OWASP Japan Short Presentation #JTF2015

Transcript

1. 情報セキュリティとの うまい付き合い⽅方   2015/07/26   ⽯石切切⼭山 　開  

2. $  whoami   •  ⽯石切切⼭山 　開  (  いしきりやま 　かい  )   • 

   OWASP  Japan  プロモーションチーム所属   •  社会⼈人2年年⽬目のインフラエンジニア   •  セキュリティとの関わりは学⽣生時代の縁  

3. $  man  OWASP   Open   Web   Application  

   Security   Project  

4. $  man  OWASP   Open   Web   Application  

   Security   Project  

5. $  man  OWASP   •  Webアプリケーションのセキュリティ向上や、   セキュアなWebサービスの展開を⽬目的として   2001年年12⽉月1⽇日に設⽴立立された

     オープンコミュニティ   •  世界198ヶ国にローカルチャプター  (  現地⽀支部  )  が あり、4300⼈人以上のメーリングリスト参加者が 様々なプロジェクトに参加  

6. $  man  OWASP   https://twitter.com/owasp  @owasp   https://www.owasp.org  

7. $  man  OWASP  Japan   •  2011年年末に⽇日本のローカルチャプターとして設⽴立立   •  プロジェクトやドキュメントの翻訳、

     ⽇日本発のプロジェクトチーム設⽴立立、   3ヶ⽉月に1回の勉強会の開催   •  2014年年2⽉月に  OWASP  Kansai  設⽴立立   •  2015年年2⽉月に  OWASP  Kyushu  設⽴立立  

8. $  man  OWASP  Japan   https://www.owasp.org/index.php/japan   https://www.facebook.com/owaspjapan   https://twitter.com/owaspjapan

     @OwaspJapan  

9. プロモーションブログはじめました   https://blog.owaspjapan.org   $  man  OWASP  Japan  

10. $  cd  maintheme  

11. $  cd  maintheme   情報セキュリティとのうまい付き合い⽅方  

12. 夏⾵風邪が流流⾏行行っているらしいです  

13. 夏⾵風邪が流流⾏行行っているらしいです   •  予備知識識   •  ⼿手洗い・うがい   •  健康診断・⼈人間ドック

      •  早めのパブ◦ン   •  通院治療療、お医者さんに相談   •  普段から体⼒力力づくり   •  ⽣生活習慣の⾒見見直し……etc  

14. 普段通り健康に⽣生きていく   ↓   予防する   ↓   それでもダウンする時もある  

15. 絶対に⾵風邪ひかない⼈人はいない  

16. 普段通り運⽤用を継続する   普段通りサービスを提供し続ける   ↓   予防する   ↓  

    それでもダウンする時もある  

17. 絶対に安全というものは存在しない  

18. でもセキュリティってよくわからないし…  

19. •  予備知識識   •  ⼿手洗い・うがい   •  健康診断・⼈人間ドック   • 

    早めのパブ◦ン   •  通院治療療、お医者さんに相談   •  普段から体⼒力力づくり   •  ⽣生活習慣の⾒見見直し……etc  

20. 皆さん普段から⾵風邪引かないように   ⾊色々対策されてますよね？  

21. 当たり前になってますよね？  

22. •  Builder  (  つくる⼈人  )   •  Breaker  (  せめる⼈人

     )   •  Defender  (  まもる⼈人  )  

23. •  Builder  (  つくる⼈人  )   •  Breaker  (  せめる⼈人

     )   •  Defender  (  まもる⼈人  )  

24. •  ⽤用意周到   •  緻密な準備   •  巧妙な⼿手⼝口   • 

    かけてる時間と熱意の差   「意識識⾼高い」  

25. •  Builder  (  つくる⼈人  )   •  Breaker  (  せめる⼈人

     )   •  Defender  (  まもる⼈人  )  

26. •  運⽤用でカバー   •  ドキュメントなんてものはない   •  とりあえず動くもの   • 

    かけてる時間と熱意の差   「・・・・・・」  

27. 当たり前にすればイイ  

28. •  予備知識識   •  ⼿手洗い・うがい   •  健康診断・⼈人間ドック   • 

    早めのパブ◦ン   •  通院治療療、お医者さんに相談   •  普段から体⼒力力づくり   •  ⽣生活習慣の⾒見見直し……etc  

29. •  予備知識識  →  OWASP  Top  10   •  ⼿手洗い・うがい  →

     OWASP  Cheat  Sheets   •  健康診断・⼈人間ドック  →  OWASP  ZAP   •  早めのパブ◦ン   •  通院治療療、お医者さんに相談  →  イベント   •  普段から体⼒力力づくり   •  ⽣生活習慣の⾒見見直し  →  OWASP  Dependency-­‐Check  

30. 予備知識識  →  OWASP  Top  10  

31. $  man  OWASP  Top  10   •  最も注意すべき脆弱性Top10と、   それに対する対処法を説明

      •  Webアプリケーション版と   モバイル・アプリケーション版   •  3年年に1度度リリース   •  OWASP  Japanによって⽇日本語化   https://www.owasp.org/images/7/79/ OWASP_̲Top_̲10_̲2013_̲JPN.pdf  

32. 健康診断・⼈人間ドック  →  OWASP  ZAP  

33. $  man  OWASP  ZAP   •  OWASP  Zend  AOack  Proxy

      •  オープンソースのWebアプリケーション脆 弱性診断ツール   •  実⾏行行ボタン1つで簡易易な診断が可能   •  無料料で利利⽤用でき、⽇日本語にも対応   •  ⽇日本語資料料も充実  

34. 通院治療療、お医者さんに相談  →  イベント  

35. $  man  Event   •  3ヶ⽉月に1回の頻度度で「オワスプナイト」   – プレゼンやLTを踏まえたカジュアルな勉強会   – スキル、役職、業種、国籍、性別、年年齢

      にかかわらず参加できる  

36. ⽣生活習慣の⾒見見直し  →  OWASP  Dependency  Check  

37. $  man  OWASP  Dependency  Check   •  フレームワークやライブラリが   既知の脆弱性を持っていないかを

      確認するツール   •  Maven  Plugin   •  Ant  Task   •  Jenkins  Plugin  

38. $  useradd  皆さん   メーリングリストに登録してください   http://www.owasp.org/index.php/japan   •  プロジェクトの情報

      •  イベントの告知や申し込み⽅方法 などが届きます  

39. $  cd  まとめ   •  健康は1⽇日にしてならず   •  運⽤用の苦労はみなさんの⽅方がご存知  

    •  当たり前って⼤大事  

40. 誰もが安⼼心して使えるWebの世界を   つくる⼈人として  

41. $  EOF   Any  Question?    [y/N]: