よりPHPプログラマに贈る   セキュリティ実装⻁虎の巻 OWASP  Japan  Promotion  Team   仲⽥田  翔⼀一

本題に⼊入る前に 其の壱 　わたしはだれか?   其の弐 　OWASPとはなにか?   其の参 　なぜここにいるのか?

本業   〜～2014.3 　セキュリティエンジニア   2014.4〜～ 　コンサルタント(IT、セキュリティ)   OWASP   2013.3 　 　OWASP  Japan勉強会  初参加   2014.2 　 　OWASP  Japan勉強会  スピーカー   2014.3 　 　国際カンファレンス  運営メンバー   2014.3〜～ 　OWASP  Japan  運営メンバー   2014.7〜～ 　OWASP  Japan  PRチームリーダー   PHPとの関わり   出会いは新卒エンジニア研修のウェブアプリ開発   WordPressサイトの構築〜～運⽤用・保守を3つ経験   ⾃自分を⼀一⾔言で表すと   3度度の飯より読書好き、そんなことよりお酒好き  わたしはだれか? 仲⽥田  翔⼀一（ 　@shonantoka）

ウェブを取り巻く問題を解決するためのプロジェクト群   からなる国際的な⾮非営利利コミュニティで誰もが参加可能 0 8 " 4 1 QFO FC QQMJDBUJPO FDVSJUZ SPKFDU  OWASPとはなにか?

OWASP  Kyushu   2015.3〜～ OWASP  Kansai   2014.3〜～ OWASP  Japan   2012.3〜～ OWASP  Sendai   New 国内には⾸首都圏をはじめ、4つのチャプターが存在  OWASPとはなにか?

各地で3ヶ⽉月に1度度程度度の勉強会（オワスプナイト）の開催 ウェブを確かなものに ⾃自分たちの直⾯面するウェブセキュリティの 問題を⾃自分たちの⼿手で解決したい！  OWASPとはなにか?

