OWASP Kansai 2019.06/OWASP ASVS 4.0から思うこと

OWASP Kansai 2019.06/OWASP ASVS 4.0から思うこと

「OWASP Kansai ローカルチャプターミーティング 2019.06 〜CyBEERセキュリティをたこ・こなもんに〜」にて
神戸デジタルラボ 松田 康司さんに発表いただいたLT3「OWASP ASVS 4.0から思うこと」です

341ac9f717b3904d6674784c0fcd9cf2?s=128

OWASP Kansai

June 16, 2019
Tweet

Transcript

  1. OWASP ASVS 4.0から思うこと 松田康司(@koujimatsuda11)

  2. 自己紹介 松田康司(まつだこうじ) お仕事 • 神戸 • SIer歴10年ぐらい • セキュリティは、3年ぐらい •

    脆弱性診断してます • 家にPCはないです(セキュア!!)
  3. What's OWASP ASVS Application Security Verification Standard アプリケーションセキュリティ検証標準 https://github.com/OWASP/ASVS/tree/master/4.0 (v4.0)

    https://www.jpcert.or.jp/securecoding/materials-owaspasvs.html (v3.0.1 日本語)
  4. What's OWASP ASVS Web アプリケーションを設計、開発、テストするときに必要となる、セ キュリティ要件および管理策(controls)のフレームワーク ◆ASVSには、3つの検査レベルがあり、アプリケーションの内容によって決まる。 ASVS レベル 1

    は、すべてのソフトウェアを対象とする ASVS レベル 2 は、保護を必要とする機微なデータを含むアプリケーションを対象とする ASVS レベル 3 は、最も重要度が高いアプリケーション、つまり、最高レベルの信頼性を 必要とするあらゆるアプリケーション (高い価値を伴う取引を行うものや,機微な医療デー タを含むものなど) を対象とする レベルごとの検証要件がある。
  5. What's OWASP ASVS V2: 認証に関する検証要件

  6. OWASP ASVS 4.0

  7. What's new in 4.0 • NIST 800-63-3 Digital Identity Guidelines

    の採用 • ASVS番号が一新された • CWEへのマッピングを追加 • OWASP Top 10 2017およびOWASP Proactive Controls 2018 • ASVS 4.0 Level 1がPCI DSS 3.2.1 Sections 6.5のスーパーセット となるよう着手 • モノリシックなサーバサイドのみのcontrolsからの脱却 • モバイルセクションは、モバイルアプリケーションセキュリティ 検証標準(MASVS)へ • 影響の少ないcontrolsの削除
  8. ASVS Level 1 ◆4.0 ASVS Level 1 is for low

    assurance levels, and is completely penetration testable ◆3.0.1 ASVS Level 1 is meant for all software.
  9. ASVS Level 2 ◆4.0 ASVS Level 2 is for applications

    that contain sensitive data, which requires protection and is the recommended level for most apps. ◆3.0.1 ASVS Level 2 is for applications that contain sensitive data, which requires protection.
  10. Level 1 is the only level that is completely penetration

    testable using humans. All others require access to documentation, source code, configuration, and the people involved in the development process. However, even if L1 allows "black box" (no documentation and no source) testing to occur, it is not effective assurance and must stop. ブラックボックステストだけでは、十分に保証されない
  11. ASVS Level 1 V2.1 Password Security Requirements パスワードのセキュリティ要件 2.1.1 パスワードは、12文字以上

    2.1.2 パスワードは、64文字以上が許可される
  12. ASVS Level 2 V2.4 Credential Storage Requirements クレデンシャル保管要件 2.4.1 パスワードをhash化して保管する

    2.4.4 Bcryptの場合、13回以上行う
  13. ASVS Level 1 V7.1 Log Content Requirements ログの内容に関する要件 7.1.1 クレデンシャルや支払い詳細がログに残らないこと

    セッショントークンは、不可逆的なハッシュ形式でのみロ グに格納する
  14. ASVS Level 2 V7.1 Log Content Requirements ログの内容に関する要件 7.1.3 成功および失敗した認証イベント、アクセス制御の

    失敗、デシリアライズの失敗、および入力検証の失敗を含 むセキュリティ関連のイベントを記録していること
  15. まとめ ブラックボックステストでは保証できない ドキュメント、ソースコード、設定、開発者へのヒ アリングが必要

  16. 内製化?