Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP-ProactiveControl2016-Japanese#20160227OWASPDAY

OWASP Japan
February 27, 2016
3
520

 OWASP-ProactiveControl2016-Japanese#20160227OWASPDAY

OWASP Japan

February 27, 2016
Tweet

More Decks by OWASP Japan

See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
300
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
830
20190107_AbuseCaseCheatSheet
owaspjapan
0
150
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
770
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
2.9k
Shifting Left Like a Boss
owaspjapan
2
270
OWASP Top 10 and Your Web Apps
owaspjapan
2
360
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
200
elegance_of_OWASP_Top10_2017
owaspjapan
2
480

Featured

See All Featured
Building an army of robots
kneath
300
41k
Writing Fast Ruby
sferik
621
60k
The Art of Programming - Codeland 2020
erikaheidi
42
12k
The Invisible Customer
myddelton
114
12k
The Mythical Team-Month
searls
216
42k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
274
13k
Imperfection Machines: The Place of Print at Facebook
scottboms
260
12k
Build your cross-platform service in a week with App Engine
jlugia
225
17k
The Straight Up "How To Draw Better" Workshop
denniskardys
227
130k
Reflections from 52 weeks, 52 projects
jeffersonlam
345
19k
RailsConf 2023
tenderlove
4
540

Transcript

  1. OWASP Proactive Controls 2016 日本語翻訳版リリース 倉持 浩明 OWASP Japan LAC

    Co., Ltd. @OWASP DAY 2016 2016/02/27

  2. OWASP Proactive Controls • "Proactive Control"とは"事前の対策" • OWASP Top 10で列挙した脆弱性を作りこまないようにするた

    めに、事前の対策についてまとめたガイドライン • セキュアなソフトウェア開発の具体的な第一歩 • 開発者に読んでもらいたいドキュメント https://www.owasp.org/index.php/OWASP_Proactive_Controls

  3. OWASP Top10とProactive Controls 脆弱性の カタログ 開発者は どこから始めればよいか? テーマごとの 簡潔な解説 日本語版あります

    日本語版できました JPCERTさん 絶賛翻訳中!

  4. Proactive Controls 2016までのみちのり 2014版 V1.0 英語、フランス語、ヘブライ語 2016版 V2.0 2016版 V2.0(日本語版)

  5. Proactive Controls 2016 C1:早期に、繰り返しセキュリティを検証する C2:クエリーのパラメータ化 C3:データのエンコーディング C4:すべての入力値を検証する C5:アイデンティティと認証管理の実装 C6:適切なアクセス制御の実装 C7:データの保護

    C8:ロギングと侵入検知の実装 C9:セキュリティフレームワークやライブラリの活用 C10:エラー処理と例外処理

  6. 2014→2016 変更点のみどころ が「もっとも大事」 – C1:早期に、繰り返しセキュリティを検証する – セキュリティテストを開発(テスト)プロセスに統合する • C5:アイデンティティと認証管理の実装 –

    多要素認証、モバイル、パスワードのハッシュ化などが追加 • C8:ロギングと侵入検知の実装 – AppSensor活用、モバイルが追加 • C9:セキュリティフレームワークやライブラリ を反映 • 全面に した記述 – エンコード、入力値検証、暗号化、ロギング • XSSでDomBasedXSSが加わった

  7. 【補足】C1:早期に、繰り返しセキュリティを検証する Security Testing > Security Scanning  11.6秒ごとにデプロイされるのに、ゲートウエイ型のセキュリティスキャンは対応できない  セキュリティ診断ツールでは機能面のセキュリティをテストできない

     セキュリティ診断ツールはDevOpsでいうプロセスの自働化に向かない  要求仕様はテストコードで記述することができる  「テストコード」は構成管理の対象とすることができる Continuous Security Testing with Devops - OWASP EU 2014 http://www.slideshare.net/StephendeVries2/continuous-security-testing-with-devops

  8. OWASP Top10-Mapping

  9. Proactive Controls 今後のロードマップ • (本家)解説用PowerPointの2016年版を作成 • (本家)チートシートシリーズとのマッピングを追加 • (Japan)日本語化されたチートシートシリーズへのリファレンス作成

  10. OWASP Proactive Controls 2016日本語版製作チーム • 倉持 浩明(OWASP Japan/株式会社ラック) • 藤本

    博史(株式会社ラック) • 永井 英徳(株式会社ラック) • 岡田 良太郎 (OWASP Japan/株式会社アスタリスク・リサーチ) • ロバート・ドラーチャ(OWASP Japan/株式会社アスタリスク・リサーチ) • 渡邉 浩一郎 • Kenichi Shibamoto 様 • Takanori Nakanowatari 様 • Satoshi Shida 様 • 緑川 敬紀 様 • Tokimoto Yoshinori 様 • 水野 史土 様 • owasp-japanメーリングリスト参加者の方々 レビューにご協力いただいた皆様(ありがとうございます!) • Hisae Aonami 様

  11. GET OWASP Proactive Controls 2016-Japanese https://goo.gl/DjS8pI