プロジェクトを組成し、⽇日本独⾃自の成果物を作成  OWASPとはなにか? 100 99 98 97 96 95 94 93 92 91 90 89 88 87 86 85 84 83 82 81 80 79 78 77 76 75 74 73 72 71 70 69 68 67 66 65 64 63 62 61 60 59 58 57 56 55 54 53 52 51 50 49 48 47 46 45 44 43 42 41 40 39 38 37 36 35 34 33 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 D p f ❉ P ✭ ελʔτ ΰʔϧ 08"41$ ϞόΠϧσόΠεʹ ͓͚Δػີσʔλͷ ಛఆͱอޢ 08"41$ σόΠεʹ͓͚Δ ύεϫʔυͷ ҆શͳऔΓѻ͍ 08"41$ ػີσʔλͷ఻ૹͷ อޢΛ֬อ 08"41$ Ϣʔβʔೝূɺ ೝՄ ͓Αͼ ηογϣϯ؅ཧͷ ਖ਼͍࣮͠૷ 08"41$ όοΫΤϯυͷ"1* ʢαʔϏεʣ ͱϓϥο τ ϑΥʔϜ ʢαʔόʣ ͷ ҆શੑͷҡ࣋ 08"41$ αʔυύʔςΟͷ αʔϏε΍ ΞϓϦέʔγϣϯͱͷ σʔλ౷߹Λ҆શʹ 08"41$ Ϣʔβʔσʔλͷ ར༻ͱऩूͷͨΊͷ ঝ୚ͷऩूͱอ؅ʹ ಛผͳ஫ҙΛ෷͏ 08"41$ ༗ྉͷϦιʔε΁ͷ ෆਖ਼ΞΫηεΛ๷͙ ͨΊͷ੍ޚͷ࣮૷ 08"41$ ϞόΠϧΞϓϦͷ ഑෍ఏڙͷ ҆શੑͷ֬อ 08"41$ ίʔυ࣮ߦ࣌ʹΤϥʔ ͕ൃੜͨ͠৔߹ͷ࣮૷ Λ৻ॏʹ֬ೝ 08"41. ශऑͳαʔόଆͷ ੍ޚ 08"41. ҆શͰͳ͍ σʔλͷอ؅ 08"41. ෆे෼ͳ τϥϯεϙʔτ૚อޢ 08"41. ҙਤ͠ͳ͍ σʔλ࿙͍͑ 08"41. ශऑͳೝূͱೝՄ 08"41. յΕͨ҉߸Խॲཧ 08"41. ΫϥΠΞϯταΠυ ΠϯδΣΫγϣϯ 08"41. ৴པͰ͖ͳ͍ೖྗʹ ΑΔηΩϡϦςΟ൑அ 08"41. ෆద੾ͳ ηογϣϯॲཧ 08"41. όΠφϦอޢͷܽ೗ Created by Colin Watson Version MobApp-1.02-JA (Farringdon) 08"41τοϓϞόΠϧίϯτϩʔϧ 08"41το ϓϞόΠϧίϯτϩʔϧ͸ɺ ੬ऑੑ΁ͷ߈ܸʹΑΔඃ֐ɺ ͋Δ͍͸ͦͷՄೳੑΛݮগͤ͞ΔͨΊͷ։ൃ੍ޚͷҰཡͰ͢ɻ $ ϞόΠϧσόΠεͷػີσʔλͷಛఆͱอޢ $ σόΠεͷύεϫʔυͷ҆શͳऔΓѻ͍ $ ػີσʔλͷ఻ૹͷอޢΛ֬อ $ Ϣʔβʔೝূɺ ೝՄ͓Αͼηογϣϯ؅ཧͷਖ਼͍࣮͠૷ $ όοΫΤϯυͷ"1* ʢαʔϏεʣ ͱϓϥο τ ϑΥʔϜ ʢαʔόʣ ͷ҆શੑͷ ҡ࣋ $ αʔυύʔςΟͷαʔϏε΍ΞϓϦέʔγϣϯͱͷσʔλ౷߹Λ҆શʹ $ Ϣʔβʔσʔλͷར༻ͱऩूͷͨΊͷঝ୚ͷऩूͱอ؅ʹಛผͳ஫ҙ Λ෷͏ $ ༗ྉͷϦιʔε ʢࡒ෍ɺ 4.4ɺ ి࿩౳ʣ ΁ͷෆਖ਼ΞΫηεΛ๷͙ͨΊͷ ੍ޚͷ࣮૷ $ ϞόΠϧΞϓϦͷ഑෍ఏڙͷ҆શੑͷ֬อ $ίʔυ࣮ߦ࣌ʹΤϥʔ͕ൃੜͨ͠৔߹ͷ࣮૷Λ৻ॏʹ֬ೝ 08"41τοϓϞόΠϧϦεΫ 5IF08"41το ϓϞόΠϧϦεΫ͸ɺ ΞϓϦέʔγϣϯ૚Ͱͷ࠷ॏཁͳϞόΠϧ ΞϓϦͷϦεΫʹ͍ͭͯͷڞ௨ೝࣝΛࣔ͢΋ͷͰ͢ɻ . ශऑͳαʔόʔଆͷ੍ޚ .҆શͰͳ͍σʔλͷอ؅ . ෆे෼ͳτϥϯεϙʔτ૚อޢ . ҙਤ͠ͳ͍σʔλ࿙͍͑ . ශऑͳೝূͱೝՄ . յΕͨ҉߸Խॲཧ . ΫϥΠΞϯταΠυͷΠϯδΣΫγϣϯ . ৴པͰ͖ͳ͍ೖྗʹΑΔηΩϡϦςΟ൑அ . ෆద੾ͳηογϣϯॲཧ . όΠφϦอޢͷܽ೗ ίϯτϩʔϧͱϦεΫͷ྆ํͱ΋ɺ ͪ͜Βͷ08"41ϓϩδΣΫτͷαΠτʹৄड़͞Ε͍ͯ·͢ɻ IUUQTXXXPXBTQPSHJOEFYQIQ08"[email protected]@4FDVSJUZ@1SPKFDU ϓϩδΣ Ϋ τ Ϧʔμʔ Colin Watson ຋༁ऀͦͷଞͷߩݙऀ Manuel Lopez Arredondo, Fabio Cerullo, Tobias Gondrom, Martin Haslinger, Yongliang He, Cédric Messeguer, Takanori Nakanowatari, Riotaro Okada, Ferdinand Vroom, Ivy Zhang ऄͱ͸͠͝͸ɺ ΞϓϦέʔγϣϯ ɾ ηΩϡϦςΟೝ஌޲্ͷͨΊͷڭҭతͳήʔϜͰ͢ɻ ͜ͷ൛͸ϞόΠϧΞϓϦέʔγϣϯʹॏ఺Λஔ͍ ͓ͯΓɺ ʮ08"41το ϓϞόΠϧίϯτϩʔϧʯ Λ ʮ͸͠͝ʯ ɺ ·ͨ༗໊ͳ ʮ08"41το ϓϞόΠϧϦεΫʯ Λ ʮऄʯ ͱ͠·ͨ͠ɻ ͜ΕΒͷϓϩδΣΫτͷϦʔμʔͳΒͼʹߩݙ͞Εͨํʑʹײँ͍ͨ͠·͢ɻ αΠίϩ΍ίϚ͕ͳ͍ʁԼͷਤܗΛ੾Γऔͬͯ࢖͍ͬͯͩ͘͞ɻ ৭ͷؙ͍͍ͭͨ΋ͷΛίϚͱͯ͠࢖͑ΔͰ͠ΐ͏ɻ ͋Δ͍͸ɺ ̒໘ͷαΠίϩγϛϡϨʔλΛϓϩάϥϜ͢Δͱ͔ɺ εϚϗ͔ύιίϯͰ͔Β·Ͱͷ੔਺ͷཚ਺ΞϓϦΛ࢖͑͹͍͍ɻ ͨͩ͠ɺ ग़Δ໨͕ϥϯμϜ͔Ͳ͏͔͸ͪΌΜͱνΣοΫ͢Δ͜ͱ ʂ ͜ͷγʔτͷιʔεϑΝΠϧɺ ଞͷΞϓϦέʔγϣϯηΩϡϦςΟ τϐοΫͷγʔτɺ ଞͷ༷ʑͳݴޠ൛ɺ ·ͨ ʮ08"41ऄͱ͸͠͝ϓϩδΣΫτʯ ʹؔ͢Δ৘ใ͸ɺ ҎԼͷ08"41ͷ΢ΣϒαΠτʹ͋Γ·͢ɻ https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders എܠ ʮऄͱ͸͠͝ʯ ͸ΞδΞൃ঵ͷϘʔυήʔϜͰɺ ϏΫτϦΞே ࣌୅ʹӳࠃʹ༌ೖ͞ΕͨਓؾͷϘʔυήʔϜͰ͢ɻ ΋ͱ΋ͱɺ ͜ͷήʔϜ͸ળͱѱɺ ඒಙͱѱಙͷͦΕͧΕͷޮՌΛࣔͨ͠ ΋ͷͰͨ͠ɻ ͜ͷήʔϜ͸ɺ ΞϝϦΧͷҰ෦ͷ৔ॴͰ͸ɺ ʮӍͲ ͍ͱ͸͠͝ʯ ͱͯ͠஌ΒΕ͍ͯ·͢ɻ ͜ͷ08"41൛Ͱ͸ɺ ηΩϡΞͳίʔσΟϯά ʢϓϩΞΫςΟϒ ίϯτϩʔϧʣ Λߴܿͳߦಈͱ͠ɺ ΞϓϦέʔγϣϯϦεΫΛ ѱಙͱ͍ͯ͠·͢ɻ ܯࠂ 08"41ऄͱ͸͠͝͸ɺ ن໛ͷେখΛ໰Θͣɺ ιϑτ΢ΣΞϓϩ άϥϚʔʹ࢖͍ͬͯͨͩ͘ ͜ͱΛҙਤ͍ͯ͠·͢ɻ ͜ͷࢴͷήʔ Ϝγʔτͦͷ΋ͷ͸༗֐Ͱ͸͋Γ·ͤΜ͕ɺ ར༻ऀ͕ɺ ࣗ෼Ͱ ॴ༗͍ͯ͠ΔϓϥενοΫ͋Δ͍͸໦੡ͷαΠίϩ΍Χ΢ϯλʔ ίϚ Λ࢖͏͜ͱʹ͢Δ৔߹ɺ ࡀҎԼͷࢠڙͨͪʹ͸޴ʹ٧ ·Βͤͯ஠ଉ͢ΔϦεΫ͕͋Δ͔΋͠Ε·ͤΜɻ ϧʔϧ ͜ͷήʔϜ͸ਓ͔ΒਓͰ༡ͼ·͢ɻ ͦΕͧΕͷϓϨΠϠʔ ʹ৭ͷ͍ͭͨίϚΛ഑͍ͬͯͩ͘͞ɻ ࠷ॳʹɺ ͦΕͧΕͷϓϨ ΠϠʔ͸αΠίϩΛৼͬͯ୭͕࠷ॳʹϓϨΠ͢Δ͔ܾΊ·͢ɻ Ұ൪େ͖ͳ਺ͷ໨Λग़ͨ͠ਓ͕࠷ॳͰ͢ɻ શϓϨΠϠʔͷίϚΛ ʮελʔτʯ ͱ͋Δ࠷ॳͷϚε໨ʹஔ͖ ·͢ɻ ॱʹɺ ֤ϓϨΠϠʔ͸αΠίϩΛৼΓɺ ͦͷ਺ʹ͕ͨͬͯ͠ ίϚΛҠಈ͠·͢ɻ Ҡಈͨ࣌͠ʹɺ ΋͠ίϚ͕͸͠͝ͷԼʹདྷͨͳΒɺ ίϚΛ͸͠͝ ͷ࠷্ஈͷͱ͜Ζʹ͋ΔϚε໨ʹ্͛ͳ͚Ε͹ͳΓ·ͤΜɻ ίϚ͕ऄͷޱͷͱ͜ΖʹདྷͨͳΒɺ ͦͷίϚΛऄͷ৲ඌͷͱ͜Ζ ʹ߱Ζ͞ͳ͚Ε͹ͳΓ·ͤΜɻ ࠨ্ͷͷͱ͜Ζʹ࠷ॳʹདྷͨϓϨΠϠʔ͕উऀͱͳΓ·͢ɻ ͜ͷγʔτ͔Β੾Γऔͬͨ΋ͷͰαΠίϩΛ࡞Δʹ͸ɺ ఺ઢʹԊͬͯંΓۂ͛ɺ ͷΓ͠Ζͷͱ͜Ζʹ઀ணࡎΛ͚ͭɺ ࢛֯͘ͳΔΑ͏ʹ৻ॏʹ੔ܗ͍ͯͩ͘͠͞ɻ Ұඖͷऄ͕࣍ͷॱ൪ͷΩϛͷαΠίϩ ͷ໨Λݴ͓͏͔ͬͯɺ ΢ΟϯΫͯ͠ΔΑɻ ݟ͔ͭͬͨʁ 08"41ऄͱ͸͠͝͸ɺ ແྉͰࣗ༝ʹ͓࢖͍͍͚ͨͩ·͢ɻ ΫϦΤΠςΟϒίϞϯζදࣔܧঝϥΠηϯεʹج͖ͮɺ ͜ͷ੒Ռ෺Λෳࣸɺ ഑෍ɺ ૹ৴ɺ վมɺ ঎ۀతར༻͕Մೳ Ͱ͕͢ɺ ͜ͷ࡞඼ʹجͮ͘ ͍͔ͳΔ΋ͷʹ͍ͭͯɺ ·ͨ࠶ར༻ɺ సૹɺ ೋ࣍తஶ࡞෺ʹ͍ͭͯ͸ɺ ͜ͷϥΠηϯεͱಉ͡࢖༻ ڐ୚৚݅Ͱͳ͚Ε͹ͳΓ·ͤΜɻ © OWASP Foundation 2014. OWASP Snakes and Ladders – ऄͱ͸͠͝ϞόΠϧΞϓϦ൛ – OWASP  Top10   ⽇日本語版 OWASP  蛇とはしご OWASP  ZAP運⽤用マニュアル OWASP  Top10  ⽇日本語版 OWASPセキュリティ要件書

昨年年のPHPカンファレンス   での会話 ✕ 前職で訴え続けた   ことの延⻑⾧長 プログラマとセキュリティに携わる者の間の壁を埋めたい！  なぜここにいるのか?

今⽇日話すこと 其の壱 　プログラマがセキュリティを意識識すべき2つの理理由!   其の弐 　OWASPの成果物をどう使うか?   其の参 　ウェブ10⼤大脅威を共通⾔言語に!   其の肆 　設計・開発時のリファレンスに!   其の伍 　ウェブセキュリティの要件設定に!   其の陸陸 　⼀一歩進んでウェブ脆弱性テストに!

 プログラマがセキュリティを意識識すべき2つの理理由!  　 　 　◯◯◯◯でセキュリティ対策するのが最も効果が⾼高いから  １  　 　 　◯◯◯◯でセキュリティ対策するのが最もコストが安いから  ２ セキュリティ対策が重要なのは分かるが、なぜプログラマか?

 プログラマがセキュリティを意識識すべき2つの理理由! その前にQuestion!  どっちの鞄から狙いますか? チャックが全開 チャックが全閉

 プログラマがセキュリティを意識識すべき2つの理理由! 効率率率性を考えたらチャックが全開の鞄ですよね? チャックが全開 チャックが全閉

 プログラマがセキュリティを意識識すべき2つの理理由! 攻撃者は効率率率性を重視し、楽なシステムすなわち   セキュリティ対策が⽢甘いシステムを狙う!! システムも現実と同様、攻撃にかかる負担やコスト を⾼高めるちょっとしたセキュリティ対策が有効!!

 プログラマがセキュリティを意識識すべき2つの理理由!  　 　 　◯◯◯◯でセキュリティ対策するのが最も効果が⾼高いから  １  　 　 　◯◯◯◯でセキュリティ対策するのが最もコストが安いから  ２ セキュリティ対策が重要なのは分かるが、なぜプログラマか?

 プログラマがセキュリティを意識識すべき2つの理理由!

 プログラマがセキュリティを意識識すべき2つの理理由! 開発 テスト・導⼊入 運⽤用・保守 脆 弱 性 の 発 ⽣生 原 因 と な る   バ グ

開発 テスト・導⼊入 運⽤用・保守 約 80%が開発⼯工程で発⽣生！  プログラマがセキュリティを意識識すべき2つの理理由! 開発⼯工程でセキュリティ対策するのが最も効果が⾼高い! 脆 弱 性 の 発 ⽣生 原 因 と な る   バ グ

 プログラマがセキュリティを意識識すべき2つの理理由!  　 　 　◯◯◯◯でセキュリティ対策するのが最も効果が⾼高いから  １  　 　 　◯◯◯◯でセキュリティ対策するのが最もコストが安いから  ２ セキュリティ対策が重要なのは分かるが、なぜプログラマか?

 プログラマがセキュリティを意識識すべき2つの理理由!

セ キ ュ リ テ ィ 対 策 に か か る コ ス ト  プログラマがセキュリティを意識識すべき2つの理理由! 開発 テスト・導⼊入 運⽤用・保守

約 93%のコスト抑制効果！  プログラマがセキュリティを意識識すべき2つの理理由! 開発 テスト・導⼊入 運⽤用・保守 開発⼯工程でセキュリティ対策するのが最もコストが安い! セ キ ュ リ テ ィ 対 策 に か か る コ ス ト Kevin  Soo  Hoo,  “Tangible  ROI  through  Secure  Software  Engineering.”Security  Business  Quarterly,.  Vol.1,  No.2,  Fourth  Quarter,  2001.参考

攻撃にかかる負担やコストを⾼高めるちょっとしたセキュリティ対策が重要! 開発⼯工程の主役であるプログラマこそがセキュリティを意識識すべき!  プログラマがセキュリティを意識識すべき2つの理理由!  　 　 　開発⼯工程でセキュリティ対策するのが最も効果が⾼高い  １  　 　 　開発⼯工程でセキュリティ対策するのが最もコストが安い  ２

意識識すべきなのは理理解した。 けど、どう始めたらいいのか、、、

無料料でグローバル基準で誰もが⾃自由に使える   OWASPの成果物から始めてみよう!!

