Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP SAMMを活用したセキュア開発の推進

D2c0774c30304e4970b502118aa791fe?s=47 OWASP Japan
March 11, 2019
Technology
0
560

OWASP SAMMを活用したセキュア開発の推進

OWASP Night 2019.03 in Tokyo
OWASP SAMMを活用したセキュア開発の推進
神戸デジタル・ラボ 松田康司

D2c0774c30304e4970b502118aa791fe?s=128

OWASP Japan

March 11, 2019
Tweet

More Decks by OWASP Japan

See All by OWASP Japan
OWASP Night 2019.03 Tokyo
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
270
20190107_AbuseCaseCheatSheet
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
120
セキュリティ要求定義で使える非機能要求グレードとASVS
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
5
500
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
9
2.4k
Shifting Left Like a Boss
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
2
190
OWASP Top 10 and Your Web Apps
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
2
350
OWASP Japan Proposal: Encouraging Japanese Translation
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
1
170
elegance_of_OWASP_Top10_2017
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
2
420
OWASP Top10 Translation YOMOYAMA talk by Ando-san
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
400

Other Decks in Technology

See All in Technology
Custom GitHub Actions by Java
E68f2e8b47dc1769380a1fa8181df3dd?s=48 kazamori
0
290
OpsJAWS Meetup21 システム運用アンチパターンのすすめ
96c31fe94f5e9b0eef4a606eaadcbc04?s=48 yoshiiryo1
0
1.5k
ノーコードで Stripeを使いこなす3つの方法 / jp-stripes-online-vol-4
E77ca94266ffd3d69f8aee91f7468264?s=48 stripehideokamoto
0
300
データ分析で切り拓け! エンジニアとしてのデータ分析職キャリア戦略
43ba5a2227c580ce2290544d81c6261c?s=48 ksnt
0
170
SlackBotで あらゆる業務を自動化。問い合わせ〜DevOpsまで #CODT2022
384ef83de6b166677314f14f99aee1cd?s=48 kogatakanori
0
930
機械学習システムのアーキテクチャとデザインパターン
Ab00369879507922677a971b56cec3ae?s=48 washizaki
1
540
【SAP知らない人向け】SAP on AWS 個人学習メモ/sap-on-aws-study
97b3cca999b52cb5296675ac0a5c12cd?s=48 emiki
3
2.3k
Building smarter apps with machine learning, from magic to reality
7e6a435700dda6cdb22105d601f20892?s=48 picardparis
4
3.2k
Citizen 개발기
748a6dc8b4eaba0fde62909e39be7987?s=48 outsider
0
290
Rethinking how distributed applications are built
08701c3eabe85450809695cf290ef675?s=48 tillrohrmann
0
100
Power AutomateでのAdaptive Cards
C0c0e8e4d7f83912cb1b1a0699df82a5?s=48 miyakemito
1
620
QiitaConference2022
0684ef0f8b92614508e0c323c3619462?s=48 fuwasegu
0
190

Featured

See All Featured
Automating Front-end Workflow
96270e4c3e5e9806cf7245475c00b275?s=48 addyosmani
1351
200k
How to train your dragon (web standard)
053e75a5b48b44d6dd0612795dfb326d?s=48 notwaldorf
58
3.9k
Stop Working from a Prison Cell
C1daf20e5c49ff910745198ef9869ac2?s=48 hatefulcrawdad
261
17k
Six Lessons from altMBA
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
14
1.4k
Put a Button on it: Removing Barriers to Going Fast.
Bfd6b681ec6e8c9bef82ff0521c364f7?s=48 kastner
56
2.3k
How to name files
0a4f62e90c976eeb44d33add75cca5af?s=48 jennybc
40
61k
Gamification - CAS2011
4394ceb8b277f35ee3da7030384efb5d?s=48 davidbonilla
75
3.9k
Done Done
282d599b414022eba5096510f675b6e2?s=48 chrislema
174
14k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
D8fc2580cfaca035f666d9e4ee79a7f7?s=48 mongodb
29
4.3k
The Pragmatic Product Professional
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
19
3k
Designing the Hi-DPI Web
C157b16234f1e75e8eac3698c1d4414a?s=48 ddemaree
272
32k
The Power of CSS Pseudo Elements
5b6a2bd86ef643786a381a212e0ef2f1?s=48 geoffreycrofte
47
3.9k

Transcript

  1. OWASP SAMMを活用した セキュア開発の推進 2019/03/11 松田康司

  2. 自己紹介 • 松田康司 (まつだこうじ) • 株式会社神戸デジタル・ラボ セキュア開発推進・プロジェクトサポートチーム • カレー好きです

  3. 今日の話 • 全ての開発プロジェクトをセキュアにするため にOWASP SAMMを活用する話 • この活動で活用している他のOWASPドキュメ ントの紹介

  4. きっかけ • 開発部門の納品前の脆弱性診断を担当した • 似たような診断結果が多く、同じ指摘を何度 もしていることが判明 • さらに、結果の中には、修正の多く工数がか かるものもあった

  5. None

  6. シフトレフト

  7. OWASP SAMMについて

  8. OWASP SAMMとは? Software Assurance Maturity Model • 開発プロジェクトの成熟度を評価し、定量化・ 可視化を実現 •

    継続改善に向けたツールを提供 • より成熟したセキュア開発を行うことを支援す るドキュメント https://owaspsamm.org/ (v1.5 stable, v2.0 beta) https://www.jpcert.or.jp/securecoding_materials.html (v1.0 日本語)

  9. 定量化・可視化 4つのカテゴリ、12のアクティビティ、77のチェック項目 プロジェクトメンバーにヒアリングすることで可視化ができる

  10. 定量化・可視化 チェック項目の一例(v1.0) ◆戦略&指標

  11. 継続改善 四半期ごとのサイクル 目標設定 計画立案 実行 評価 OWASP SAMMで 可視化する OWASPのその他

    のドキュメントを 活用 OWASP SAMMの ロードマップテン プレートを活用 OWASP SAMMの ロードマップテン プレートを活用

  12. OWASP SAMMを活用する

  13. 活用にあたって 1. 開発プロジェクトでの活用 2. 結果の公開 3. やり始めたプロジェクトのサポート

  14. 1.開発プロジェクトでの活用 ◆現状の可視化 セキュリティテストに大きく依存した体制

  15. 1.開発プロジェクトでの活用 ◆現状の可視化 プロジェクトメンバーに現状を伝えることに役立つ

  16. 1.開発プロジェクトでの活用 ◆目標設定 業種別のロードマップテンプレートの活用 • 独立系ソフトウェアベンダ • オンラインサービスプロバイダ • 金融サービス機関 •

    政府機関

  17. 1.開発プロジェクトでの活用 4つのカテゴリと12のアクティビティ

  18. • 脅威の査定 – Threat Modeling Cheat Sheet • セキュリティ要件 –

    OWASP Application Security Verification Standard – Webシステム/Webアプリケーションセキュリティ要件書 • セキュアなアーキテクチャ – OWASP Proactive Controls • コードレビュー – 各種チートシート

  19. OWASP ASVS Application Security Verification Standard ◆Webアプリケーションの開発、設計、テストで必要となるセキュリティ要件 https://github.com/OWASP/ASVS/tree/master/4.0 (v4.0) https://www.jpcert.or.jp/securecoding/materials-owaspasvs.html

    (v3.0.1 日本語) レベル1: 全てのアプリケーションが対象 レベル2: 機微なデータを扱うアプリケーションが対象 レベル3: さらに高度な信頼性が求められるアプリケーションが対 象 アプリケーションの内容によって、満たすべきレベルを決める。

  20. OWASP ASVS Application Security Verification Standard

  21. Webシステム/Webアプリケーション セキュリティ要件書 ◆安全なWebアプリケーションの開発に必要なセキュリティ要件 https://github.com/ueno1000/secreq (v3.0 日本語)

  22. • 簡単にプロジェクトメンバーに満たすべき要 件を伝えられることができた • 要件に対して、実装方法まで議論した • コードレビューの観点が決まり、短時間でコー ドレビューができた

  23. ◆要件 ◆実装 • サーバ側でFormManagerを作成 • 全ての入力値検証をFormManagerで行うルールとする ◆レビュー観点 • FormManager を使っていること

    • 文字種、文字列、形式をvalidatorに記載していること

  24. 共通フレームワーク 開発者 案件開発者 脆弱性診断 診断からのフィードバック ①実装 ②利用 ③納品前診断 ④結果FB

  25. 2.結果の公開 • 今までの内容を定期的に社内で発信 • フィードバックをもらいつつ、やり方を見直す • 自分自身も情報整理ができる

  26. 3.やり始めたプロジェクトのサポート • の予定。まだまだ道半ば。

  27. まとめ

  28. まとめ • OWASP SAMMは、成熟したセキュア開発を行 うことを支援する • OWASPのドキュメントを使って、簡単化を行う • 結果を常に公開し、フィードバックをもらうこと で、生産技術に反映できる

  29. ご清聴ありがとうございました。