DevOps時代に明⽇から活かせる セキュリティ対策術 OWASP Japan Promotion Team 仲⽥ 翔⼀ 2016/02/18 

本題に⼊る前に １．わたしはだれか? ２．OWASPとはなにか? ３．なぜデブサミで発表しているのか? 

仲⽥ 翔⼀ , PMP, CISSP 本業 〜2014.3 セキュリティエンジニア 2014.4〜 コンサルタント(IT、セキュリティ) OWASP 2013.3  OWASP Japan勉強会 初参加 2014.2  OWASP Japan勉強会 スピーカー 2014.3  国際カンファレンス 運営メンバー 2014.3〜 OWASP Japan 運営メンバー 2014.7〜 OWASP Japan PRチームリード 主な対外活動 2015.2  SECCONカンファレンス スピーカー 2015.10  PHPカンファレンス スピーカー 2015.10〜 CodeZine 連載寄稿 2016.2  NISCサイバーセキュリティ⽉間 単発寄稿 わたしはだれか? 

ウェブを取り巻く問題を解決するための国際的な
 ⾮営利コミュニティで誰もが参加可能 0 8 " 4 1 QFO FC QQMJDBUJPO FDVSJUZ SPKFDU OWASPとはなにか? 

OWASP Kyushu 2015.3〜 OWASP Kansai 2014.3〜 OWASP Japan 2012.3〜 OWASP Sendai New ⽇本では⾸都圏をはじめ、4つのチャプターが存在 OWASPとはなにか? 

各地で3ヶ⽉に1度の頻度で勉強会（オワスプナイト）を開催 ウェブをたしかなものに ウェブの問題を⾃分たちで解決したい！ OWASPとはなにか? 学⽣含めセキュリティを学ぶ TBD 

ワーキンググループを組成し、⽇本独⾃の成果物を作成 OWASPとはなにか? 脆弱性診断⼠ スキルマップ OWASP ZAP運⽤マニュアル OWASP成果物の⽇本語ver Webシステムセキュリティ要件書 

✕ 前職の所属組織 の影響 セキュリティ部⾨と他部⾨のコラボレーションを実現したい！ なぜデブサミで発表しているのか? OWASP Japanの活動を 通じて受けた影響 プログラマ、アーキテクト、プロジェクトマネジャー等 多岐に亘る⽴場の⽅が参加するデブサミが最適！ 

今⽇話すこと １．セキュリティ対策に関する2つの勘違い ２．効率的なセキュリティ対策を実現するには ３．OWASPの成果物をどう使うか? ４．ウェブ10⼤脆弱性の学びに! ５．設計・開発時のリファレンスに! ６．ウェブ開発における事前対策に! ７．セキュリティの取組の設定・確認に! ８．⼀歩進んでウェブ脆弱性テストに! ９．IoTにおける10⼤脅威の学びに! 

セキュリティ対策に関する2つの勘違い     セキュリティ対策は◯◯◯◯◯ １     セキュリティ対策は◯◯◯◯◯ ２ 

１     セキュリティ対策は後回しにしてよい ２     セキュリティ対策は難しい セキュリティ対策に関する2つの勘違い 

１     セキュリティ対策は後回しにしてよい ２     セキュリティ対策は難しい セキュリティ対策に関する2つの勘違い 

なぜセキュリティ対策は難しいと考えられがちなのか? ⽴場 ⼯程 考慮すべきセキュリティ事象 作成者 要件定義 セキュリティ要件 設計・開発 セキュリティバイデザイン セキュアコーディング テスト・導⼊ セキュリティテスティング 運⽤・保守 インシデントハンドリング ソフトウェアアップデート/パッチマネジメント 利⽤者 ⽇常 ウイルス/マルウェア対策 ソフトウェアアップデート アカウント乗っ取り対策（パスワード保護） フィッシング/ワンクリック詐欺対策 可搬記憶媒体の管理          ・・・等 セキュリティ対策に関する2つの勘違い 

なぜセキュリティ対策は難しいと考えられがちなのか? ⽴場 ⼯程 考慮すべきセキュリティ事象 作成者 要件定義 セキュリティ要件 設計・開発 セキュリティバイデザイン セキュアコーディング テスト・導⼊ セキュリティテスティング 運⽤・保守 インシデントハンドリング ソフトウェアアップデート/パッチマネジメント 利⽤者 ⽇常 ウイルス/マルウェア対策 ソフトウェアアップデート アカウント乗っ取り対策（パスワード保護） フィッシング/ワンクリック詐欺対策 可搬記憶媒体の管理          ・・・等 Ⓐ Ⓑ セキュリティ対策に関する2つの勘違い 

なぜセキュリティ対策は難しいと考えられがちなのか? ⽴場 ⼯程 考慮すべきセキュリティ事象 作成者 要件定義 セキュリティ要件 設計・開発 セキュリティバイデザイン セキュアコーディング テスト・導⼊ セキュリティテスティング 運⽤・保守 インシデントハンドリング ソフトウェアアップデート/パッチマネジメント 利⽤者 ⽇常 ウイルス/マルウェア対策 ソフトウェアアップデート アカウント乗っ取り対策（パスワード保護） フィッシング/ワンクリック詐欺対策 可搬記憶媒体の管理          ・・・等 Ⓐ Ⓐ⽴場・⼯程により考慮すべき  セキュリティ事象が異なる セキュリティ対策に関する2つの勘違い 

なぜセキュリティ対策は難しいと考えられがちなのか? ⽴場 ⼯程 考慮すべきセキュリティ事象 作成者 要件定義 セキュリティ要件 設計・開発 セキュリティバイデザイン セキュアコーディング テスト・導⼊ セキュリティテスティング 運⽤・保守 インシデントハンドリング ソフトウェアアップデート/パッチマネジメント 利⽤者 ⽇常 ウイルス/マルウェア対策 ソフトウェアアップデート アカウント乗っ取り対策（パスワード保護） フィッシング/ワンクリック詐欺対策 可搬記憶媒体の管理          ・・・等 Ⓑ Ⓑシステム固有のビジネスロジックに加え、  OSI参照モデルの第1層から7層までの理解が必要となる （物理事象を除き、⽬に⾒えないサイバー空間のセキュリティが対象） セキュリティ対策に関する2つの勘違い 