 OWASPの成果物をどう使うか? テスト・導⼊入 運⽤用・保守 設計・開発 要件定義 ① 要件定義 OWASP  ASVS（Application  Security  Verification  Standard  ） Web  システム／Web  アプリケーションセキュリティ要件書 ② 設計・開発 OWASP  Cheat  Sheet  Series OWASP  Proactive  Controls ③ テスト・導⼊入 OWASP  ZAP（Zed  Attack  Proxy） OWASP  Testing  Guide ④ 運⽤用・保守 OWASP  AppSensor OWASP  Dependency  Check ⑨ 知識識 OWASP  Top10  /  Mobile  Top10  /  IoT  Top  10 OWASP  Snakes  and  Ladders システムライフサイクルの各段階に活⽤用可能な100以上の成果物!

 OWASPの成果物をどう使うか? ① 要件定義 OWASP  ASVS（Application  Security  Verification  Standard  ） Web  システム／Web  アプリケーションセキュリティ要件書 ② 設計・開発 OWASP  Cheat  Sheet  Series OWASP  Proactive  Controls ③ テスト・導⼊入 OWASP  ZAP（Zed  Attack  Proxy） OWASP  Testing  Guide ④ 運⽤用・保守 OWASP  AppSensor OWASP  Dependency  Check ⑨ 知識識 OWASP  Top10  /  Mobile  Top10  /  IoT  Top  10 OWASP  Snakes  and  Ladders システムライフサイクルの各段階に活⽤用可能な100以上の成果物! テスト・導⼊入 運⽤用・保守 設計・開発 要件定義

 OWASPの成果物をどう使うか? 設計・開発時のリファレンスに! ⼀一歩進んでウェブ脆弱性テストに! ウェブ10⼤大脅威を共通⾔言語に! ウェブセキュリティの要件設定に! OWASP   Top  10 OWASP   Cheat  Sheet   Series OWASP   ASVS OWASP   ZAP 本発表では主に以下の4つの成果物を紹介!

 OWASPの成果物をどう使うか? ウェブ10⼤大脅威を共通⾔言語に! OWASP   Top  10

OWASPが誇る最⾼高の成果物!  OWASP  Top  10 概要   ウェブアプリにおいて最も注意すべき脆 弱性（≒悪⽤用可能なバグ）とその対処法 を理理解するための資料料として、3年年に1 度度発表   特徴   公的な機関においても本書に掲載されて いる脆弱性への対策が講じられているこ とをセキュリティ要件にすることも  ウェブ10⼤大脅威を共通⾔言語に!

 ウェブ10⼤大脅威を共通⾔言語に! No ウェブアプリにおける脆弱性 A1 インジェクション A2 セッション管理理の不不備 A3 クロスサイトスクリプティング A4 安全でないオブジェクト直接参照 A5 セキュリティ設定のミス A6 機密データの露露出 A7 機能レベルアクセス制御の⽋欠落落 A8 クロスサイトリクエストフォージェリ A9 既知の脆弱性を持つコンポーネントの使⽤用 A10 未検討のリダイレクトとフォーワード ウェブアプリにおける脆弱性、攻撃シナリオ、防⽌止⽅方法などを紹介

 ウェブ10⼤大脅威を共通⾔言語に! No ウェブアプリにおける脆弱性 A1 インジェクション A2 セッション管理理の不不備 A3 クロスサイトスクリプティング A4 安全でないオブジェクト直接参照 A5 セキュリティ設定のミス A6 機密データの露露出 A7 機能レベルアクセス制御の⽋欠落落 A8 クロスサイトリクエストフォージェリ A9 既知の脆弱性を持つコンポーネントの使⽤用 A10 未検討のリダイレクトとフォーワード CMSやフレームワークへの依存度度が⾼高いPHPではA9に注意! No 防⽌止⽅方法 1 使⽤用しているCMSやフレームワークとそのバ ージョン、またプラグインなどの依存関係を 確認すること 2 公開データベース、CMSやフレームワークの 公式アナウンス、セキュリティに関連するメ ーリングリストなどを⽤用いて、最新の脆弱性 情報を把握すること 3 開発⼿手法、脆弱性テストによる検証、運⽤用ル ールの策定などCMSやフレームワークを管理理 するためのポリシーを確⽴立立すること 4 不不必要なプラグインなどを無効化すること

 OWASPの成果物をどう使うか? 設計・開発時のリファレンスに! OWASP   Cheat  Sheet   Series

 設計・開発時のリファレンスに! OWASPの成果物で最も規模が⼤大きい!!Cheat  Sheet  Series 概要   Builder（開発）、Breaker（テスト）、 Defender（運⽤用・保守）を対象にセ キュリティを⾼高めるための知識識／機能 を実装するための⽅方法論論を紹介   特徴   本発表時点でドラフト版を含めて48も のチートシートが公開され、いずれも 頻繁に更更新されている

 設計・開発時のリファレンスに! 設計・開発時に活⽤用したいチートシートが多数存在 No チートシート 1 Webアプリの認証に関するチートシート 2 ユーザーがパスワードを忘れた場合の措置に 関するチートシート 3 Webアプリにおけるログの取得などに関する チートシート 4 パスワードなどの保持に関するチートシート 5 PHPにおけるセキュリティ対策に関するチー トシート 6 セキュアコーディングに関するチートシート 7 SQLインジェクション対策に関するチートシ ート 8 XSS対策に関するチートシート 9 ・・・・

No チートシート 1 Webアプリの認証に関するチートシート 2 ユーザーがパスワードを忘れた場合の措置に 関するチートシート 3 Webアプリにおけるログの取得などに関する チートシート 4 パスワードなどの保持に関するチートシート 5 PHPにおけるセキュリティ対策に関するチー トシート 6 セキュアコーディングに関するチートシート 7 SQLインジェクション対策に関するチートシ ート 8 XSS対策に関するチートシート 9 ・・・・  設計・開発時のリファレンスに! PHP独⾃自のチートシートも存在

 設計・開発時のリファレンスに! 機能の安全な実装⼿手法や脆弱性への対策などを紹介 No チートシート 1 Webアプリの認証に関するチートシート 2 ユーザーがパスワードを忘れた場合の措置に 関するチートシート 3 Webアプリにおけるログの取得などに関する チートシート 4 パスワードなどの保持に関するチートシート 5 PHPにおけるセキュリティ対策に関するチー トシート 6 セキュアコーディングに関するチートシート 7 SQLインジェクション対策に関するチートシ ート 8 XSS対策に関するチートシート 9 ・・・・ No 主要な節 1 ⾔言語独⾃自の問題 2 フレームワークの問題 3 ファイルアップロードの実装⽅方法 4 SQLインジェクション対策 5 XSS対策 6 CSRF対策 7 セッション管理理 8 認証 9 サーバの設定

 設計・開発時のリファレンスに! 本⽇日、チートシートシリーズ概要⽇日本語版を公開しました!

