Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP-ProactiveControl2016-Japanese#20160227OWA...

OWASP Japan
February 27, 2016
3
540

 OWASP-ProactiveControl2016-Japanese#20160227OWASPDAY

OWASP Japan

February 27, 2016
Tweet

More Decks by OWASP Japan

See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
320
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
930
20190107_AbuseCaseCheatSheet
owaspjapan
0
150
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
880
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
3.1k
Shifting Left Like a Boss
owaspjapan
2
270
OWASP Top 10 and Your Web Apps
owaspjapan
2
360
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
220
elegance_of_OWASP_Top10_2017
owaspjapan
2
500

Featured

See All Featured
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Thoughts on Productivity
jonyablonski
67
4.3k
Unsuck your backbone
ammeep
668
57k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
10
720
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
Gamification - CAS2011
davidbonilla
80
5k
YesSQL, Process and Tooling at Scale
rocio
169
14k
Git: the NoSQL Database
bkeepers
PRO
427
64k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k

Transcript

  1. OWASP Proactive Controls 2016 日本語翻訳版リリース 倉持 浩明 OWASP Japan LAC

    Co., Ltd. @OWASP DAY 2016 2016/02/27

  2. OWASP Proactive Controls • "Proactive Control"とは"事前の対策" • OWASP Top 10で列挙した脆弱性を作りこまないようにするた

    めに、事前の対策についてまとめたガイドライン • セキュアなソフトウェア開発の具体的な第一歩 • 開発者に読んでもらいたいドキュメント https://www.owasp.org/index.php/OWASP_Proactive_Controls

  3. OWASP Top10とProactive Controls 脆弱性の カタログ 開発者は どこから始めればよいか? テーマごとの 簡潔な解説 日本語版あります

    日本語版できました JPCERTさん 絶賛翻訳中!

  4. Proactive Controls 2016までのみちのり 2014版 V1.0 英語、フランス語、ヘブライ語 2016版 V2.0 2016版 V2.0(日本語版)

  5. Proactive Controls 2016 C1:早期に、繰り返しセキュリティを検証する C2:クエリーのパラメータ化 C3:データのエンコーディング C4:すべての入力値を検証する C5:アイデンティティと認証管理の実装 C6:適切なアクセス制御の実装 C7:データの保護

    C8:ロギングと侵入検知の実装 C9:セキュリティフレームワークやライブラリの活用 C10:エラー処理と例外処理

  6. 2014→2016 変更点のみどころ が「もっとも大事」 – C1:早期に、繰り返しセキュリティを検証する – セキュリティテストを開発(テスト)プロセスに統合する • C5:アイデンティティと認証管理の実装 –

    多要素認証、モバイル、パスワードのハッシュ化などが追加 • C8:ロギングと侵入検知の実装 – AppSensor活用、モバイルが追加 • C9:セキュリティフレームワークやライブラリ を反映 • 全面に した記述 – エンコード、入力値検証、暗号化、ロギング • XSSでDomBasedXSSが加わった

  7. 【補足】C1:早期に、繰り返しセキュリティを検証する Security Testing > Security Scanning  11.6秒ごとにデプロイされるのに、ゲートウエイ型のセキュリティスキャンは対応できない  セキュリティ診断ツールでは機能面のセキュリティをテストできない

     セキュリティ診断ツールはDevOpsでいうプロセスの自働化に向かない  要求仕様はテストコードで記述することができる  「テストコード」は構成管理の対象とすることができる Continuous Security Testing with Devops - OWASP EU 2014 http://www.slideshare.net/StephendeVries2/continuous-security-testing-with-devops

  8. OWASP Top10-Mapping

  9. Proactive Controls 今後のロードマップ • (本家)解説用PowerPointの2016年版を作成 • (本家)チートシートシリーズとのマッピングを追加 • (Japan)日本語化されたチートシートシリーズへのリファレンス作成

  10. OWASP Proactive Controls 2016日本語版製作チーム • 倉持 浩明(OWASP Japan/株式会社ラック) • 藤本

    博史(株式会社ラック) • 永井 英徳(株式会社ラック) • 岡田 良太郎 (OWASP Japan/株式会社アスタリスク・リサーチ) • ロバート・ドラーチャ(OWASP Japan/株式会社アスタリスク・リサーチ) • 渡邉 浩一郎 • Kenichi Shibamoto 様 • Takanori Nakanowatari 様 • Satoshi Shida 様 • 緑川 敬紀 様 • Tokimoto Yoshinori 様 • 水野 史土 様 • owasp-japanメーリングリスト参加者の方々 レビューにご協力いただいた皆様(ありがとうございます!) • Hisae Aonami 様

  11. GET OWASP Proactive Controls 2016-Japanese https://goo.gl/DjS8pI