4)*'5-&'51"5) Ԭా ྑଠ࿠ ΞελϦεΫɾϦαʔν

アスタリスク・リサーチ セキュリティ実践のコンシェルジュ

"TJTʜ 2021年

4UFQCZTUFQ 2021年

[email protected] @okdt OWASP Life-time member 15+ OWASPer AppSec professional OWASP Japan

γϑτϨϑτ For your photo! #shiftleft

"VEJFODF͋ͳͨʹ͍͓ͭͯฉ͖͠·͢ 1. ものづくり⼤好き 2. ものづくりしている⼈が⼤好き 3. ものづくりを⼿伝っている⼈が⼤好き 4. 作られたものが⼤好き 5. 作ったものを使うのが⼤好き 6. 作ったものを壊すのが⼤好き 2021年

΋ͷͮ͘Γͷັྗ • 使ってくれる⼈を⼤切にできる • いいものにしていける • 壊されにくくできる • 挑戦できる • ともに成⻑できる • いいユーザやコンテンツ⼊ったら最⾼ 2021年

Japanese

ϓϩάϥϚ͕ηΩϡϦςΟΛ޷͖Ͱ͸ͳ͍ཧ༝τοϓ 1. Sec連中は、現場を理解していないし、たぶんコードの書き⽅も知らない。 2. 誰もセキュリティをやる⽅法を教えてくれない。 3. ここまで⼒を⼊れ、時間をかけるべき理由がわからない。 4. プロセスが難しい、またはちゃんと決まっていない。 5. 変化が激しく、いつも⾔うことが違う。 6. 注意を払う時間が⾜りない。 7. 突然現れては、⾨番のように⾏く⼿の邪魔をする。 8. 量が多くたいへん。 9. どんより。成功を祝われることはない。 10. ツールは、うるさいし、不愉快だし、しかも、正確じゃない。 2021年 By Chris Romeo

ηΩϡϦςΟ͸ʜ޷͖Ͱ͔͢ • 現場をわかってくれていない • 対応が⼤変すぎる • 難しすぎる • こわい • ⼤事だとはわかるけども、正直めんどくさい 2021年

.POPMJUIJD WEB 各種DB Mobile App Browser API webview 冗長構成 重大な脆弱性： SQLi、XSS、 CSRF、ディレクトリートラバーサル、コードイン ジェクション 2021年

REST REST REST REST WEB アカウント 在庫 出荷 ・・・・ APIゲートウェイ ウェブサイト Mobile App Browser アカウントサービス 在庫管理サービス 出荷管理サービス ・・・・ 重大な脆弱性： XXE、SSRF、コードインジェクション、 モニタリング不足 Monolith +API 2021年

IdP 認証基盤 ・・・・ Mobile App Browser ・・・・ Cloud Native メール配信 サービス ストレージ サービス No code/Low code サービス 決済代行 サービス SaaS オンライン会議 サービス コミュニケーション チャットサービス WebHook App+API UI 2021年 各社⼊り乱れたコンポーネント

$PSFDPNQVUF.JDSPTFSWJDFT BSDIJUFDUVSF “サーバーレス技術を使⽤して、ウェブ、モバイル、マイクロサービスベースの アーキテクチャのバックエンドを構築し、強化する” Amazon API Gateway AWS AppSync Application Load Balancer AWS Lambda AWS Lambda AWS Lambda

No content

1.マルウェア 2.ウェブの仕組みを利⽤した攻撃 3.フィッシング 4.ウェブアプリケーションへの攻撃 5.スパム 6.DDoS 7.id盗難 8.データ漏洩 9.内部脅威 10.ボットネット 11.物理的な操作/損害/盗難/紛失 12.情報漏洩 13.ランサムウェア 14.サイバースパイ 15.クリプトジャッキング 2021年