Ⓐ⽴場・⼯程により考慮すべきセキュリティ事象が異なる Ⓑシステム固有のビジネスロジックに加え、  OSI参照モデルの第1層から7層までの理解が必要となる （物理事象を除き、⽬に⾒えないサイバー空間のセキュリティが対象） 幅広かつ深い知⾒が必要だからセキュリティ対策は難しい（?） １ セキュリティ対策に関する2つの勘違い     セキュリティ対策は難しい 

ここでQuestion! どっちの鞄から狙いますか? チャックが全開 チャックが全閉 セキュリティ対策に関する2つの勘違い 

効率性を考えたらチャックが全開の鞄ですよね? チャックが全開 チャックが全閉 セキュリティ対策に関する2つの勘違い 

攻撃者は効率性を重視し、楽な対象すなわちセキュリティ意 識が低い利⽤者、セキュリティ対策が⽢いシステムを狙う! 攻撃にかかる負担やコストを⾼めるちょっとしたセキュ リティ意識向上やセキュリティ対策でも⼗分効果がある! セキュリティ対策に関する2つの勘違い 研究レベルのセキュリティは難しいけれど、システム実装に おけるセキュリティ対策はそれほど難しいものではない! 

１     セキュリティ対策は後回しにしてよい ２     セキュリティ対策は難しい セキュリティ対策に関する2つの勘違い 

なぜセキュリティ対策は後回しにされがちなのか? 要件⼤項⽬ 要件⼩項⽬ 実装 ユーザ満⾜ ⼯夫できることの⼀例 機能要件 ビジネスロジック 必須 直結 アジャイルやプロトタイピン グなどスピード感のある開発 ⼿法の導⼊ 画⾯⼀覧・画⾯遷移 データモデル 外部インタフェース バッチ⼀覧 帳票⼀覧 ⾮機能要件 （≒品質） 規模・性能要件 オンプレからクラウドに移⾏ 運⽤・保守要件 CIによる⾃動化 UI・UX 任意 専⾨職の採⽤ 外部に委譲 （≒コスト・時間がかかる） ウェブデザイン セキュリティ要件 ⾮直結 セキュリティ対策に関する2つの勘違い 

要件⼤項⽬ 要件⼩項⽬ 実装 ユーザ満⾜ ⼯夫できることの⼀例 機能要件 ビジネスロジック 必須 直結 アジャイルやプロトタイピン グなどスピード感のある開発 ⼿法の導⼊ 画⾯⼀覧・画⾯遷移 データモデル 外部インタフェース バッチ⼀覧 帳票⼀覧 ⾮機能要件 （≒品質） 規模・性能要件 オンプレからクラウドに移⾏ 運⽤・保守要件 DevOpsによる⾃動化 UI・UX 任意 専⾨職の採⽤ 外部に委譲 （≒コスト・時間がかかる） ウェブデザイン セキュリティ要件 ⾮直結 なぜセキュリティ対策は後回しにされがちなのか? Ⓐ Ⓑ Ⓒ Ⓓ セキュリティ対策に関する2つの勘違い 

Ⓐセキュリティ対策は品質の1要素に過ぎない Ⓑセキュリティ対策は付加価値であり実装は任意である プラスにならないからセキュリティ対策は後回しにしてよい（?）     セキュリティ対策は後回しにしてよい ２ Ⓒセキュリティ対策はユーザ満⾜に⾮直結である Ⓓセキュリティ対策はコスト・時間がかかる セキュリティ対策に関する2つの勘違い 

否！セキュリティ対策は当前と解釈された判決がある http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/012100467/ http://blog.tokumaru.org/2015/01/sql.html セキュリティ対策に関する2つの勘違い 

受注側はもちろん、発注側もセキュリティの知⾒を備える必要がある 原告が運営するECサイトにおいて外部からのSQLi攻撃によって クレジットカード情報などの個⼈情報が漏えい 仕様書にセキュリティ対策の記載はなかったがSQLi対策を怠っ たのは重過失として被告に2262万3697円の損害賠償請求 クレジットカード情報をDBに保存しないという被告からのセキュ リティ向上の提案を原告が採⽤しなかったため過失相殺が認定 セキュリティ対策に関する2つの勘違い 

受注側においてはセキュリティ対策は必須で取り組 む必要があるのに加え、発注側においてもセキュリ ティ対策を理解する必要がある!! セキュリティ対策を任意のものにするのではなく、 前もってセキュリティ対策を必須のものとして考慮 することが重要!! セキュリティ対策に関する2つの勘違い セキュリティ対策を後回しにしてはならない!! 

効率的なセキュリティ対策を実現するには    ◯◯◯◯でセキュリティ対策するのが最も効果が⾼い １    ◯◯◯◯でセキュリティ対策するのが最もコストが安い ２ セキュリティ対策が重要で必須なのは分かった。ではいつやるか? 

効率的なセキュリティ対策を実現するには 

設計・開発 テスト・導⼊ 運⽤・保守 脆 弱 性 の 発 ⽣ 原 因 と な る バ グ 効率的なセキュリティ対策を実現するには ⼯程 

設計・開発 テスト・導⼊ 運⽤・保守 約 80%が設計・開発⼯程で発⽣！ 設計・開発⼯程でセキュリティ対策するのが最も効果が⾼い! 脆 弱 性 の 発 ⽣ 原 因 と な る バ グ 効率的なセキュリティ対策を実現するには ⼯程 80 20 

効率的なセキュリティ対策を実現するには    ◯◯◯◯でセキュリティ対策するのが最も効果が⾼い １    ◯◯◯◯でセキュリティ対策するのが最もコストが安い ２ ちょっとしたセキュリティ対策が重要で必須なのは分かった。ではいつやるか? 

効率的なセキュリティ対策を実現するには 

セ キ ュ リ テ ィ 対 策 に か か る コ ス ト 設計・開発 テスト・導⼊ 運⽤・保守 効率的なセキュリティ対策を実現するには ⼯程 

約 93%のコスト抑制効果！ 設計・開発 テスト・導⼊ 運⽤・保守 設計・開発⼯程でセキュリティ対策するのが最もコストが安い! セ キ ュ リ テ ィ 対 策 に か か る コ ス ト Kevin Soo Hoo, “Tangible ROI through Secure Software Engineering.”Security Business Quarterly,. Vol.1, No.2, Fourth Quarter, 2001.参考 効率的なセキュリティ対策を実現するには ⼯程 7 100 

    設計・開発⼯程でセキュリティ対策するのが最も効果が⾼い １     設計・開発⼯程でセキュリティ対策するのが最もコストが安い ２ 効率的なセキュリティ対策を実現するには 攻撃の負担やコストを⾼めるちょっとしたセキュリティ対策が重要で必須 セキュリティ対策のカギは、設計・開発⼯程の主役であるプ ログラマ、アーキテクト、それらの⼯程を管理するプロジェ クトマネジャー、さらにはその前⼯程でセキュリティ要件を 策定するプロダクトマネジャーこそが握っている!! 

