Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP Japan Short Presentation #JTF2015

OWASP Japan
July 26, 2015
3
3.8k

OWASP Japan Short Presentation #JTF2015

OWASP Japan

July 26, 2015
Tweet

More Decks by OWASP Japan

See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
280
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
700
20190107_AbuseCaseCheatSheet
owaspjapan
0
130
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
610
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
2.6k
Shifting Left Like a Boss
owaspjapan
2
250
OWASP Top 10 and Your Web Apps
owaspjapan
2
350
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
180
elegance_of_OWASP_Top10_2017
owaspjapan
2
430

Featured

See All Featured
YesSQL, Process and Tooling at Scale
rocio
158
13k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
658
120k
What’s in a name? Adding method to the madness
productmarketing
PRO
14
2.1k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
23
1.8k
Into the Great Unknown - MozCon
thekraken
6
480
Art, The Web, and Tiny UX
lynnandtonic
285
18k
Code Review Best Practice
trishagee
52
12k
Why You Should Never Use an ORM
jnunemaker
PRO
49
8.1k
How GitHub Uses GitHub to Build GitHub
holman
466
280k
The MySQL Ecosystem @ GitHub 2015
samlambert
240
11k
Ruby is Unlike a Banana
tanoku
93
9.7k
Gamification - CAS2011
davidbonilla
75
4.2k

Transcript

  1. 情報セキュリティとの
    うまい付き合い⽅方  
    2015/07/26  
    ⽯石切切⼭山  開  

    View Slide

  2. $  whoami  
    •  ⽯石切切⼭山  開  (  いしきりやま  かい  )  
    •  OWASP  Japan  プロモーションチーム所属  
    •  社会⼈人2年年⽬目のインフラエンジニア  
    •  セキュリティとの関わりは学⽣生時代の縁  

    View Slide

  3. $  man  OWASP  
    Open  
    Web  
    Application  
    Security  
    Project  

    View Slide

  4. $  man  OWASP  
    Open  
    Web  
    Application  
    Security  
    Project  

    View Slide

  5. $  man  OWASP  
    •  Webアプリケーションのセキュリティ向上や、  
    セキュアなWebサービスの展開を⽬目的として  
    2001年年12⽉月1⽇日に設⽴立立された  
    オープンコミュニティ  
    •  世界198ヶ国にローカルチャプター  (  現地⽀支部  )  が
    あり、4300⼈人以上のメーリングリスト参加者が
    様々なプロジェクトに参加  

    View Slide

  6. $  man  OWASP  
    https://twitter.com/owasp  @owasp  
    https://www.owasp.org  

    View Slide

  7. $  man  OWASP  Japan  
    •  2011年年末に⽇日本のローカルチャプターとして設⽴立立  
    •  プロジェクトやドキュメントの翻訳、  
    ⽇日本発のプロジェクトチーム設⽴立立、  
    3ヶ⽉月に1回の勉強会の開催  
    •  2014年年2⽉月に  OWASP  Kansai  設⽴立立  
    •  2015年年2⽉月に  OWASP  Kyushu  設⽴立立  

    View Slide

  8. $  man  OWASP  Japan  
    https://www.owasp.org/index.php/japan  
    https://www.facebook.com/owaspjapan  
    https://twitter.com/owaspjapan  
    @OwaspJapan  

    View Slide

  9. プロモーションブログはじめました  
    https://blog.owaspjapan.org  
    $  man  OWASP  Japan  

    View Slide

  10. $  cd  maintheme  

    View Slide

  11. $  cd  maintheme  
    情報セキュリティとのうまい付き合い⽅方  

    View Slide

  12. 夏⾵風邪が流流⾏行行っているらしいです  

    View Slide

  13. 夏⾵風邪が流流⾏行行っているらしいです  
    •  予備知識識  
    •  ⼿手洗い・うがい  
    •  健康診断・⼈人間ドック  
    •  早めのパブ○ン  
    •  通院治療療、お医者さんに相談  
    •  普段から体⼒力力づくり  
    •  ⽣生活習慣の⾒見見直し……etc  

    View Slide

  14. 普段通り健康に⽣生きていく  
    ↓  
    予防する  
    ↓  
    それでもダウンする時もある  

    View Slide

  15. 絶対に⾵風邪ひかない⼈人はいない  

    View Slide

  16. 普段通り運⽤用を継続する  
    普段通りサービスを提供し続ける  
    ↓  
    予防する  
    ↓  
    それでもダウンする時もある  

    View Slide

  17. 絶対に安全というものは存在しない  

    View Slide

  18. でもセキュリティってよくわからないし…  

    View Slide

  19. •  予備知識識  
    •  ⼿手洗い・うがい  
    •  健康診断・⼈人間ドック  
    •  早めのパブ○ン  
    •  通院治療療、お医者さんに相談  
    •  普段から体⼒力力づくり  
    •  ⽣生活習慣の⾒見見直し……etc  

    View Slide

  20. 皆さん普段から⾵風邪引かないように  
    ⾊色々対策されてますよね?  