 設計・開発時のリファレンスに! 本⽇日、チートシートシリーズ概要⽇日本語版を公開しました!

 OWASPの成果物をどう使うか? ウェブセキュリティの要件設定に! OWASP   ASVS

 ウェブセキュリティの要件設定に! OWASPの成果物のうち最も実⽤用的!  OWASP  ASVS 概要   セキュアなウェブ開発のためのウェブ セキュリティ要件を設定する際に活⽤用 可能なガイドライン   特徴   OWASPグローバルで最近最も評価され ているプロジェクトであり、1.0版は⽇日 本語化済み、3.0版が近⽇日リリースされ る予定

 ウェブセキュリティの要件設定に! Level0   テストする価値なし Level1   簡単に脆弱性が⾒見見つかる Level2   標準的 Level3   より進んだ脆弱性に対応 まずはどのレベルにありたいかを設定

 ウェブセキュリティの要件設定に! No 要件設定 V1 セキュリティアーキテクチャ、設計、脅威モデ ルに関する要件 V2 認証に関する要件 V3 セッション管理理に関する要件 V4 アクセスコントロールに関する要件 V5 ⼊入⼒力力のバリデーションに関する要件 V7 暗号化に関する要件 V8 エラー処理理及びログの記録に関する要件 V9 データの保護に関する要件 V10 通信のセキュリティに関する要件 V11 HTTPのセキュリティに関する要件 V13 悪意のあるコードに関する要件   V15 ビジネスロジックに関する要件 V16 ファイル及びリソースに関する要件 V17 モバイルに関する要件 V18 ウェブサービスに関する要件 V19 構成管理理に関する要件 V20 クライアントサイドセキュリティに関する要件 No 認証に関する要件設定 1 2 3 V2.1 ⾃自由なアクセスを意図していない全て のページ及びリソースに認証がかかっ ている   ✓ ✓ ✓ V2.2 パスワードフォームのオートコンプリ ートが無効である ✓ ✓ ✓ V2.4 全ての認証管理理がサーバ側で⾏行行われる ✓ ✓ ✓ V2.5 外部認証サービスを利利⽤用しているライ ブラリを含む全ての認証制御が集中実 装されている   ✓ V2.6 認証失敗の場合の安全対策を施してい ることを保証する ✓ ✓ ✓ V2.7 実働環境における典型的な脅威に対し て、認証の証明が⼗十分な対策を施して いる   ✓ ✓ V2.8 全てのアカウント管理理機能は、基礎的 な認証メカニズムとしての機能を備え ており攻撃に耐えうる     ✓ ✓ ・・・ ・・・・・・・・・・・・・・・・ ・ ・ ・ 設定レベルに応じてどの程度度の要件を充⾜足すればよいかを把握

 ウェブセキュリティの要件設定に! No 要件設定 V1 セキュリティアーキテクチャ、設計、脅威モデ ルに関する要件 V2 認証に関する要件 V3 セッション管理理に関する要件 V4 アクセスコントロールに関する要件 V5 ⼊入⼒力力のバリデーションに関する要件 V7 暗号化に関する要件 V8 エラー処理理及びログの記録に関する要件 V9 データの保護に関する要件 V10 通信のセキュリティに関する要件 V11 HTTPのセキュリティに関する要件 V13 悪意のあるコードに関する要件   V15 ビジネスロジックに関する要件 V16 ファイル及びリソースに関する要件 V17 モバイルに関する要件 V18 ウェブサービスに関する要件 V19 構成管理理に関する要件 V20 クライアントサイドセキュリティに関する要件 No PHPにおいて重要な要件設定 1 2 3 V1.1 すべてのCMSやフレームワークを個別 に確認していること   ✓ ✓ ✓ V1.5 すべてのCMSやフレームワークが業務 上の機能⼜又はセキュリティ上の機能に よって定義づけられていること ✓ ✓ V1.8 CMSやフレームワークのセキュリティ はネットワークセグメントやファイア ウォールなどによるセキュリティ対策 とは別の独⽴立立した対策を施しているこ と ✓ ✓ V19.1 CMSやフレームワークのバージョンは 最新であること、また不不要なサービス は削除されていること ✓ ✓ ✓ CMSやフレームワークへの依存度度が⾼高いPHPではV1とV19に注意!

 OWASPの成果物をどう使うか? ⼀一歩進んでウェブ脆弱性テストに! OWASP   ZAP

 ⼀一歩進んでウェブ脆弱性テストに! OWASP史上最も活発に更更新されているツール!  ZAP 概要   実⾏行行ボタン1つでも簡易易なウェブ脆弱性 テストを実施可能なツール   特徴   IPAテクニカルウォッチ「ウェブサイト における脆弱性検査⼿手法の紹介」におい て、セキュリティ初学者でも使いやすく、 検知精度度が⾼高く、⾮非常に効率率率的と評価   参考：https://www.ipa.go.jp/about/technicalwatch/20131212.html

 ⼀一歩進んでウェブ脆弱性テストに! ウェブ閲覧の際はブラウザを利利⽤用してサーバにアクセス テスター ブラウザ ウェブサーバ POST  /confirm.php  HTTP/1.1   （中略略）   Cookie:  PHPSESSID=xxxxxx   name=shonantoka&mail=shonantoka %40example.org&gender=1 ⽒氏名：shonantoka   メール：[email protected]   性別：男   ⽒氏名：shonantoka
  メール：[email protected]
  性別：男
  登録 ⽒氏名：shonantoka   メール：[email protected]   性別：男 　⼥女女 確認 リクエスト レスポンス

 ⼀一歩進んでウェブ脆弱性テストに! ZAPがサーバにアクセス、脆弱性有無を⾃自動判断 テスター ウェブサーバ POST  /confirm.php  HTTP/1.1   （中略略）   Cookie:  PHPSESSID=xxxxxx   name=shonantoka”>xss&mail=shonantoka %40example.org&gender=1 リクエスト レスポンス   ⽒氏名：shonantoka”>xss
  メール：[email protected]
  性別：男
  ZAP エスケープされてない から脆弱だ!!

