Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Webセキュリティ技術のキャッチアップ

 Webセキュリティ技術のキャッチアップ

Secure Sky Technology

October 29, 2021
Tweet

More Decks by Secure Sky Technology

Other Decks in Technology

Transcript

  1. Secure Sky Technology Inc. 2 自己紹介 岩間 湧 (いわま ゆう)

    ▶ 脆弱性診断(2018年~) ▶ 業務の合間でWebセキュリティ調査 ▶ I ♡ Burp Suite ▶ 最近クロスバイクを購入しました
  2. Secure Sky Technology Inc. 3 セキュアスカイ・テクノロジーについて SSTは「Webセキュリティに関する専門企業」 「無害化する」 Web Application

    Firewall
 「見つける」 脆弱性診断
 「作らない」 セキュアな開発の
 ための教育 脆 弱 性 を
  3. Secure Sky Technology Inc. 4 今日の想定ターゲット ▶ 自社で脆弱性診断をしている ◼ または始めたいと考えている

    ▶ 従来的な脆弱性対策だけでなく新しいものも知りたい ▶ 新しい攻撃手法が知りたい ◼ 自社のセキュリティ強化に取り入れたい ▶ Webアプリケーションセキュリティについて新しいことが知りたい
  4. Secure Sky Technology Inc. 6 脆弱性のトレンド 注目されるWebアプリケーションに関する脆弱性を例にあげてみる 脆弱性にもトレンドがあり年々変化している ▶ XML

    外部エンティティ参照(XXE: XML External Entity) ▶ 安全でないデシリアライズ ▶ Web Cache Poisoning ▶ Server-Side Request Forgery(SSRF) ▶ HTTP Request Smuggling ▶ プロトタイプ汚染攻撃
  5. Secure Sky Technology Inc. 7 脆弱性のトレンド変化の理由 ▶ 新しい技術の登場と共にリスクが生まれる ▶ 脆弱性の公開で攻撃手法が注目される

    ▶ セキュリティ研究者による発表 など 新規の脆弱性だけでなく、 過去の研究が再注目され新たな攻撃手法やリスクが提案されることもある
  6. Secure Sky Technology Inc. 9 Webセキュリティのトレンドは追いにくい? ▶ Webセキュリティは、情報セキュリティの中の一部 ▶ そもそもセキュリティ界隈は人があまり多くない…

    ▶ 業務だけだと数年前の情報で止まってしまう ▶ 英語の資料がほとんど ▶ 開発やNWに比べてセキュリティの情報は少ない
  7. Secure Sky Technology Inc. 11 注意 ▶ 今日紹介する内容はあくまで一例です ▶ 情報収集や分析に正解はありません

    ▶ 個人の主観が含まれる内容もあります ▶ ご自身や組織の中で活用される際にご参考になれば幸いです
  8. Secure Sky Technology Inc. 13 どんな情報を集めるか セキュリティ情報と言っても色々な情報がある ▶ ソフトウェア製品の脆弱性情報 ▶

    官公庁や企業のセキュリティ調査レポート ▶ セキュリティに関連したガイダンス、要件書 ▶ サイバー犯罪の被害情報や犯罪組織の活動情報 ▶ セキュリティ研究者の論文、講演、記事 今回はWebアプリケーション診断に影響のある情報に限定
  9. Secure Sky Technology Inc. 14 標準的な情報を把握する Webセキュリティ業界における標準的な仕様、ガイドなどを把握する ▶ OWASP ASVS

    (Application Security Verification Standard) ◼ https://github.com/OWASP/ASVS/tree/v4.0.2 ▶ OWASP TOP 10 2021 ◼ https://owasp.org/Top10/ja/ 国内の場合、IPAやJNSA(日本ネットワークセキュリティ協会)が公開する資料には 軽く目を通しておく
  10. Secure Sky Technology Inc. 18 バグバウンティ バグバウンティとは: ▶ 日本では『バグ報酬金制度』や『脆弱性報酬金制度』と呼ぶことが多い ▶

    脆弱性の報告に対して企業が報酬金や贈り物を送る仕組み ▶ 自社のプロダクトに限定して制度を採用している企業もある ◼ サイボウズ、Googleなど ▶ HackerOneやBugcrowdなどの代行サービスもある ▶ 一部の報告は開示されており、ネット上で読むことが可能 ▶ 専門家が自身のブログで解説している場合もある
  11. Secure Sky Technology Inc. 19 バグバウンティ バグバウンティのレポートに含まれる項目 ▶ 概要 ▶

    再現方法 ▶ リスク ▶ 対策・緩和策 ▶ 企業側のリスク判断 脆弱性診断の報告内容と似た構成なので分かりやすい 報酬金を払わないケースで、企業側の判断理由が記載されていることもある
  12. Secure Sky Technology Inc. 20 診断状況からみる技術動向 日頃の案件から、利用されている技術傾向や動向をを分析する ▶ JavaScript(JS)フレームワークの普及 ◼

    SPA(Single Page Application)構成のサイトが増加 ◼ Vue.js、React、AngularなどのJSフレームワークが利用されている ▶ Web API診断のニーズ増加 ◼ WebサイトのデータをREST API経由で公開 ◼ GraphQLやgRPC等の技術の登場と利用サイトの増加 ▶ Webブラウザベンダーの影響 ◼ HTTPSサイトの増加 ◼ Set-Cookie時のSameSite設定を明示しているサイトの増加
  13. Secure Sky Technology Inc. 24 その他の取り組みにつなげる 調べて終わるのではなく、次につなげる ▶ 検査に導入しサービス向上へ繋げる ▶

    勉強会やハンズオンなどで有識者を増やす 社内での取り組み ▶ 業務時間の10%を研究開発に使える ▶ 診断技術向上のための調査研究活動 ▶ 社内勉強会やブログ記事など 社内調査研究活動(レッドアイ)
  14. Secure Sky Technology Inc. 25 その他の取り組みにつなげる 社内勉強会で利用したスライドの一部を公開しています ▶ SSRF基礎 ◼

    https://www.slideshare.net/ssuser12fe9c/ssrf-248482162 ▶ PHP Object Injection 入門 ◼ https://www.slideshare.net/ssuser12fe9c/php-object-injection-232176005 ▶ Docker導入手順(古め) ◼ https://www.slideshare.net/ssuser12fe9c/docker-232175702