セキュリティ対策が重要なのは理解した。 けど、どうすればいいのか、、、 

無料でグローバル基準で誰もが⾃由に使える OWASPの成果物から始めてみよう!! 

OWASPの成果物をどう使うか? テスト・導⼊ 運⽤・保守 設計・開発 要件定義     ① 要件定義 OWASP ASVS（Application Security Verification Standard ） Web システム／Web アプリケーションセキュリティ要件書 ② 設計・開発 OWASP Cheat Sheet Series OWASP Proactive Controls ③ テスト・導⼊ OWASP ZAP（Zed Attack Proxy） OWASP Testing Guide ④ 運⽤・保守 OWASP AppSensor OWASP Dependency Check ⑨ 知識 OWASP Top10 / Mobile Top10 / IoT Top 10 OWASP Snakes and Ladders システムライフサイクルの各段階で活⽤可能な100以上の成果物! 

OWASPの成果物をどう使うか? ① 要件定義 OWASP ASVS（Application Security Verification Standard ） Web システム／Web アプリケーションセキュリティ要件書 ② 設計・開発 OWASP Cheat Sheet Series OWASP Proactive Controls ③ テスト・導⼊ OWASP ZAP（Zed Attack Proxy） OWASP Testing Guide ④ 運⽤・保守 OWASP AppSensor OWASP Dependency Check ⑨ 知識 OWASP Top10 / Mobile Top10 / IoT Top 10 OWASP Snakes and Ladders システムライフサイクルの各段階で活⽤可能な100以上の成果物! テスト・導⼊ 運⽤・保守 設計・開発 要件定義     

OWASPの成果物をどう使うか? ⼀歩進んでウェブ脆弱性 テストに! OWASP Top 10 OWASP ASVS OWASP ZAP 本発表では主に以下6つの成果物を紹介! 設計・開発時の リファレンスに! ウェブ10⼤脆弱性の 学びに! ウェブ開発における 事前対策に! セキュリティの 取組の設定・確認に! IoTにおける 10⼤脅威の学びに! OWASP Proactive Controls OWASP Cheat Sheet Series OWASP IoT Top 10 

OWASPの成果物をどう使うか? OWASP Top 10 ウェブ10⼤脆弱性の 学びに! 

OWASPが誇る最⾼の成果物! OWASP Top 10 概要 ウェブアプリにおいて最も注意すべき10 の脆弱性（≒悪⽤可能なバグ）とそれを 作りこまないようにする対処法を理解す るための資料 特徴 公的な機関においても本書に掲載されて いる脆弱性への対策が講じられているこ とをセキュリティ要件として定めている こともあり、その品質が認められている ウェブ10⼤脆弱性の学びに! 

No ウェブアプリにおける脆弱性 A1 インジェクション A2 セッション管理の不備 A3 クロスサイトスクリプティング A4 安全でないオブジェクト直接参照 A5 セキュリティ設定のミス A6 機密データの露出 A7 機能レベルアクセス制御の⽋落 A8 クロスサイトリクエストフォージェリ A9 既知の脆弱性を持つコンポーネントの使⽤ A10 未検討のリダイレクトとフォーワード ウェブアプリにおける脆弱性、攻撃シナリオ、防⽌⽅法などを紹介 ウェブ10⼤脆弱性の学びに! 

No ウェブアプリにおける脆弱性 A1 インジェクション A2 セッション管理の不備 A3 クロスサイトスクリプティング A4 安全でないオブジェクト直接参照 A5 セキュリティ設定のミス A6 機密データの露出 A7 機能レベルアクセス制御の⽋落 A8 クロスサイトリクエストフォージェリ A9 既知の脆弱性を持つコンポーネントの使⽤ A10 未検討のリダイレクトとフォーワード 簡単に取り組むことができ、効果が⾼いのはA9 No 防⽌⽅法 1 使⽤しているCMSやフレームワークとそのバ ージョン、またプラグインなどの依存関係を 確認すること 2 公開データベース、CMSやフレームワークの 公式アナウンス、セキュリティに関連するメ ーリングリストなどを⽤いて、最新の脆弱性 情報を把握すること 3 開発⼿法、脆弱性テストによる検証、運⽤ル ールの策定などCMSやフレームワークを管理 するためのポリシーを確⽴すること 4 不必要なプラグインなどを無効化すること ウェブ10⼤脆弱性の学びに! 

グーグル先⽣の調査でソフトウェアの管理が重要という結果に ウェブ10⼤脆弱性の学びに! http://googlejapan.blogspot.jp/2016/02/blog-post.html 

もチェック!! ウェブ10⼤脆弱性の学びに! http://codezine.jp/article/detail/9033 

OWASPの成果物をどう使うか? 設計・開発時の リファレンスに! OWASP Cheat Sheet Series 

設計・開発時のリファレンスに! セキュリティの教本の集合体!!OWASP Cheat Sheet Series 概要 Builder（設計・開発）、Breaker（テス ト・導⼊）、Defender（運⽤・保守） を対象にセキュリティを⾼めるための知 識／機能を実装するための⽅法論を紹介 特徴 本発表時点でドラフト版を含めて48も のチートシートが公開され、いずれも頻 繁に更新されている 

設計・開発時のリファレンスに! 設計・開発時に活⽤したいチートシートが多数存在 No チートシート 1 Webアプリの認証に関するチートシート 2 ユーザーがパスワードを忘れた場合の措置に関す るチートシート 3 Webアプリにおけるログの取得などに関するチー トシート 4 パスワードなどの保持に関するチートシート 5 PHPにおけるセキュリティ対策に関するチートシ ート 6 Ruby on Railsにおけるセキュリティ対策に関す るチートシート 7 HTML5におけるセキュリティ対策に関するチー トシート 8 セキュアコーディングに関するチートシート 9 XSS対策に関するチートシート 10 DOM XSS対策に関するチートシート 11 SQLインジェクション対策に関するチートシート 12 ・・・・ 

設計・開発時のリファレンスに! http://codezine.jp/article/detail/9149 http://codezine.jp/article/detail/9204 もチェック!! No チートシート 1 Webアプリの認証に関するチートシート 2 ユーザーがパスワードを忘れた場合の措置に関す るチートシート 3 Webアプリにおけるログの取得などに関するチー トシート 4 パスワードなどの保持に関するチートシート 5 PHPにおけるセキュリティ対策に関するチートシ ート 6 Ruby on Railsにおけるセキュリティ対策に関す るチートシート 7 HTML5におけるセキュリティ対策に関するチー トシート 8 セキュアコーディングに関するチートシート 9 XSS対策に関するチートシート 10 DOM XSS対策に関するチートシート 11 SQLインジェクション対策に関するチートシート 12 ・・・・ 

設計・開発時のリファレンスに! チートシートシリーズ概要⽇本語版を公開中 https://docs.google.com/spreadsheets/d/12CFdiw-bb6cVIv_8cE6quOWXWFgSAg5x8VxPGONZArk/ 

がチートシートシリーズの翻訳を調達中 設計・開発時のリファレンスに! 

OWASPの成果物をどう使うか? ウェブ開発における 事前対策に! Proactive Controls 

的を絞ってセキュリティ対策を解説! Proactive Controls 概要 ウェブ開発時に考慮したい10のセキュ リティ技術を紹介 特徴 OWASP Top10やOWASP Cheat Sheet Seriesとの関連性が⾼い。最近 2016年版がリリースされ、現在⽇本 語に翻訳中であり、まもなく⽇本語版 を公開予定 ウェブ開発における事前対策に! 

脆弱性を事前に除去または低減可能なセキュリティ技術を紹介 No ウェブ開発時に考慮すべき事前対策 C1 早期に繰り返しのセキュリティ検証 C2 クエリーのパラメータ化 C3 データのエンコーディング C4 すべての⼊⼒値の検証 C5 アイデンティティと認証制御の実装 C6 アクセス制御の実装 C7 データの保護 C8 ロギングと侵⼊検知 C9 セキュリティフレームワークやライブラリの活⽤ C10 エラー処理と例外処理 ウェブ開発における事前対策に! 

要件定義や設計⼯程でセキュリティが考慮されることが重要視 No 2016年版 2014年版 C1 早期に繰り返しのセキュリティ検証 クエリーのパラメータ化 C2 クエリーのパラメータ化 データのエンコーディング C3 データのエンコーディング すべての⼊⼒値の検証 C4 すべての⼊⼒値の検証 アクセス制御の実装 C5 アイデンティティと認証制御の実装 アイデンティティと認証制御の実装 C6 アクセス制御の実装 データの保護 C7 データの保護 ロギングと侵⼊検知 C8 ロギングと侵⼊検知 セキュリティフレームワークやライブラリの活⽤ C9 セキュリティフレームワークやライブラリの活⽤ セキュリティ要件の考慮 C10 エラー処理と例外処理 セキュリティ設計の考慮 ウェブ開発における事前対策に! 

OWASP Top10のどの脆弱性に対応できるかを把握できる ウェブ開発における事前対策に! OWASP Top 10 O 1 : + N 6 , 1 5 H N O 2 :  % 8 ; 5 H N   '
 O 3 : 1 L 7 4 + > 7 1 I C < * N 2 O 4 :   $ & " / B 6 , 1 >     O 5 : 8 0 G I < *  ' F 7 O 6 :  = 9 ' !  O 7 :   K D J ' ) 1 8 7   '   O 8 : 1 L 7 4 + > I 1 - 7 > A . 6 , I O 9 :   '   (  # 3 N E @ N > '   O 10 :    ' I : + K 1 > % A . M ? OWASP Top 10 Proac0ve Controls C1: C2: C3: C4: C5: C6: C7: C8: C9: C10: 

チートシートシリーズと合わせてセキュリティ対策を学べる No ウェブ開発時に考慮すべき事前対策 対応するチートシート C1 早期に繰り返しのセキュリティ検証 該当なし C2 クエリーのパラメータ化 ・クエリパラメータに関するチートシート ・SQLインジェクション対策に関するチートシート C3 データのエンコーディング ・XSS対策に関するチートシート C4 すべての⼊⼒値の検証 ・ホワイトリストによる⼊⼒値バリデーションチェックに関するチートシ ート C5 アイデンティティと認証制御の実装 ・Webアプリの認証に関するチートシート ・パスワードなどの保持に関するチートシート ・ユーザーがパスワードを忘れた場合の措置に関するチートシート ・セッション管理などに関するチートシート C6 アクセス制御の実装 ・アクセス制御に関するチートシート C7 データの保護 ・保存データの暗号化に関するチートシート ・パスワードなどの保持に関するチートシート C8 ロギングと侵⼊検知 ・Webアプリにおけるログの取得などに関するチートシート C9 セキュリティフレームワークやライブラリの活⽤ ・PHPにおけるセキュリティ対策に関するチートシート ・.NETフレームワークにおけるセキュリティ対策に関するチートシート C10 エラー処理と例外処理 該当なし ウェブ開発における事前対策に! 

もチェック!! http://codezine.jp/article/detail/9091 ウェブ開発における事前対策に! 

OWASPの成果物をどう使うか? OWASP ASVS セキュリティの 取組の設定・確認に! 

できていることとできていないことを把握! OWASP ASVS 概要 ⾃⾝が所属する組織におけるセキュリ ティの取組の設定・確認に活⽤可能な ガイドライン 特徴 OWASPグローバルで最近最も評価され ている成果物であり、1.0版は⽇本語化 済み、最新の3.0版が2015年末にリ リース セキュリティの取組の設定・確認に! 

Level0 テストする価値なし Level1 簡単に脆弱性が⾒つかる Level2 標準的 Level3 より進んだ脆弱性に対応 まずはどのレベルにありたいかを設定 セキュリティの取組の設定・確認に! 

