Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP SAMMを活用したセキュア開発の推進

Avatar for OWASP Japan OWASP Japan
March 11, 2019
Technology
0
1.1k

OWASP SAMMを活用したセキュア開発の推進

OWASP Night 2019.03 in Tokyo
OWASP SAMMを活用したセキュア開発の推進
神戸デジタル・ラボ 松田康司

Avatar for OWASP Japan

OWASP Japan

March 11, 2019
Tweet

More Decks by OWASP Japan

See All by OWASP Japan
OWASP Night 2019.03 Tokyo
Avatar for OWASP Japan owaspjapan
0
390
20190107_AbuseCaseCheatSheet
Avatar for OWASP Japan owaspjapan
0
210
セキュリティ要求定義で使える非機能要求グレードとASVS
Avatar for OWASP Japan owaspjapan
5
1.1k
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
Avatar for OWASP Japan owaspjapan
9
3.5k
Shifting Left Like a Boss
Avatar for OWASP Japan owaspjapan
2
330
OWASP Top 10 and Your Web Apps
Avatar for OWASP Japan owaspjapan
2
420
OWASP Japan Proposal: Encouraging Japanese Translation
Avatar for OWASP Japan owaspjapan
1
280
elegance_of_OWASP_Top10_2017
Avatar for OWASP Japan owaspjapan
2
570
OWASP Top10 Translation YOMOYAMA talk by Ando-san
Avatar for OWASP Japan owaspjapan
0
570

Other Decks in Technology

See All in Technology
コンテキスト・ハーネスエンジニアリングの現在
Avatar for Hirosato Gamo hirosatogamo
PRO
6
760
スピンアウト講座05_実践活用事例
Avatar for overflow ,Inc overflowinc
0
1.1k
スピンアウト講座03_CLAUDE-MDとSKILL-MD
Avatar for overflow ,Inc overflowinc
0
1.1k
ReactのdangerouslySetInnerHTMLは“dangerously”だから危険 / Security.any #09 卒業したいセキュリティLT
Avatar for GMO Flatt Security flatt_security
0
480
「お金で解決」が全てではない!大規模WebアプリのCI高速化 #phperkaigi
Avatar for すてにゃん stefafafan
5
2.2k
中央集権型を脱却した話 分散型をやめて、連邦型にたどり着くまで
Avatar for SansanTech sansantech
PRO
1
320
建設DXを支えるANDPAD: 2025年のセキュリティの取り組みと卒業したいセキュリティ
Avatar for ANDPAD inc andpad
0
170
20260321_エンベディングってなに?RAGってなに?エンベディングの説明とGemini Embedding 2 の紹介
Avatar for tsho tsho
0
160
形式手法特論:SMT ソルバで解く認可ポリシの静的解析 #kernelvm / Kernel VM Study Tsukuba No3
Avatar for y_taka_23 ytaka23
1
760
開発チームとQAエンジニアの新しい協業モデル -年末調整開発チームで実践する【QAリード施策】-
Avatar for kaomi kaomi_wombat
0
230
BFCacheを活用して無限スクロールのUX を改善した話
Avatar for Ryuya Yanagi apple_yagi
0
110
A4)シラバスを超えて語る、テストマネジメント
Avatar for Sammy(MoritaMasami) moritamasami
0
120

Featured

See All Featured
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
59
6.4k
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
1
2.5k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
287
14k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
Avatar for Christian Goodrich cargoodrich
3
130
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
65
8.4k
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
2
2k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
6k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
17k
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
1
330
Lessons Learnt from Crawling 1000+ Websites
Avatar for Charles Meaden charlesmeaden
PRO
1
1.2k
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
1.8k

Transcript

  1. OWASP SAMMを活用した セキュア開発の推進 2019/03/11 松田康司

  2. 自己紹介 • 松田康司 (まつだこうじ) • 株式会社神戸デジタル・ラボ セキュア開発推進・プロジェクトサポートチーム • カレー好きです

  3. 今日の話 • 全ての開発プロジェクトをセキュアにするため にOWASP SAMMを活用する話 • この活動で活用している他のOWASPドキュメ ントの紹介

  4. きっかけ • 開発部門の納品前の脆弱性診断を担当した • 似たような診断結果が多く、同じ指摘を何度 もしていることが判明 • さらに、結果の中には、修正の多く工数がか かるものもあった

  5. None

  6. シフトレフト

  7. OWASP SAMMについて

  8. OWASP SAMMとは? Software Assurance Maturity Model • 開発プロジェクトの成熟度を評価し、定量化・ 可視化を実現 •

    継続改善に向けたツールを提供 • より成熟したセキュア開発を行うことを支援す るドキュメント https://owaspsamm.org/ (v1.5 stable, v2.0 beta) https://www.jpcert.or.jp/securecoding_materials.html (v1.0 日本語)

  9. 定量化・可視化 4つのカテゴリ、12のアクティビティ、77のチェック項目 プロジェクトメンバーにヒアリングすることで可視化ができる

  10. 定量化・可視化 チェック項目の一例(v1.0) ◆戦略&指標

  11. 継続改善 四半期ごとのサイクル 目標設定 計画立案 実行 評価 OWASP SAMMで 可視化する OWASPのその他

    のドキュメントを 活用 OWASP SAMMの ロードマップテン プレートを活用 OWASP SAMMの ロードマップテン プレートを活用

  12. OWASP SAMMを活用する

  13. 活用にあたって 1. 開発プロジェクトでの活用 2. 結果の公開 3. やり始めたプロジェクトのサポート

  14. 1.開発プロジェクトでの活用 ◆現状の可視化 セキュリティテストに大きく依存した体制

  15. 1.開発プロジェクトでの活用 ◆現状の可視化 プロジェクトメンバーに現状を伝えることに役立つ

  16. 1.開発プロジェクトでの活用 ◆目標設定 業種別のロードマップテンプレートの活用 • 独立系ソフトウェアベンダ • オンラインサービスプロバイダ • 金融サービス機関 •

    政府機関

  17. 1.開発プロジェクトでの活用 4つのカテゴリと12のアクティビティ

  18. • 脅威の査定 – Threat Modeling Cheat Sheet • セキュリティ要件 –

    OWASP Application Security Verification Standard – Webシステム/Webアプリケーションセキュリティ要件書 • セキュアなアーキテクチャ – OWASP Proactive Controls • コードレビュー – 各種チートシート

  19. OWASP ASVS Application Security Verification Standard ◆Webアプリケーションの開発、設計、テストで必要となるセキュリティ要件 https://github.com/OWASP/ASVS/tree/master/4.0 (v4.0) https://www.jpcert.or.jp/securecoding/materials-owaspasvs.html

    (v3.0.1 日本語) レベル1: 全てのアプリケーションが対象 レベル2: 機微なデータを扱うアプリケーションが対象 レベル3: さらに高度な信頼性が求められるアプリケーションが対 象 アプリケーションの内容によって、満たすべきレベルを決める。

  20. OWASP ASVS Application Security Verification Standard

  21. Webシステム/Webアプリケーション セキュリティ要件書 ◆安全なWebアプリケーションの開発に必要なセキュリティ要件 https://github.com/ueno1000/secreq (v3.0 日本語)

  22. • 簡単にプロジェクトメンバーに満たすべき要 件を伝えられることができた • 要件に対して、実装方法まで議論した • コードレビューの観点が決まり、短時間でコー ドレビューができた

  23. ◆要件 ◆実装 • サーバ側でFormManagerを作成 • 全ての入力値検証をFormManagerで行うルールとする ◆レビュー観点 • FormManager を使っていること

    • 文字種、文字列、形式をvalidatorに記載していること

  24. 共通フレームワーク 開発者 案件開発者 脆弱性診断 診断からのフィードバック ①実装 ②利用 ③納品前診断 ④結果FB

  25. 2.結果の公開 • 今までの内容を定期的に社内で発信 • フィードバックをもらいつつ、やり方を見直す • 自分自身も情報整理ができる

  26. 3.やり始めたプロジェクトのサポート • の予定。まだまだ道半ば。

  27. まとめ

  28. まとめ • OWASP SAMMは、成熟したセキュア開発を行 うことを支援する • OWASPのドキュメントを使って、簡単化を行う • 結果を常に公開し、フィードバックをもらうこと で、生産技術に反映できる

  29. ご清聴ありがとうございました。