OWASP Proactive Controls 2016 日本語翻訳版リリース 倉持 浩明 OWASP Japan LAC Co., Ltd. @OWASP DAY 2016 2016/02/27 

OWASP Proactive Controls • "Proactive Control"とは"事前の対策" • OWASP Top 10で列挙した脆弱性を作りこまないようにするた めに、事前の対策についてまとめたガイドライン • セキュアなソフトウェア開発の具体的な第一歩 • 開発者に読んでもらいたいドキュメント https://www.owasp.org/index.php/OWASP_Proactive_Controls 

OWASP Top10とProactive Controls 脆弱性の カタログ 開発者は どこから始めればよいか？ テーマごとの 簡潔な解説 日本語版あります 日本語版できました JPCERTさん 絶賛翻訳中！ 

Proactive Controls 2016までのみちのり 2014版 V1.0 英語、フランス語、ヘブライ語 2016版 V2.0 2016版 V2.0（日本語版） 

Proactive Controls 2016 C1:早期に、繰り返しセキュリティを検証する C2:クエリーのパラメータ化 C3:データのエンコーディング C4:すべての入力値を検証する C5:アイデンティティと認証管理の実装 C6:適切なアクセス制御の実装 C7:データの保護 C8:ロギングと侵入検知の実装 C9:セキュリティフレームワークやライブラリの活用 C10:エラー処理と例外処理 

2014→2016 変更点のみどころ が「もっとも大事」 – C1:早期に、繰り返しセキュリティを検証する – セキュリティテストを開発（テスト）プロセスに統合する • C5:アイデンティティと認証管理の実装 – 多要素認証、モバイル、パスワードのハッシュ化などが追加 • C8:ロギングと侵入検知の実装 – AppSensor活用、モバイルが追加 • C9：セキュリティフレームワークやライブラリ を反映 • 全面に した記述 – エンコード、入力値検証、暗号化、ロギング • XSSでDomBasedXSSが加わった 

【補足】C1:早期に、繰り返しセキュリティを検証する Security Testing > Security Scanning  11.6秒ごとにデプロイされるのに、ゲートウエイ型のセキュリティスキャンは対応できない  セキュリティ診断ツールでは機能面のセキュリティをテストできない  セキュリティ診断ツールはDevOpsでいうプロセスの自働化に向かない  要求仕様はテストコードで記述することができる  「テストコード」は構成管理の対象とすることができる Continuous Security Testing with Devops - OWASP EU 2014 http://www.slideshare.net/StephendeVries2/continuous-security-testing-with-devops 

OWASP Top10-Mapping 

Proactive Controls 今後のロードマップ • （本家）解説用PowerPointの2016年版を作成 • （本家）チートシートシリーズとのマッピングを追加 • （Japan）日本語化されたチートシートシリーズへのリファレンス作成 

OWASP Proactive Controls 2016日本語版製作チーム • 倉持 浩明（OWASP Japan/株式会社ラック） • 藤本 博史（株式会社ラック） • 永井 英徳（株式会社ラック） • 岡田 良太郎 （OWASP Japan/株式会社アスタリスク・リサーチ） • ロバート・ドラーチャ（OWASP Japan/株式会社アスタリスク・リサーチ） • 渡邉 浩一郎 • Kenichi Shibamoto 様 • Takanori Nakanowatari 様 • Satoshi Shida 様 • 緑川 敬紀 様 • Tokimoto Yoshinori 様 • 水野 史土 様 • owasp-japanメーリングリスト参加者の方々 レビューにご協力いただいた皆様（ありがとうございます！） • Hisae Aonami 様 

GET OWASP Proactive Controls 2016-Japanese https://goo.gl/DjS8pI