No 要件設定 V1 セキュリティアーキテクチャ、設計、脅威モデ ルに関する要件 V2 認証に関する要件 V3 セッション管理に関する要件 V4 アクセスコントロールに関する要件 V5 ⼊⼒のバリデーションに関する要件 V7 暗号化に関する要件 V8 エラー処理及びログの記録に関する要件 V9 データの保護に関する要件 V10 通信のセキュリティに関する要件 V11 HTTPのセキュリティに関する要件 V13 悪意のあるコードに関する要件 V15 ビジネスロジックに関する要件 V16 ファイル及びリソースに関する要件 V17 モバイルに関する要件 V18 ウェブサービスに関する要件 V19 構成管理に関する要件 V20 クライアントサイドセキュリティに関する要件 No 認証に関する要件設定 1 2 3 V2.1 ⾃由なアクセスを意図していない全て のページ及びリソースに認証がかかっ ている ✓ ✓ ✓ V2.2 パスワードフォームのオートコンプリ ートが無効である ✓ ✓ ✓ V2.4 全ての認証管理がサーバ側で⾏われる ✓ ✓ ✓ V2.5 外部認証サービスを利⽤しているライ ブラリを含む全ての認証制御が集中実 装されている ✓ V2.6 認証失敗の場合の安全対策を施してい ることを保証する ✓ ✓ ✓ V2.7 実働環境における典型的な脅威に対し て、認証の証明が⼗分な対策を施して いる ✓ ✓ V2.8 全てのアカウント管理機能は、基礎的 な認証メカニズムとしての機能を備え ており攻撃に耐えうる ✓ ✓ ・・・ ・・・・・・・・・・・・・・・・ ・ ・ ・ 設定レベルに応じてどの程度の要件を充⾜すればよいかを把握 セキュリティの取組の設定・確認に! 

No 要件設定 V1 セキュリティアーキテクチャ、設計、脅威モデ ルに関する要件 V2 認証に関する要件 V3 セッション管理に関する要件 V4 アクセスコントロールに関する要件 V5 ⼊⼒のバリデーションに関する要件 V7 暗号化に関する要件 V8 エラー処理及びログの記録に関する要件 V9 データの保護に関する要件 V10 通信のセキュリティに関する要件 V11 HTTPのセキュリティに関する要件 V13 悪意のあるコードに関する要件 V15 ビジネスロジックに関する要件 V16 ファイル及びリソースに関する要件 V17 モバイルに関する要件 V18 ウェブサービスに関する要件 V19 構成管理に関する要件 V20 クライアントサイドセキュリティに関する要件 No PHPにおいて重要な要件設定 1 2 3 V1.1 すべてのCMSやフレームワークを個別 に確認していること ✓ ✓ ✓ V1.5 すべてのCMSやフレームワークが業務 上の機能⼜はセキュリティ上の機能に よって定義づけられていること ✓ ✓ V1.8 CMSやフレームワークのセキュリティ はネットワークセグメントやファイア ウォールなどによるセキュリティ対策 とは別の独⽴した対策を施しているこ と ✓ ✓ V19.1 CMSやフレームワークのバージョンは 最新であること、また不要なサービス は削除されていること ✓ ✓ ✓ 簡単に取り組むことができ、効果が⾼いのはV1とV19 セキュリティの取組の設定・確認に! 

セキュリティの取組の設定・確認に! がASVS 3.0版の翻訳を調達中 

OWASPの成果物をどう使うか? ⼀歩進んでウェブ脆弱性 テストに! OWASP ZAP 

⼀歩進んでウェブ脆弱性テストに! 初学者にも⽞⼈にもウケが良い脆弱性診断ツール! OWASP ZAP 概要 実⾏ボタン1つでも簡易なウェブ脆弱性 テストを実施可能なツール 特徴 IPAテクニカルウォッチ「ウェブサイト における脆弱性検査⼿法の紹介」におい て、セキュリティ初学者でも使いやすく、 検知精度が⾼く、⾮常に効率的と評価 参考：https://www.ipa.go.jp/about/technicalwatch/20131212.html 

⼀歩進んでウェブ脆弱性テストに! ウェブ閲覧の際はブラウザを利⽤してサーバにアクセス テスター ブラウザ ウェブサーバ POST /confirm.php HTTP/1.1 （中略） Cookie: PHPSESSID=xxxxxx name=owaspjapan&mail=owaspjapan %40example.org&gender=1 ⽒名：owaspjapan メール：[email protected] 性別：男 ⽒名：owaspjapan
メール：[email protected]
性別：男
登録 ⽒名：owaspjapan メール：[email protected] 性別：男 ⼥ 確認 リクエスト レスポンス 

⼀歩進んでウェブ脆弱性テストに! OWASP ZAPがサーバにアクセス、脆弱性有無を⾃動判断 テスター ウェブサーバ POST /confirm.php HTTP/1.1 （中略） Cookie: PHPSESSID=xxxxxx name=owaspjapan”>xss&mail=owaspjapa n%40example.org&gender=1 リクエスト レスポンス ⽒名：owaspjapan”>xss
メール：[email protected]
性別：男
OWASP ZAP エスケープされて ないから脆弱だ!! 

⼀歩進んでウェブ脆弱性テストに! OWASP ZAPの様々な⾃動診断機能で、脆弱性の検査が可能! 主要⾃動診断機能 オートクローリング 動的スキャン ローカルプロキシ ディレクトリ探査 簡易レポート作成 診断可能な脆弱性例 XSS SQLi パストラバーサル オープンリダイレクタ ヘッダインジェクション 

OWASPの成果物をどう使うか? IoTにおける 10⼤脅威の学びに! OWASP IoT Top 10 

IoTにおける脅威の基礎の理解に最適! IoT Top10 概要 OWASP Top10と同様の形式でIoTにおける 脅威とその対処策を理解できる 特徴 OWASP Internet of Things (IoT) Project の⼀つとして位置付けられており、サービ ス提供者、開発者、テスター、ユーザなど の⽴場に応じた考慮点をまとめたOWASP IoT Security GuidanceやOWASP IoT Testing Guideなどの派⽣成果物が多数存在 IoTにおける10⼤脅威の学びに! 

No IoTにおける脅威 I1 安全でないウェブインタフェース I2 ⽋陥のある認証・認可機構 I3 安全でないネットワークサービス I4 通信路の暗号化の⽋如 I5 プライバシー I6 安全でないクラウドインタフェース I7 安全でないモバイルインタフェース I8 セキュリティ設定の不備 I9 安全でないソフトウェア・ファームウェア I10 貧弱な物理セキュリティ IoTにおいてもウェブセキュリティの知識が不可⽋である IoTにおける10⼤脅威の学びに! No 参照先のOWASP Top10の項⽬ A1 インジェクション A3 クロスサイトスクリプティング A8 クロスサイトリクエストフォージェリ A6 機密データの露出 

もチェック!! http://codezine.jp/article/detail/9232 IoTにおける10⼤脅威の学びに! 