 ⼀一歩進んでウェブ脆弱性テストに! ZAPでは様々な⾃自動診断や、脆弱性の検査が可能! 主要機能   オートクローリング   動的スキャン   ローカルプロキシ   ディレクトリ探査   簡易易レポート作成   診断可能な脆弱性例例   XSS   SQLi   パストラバーサル   オープンリダイレクタ   ヘッダインジェクション

まとめ

本⽇日ご紹介した成果物を是⾮非ご活⽤用ください! 設計・開発時のリファレンスに! ⼀一歩進んでウェブ脆弱性テストに! ウェブ10⼤大脅威を共通⾔言語に! ウェブセキュリティの要件設定に! 脆弱性と   その対処法を   理理解 セキュアな   設計・開発を   実現 レベルに応じた   セキュリティ   要件の設定 開発⼯工程で   脆弱性を発⾒見見   即改修  SDLCにセキュリティをビルトイン

 はじめようOWASPのある⽣生活 成果物を活⽤用 プロジェクト に貢献 勉強会に参加 OWASPは誰もが⾃自由に参加可能!

 はじめようOWASPのある⽣生活 まずは⑳アスタリスク・リサーチのブースにお越しください!

 参考URL OWASP  Project URL Web  システム／Web  アプリケーションセキュリティ要件書   https://www.owasp.org/images/8/88/ Web_̲application_̲security_̲requirements.pdf OWASP  Proactive  Controls https://www.owasp.org/index.php/OWASP_̲Proactive_̲Controls OWASP  ASVS（Application  Security  Verification   Standard  ）Project https://www.owasp.org/index.php/ Category:OWASP_̲Application_̲Security_̲Verification_̲Standard_̲Pr oject OWASP  Cheat  Sheet  Series https://www.owasp.org/index.php/OWASP_̲Cheat_̲Sheet_̲Series OWASP  Zed  Attack  Proxy https://www.owasp.org/index.php/ OWASP_̲Zed_̲Attack_̲Proxy_̲Project https://docs.google.com/file/d/ 0B1e1Cma1GUllazNUNVp6OWdGYzg/edit OWASP  Testing  Guide https://www.owasp.org/index.php/OWASP_̲Testing_̲Project OWASP  OWTF（Offensive  Web  Testing  Framework） https://www.owasp.org/index.php/OWASP_̲OWTF OWASP  ModSecurity  Core  Rule  Set  Project https://www.owasp.org/index.php/ Category:OWASP_̲ModSecurity_̲Core_̲Rule_̲Set_̲Project OWASP  AppSensor https://www.owasp.org/index.php/OWASP_̲AppSensor_̲Project OWASP  Dependency  Check https://www.owasp.org/index.php/OWASP_̲Dependency_̲Check

 参考URL OWASP  Project URL OWASP  Top10 https://www.owasp.org/index.php/ Category:OWASP_̲Top_̲Ten_̲Project https://www.owasp.org/images/7/79/ OWASP_̲Top_̲10_̲2013_̲JPN.pdf OWASP  Mobile  Top10 https://www.owasp.org/index.php/ OWASP_̲Mobile_̲Security_̲Project https://docs.google.com/document/d/ 1QOWOrsAo-‐‑‒33bHLdAZksKa4F_̲8_̲A_̲6XndoDF6ri4na_̲k/edit OWASP  IoT  Top  10 https://www.owasp.org/index.php/ OWASP_̲Internet_̲of_̲Things_̲Top_̲Ten_̲Project OWASP  Snakes  and  Ladders https://www.owasp.org/index.php/ OWASP_̲Snakes_̲and_̲Ladders https://www.owasp.org/index.php/ OWASP_̲Snakes_̲and_̲Ladders https://www.owasp.org/images/c/c1/OWASP-‐‑‒ SnakesAndLadders-‐‑‒MobileApps-‐‑‒JA.pdf https://twitter.com/OWASPSnakesWeb https://twitter.com/OWASPSnakesMob OpenSAMM（Software  Assurance  Maturity  Model） https://www.owasp.org/index.php/ Category:Software_̲Assurance_̲Maturity_̲Model http://www.opensamm.org/downloads/SAMM-‐‑‒1.0-‐‑‒ja_̲JP.pdf

ϓϩάϥϚ Πϯϑϥ ΤϯδχΞ ηΩϡϦςΟ ΤϯδχΞ https://www.owasp.org/index.php/japan https://twitter.com/owaspjapan https://www.facebook.com/owaspjapan http://blog.owaspjapan.org αʔϏε ར༻ऀ  ウェブに携わるすべての⼈人に ご静聴ありがとうございました!!

