1 Webセキュリティ技術の キャッチアップ 株式会社セキュアスカイ・テクノロジー 技術開発部 岩間 湧

Secure Sky Technology Inc. 2 自己紹介 岩間 湧 (いわま ゆう) ▶ 脆弱性診断（2018年~) ▶ 業務の合間でWebセキュリティ調査 ▶ I ♡ Burp Suite ▶ 最近クロスバイクを購入しました

Secure Sky Technology Inc. 3 セキュアスカイ・テクノロジーについて SSTは「Webセキュリティに関する専門企業」 「無害化する」 Web Application Firewall
 「見つける」 脆弱性診断
 「作らない」 セキュアな開発の
 ための教育 脆 弱 性 を

Secure Sky Technology Inc. 4 今日の想定ターゲット ▶ 自社で脆弱性診断をしている ◼ または始めたいと考えている ▶ 従来的な脆弱性対策だけでなく新しいものも知りたい ▶ 新しい攻撃手法が知りたい ◼ 自社のセキュリティ強化に取り入れたい ▶ Webアプリケーションセキュリティについて新しいことが知りたい

Secure Sky Technology Inc. 5 変化していくWebセキュリティ

Secure Sky Technology Inc. 6 脆弱性のトレンド 注目されるWebアプリケーションに関する脆弱性を例にあげてみる 脆弱性にもトレンドがあり年々変化している ▶ XML 外部エンティティ参照(XXE: XML External Entity) ▶ 安全でないデシリアライズ ▶ Web Cache Poisoning ▶ Server-Side Request Forgery(SSRF) ▶ HTTP Request Smuggling ▶ プロトタイプ汚染攻撃

Secure Sky Technology Inc. 7 脆弱性のトレンド変化の理由 ▶ 新しい技術の登場と共にリスクが生まれる ▶ 脆弱性の公開で攻撃手法が注目される ▶ セキュリティ研究者による発表 など 新規の脆弱性だけでなく、 過去の研究が再注目され新たな攻撃手法やリスクが提案されることもある

Secure Sky Technology Inc. 8 Webセキュリティも年々変化している トレンドをおさえつつ、サービスに反映させていきたい

Secure Sky Technology Inc. 9 Webセキュリティのトレンドは追いにくい？ ▶ Webセキュリティは、情報セキュリティの中の一部 ▶ そもそもセキュリティ界隈は人があまり多くない… ▶ 業務だけだと数年前の情報で止まってしまう ▶ 英語の資料がほとんど ▶ 開発やNWに比べてセキュリティの情報は少ない

Secure Sky Technology Inc. 10 本題 Webセキュリティのトレンドに追従するための、 弊社でのキャッチアップ方法についてご紹介します

Secure Sky Technology Inc. 11 注意 ▶ 今日紹介する内容はあくまで一例です ▶ 情報収集や分析に正解はありません ▶ 個人の主観が含まれる内容もあります ▶ ご自身や組織の中で活用される際にご参考になれば幸いです

Secure Sky Technology Inc. 12 キャッチアップ紹介

Secure Sky Technology Inc. 13 どんな情報を集めるか セキュリティ情報と言っても色々な情報がある ▶ ソフトウェア製品の脆弱性情報 ▶ 官公庁や企業のセキュリティ調査レポート ▶ セキュリティに関連したガイダンス、要件書 ▶ サイバー犯罪の被害情報や犯罪組織の活動情報 ▶ セキュリティ研究者の論文、講演、記事 今回はWebアプリケーション診断に影響のある情報に限定

Secure Sky Technology Inc. 14 標準的な情報を把握する Webセキュリティ業界における標準的な仕様、ガイドなどを把握する ▶ OWASP ASVS (Application Security Verification Standard) ◼ https://github.com/OWASP/ASVS/tree/v4.0.2 ▶ OWASP TOP 10 2021 ◼ https://owasp.org/Top10/ja/ 国内の場合、IPAやJNSA(日本ネットワークセキュリティ協会)が公開する資料には 軽く目を通しておく

Secure Sky Technology Inc. 15 Webブラウザ セキュリティ向上やプライバシー保護目的で機能追加や変更がある クライアントの動作に影響するので注視しておきたい ▶ SameSite属性の仕様変更 ▶ 非HTTPSサイトへの警告表示 ▶ SHA-1証明書の警告表示 ▶ サイト分離(Site Isolation)に関連する機能追加