ૂ͍͸ɺϢʔβͱɺσʔλͱɺϓϥοτϑΥʔϜɻ • チケット販売サイト「Pea$x」利⽤者リスト ネットで取り引き（2020/11/20） NHK • 総連HPにウイルス疑い 警視庁、韓国籍の元学⽣書類送検(2020/12/16)⽇経 • EXILEサイトで流出か、4万件以上のカード情報（2020/12/8）⽇経 • 「PayPay」不正アクセス受ける 最⼤2007万件余の可能性（2020/12/7）NHK • 福島医⼤病院でランサム被害 17年夏、公表せず（2020/12/2）⽇経 • クレカ番号など漏洩か フリー、設定ミスで2898件（2021/2/10）⽇経 • NTTデータも被害、広がるGitHub上のコード流出問題（2021/2/1）⽇経❗ • コード⼀部流出、情報漏洩はなし 三井住友銀（2021/1/30）⽇経❗ • サーバーが不正アクセス被害|共英製鋼株式会社（2021/2/19）CyberSecurity.com • 男性向けファッション通販サイトに不正アクセス（2021/2/18）Security NEXT • 新潟市と飯⽥市の緊急通報システム「Net119」へ不正アクセス、登録者情報が参照 された可能性（2021/2/18）ScanNetSecurity • マイナビ転職で不正ログインでウェブ履歴書約21万件流出の可能性（2021/2/18） CyberSecurity.com • サーバに不正アクセス、原因や影響を調査 - 伯東株式会社（2021/2/17）Security NEXT • ⻄条市の健診予約システムが不正アクセスでサービス⼀時閉鎖へ（2021/2/16） CyberSecurity.com • 2市の健診サイトに不正アクセス 個⼈情報流失か 奈良（2021/2/12）朝⽇新聞 • 「サイバーパンク2077」開発元にサイバー攻撃 データ奪われ脅迫される （2021/2/12）ITMedia • バンダイグループお客様相談センターに不正アクセス、クラウド型営業管理システ ムのセキュリティ設定不備を突く（2021/2/1）ScanNetSecurity • アクセス制御に問題 • 暗号化されていない露出 • アプリの脆弱性インジェクションによる窃取 • 安全が確認されない不安な設計を標的に乗っ取り • セキュリティの設定ミスの悪⽤ • 脆弱で古くなったコンポーネントを⼊り⼝に • セキュリティログとモニタリング不⾜で対応が遅れる 2021年

プライバシー・コンプライアンス圧 2021年

ϓϥΠόγΛڧԽͨ͠γεςϜͬͯʁ • 機能⾯の要求 • Privacy by Default か • 詳細な認可機能の必要？ • ユーザの許諾範囲の遵守 • 実装⾯の要求 • 脆弱性の影響をうけないこと • データアクセスの安全 • データ保護の保証 • 運⽤管理⾯の要求 • インシデント発⽣時の対応 • 誰がどのように管理するか • 誰になにを許可するのか • 展開⾯の要求 • 他サービスとのデータ連携… 2021年

΢ΥʔλʔϑΥʔϧͷੈք؍ 要件 設計 実装 検証 リリース • 基本的に不可逆 • 要件の段階ですべて予知が求められる • 後戻り、⼿戻りは爆発的コスト。 • 品質は検証で担保する。 • やり直しは想定していない • 「時間とコスト」の政治⼒が⼀番⼤きい 2021年

4FDVSJUZ$IFDL 「これは、お持ち込みになれません」 「38度あるようです。入れません」 2021年

ηΩϡϦςΟ඼࣭ͷ໰୊͸ɺ ઃܭ൒෼ɺ࣮૷൒෼ɻ 2021年

࣮૷ͷ໰୊ɿൈ͚ɾ࿙ΕɾϜϥ 24 XSS, SQLiなど インジェクション 妙な出力 エラーメッセー ジやコメント 機能不全 重すぎる処理 なりすまし 改ざん データ露出 ログなし アラートなし エラー処理と 例外処理不備 リリース前診断で指摘されるとデスマーチ決定。

