウェブアプリの開発⼯ 程を担当する開発者を 対象とした⾃⼰啓発に 活⽤されている Testing Guide v4 ウェブアプリに対する テストに関して、その ⽬的や⽅法を理解する ための資料。slackによ る情報共有スペースが 作られている ウェブアプリに対する テスト⼿法を習得する ための⾃⼰啓発に活⽤ されている ZAP v2.4 ウェブアプリに対する セキュリティテストを 実施するためのツー ル。v2.1に対応した⽇ 本語の運⽤マニュアル が整備されている ウェブアプリに対する セキュリティテストを 実施する際に活⽤され ている Builder Breaker Defender Builder Builder 活⽤可能な主要な資料・ツールの⼀覧 Breaker Breaker :資料 :ツール :⽇本語 :英語
名称 概要 対象 活⽤⽅法 Dependency Check 脆弱性が報告されてい るライブラリが利⽤さ れていないかを確認す るためのツール。
Jenkins等のプラグイ ンも存在している ビルドプロセスに組み 込等により、利⽤して いるライブラリに既知 の脆弱性が含まれてい ないことを確認する際 に活⽤されている AppSensor ウェブアプリに対する 攻撃を検知、分析し、 ⾃動的に応答すること により攻撃を防ぐため のツール ウェブアプリの運⽤時 に活⽤されている Broken Web Apps 既知の脆弱性を含むウ ェブアプリ、脆弱性を 敢えて作りこんだウェ ブアプリ等様々なウェ ブアプリが詰め合わさ れているツール 脆弱性の検出⽅法を理 解するための⾃⼰啓発 に活⽤されている Snakes and Ladders 遊びながらOWASP Top10とMobile Top10で紹介されてい る脆弱性を勉強するた めのツール ウェブアプリやモバイ ルアプリの脆弱性を理 解するための⾃⼰啓発 に活⽤されている Defender Builder 活⽤可能な主要な資料・ツールの⼀覧 Breaker Defender Manager Defender :資料 :ツール :⽇本語 :英語 Breaker Builder