Secure Sky Technology Inc. 16 セキュリティ専門のカンファレンス 主要なカンファレンスに参加することで、新しい攻撃手法や脆弱性の仕組みについ て触れることができる 講演時のビデオやスライドを見るだけでも参考になる ▶ BlackHat ◼ https://www.blackhat.com/ ▶ DEFCON ◼ https://defcon.org/ ▶ CODEBLUE ◼ https://codeblue.jp/2021/

Secure Sky Technology Inc. 17 研究者の情報を追う セキュリティ研究者個人もしくは所属組織が発行するレポートや技術ブログなどを見 る 研究者を知らない場合は、カンファレンスやSNSを通して知っていく ▶ PortSwigger Research ◼ https://portswigger.net/research ▶ Orange Tsai ◼ https://blog.orange.tw/

Secure Sky Technology Inc. 18 バグバウンティ バグバウンティとは: ▶ 日本では『バグ報酬金制度』や『脆弱性報酬金制度』と呼ぶことが多い ▶ 脆弱性の報告に対して企業が報酬金や贈り物を送る仕組み ▶ 自社のプロダクトに限定して制度を採用している企業もある ◼ サイボウズ、Googleなど ▶ HackerOneやBugcrowdなどの代行サービスもある ▶ 一部の報告は開示されており、ネット上で読むことが可能 ▶ 専門家が自身のブログで解説している場合もある

Secure Sky Technology Inc. 19 バグバウンティ バグバウンティのレポートに含まれる項目 ▶ 概要 ▶ 再現方法 ▶ リスク ▶ 対策・緩和策 ▶ 企業側のリスク判断 脆弱性診断の報告内容と似た構成なので分かりやすい 報酬金を払わないケースで、企業側の判断理由が記載されていることもある

Secure Sky Technology Inc. 20 診断状況からみる技術動向 日頃の案件から、利用されている技術傾向や動向をを分析する ▶ JavaScript(JS)フレームワークの普及 ◼ SPA(Single Page Application)構成のサイトが増加 ◼ Vue.js、React、AngularなどのJSフレームワークが利用されている ▶ Web API診断のニーズ増加 ◼ WebサイトのデータをREST API経由で公開 ◼ GraphQLやgRPC等の技術の登場と利用サイトの増加 ▶ Webブラウザベンダーの影響 ◼ HTTPSサイトの増加 ◼ Set-Cookie時のSameSite設定を明示しているサイトの増加

Secure Sky Technology Inc. 21 診断しなくても、なんとなく分かる 診断をしていない場合でも、感覚的に分かる方法 ※あくまでもなんとなくです。 ▶ 技術書典の出展内容 ▶ 記事関係サービスのトレンドを見る ◼ Qiita、Zenn、note、はてなブログ、Medium など ▶ Githubのトレンド

Secure Sky Technology Inc. 22 キャッチアップの後は…

Secure Sky Technology Inc. 23 積極的な共有が重要 インプットの後は積極的な共有を行う 情報収集は一人よりも複数人で行うほうが効率的 社内での取り組み ▶ 技術カテゴリ毎にチャットカテゴリを分類 ▶ 月一で技術共有の会議

Secure Sky Technology Inc. 24 その他の取り組みにつなげる 調べて終わるのではなく、次につなげる ▶ 検査に導入しサービス向上へ繋げる ▶ 勉強会やハンズオンなどで有識者を増やす 社内での取り組み ▶ 業務時間の10%を研究開発に使える ▶ 診断技術向上のための調査研究活動 ▶ 社内勉強会やブログ記事など 社内調査研究活動(レッドアイ)

Secure Sky Technology Inc. 25 その他の取り組みにつなげる 社内勉強会で利用したスライドの一部を公開しています ▶ SSRF基礎 ◼ https://www.slideshare.net/ssuser12fe9c/ssrf-248482162 ▶ PHP Object Injection 入門 ◼ https://www.slideshare.net/ssuser12fe9c/php-object-injection-232176005 ▶ Docker導入手順(古め) ◼ https://www.slideshare.net/ssuser12fe9c/docker-232175702

Secure Sky Technology Inc. 26 ご清聴ありがとうございました