まとめ 

本⽇ご紹介した成果物を是⾮ご活⽤ください! 脆弱性と その対処法を 理解 セキュアな 設計・開発を 実現 レベルに応じた セキュリティ 体制の構築 開発⼯程で 脆弱性を発⾒ 即改修 SDLCにセキュリティをビルトイン ウェブ10⼤脆弱性の 学びに! 設計・開発時の リファレンスに! ウェブ開発における 事前対策に! 脆弱性の除去 または 低減を実現 セキュリティの 取組の設定・確認に! ⼀歩進んでウェブ脆弱性 テストに! IoTにおける 10⼤脅威の学びに! 来るIoT時代 の脅威を理解 

はじめようOWASPのある⽣活 成果物を活⽤ プロジェクト に貢献 勉強会に参加 OWASPには誰もが⾃由に参加可能! 

はじめようOWASPのある⽣活 来る2/27(⼟)にOWASP DAYを開催! 是⾮ご参加ください 

はじめようOWASPのある⽣活 詳しくはOWASP Japanのコミュニティブースで! 

https://www.owasp.org/index.php/japan https://twitter.com/owaspjapan https://www.facebook.com/owaspjapan http://blog.owaspjapan.org ウェブをたしかなものに ご静聴ありがとうございました!! 

参考URL OWASP Project URL Web システム／Web アプリケーションセキュリティ要件書 https://www.owasp.org/images/8/88/ Web_application_security_requirements.pdf OWASP Proactive Controls https://www.owasp.org/index.php/OWASP_Proactive_Controls OWASP ASVS（Application Security Verification Standard ）Project https://www.owasp.org/index.php/ Category:OWASP_Application_Security_Verification_Standard_Pr oject OWASP Cheat Sheet Series https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series OWASP Zed Attack Proxy https://www.owasp.org/index.php/ OWASP_Zed_Attack_Proxy_Project https://docs.google.com/file/d/ 0B1e1Cma1GUllazNUNVp6OWdGYzg/edit OWASP Testing Guide https://www.owasp.org/index.php/OWASP_Testing_Project OWASP OWTF（Offensive Web Testing Framework） https://www.owasp.org/index.php/OWASP_OWTF OWASP ModSecurity Core Rule Set Project https://www.owasp.org/index.php/ Category:OWASP_ModSecurity_Core_Rule_Set_Project OWASP AppSensor https://www.owasp.org/index.php/OWASP_AppSensor_Project OWASP Dependency Check https://www.owasp.org/index.php/OWASP_Dependency_Check 

参考URL OWASP Project URL OWASP Top10 https://www.owasp.org/index.php/ Category:OWASP_Top_Ten_Project https://www.owasp.org/images/7/79/ OWASP_Top_10_2013_JPN.pdf OWASP Mobile Top10 https://www.owasp.org/index.php/ OWASP_Mobile_Security_Project https://docs.google.com/document/d/ 1QOWOrsAo-33bHLdAZksKa4F_8_A_6XndoDF6ri4na_k/edit OWASP IoT Top 10 https://www.owasp.org/index.php/ OWASP_Internet_of_Things_Top_Ten_Project OWASP Snakes and Ladders https://www.owasp.org/index.php/ OWASP_Snakes_and_Ladders https://www.owasp.org/index.php/ OWASP_Snakes_and_Ladders https://www.owasp.org/images/c/c1/OWASP- SnakesAndLadders-MobileApps-JA.pdf https://twitter.com/OWASPSnakesWeb https://twitter.com/OWASPSnakesMob OpenSAMM（Software Assurance Maturity Model） https://www.owasp.org/index.php/ Category:Software_Assurance_Maturity_Model http://www.opensamm.org/downloads/SAMM-1.0-ja_JP.pdf 

時間が余った時のコンテンツ 

OWASP Cornucopia（カードゲーム）をやってみよう! 遊んでセキュリティリスクを理解 

OWASP 蛇とはしご（ボードゲーム）をやってみよう! 遊んでTop10を理解 100 99 98 97 96 95 94 93 92 91 90 89 88 87 86 85 84 83 82 81 80 79 78 77 76 75 74 73 72 71 70 69 68 67 66 65 64 63 62 61 60 59 58 57 56 55 54 53 52 51 50 49 48 47 46 45 44 43 42 41 40 39 38 37 36 35 34 33 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 D p f ❉ P ✭ ελʔτ ΰʔϧ 08"41$ ϞόΠϧσόΠεʹ ͓͚Δػີσʔλͷ ಛఆͱอޢ 08"41$ σόΠεʹ͓͚Δ ύεϫʔυͷ ҆શͳऔΓѻ͍ 08"41$ ػີσʔλͷ఻ૹͷ อޢΛ֬อ 08"41$ Ϣʔβʔೝূɺ ೝՄ ͓Αͼ ηογϣϯ؅ཧͷ ਖ਼͍࣮͠૷ 08"41$ όοΫΤϯυͷ"1* ʢαʔϏεʣ ͱϓϥο τ ϑΥʔϜ ʢαʔόʣ ͷ ҆શੑͷҡ࣋ 08"41$ αʔυύʔςΟͷ αʔϏε΍ ΞϓϦέʔγϣϯͱͷ σʔλ౷߹Λ҆શʹ 08"41$ Ϣʔβʔσʔλͷ ར༻ͱऩूͷͨΊͷ ঝ୚ͷऩूͱอ؅ʹ ಛผͳ஫ҙΛ෷͏ 08"41$ ༗ྉͷϦιʔε΁ͷ ෆਖ਼ΞΫηεΛ๷͙ ͨΊͷ੍ޚͷ࣮૷ 08"41$ ϞόΠϧΞϓϦͷ ഑෍ఏڙͷ ҆શੑͷ֬อ 08"41$ ίʔυ࣮ߦ࣌ʹΤϥʔ ͕ൃੜͨ͠৔߹ͷ࣮૷ Λ৻ॏʹ֬ೝ 08"41. ශऑͳαʔόଆͷ ੍ޚ 08"41. ҆શͰͳ͍ σʔλͷอ؅ 08"41. ෆे෼ͳ τϥϯεϙʔτ૚อޢ 08"41. ҙਤ͠ͳ͍ σʔλ࿙͍͑ 08"41. ශऑͳೝূͱೝՄ 08"41. յΕͨ҉߸Խॲཧ 08"41. ΫϥΠΞϯταΠυ ΠϯδΣΫγϣϯ 08"41. ৴པͰ͖ͳ͍ೖྗʹ ΑΔηΩϡϦςΟ൑அ 08"41. ෆద੾ͳ ηογϣϯॲཧ 08"41. όΠφϦอޢͷܽ೗ Created by Colin Watson Version MobApp-1.02-JA (Farringdon) 08"41
τοϓ
ϞόΠϧίϯτϩʔϧ
 08"41
το ϓ