ઃܭͷ໰୊ɿߏ଄ͱ࣮૷ܭը 25 リファレンス ・アーキテク チャ 権限マトリック ス 採用する認証 メカニズム データ制御の 構造 機密データの 識別と暗号化 基盤とコンポー ネント ログ、エラー ハンドリング ポリシー 想定脅威と防 御戦略 テスト戦略 訓練の調達 リリース前テストでは指摘しづらい

"HJMFr %FW0QT $*$%ͷੈք؍ 要件 設計 実装 検証 リリース • 段階的な完成 • Minimum Viable Product もっとも使う機能から作る • 実装と検証と学習は並⾏ • 連続的な検証 • 学習する組織として成⻑する 要件 設計 実装 検証 リリース 要件 設計 実装 検証 リリース 要件 設計 実装 検証 リリース 2021年 開発チームが主体者になったほうがいい

Japanese

(c) Riotaro OKADA / Asterisk Research, Inc. 28 New ３項⽬ • A04 安全が確認されない不安な設計 • A08ソフトウェアとデータの整合性の不具合 • A10サーバーサイド・リクエスト・フォージェリ

(c) Riotaro OKADA / Asterisk Research, Inc. 29 Up 5項⽬ • A01 アクセス制御の不備 • A02 暗号化の失敗 • A05 セキュリティの設定ミス • A06 脆弱で古くなったコンポーネント • A09セキュリティログとモニタリングの失敗

2021年

エコシステムのモニタリング 2021年

戦場を設計と実装が⽀える 2021年

認証と認可を⾒直せ 2021年

ήʔτͰ͸ͳ͘ɺΨʔυϨʔϧ ͱͯ͠ͷηΩϡϦςΟ • 作りやすく、衛りやすい「構造」(⼀例) • リファレンスアーキテクチャ • 認証と認可 (権限マトリックス) • コンポーネントの活⽤ • コードそのものの管理 • データ保存と暗号化 • モニタリングと運⽤ • セキュリティを含むテストの計画 • ・・・ 2021年

ॳ৺ऀ͡Όͳ͍ਓ΄ͲಡΉ΂͖ ʮॳ৺ऀ޲͚ࢿྉʯ 2021年

γϑτϨϑτ セキュリテイとうまくつきあうには 2021年

シフトレフト - SHIFT LEFT By @akiko_pusu, 2017

γϑτϨϑτ ͷผ໊ フロントローディング レトロスペクティブ カイゼン なぜ 5回

γϑτϨϑτͷ໨త͸ͳʹ͔ 「リリース直前に初めて発⾒された怒涛のセキュリティ脆弱性 とのぎりぎりのデスマーチ」からの脱却にとどまらず →「安全が確認しやすい設計と実装を学習的にすすめていく 開発と運⽤技術とチーム」への転換 2021年

γϑτϨϑτͷ੒ޭཁҼ 相互理解を 作り維持する ビジネス目標と リスク認識の共有 状況と情報を 新鮮に

ηΩϡϦςΟͱͷ૬ޓཧղͰਪਐͰ͖Δ͜ͱ ガードレールを作ろう 最も効果的な修正ポイン トとそのタイミングを話 し合おう 使っている⾔語や環境を 共有する。 頻繁な更新と柔軟性を 兼ね備える リスクをほったらかさない。 合理的な対策を得る。プラ ンBなこともある。 開発者が⾃分で問題を 確認する⽅法をゲット 共通の⽬標を持ち、 その成功をたたえる 異なった役割の⼈と協⼒ する経験をたくさんする Join OWASP

侵害者のセリフ？チームのセリフ？ 2021年

Hardening 2021 Active Fault ITシステムの活断層 に対応する総合⼒を 体感できます。 お待ちしています。 (申込10/4まで) (c) Riotaro OKADA / Asterisk Research, Inc. 44 wasforum.jp

5IBOLT [email protected] @okdt