    View Slide

  21. 当たり前になってますよね?  

    View Slide

  22. •  Builder  (  つくる⼈人  )  
    •  Breaker  (  せめる⼈人  )  
    •  Defender  (  まもる⼈人  )  

    View Slide

  23. •  Builder  (  つくる⼈人  )  
    •  Breaker  (  せめる⼈人  )  
    •  Defender  (  まもる⼈人  )  

    View Slide

  24. •  ⽤用意周到  
    •  緻密な準備  
    •  巧妙な⼿手⼝口  
    •  かけてる時間と熱意の差  
    「意識識⾼高い」  

    View Slide

  25. •  Builder  (  つくる⼈人  )  
    •  Breaker  (  せめる⼈人  )  
    •  Defender  (  まもる⼈人  )  

    View Slide

  26. •  運⽤用でカバー  
    •  ドキュメントなんてものはない  
    •  とりあえず動くもの  
    •  かけてる時間と熱意の差  
    「・・・・・・」  

    View Slide

  27. 当たり前にすればイイ  

    View Slide

  28. •  予備知識識  
    •  ⼿手洗い・うがい  
    •  健康診断・⼈人間ドック  
    •  早めのパブ○ン  
    •  通院治療療、お医者さんに相談  
    •  普段から体⼒力力づくり  
    •  ⽣生活習慣の⾒見見直し……etc  

    View Slide

  29. •  予備知識識  →  OWASP  Top  10  
    •  ⼿手洗い・うがい  →  OWASP  Cheat  Sheets  
    •  健康診断・⼈人間ドック  →  OWASP  ZAP  
    •  早めのパブ○ン  
    •  通院治療療、お医者さんに相談  →  イベント  
    •  普段から体⼒力力づくり  
    •  ⽣生活習慣の⾒見見直し  →  OWASP  Dependency-­‐Check  

    View Slide

  30. 予備知識識  →  OWASP  Top  10  

    View Slide

  31. $  man  OWASP  Top  10  
    •  最も注意すべき脆弱性Top10と、  
    それに対する対処法を説明  
    •  Webアプリケーション版と  
    モバイル・アプリケーション版  
    •  3年年に1度度リリース  
    •  OWASP  Japanによって⽇日本語化  
    https://www.owasp.org/images/7/79/
    OWASP_̲Top_̲10_̲2013_̲JPN.pdf  

    View Slide

  32. 健康診断・⼈人間ドック  →  OWASP  ZAP  

    View Slide

  33. $  man  OWASP  ZAP  
    •  OWASP  Zend  AOack  Proxy  
    •  オープンソースのWebアプリケーション脆
    弱性診断ツール  
    •  実⾏行行ボタン1つで簡易易な診断が可能  
    •  無料料で利利⽤用でき、⽇日本語にも対応  
    •  ⽇日本語資料料も充実  

    View Slide

  34. 通院治療療、お医者さんに相談  →  イベント  

    View Slide

  35. $  man  Event  
    •  3ヶ⽉月に1回の頻度度で「オワスプナイト」  
    – プレゼンやLTを踏まえたカジュアルな勉強会  
    – スキル、役職、業種、国籍、性別、年年齢  
    にかかわらず参加できる  

    View Slide

  36. ⽣生活習慣の⾒見見直し  →  OWASP  Dependency  Check  

    View Slide

  37. $  man  OWASP  Dependency  Check  
    •  フレームワークやライブラリが  
    既知の脆弱性を持っていないかを  
    確認するツール  
    •  Maven  Plugin  
    •  Ant  Task  
    •  Jenkins  Plugin  

    View Slide

  38. $  useradd  皆さん  
    メーリングリストに登録してください  
    http://www.owasp.org/index.php/japan  
    •  プロジェクトの情報  
    •  イベントの告知や申し込み⽅方法
    などが届きます  

    View Slide

  39. $  cd  まとめ  
    •  健康は1⽇日にしてならず  
    •  運⽤用の苦労はみなさんの⽅方がご存知  
    •  当たり前って⼤大事  

    View Slide

  40. 誰もが安⼼心して使えるWebの世界を  
    つくる⼈人として  

    View Slide

  41. $  EOF  
    Any  Question?    [y/N]:  

    View Slide