ϞόΠϧίϯτϩʔϧ͸ɺ ੬ऑੑ΁ͷ߈ܸʹΑΔඃ֐ɺ ͋Δ͍͸ͦͷՄೳੑΛݮগͤ͞ΔͨΊͷ։ൃ੍ޚͷҰཡͰ͢ɻ $
ϞόΠϧσόΠεͷػີσʔλͷಛఆͱอޢ $
σόΠεͷύεϫʔυͷ҆શͳऔΓѻ͍ $
ػີσʔλͷ఻ૹͷอޢΛ֬อ $
Ϣʔβʔೝূɺ ೝՄ͓Αͼηογϣϯ؅ཧͷਖ਼͍࣮͠૷ $
όοΫΤϯυͷ"1* ʢαʔϏεʣ ͱϓϥο τ ϑΥʔϜ ʢαʔόʣ ͷ҆શੑͷ
ҡ࣋ $

αʔυύʔςΟͷαʔϏε΍ΞϓϦέʔγϣϯͱͷσʔλ౷߹Λ҆શʹ $

Ϣʔβʔσʔλͷར༻ͱऩूͷͨΊͷঝ୚ͷऩूͱอ؅ʹಛผͳ஫ҙ
Λ෷͏ $

༗ྉͷϦιʔε ʢࡒ෍ɺ 4.4ɺ ి࿩౳ʣ ΁ͷෆਖ਼ΞΫηεΛ๷͙ͨΊͷ
੍ޚͷ࣮૷ $

ϞόΠϧΞϓϦͷ഑෍ఏڙͷ҆શੑͷ֬อ $
ίʔυ࣮ߦ࣌ʹΤϥʔ͕ൃੜͨ͠৔߹ͷ࣮૷Λ৻ॏʹ֬ೝ 08"41
τοϓ
ϞόΠϧϦεΫ
 5IF
08"41
το ϓ
ϞόΠϧϦεΫ͸ɺ ΞϓϦέʔγϣϯ૚Ͱͷ࠷ॏཁͳϞόΠϧ ΞϓϦͷϦεΫʹ͍ͭͯͷڞ௨ೝࣝΛࣔ͢΋ͷͰ͢ɻ .
ශऑͳαʔόʔଆͷ੍ޚ .

҆શͰͳ͍σʔλͷอ؅ .
ෆे෼ͳτϥϯεϙʔτ૚อޢ .
ҙਤ͠ͳ͍σʔλ࿙͍͑ .
ශऑͳೝূͱೝՄ .
յΕͨ҉߸Խॲཧ .
ΫϥΠΞϯταΠυͷΠϯδΣΫγϣϯ .
৴པͰ͖ͳ͍ೖྗʹΑΔηΩϡϦςΟ൑அ .
ෆద੾ͳηογϣϯॲཧ .
όΠφϦอޢͷܽ೗ ίϯτϩʔϧͱϦεΫͷ྆ํͱ΋ɺ ͪ͜Βͷ
08"41ϓϩδΣΫτͷαΠτʹৄड़͞Ε͍ͯ·͢ɻ IUUQTXXXPXBTQPSHJOEFYQIQ08"[email protected]@4FDVSJUZ@1SPKFDU ϓϩδΣ Ϋ τ Ϧʔμʔ Colin Watson ຋༁ऀ