時間の関係上割愛したコンテンツ

OWASP  Cornucopia（カードゲーム）をやってみよう!  遊んでセキュリティリスクを理理解

OWASP蛇とはしご（ボードゲーム）をやってみよう!  遊んでTop10を理理解 100 99 98 97 96 95 94 93 92 91 90 89 88 87 86 85 84 83 82 81 80 79 78 77 76 75 74 73 72 71 70 69 68 67 66 65 64 63 62 61 60 59 58 57 56 55 54 53 52 51 50 49 48 47 46 45 44 43 42 41 40 39 38 37 36 35 34 33 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 D p f ❉ P ✭ ελʔτ ΰʔϧ 08"41$ ϞόΠϧσόΠεʹ ͓͚Δػີσʔλͷ ಛఆͱอޢ 08"41$ σόΠεʹ͓͚Δ ύεϫʔυͷ ҆શͳऔΓѻ͍ 08"41$ ػີσʔλͷ఻ૹͷ อޢΛ֬อ 08"41$ Ϣʔβʔೝূɺ ೝՄ ͓Αͼ ηογϣϯ؅ཧͷ ਖ਼͍࣮͠૷ 08"41$ όοΫΤϯυͷ"1* ʢαʔϏεʣ ͱϓϥο τ ϑΥʔϜ ʢαʔόʣ ͷ ҆શੑͷҡ࣋ 08"41$ αʔυύʔςΟͷ αʔϏε΍ ΞϓϦέʔγϣϯͱͷ σʔλ౷߹Λ҆શʹ 08"41$ Ϣʔβʔσʔλͷ ར༻ͱऩूͷͨΊͷ ঝ୚ͷऩूͱอ؅ʹ ಛผͳ஫ҙΛ෷͏ 08"41$ ༗ྉͷϦιʔε΁ͷ ෆਖ਼ΞΫηεΛ๷͙ ͨΊͷ੍ޚͷ࣮૷ 08"41$ ϞόΠϧΞϓϦͷ ഑෍ఏڙͷ ҆શੑͷ֬อ 08"41$ ίʔυ࣮ߦ࣌ʹΤϥʔ ͕ൃੜͨ͠৔߹ͷ࣮૷ Λ৻ॏʹ֬ೝ 08"41. ශऑͳαʔόଆͷ ੍ޚ 08"41. ҆શͰͳ͍ σʔλͷอ؅ 08"41. ෆे෼ͳ τϥϯεϙʔτ૚อޢ 08"41. ҙਤ͠ͳ͍ σʔλ࿙͍͑ 08"41. ශऑͳೝূͱೝՄ 08"41. յΕͨ҉߸Խॲཧ 08"41. ΫϥΠΞϯταΠυ ΠϯδΣΫγϣϯ 08"41. ৴པͰ͖ͳ͍ೖྗʹ ΑΔηΩϡϦςΟ൑அ 08"41. ෆద੾ͳ ηογϣϯॲཧ 08"41. όΠφϦอޢͷܽ೗ Created by Colin Watson Version MobApp-1.02-JA (Farringdon) 08"41τοϓϞόΠϧίϯτϩʔϧ 08"41το ϓϞόΠϧίϯτϩʔϧ͸ɺ ੬ऑੑ΁ͷ߈ܸʹΑΔඃ֐ɺ ͋Δ͍͸ͦͷՄೳੑΛݮগͤ͞ΔͨΊͷ։ൃ੍ޚͷҰཡͰ͢ɻ $ ϞόΠϧσόΠεͷػີσʔλͷಛఆͱอޢ $ σόΠεͷύεϫʔυͷ҆શͳऔΓѻ͍ $ ػີσʔλͷ఻ૹͷอޢΛ֬อ $ Ϣʔβʔೝূɺ ೝՄ͓Αͼηογϣϯ؅ཧͷਖ਼͍࣮͠૷ $ όοΫΤϯυͷ"1* ʢαʔϏεʣ ͱϓϥο τ ϑΥʔϜ ʢαʔόʣ ͷ҆શੑͷ ҡ࣋ $ αʔυύʔςΟͷαʔϏε΍ΞϓϦέʔγϣϯͱͷσʔλ౷߹Λ҆શʹ $ Ϣʔβʔσʔλͷར༻ͱऩूͷͨΊͷঝ୚ͷऩूͱอ؅ʹಛผͳ஫ҙ Λ෷͏ $ ༗ྉͷϦιʔε ʢࡒ෍ɺ 4.4ɺ ి࿩౳ʣ ΁ͷෆਖ਼ΞΫηεΛ๷͙ͨΊͷ ੍ޚͷ࣮૷ $ ϞόΠϧΞϓϦͷ഑෍ఏڙͷ҆શੑͷ֬อ $ίʔυ࣮ߦ࣌ʹΤϥʔ͕ൃੜͨ͠৔߹ͷ࣮૷Λ৻ॏʹ֬ೝ 08"41τοϓϞόΠϧϦεΫ 5IF08"41το ϓϞόΠϧϦεΫ͸ɺ ΞϓϦέʔγϣϯ૚Ͱͷ࠷ॏཁͳϞόΠϧ ΞϓϦͷϦεΫʹ͍ͭͯͷڞ௨ೝࣝΛࣔ͢΋ͷͰ͢ɻ . ශऑͳαʔόʔଆͷ੍ޚ .҆શͰͳ͍σʔλͷอ؅ . ෆे෼ͳτϥϯεϙʔτ૚อޢ . ҙਤ͠ͳ͍σʔλ࿙͍͑ . ශऑͳೝূͱೝՄ . յΕͨ҉߸Խॲཧ . ΫϥΠΞϯταΠυͷΠϯδΣΫγϣϯ . ৴པͰ͖ͳ͍ೖྗʹΑΔηΩϡϦςΟ൑அ . ෆద੾ͳηογϣϯॲཧ . όΠφϦอޢͷܽ೗ ίϯτϩʔϧͱϦεΫͷ྆ํͱ΋ɺ ͪ͜Βͷ08"41ϓϩδΣΫτͷαΠτʹৄड़͞Ε͍ͯ·͢ɻ IUUQTXXXPXBTQPSHJOEFYQIQ08"[email protected]@4FDVSJUZ@1SPKFDU ϓϩδΣ Ϋ τ Ϧʔμʔ Colin Watson ຋༁ऀͦͷଞͷߩݙऀ Manuel Lopez Arredondo, Fabio Cerullo, Tobias Gondrom, Martin Haslinger, Yongliang He, Cédric Messeguer, Takanori Nakanowatari, Riotaro Okada, Ferdinand Vroom, Ivy Zhang ऄͱ͸͠͝͸ɺ ΞϓϦέʔγϣϯ ɾ ηΩϡϦςΟೝ஌޲্ͷͨΊͷڭҭతͳήʔϜͰ͢ɻ ͜ͷ൛͸ϞόΠϧΞϓϦέʔγϣϯʹॏ఺Λஔ͍ ͓ͯΓɺ ʮ08"41το ϓϞόΠϧίϯτϩʔϧʯ Λ ʮ͸͠͝ʯ ɺ ·ͨ༗໊ͳ ʮ08"41το ϓϞόΠϧϦεΫʯ Λ ʮऄʯ ͱ͠·ͨ͠ɻ ͜ΕΒͷϓϩδΣΫτͷϦʔμʔͳΒͼʹߩݙ͞Εͨํʑʹײँ͍ͨ͠·͢ɻ αΠίϩ΍ίϚ͕ͳ͍ʁԼͷਤܗΛ੾Γऔͬͯ࢖͍ͬͯͩ͘͞ɻ ৭ͷؙ͍͍ͭͨ΋ͷΛίϚͱͯ͠࢖͑ΔͰ͠ΐ͏ɻ ͋Δ͍͸ɺ ̒໘ͷαΠίϩγϛϡϨʔλΛϓϩάϥϜ͢Δͱ͔ɺ εϚϗ͔ύιίϯͰ͔Β·Ͱͷ੔਺ͷཚ਺ΞϓϦΛ࢖͑͹͍͍ɻ ͨͩ͠ɺ ग़Δ໨͕ϥϯμϜ͔Ͳ͏͔͸ͪΌΜͱνΣοΫ͢Δ͜ͱ ʂ ͜ͷγʔτͷιʔεϑΝΠϧɺ ଞͷΞϓϦέʔγϣϯηΩϡϦςΟ τϐοΫͷγʔτɺ ଞͷ༷ʑͳݴޠ൛ɺ ·ͨ ʮ08"41ऄͱ͸͠͝ϓϩδΣΫτʯ ʹؔ͢Δ৘ใ͸ɺ ҎԼͷ08"41ͷ΢ΣϒαΠτʹ͋Γ·͢ɻ https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders എܠ ʮऄͱ͸͠͝ʯ ͸ΞδΞൃ঵ͷϘʔυήʔϜͰɺ ϏΫτϦΞே ࣌୅ʹӳࠃʹ༌ೖ͞ΕͨਓؾͷϘʔυήʔϜͰ͢ɻ ΋ͱ΋ͱɺ ͜ͷήʔϜ͸ળͱѱɺ ඒಙͱѱಙͷͦΕͧΕͷޮՌΛࣔͨ͠ ΋ͷͰͨ͠ɻ ͜ͷήʔϜ͸ɺ ΞϝϦΧͷҰ෦ͷ৔ॴͰ͸ɺ ʮӍͲ ͍ͱ͸͠͝ʯ ͱͯ͠஌ΒΕ͍ͯ·͢ɻ ͜ͷ08"41൛Ͱ͸ɺ ηΩϡΞͳίʔσΟϯά ʢϓϩΞΫςΟϒ ίϯτϩʔϧʣ Λߴܿͳߦಈͱ͠ɺ ΞϓϦέʔγϣϯϦεΫΛ ѱಙͱ͍ͯ͠·͢ɻ ܯࠂ 08"41ऄͱ͸͠͝͸ɺ ن໛ͷେখΛ໰Θͣɺ ιϑτ΢ΣΞϓϩ άϥϚʔʹ࢖͍ͬͯͨͩ͘ ͜ͱΛҙਤ͍ͯ͠·͢ɻ ͜ͷࢴͷήʔ Ϝγʔτͦͷ΋ͷ͸༗֐Ͱ͸͋Γ·ͤΜ͕ɺ ར༻ऀ͕ɺ ࣗ෼Ͱ ॴ༗͍ͯ͠ΔϓϥενοΫ͋Δ͍͸໦੡ͷαΠίϩ΍Χ΢ϯλʔ ίϚ Λ࢖͏͜ͱʹ͢Δ৔߹ɺ ࡀҎԼͷࢠڙͨͪʹ͸޴ʹ٧ ·Βͤͯ஠ଉ͢ΔϦεΫ͕͋Δ͔΋͠Ε·ͤΜɻ ϧʔϧ ͜ͷήʔϜ͸ਓ͔ΒਓͰ༡ͼ·͢ɻ ͦΕͧΕͷϓϨΠϠʔ ʹ৭ͷ͍ͭͨίϚΛ഑͍ͬͯͩ͘͞ɻ ࠷ॳʹɺ ͦΕͧΕͷϓϨ ΠϠʔ͸αΠίϩΛৼͬͯ୭͕࠷ॳʹϓϨΠ͢Δ͔ܾΊ·͢ɻ Ұ൪େ͖ͳ਺ͷ໨Λग़ͨ͠ਓ͕࠷ॳͰ͢ɻ શϓϨΠϠʔͷίϚΛ ʮελʔτʯ ͱ͋Δ࠷ॳͷϚε໨ʹஔ͖ ·͢ɻ ॱʹɺ ֤ϓϨΠϠʔ͸αΠίϩΛৼΓɺ ͦͷ਺ʹ͕ͨͬͯ͠ ίϚΛҠಈ͠·͢ɻ Ҡಈͨ࣌͠ʹɺ ΋͠ίϚ͕͸͠͝ͷԼʹདྷͨͳΒɺ ίϚΛ͸͠͝ ͷ࠷্ஈͷͱ͜Ζʹ͋ΔϚε໨ʹ্͛ͳ͚Ε͹ͳΓ·ͤΜɻ ίϚ͕ऄͷޱͷͱ͜ΖʹདྷͨͳΒɺ ͦͷίϚΛऄͷ৲ඌͷͱ͜Ζ ʹ߱Ζ͞ͳ͚Ε͹ͳΓ·ͤΜɻ ࠨ্ͷͷͱ͜Ζʹ࠷ॳʹདྷͨϓϨΠϠʔ͕উऀͱͳΓ·͢ɻ ͜ͷγʔτ͔Β੾Γऔͬͨ΋ͷͰαΠίϩΛ࡞Δʹ͸ɺ ఺ઢʹԊͬͯંΓۂ͛ɺ ͷΓ͠Ζͷͱ͜Ζʹ઀ணࡎΛ͚ͭɺ ࢛֯͘ͳΔΑ͏ʹ৻ॏʹ੔ܗ͍ͯͩ͘͠͞ɻ Ұඖͷऄ͕࣍ͷॱ൪ͷΩϛͷαΠίϩ ͷ໨Λݴ͓͏͔ͬͯɺ ΢ΟϯΫͯ͠ΔΑɻ ݟ͔ͭͬͨʁ 08"41ऄͱ͸͠͝͸ɺ ແྉͰࣗ༝ʹ͓࢖͍͍͚ͨͩ·͢ɻ ΫϦΤΠςΟϒίϞϯζදࣔܧঝϥΠηϯεʹج͖ͮɺ ͜ͷ੒Ռ෺Λෳࣸɺ ഑෍ɺ ૹ৴ɺ վมɺ ঎ۀతར༻͕Մೳ Ͱ͕͢ɺ ͜ͷ࡞඼ʹجͮ͘ ͍͔ͳΔ΋ͷʹ͍ͭͯɺ ·ͨ࠶ར༻ɺ సૹɺ ೋ࣍తஶ࡞෺ʹ͍ͭͯ͸ɺ ͜ͷϥΠηϯεͱಉ͡࢖༻ ڐ୚৚݅Ͱͳ͚Ε͹ͳΓ·ͤΜɻ © OWASP Foundation 2014. OWASP Snakes and Ladders – ऄͱ͸͠͝ϞόΠϧΞϓϦ൛ – ΢ΣϒΞϓϦέʔγϣϯ൛ ϞόΠϧΞϓϦέʔγϣϯ൛

