OWASP_Contents_Reference

Transcript

1.   運⽤
   保守
   企画
   要件定義
   テスト
   設計
   開発
   プロダクトマネジャー、CISO
   （Manager）
   アーキテクト、開発者
   （Builder）
   品質担当者、脆弱性診断⼠
   （Breaker）
   運⽤保守担当者、管理者
   （Defender）
   実施すべきセキュリティ対策例
   ・開発⽅針・体制整備
   ・セキュリティ要件の決定
   活⽤可能な資料・ツール例
   ・OWASP ASVS
   ・セキュリティ要件書
   実施すべきセキュリティ対策例
   ・構成管理
   ・脆弱性への対応
   活⽤可能な資料・ツール例
   ・Dependency Check
   ・AppSensor
   実施すべきセキュリティ対策例
   ・脆弱性を作りこまない設計・実装
   ・セキュアコーディング
   活⽤可能な資料・ツール例
   ・Proactive Controls
   ・Cheat Sheet Series
   実施すべきセキュリティ対策例
   ・単体、結合、総合テスト
   ・セキュリティテスト
   活⽤可能な資料・ツール例
   ・Testing Guide
   ・Zed Attack Proxy（ZAP）
   基礎
   知識
   ⼯程別活⽤可能な資料・ツールの紹介
   

   View Slide

2. 名称 概要 対象 活⽤⽅法
   OWASP Top 10 ウェブアプリにおいて
   最も注意すべき10の脆
   弱性とそれを作りこま
   ない対処法を理解する
   ための資料。モバイル
   版やIoT版も存在する
   脆弱性の内容、確認⽅
   法、攻撃シナリオ、防
   ⽌⽅法等を理解するた
   めに、企業における教
   育や⾃⼰啓発等に活⽤
   されている
   OWASP ASVS v3 組織におけるセキュリ
   ティに関する取組のレ
   ベルを設定し、そのレ
   ベルに応じた要件を実
   現するのに活⽤するた
   めの資料
   組織やシステムに対す
   るセキュリティレベル
   の状況の確認に加え、
   その状況を証明する際
   のエビデンスの作成に
   も活⽤されている
   セキュリティ要件書 v2 ウェブアプリに対して
   ⼀般的に盛り込むべき
   と考えられるセキュリ
   ティ要件を理解するた
   めの資料
   ウェブアプリの要件定
   義⼯程におけるセキュ
   リティ要件の策定に活
   ⽤されている
   Open SAMM v1 ⼯程ごとに組織が直⾯
   するリスクに応じたセ
   キュリティ対策の策
   定・実施を⽀援するた
   めの資料。最新版は
   v1.1
   組織におけるセキュリ
   ティ対策の策定に活⽤
   されている
   Manager
   Builder
   Breaker
   Defender
   Manager
   Builder
   Manager
   Builder
   活⽤可能な主要な資料・ツールの⼀覧
   Manager
   Builder
   Breaker
   Defender
   ：資料 ：ツール
   ：⽇本語 ：英語
   

   View Slide

3. 名称 概要 対象 活⽤⽅法
   Cheat Sheet Series セキュリティを⾼める
   ための知識や、それら
   機能を実装する⽅法を
   理解するための資料。
   50以上の分冊で構成さ
   れている
   個別具体的なセキュリ
   ティに関する知⾒を習
   得するための⾃⼰啓発
   に活⽤されている
   Proactive Controls v2 ウェブアプリの開発者
   が注意すべき10のセキ
   ュリティ技術を理解す
   るための資料。
   OWASP Top10の脆弱
   性とも対応している
   ウェブアプリの開発⼯
   程を担当する開発者を
   対象とした⾃⼰啓発に
   活⽤されている
   Testing Guide v4 ウェブアプリに対する
   テストに関して、その
   ⽬的や⽅法を理解する
   ための資料。slackによ
   る情報共有スペースが
   作られている
   ウェブアプリに対する
   テスト⼿法を習得する
   ための⾃⼰啓発に活⽤
   されている
   ZAP v2.4 ウェブアプリに対する
   セキュリティテストを
   実施するためのツー
   ル。v2.1に対応した⽇
   本語の運⽤マニュアル
   が整備されている
   ウェブアプリに対する
   セキュリティテストを
   実施する際に活⽤され
   ている
   Builder
   Breaker
   Defender
   Builder
   Builder
   活⽤可能な主要な資料・ツールの⼀覧
   Breaker
   Breaker
   ：資料 ：ツール
   ：⽇本語 ：英語
   

   View Slide

4. 名称 概要 対象 活⽤⽅法
   Dependency Check 脆弱性が報告されてい
   るライブラリが利⽤さ
   れていないかを確認す
   るためのツール。
   Jenkins等のプラグイ
   ンも存在している
   ビルドプロセスに組み
   込等により、利⽤して
   いるライブラリに既知
   の脆弱性が含まれてい
   ないことを確認する際
   に活⽤されている
   AppSensor ウェブアプリに対する
   攻撃を検知、分析し、
   ⾃動的に応答すること
   により攻撃を防ぐため
   のツール
   ウェブアプリの運⽤時
   に活⽤されている
   Broken Web Apps 既知の脆弱性を含むウ
   ェブアプリ、脆弱性を
   敢えて作りこんだウェ
   ブアプリ等様々なウェ
   ブアプリが詰め合わさ
   れているツール
   脆弱性の検出⽅法を理
   解するための⾃⼰啓発
   に活⽤されている
   Snakes and Ladders 遊びながらOWASP
   Top10とMobile
   Top10で紹介されてい
   る脆弱性を勉強するた
   めのツール
   ウェブアプリやモバイ
   ルアプリの脆弱性を理
   解するための⾃⼰啓発
   に活⽤されている
   Defender
   Builder
   活⽤可能な主要な資料・ツールの⼀覧
   Breaker
   Defender
   Manager
   Defender
   ：資料 ：ツール
   ：⽇本語 ：英語
   Breaker
   Builder
   

   View Slide