ͦͷଞͷߩݙऀ Manuel Lopez Arredondo, Fabio Cerullo, Tobias Gondrom, Martin Haslinger, Yongliang He, Cédric Messeguer, Takanori Nakanowatari, Riotaro Okada, Ferdinand Vroom, Ivy Zhang ऄͱ͸͠͝͸ɺ ΞϓϦέʔγϣϯ ɾ ηΩϡϦςΟೝ஌޲্ͷͨΊͷڭҭతͳήʔϜͰ͢ɻ ͜ͷ൛͸ϞόΠϧΞϓϦέʔγϣϯʹॏ఺Λஔ͍ ͓ͯΓɺ ʮ08"41
το ϓ
ϞόΠϧίϯτϩʔϧʯ Λ ʮ͸͠͝ʯ ɺ ·ͨ༗໊ͳ ʮ08"41
το ϓ
ϞόΠϧϦεΫʯ Λ ʮऄʯ ͱ͠·ͨ͠ɻ ͜ΕΒͷϓϩδΣΫτͷϦʔμʔͳΒͼʹߩݙ͞Εͨํʑʹײँ͍ͨ͠·͢ɻ αΠίϩ΍ίϚ͕ͳ͍ʁԼͷਤܗΛ੾Γऔͬͯ࢖͍ͬͯͩ͘͞ɻ ৭ͷؙ͍͍ͭͨ΋ͷΛίϚͱͯ͠࢖͑ΔͰ͠ΐ͏ɻ ͋Δ͍͸ɺ ̒໘ͷαΠίϩγϛϡϨʔλΛϓϩάϥϜ͢Δͱ͔ɺ εϚϗ͔ύιίϯͰ͔Β·Ͱͷ੔਺ͷཚ਺ΞϓϦΛ࢖͑͹͍͍ɻ ͨͩ͠ɺ ग़Δ໨͕ϥϯμϜ͔Ͳ͏͔͸ͪΌΜͱνΣοΫ͢Δ͜ͱ ʂ ͜ͷγʔτͷιʔεϑΝΠϧɺ ଞͷΞϓϦέʔγϣϯηΩϡϦςΟ τϐοΫͷγʔτɺ ଞͷ༷ʑͳݴޠ൛ɺ ·ͨ ʮ08"41
ऄͱ͸͠͝ϓϩδΣΫτʯ ʹؔ͢Δ৘ใ͸ɺ ҎԼͷ08"41ͷ΢ΣϒαΠτʹ͋Γ·͢ɻ
https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders എܠ ʮऄͱ͸͠͝ʯ ͸ΞδΞൃ঵ͷϘʔυήʔϜͰɺ ϏΫτϦΞே ࣌୅ʹӳࠃʹ༌ೖ͞ΕͨਓؾͷϘʔυήʔϜͰ͢ɻ ΋ͱ΋ͱɺ ͜ͷήʔϜ͸ળͱѱɺ ඒಙͱѱಙͷͦΕͧΕͷޮՌΛࣔͨ͠ ΋ͷͰͨ͠ɻ ͜ͷήʔϜ͸ɺ ΞϝϦΧͷҰ෦ͷ৔ॴͰ͸ɺ ʮӍͲ ͍ͱ͸͠͝ʯ ͱͯ͠஌ΒΕ͍ͯ·͢ɻ ͜ͷ08"41൛Ͱ͸ɺ ηΩϡΞͳίʔσΟϯά
ʢϓϩΞΫςΟϒ ίϯτϩʔϧʣ
Λߴܿͳߦಈͱ͠ɺ ΞϓϦέʔγϣϯϦεΫΛ ѱಙͱ͍ͯ͠·͢ɻ ܯࠂ 08"41
ऄͱ͸͠͝͸ɺ ن໛ͷେখΛ໰Θͣɺ ιϑτ΢ΣΞϓϩ άϥϚʔʹ࢖͍ͬͯͨͩ͘ ͜ͱΛҙਤ͍ͯ͠·͢ɻ ͜ͷࢴͷήʔ Ϝγʔτͦͷ΋ͷ͸༗֐Ͱ͸͋Γ·ͤΜ͕ɺ ར༻ऀ͕ɺ ࣗ෼Ͱ ॴ༗͍ͯ͠ΔϓϥενοΫ͋Δ͍͸໦੡ͷαΠίϩ΍Χ΢ϯλʔ ίϚ Λ࢖͏͜ͱʹ͢Δ৔߹ɺ ࡀҎԼͷࢠڙͨͪʹ͸޴ʹ٧ ·Βͤͯ஠ଉ͢ΔϦεΫ͕͋Δ͔΋͠Ε·ͤΜɻ ϧʔϧ ͜ͷήʔϜ͸ਓ͔ΒਓͰ༡ͼ·͢ɻ ͦΕͧΕͷϓϨΠϠʔ ʹ৭ͷ͍ͭͨίϚΛ഑͍ͬͯͩ͘͞ɻ
࠷ॳʹɺ ͦΕͧΕͷϓϨ ΠϠʔ͸αΠίϩΛৼͬͯ୭͕࠷ॳʹϓϨΠ͢Δ͔ܾΊ·͢ɻ Ұ൪େ͖ͳ਺ͷ໨Λग़ͨ͠ਓ͕࠷ॳͰ͢ɻ શϓϨΠϠʔͷίϚΛ ʮελʔτ
ʯ ͱ͋Δ࠷ॳͷϚε໨ʹஔ͖ ·͢ɻ
ॱʹɺ ֤ϓϨΠϠʔ͸αΠίϩΛৼΓɺ ͦͷ਺ʹ͕ͨͬͯ͠ ίϚΛҠಈ͠·͢ɻ Ҡಈͨ࣌͠ʹɺ ΋͠ίϚ͕͸͠͝ͷԼʹདྷͨͳΒɺ ίϚΛ͸͠͝ ͷ࠷্ஈͷͱ͜Ζʹ͋ΔϚε໨ʹ্͛ͳ͚Ε͹ͳΓ·ͤΜɻ ίϚ͕ऄͷޱͷͱ͜ΖʹདྷͨͳΒɺ ͦͷίϚΛऄͷ৲ඌͷͱ͜Ζ ʹ߱Ζ͞ͳ͚Ε͹ͳΓ·ͤΜɻ ࠨ্ͷͷͱ͜Ζʹ࠷ॳʹདྷͨϓϨΠϠʔ͕উऀͱͳΓ·͢ɻ ͜ͷγʔτ͔Β੾Γऔͬͨ΋ͷͰαΠίϩΛ࡞Δʹ͸ɺ ఺ઢʹԊͬͯંΓۂ͛ɺ ͷΓ͠Ζͷͱ͜Ζʹ઀ணࡎΛ͚ͭɺ ࢛֯͘ͳΔΑ͏ʹ৻ॏʹ੔ܗ͍ͯͩ͘͠͞ɻ Ұඖͷऄ͕࣍ͷॱ൪ͷΩϛͷαΠίϩ ͷ໨Λݴ͓͏͔ͬͯɺ ΢ΟϯΫͯ͠ΔΑɻ ݟ͔ͭͬͨʁ 08"41
ऄͱ͸͠͝͸ɺ ແྉͰࣗ༝ʹ͓࢖͍͍͚ͨͩ·͢ɻ ΫϦΤΠςΟϒίϞϯζදࣔܧঝϥΠηϯεʹج͖ͮɺ ͜ͷ੒Ռ෺Λෳࣸɺ ഑෍ɺ ૹ৴ɺ վมɺ ঎ۀతར༻͕Մೳ Ͱ͕͢ɺ ͜ͷ࡞඼ʹجͮ͘ ͍͔ͳΔ΋ͷʹ͍ͭͯɺ ·ͨ࠶ར༻ɺ సૹɺ ೋ࣍తஶ࡞෺ʹ͍ͭͯ͸ɺ ͜ͷϥΠηϯεͱಉ͡࢖༻ ڐ୚৚݅Ͱͳ͚Ε͹ͳΓ·ͤΜɻ © OWASP Foundation 2014. OWASP Snakes and Ladders – ऄͱ͸͠͝
ϞόΠϧΞϓϦ൛ – ΢ΣϒΞϓϦέʔγϣϯ൛ ϞόΠϧΞϓϦέʔγϣϯ൛ 

No モバイル Top 10 1 Weak Server Side Controls 2 Insecure Data Storage 3 Insufficient Transport Layer Protection 4 Unintended Data Leakage 5 Poor Authorization and Authentication 6 Broken Cryptography 7 Client Side Injection 8 Security Decisions Via Untrusted Inputs 9 Improper Session Handling 10 Lack of Binary Protections モバイルの脆弱性を理解 Top10シリーズとしてモバイル版も存在! OWASP モバイル Top10 

Webシステム／Webアプリケーションセキュリティ要件書を⾒よう! セキュリティ要件を策定 No セキュリティ要件 1 認証 2 認可（アクセス制御） 3 セッション管理 4 パラメータ 5 ⽂字列処理 6 HTTPS 7 Cookie 8 画⾯設計 9 その他