Proactive  Controlsで脆弱性を事前に除去または低減しよう!  Top10の脆弱性への対策を理理解 08"411SP"DUJWF $POUSPMT

OWASP   モバイル  Top10   No モバイル  Top  10 IoT  Top  10 1 Weak  Server  Side  Controls 安全でないウェブインタフェース 2 Insecure  Data  Storage 不不⼗十分な認証／認可 3 Insufficient  Transport  Layer  Protection 安全でないネットワークサービス 4 Unintended  Data  Leakage トランスポート層における暗号化の⽋欠如 5 Poor  Authorization  and  Authentication プライバシーに関する懸念念 6 Broken  Cryptography 安全でないクラウドインタフェース 7 Client  Side  Injection 安全でないモバイルインタフェース 8 Security  Decisions  Via  Untrusted  Inputs 不不⼗十分なセキュリティ対策 9 Improper  Session  Handling 安全でないソフトウェア／ファームウェア 10 Lack  of  Binary  Protections 物理理セキュリティの不不⾜足 OWASP   IoT  Top10    モバイル/IoTの脆弱性を理理解 Top10シリーズとしてモバイル版やIoT版も存在!

Webシステム／Webアプリケーションセキュリティ要件書を⾒見見よう!  簡単にセキュリティ要件を理理解 No セキュリティ要件 1 認証 2 認可（アクセス制御） 3 セッション管理理 4 パラメータ 5 ⽂文字列列処理理 6 HTTPS 7 Cookie 8 画⾯面設計 9 その他