Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP-ProactiveControl2016-Japanese#20160227OWA...
Search
OWASP Japan
February 27, 2016
600
3
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OWASP-ProactiveControl2016-Japanese#20160227OWASPDAY
OWASP Japan
February 27, 2016
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
400
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
1.1k
20190107_AbuseCaseCheatSheet
owaspjapan
0
220
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
1.2k
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
3.5k
Shifting Left Like a Boss
owaspjapan
2
340
OWASP Top 10 and Your Web Apps
owaspjapan
2
430
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
290
elegance_of_OWASP_Top10_2017
owaspjapan
2
580
Featured
See All Featured
Evolving SEO for Evolving Search Engines
ryanjones
0
220
How to Ace a Technical Interview
jacobian
281
24k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
200
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.5k
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
1
390
How to Talk to Developers About Accessibility
jct
2
250
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
55k
The agentic SEO stack - context over prompts
schlessera
0
820
HTML-Aware ERB: The Path to Reactive Rendering @ RubyCon 2026, Rimini, Italy
marcoroth
1
230
Skip the Path - Find Your Career Trail
mkilby
1
150
Deep Space Network (abreviated)
tonyrice
0
210
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
430
Transcript
OWASP Proactive Controls 2016 日本語翻訳版リリース 倉持 浩明 OWASP Japan LAC
Co., Ltd. @OWASP DAY 2016 2016/02/27
OWASP Proactive Controls • "Proactive Control"とは"事前の対策" • OWASP Top 10で列挙した脆弱性を作りこまないようにするた
めに、事前の対策についてまとめたガイドライン • セキュアなソフトウェア開発の具体的な第一歩 • 開発者に読んでもらいたいドキュメント https://www.owasp.org/index.php/OWASP_Proactive_Controls
OWASP Top10とProactive Controls 脆弱性の カタログ 開発者は どこから始めればよいか? テーマごとの 簡潔な解説 日本語版あります
日本語版できました JPCERTさん 絶賛翻訳中!
Proactive Controls 2016までのみちのり 2014版 V1.0 英語、フランス語、ヘブライ語 2016版 V2.0 2016版 V2.0(日本語版)
Proactive Controls 2016 C1:早期に、繰り返しセキュリティを検証する C2:クエリーのパラメータ化 C3:データのエンコーディング C4:すべての入力値を検証する C5:アイデンティティと認証管理の実装 C6:適切なアクセス制御の実装 C7:データの保護
C8:ロギングと侵入検知の実装 C9:セキュリティフレームワークやライブラリの活用 C10:エラー処理と例外処理
2014→2016 変更点のみどころ が「もっとも大事」 – C1:早期に、繰り返しセキュリティを検証する – セキュリティテストを開発(テスト)プロセスに統合する • C5:アイデンティティと認証管理の実装 –
多要素認証、モバイル、パスワードのハッシュ化などが追加 • C8:ロギングと侵入検知の実装 – AppSensor活用、モバイルが追加 • C9:セキュリティフレームワークやライブラリ を反映 • 全面に した記述 – エンコード、入力値検証、暗号化、ロギング • XSSでDomBasedXSSが加わった
【補足】C1:早期に、繰り返しセキュリティを検証する Security Testing > Security Scanning 11.6秒ごとにデプロイされるのに、ゲートウエイ型のセキュリティスキャンは対応できない セキュリティ診断ツールでは機能面のセキュリティをテストできない
セキュリティ診断ツールはDevOpsでいうプロセスの自働化に向かない 要求仕様はテストコードで記述することができる 「テストコード」は構成管理の対象とすることができる Continuous Security Testing with Devops - OWASP EU 2014 http://www.slideshare.net/StephendeVries2/continuous-security-testing-with-devops
OWASP Top10-Mapping
Proactive Controls 今後のロードマップ • (本家)解説用PowerPointの2016年版を作成 • (本家)チートシートシリーズとのマッピングを追加 • (Japan)日本語化されたチートシートシリーズへのリファレンス作成
OWASP Proactive Controls 2016日本語版製作チーム • 倉持 浩明(OWASP Japan/株式会社ラック) • 藤本
博史(株式会社ラック) • 永井 英徳(株式会社ラック) • 岡田 良太郎 (OWASP Japan/株式会社アスタリスク・リサーチ) • ロバート・ドラーチャ(OWASP Japan/株式会社アスタリスク・リサーチ) • 渡邉 浩一郎 • Kenichi Shibamoto 様 • Takanori Nakanowatari 様 • Satoshi Shida 様 • 緑川 敬紀 様 • Tokimoto Yoshinori 様 • 水野 史土 様 • owasp-japanメーリングリスト参加者の方々 レビューにご協力いただいた皆様(ありがとうございます!) • Hisae Aonami 様
GET OWASP Proactive Controls 2016-Japanese https://goo.gl/DjS8pI