Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Webセキュリティ技術のキャッチアップ
Search
Secure Sky Technology
October 29, 2021
Technology
6
4.5k
Webセキュリティ技術のキャッチアップ
Secure Sky Technology
October 29, 2021
Tweet
Share
More Decks by Secure Sky Technology
See All by Secure Sky Technology
自社の常識を疑い変化を恐れずセキュリティと向き合う!
sst
0
260
『Apache Log4j 脆弱性の影響緩和のために今できること』
sst
1
6.1k
脆弱性診断の移り変わり
sst
0
520
2020年度SST入社式 CTOからのメッセージ
sst
0
900
「セキュリティ専門家からみた認証における課題と不正アクセス対策 」緊急セミナー
sst
0
810
サイバー攻撃者による不正な仮想通貨マイニングの実態
sst
0
480
HTTP2ことはじめ
sst
0
910
我々はAWS WAFを研究している
sst
0
1.6k
Other Decks in Technology
See All in Technology
watsonx.ai Dojo #5 ファインチューニングとInstructLAB
oniak3ibm
PRO
0
190
組み込みアプリパフォーマンス格闘記 検索画面編
wataruhigasi
1
140
React Routerで実現する型安全なSPAルーティング
sansantech
PRO
2
280
re:Invent 2024 Innovation Talks(NET201)で語られた大切なこと
shotashiratori
0
320
オプトインカメラ:UWB測位を応用したオプトイン型のカメラ計測
matthewlujp
0
200
[JAWS-UG新潟#20] re:Invent2024 -CloudOperationsアップデートについて-
shintaro_fukatsu
0
120
.NET 9 のパフォーマンス改善
nenonaninu
0
1.3k
Working as a Server-side Engineer at LY Corporation
lycorp_recruit_jp
0
380
GitHub Copilot のテクニック集/GitHub Copilot Techniques
rayuron
39
16k
5分でわかるDuckDB
chanyou0311
10
3.3k
How to be an AWS Community Builder | 君もAWS Community Builderになろう!〜2024 冬 CB募集直前対策編?!〜
coosuke
PRO
2
2.9k
メンタル面でもつよつよエンジニアになる/登壇資料(井田 献一朗)
hacobu
0
120
Featured
See All Featured
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
6
450
Building Better People: How to give real-time feedback that sticks.
wjessup
366
19k
Embracing the Ebb and Flow
colly
84
4.5k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Documentation Writing (for coders)
carmenintech
67
4.5k
It's Worth the Effort
3n
183
28k
Mobile First: as difficult as doing things right
swwweet
222
9k
Adopting Sorbet at Scale
ufuk
73
9.1k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
3
170
Navigating Team Friction
lara
183
15k
Designing for Performance
lara
604
68k
Transcript
1 Webセキュリティ技術の キャッチアップ 株式会社セキュアスカイ・テクノロジー 技術開発部 岩間 湧
Secure Sky Technology Inc. 2 自己紹介 岩間 湧 (いわま ゆう)
▶ 脆弱性診断(2018年~) ▶ 業務の合間でWebセキュリティ調査 ▶ I ♡ Burp Suite ▶ 最近クロスバイクを購入しました
Secure Sky Technology Inc. 3 セキュアスカイ・テクノロジーについて SSTは「Webセキュリティに関する専門企業」 「無害化する」 Web Application
Firewall 「見つける」 脆弱性診断 「作らない」 セキュアな開発の ための教育 脆 弱 性 を
Secure Sky Technology Inc. 4 今日の想定ターゲット ▶ 自社で脆弱性診断をしている ◼ または始めたいと考えている
▶ 従来的な脆弱性対策だけでなく新しいものも知りたい ▶ 新しい攻撃手法が知りたい ◼ 自社のセキュリティ強化に取り入れたい ▶ Webアプリケーションセキュリティについて新しいことが知りたい
Secure Sky Technology Inc. 5 変化していくWebセキュリティ
Secure Sky Technology Inc. 6 脆弱性のトレンド 注目されるWebアプリケーションに関する脆弱性を例にあげてみる 脆弱性にもトレンドがあり年々変化している ▶ XML
外部エンティティ参照(XXE: XML External Entity) ▶ 安全でないデシリアライズ ▶ Web Cache Poisoning ▶ Server-Side Request Forgery(SSRF) ▶ HTTP Request Smuggling ▶ プロトタイプ汚染攻撃
Secure Sky Technology Inc. 7 脆弱性のトレンド変化の理由 ▶ 新しい技術の登場と共にリスクが生まれる ▶ 脆弱性の公開で攻撃手法が注目される
▶ セキュリティ研究者による発表 など 新規の脆弱性だけでなく、 過去の研究が再注目され新たな攻撃手法やリスクが提案されることもある
Secure Sky Technology Inc. 8 Webセキュリティも年々変化している トレンドをおさえつつ、サービスに反映させていきたい
Secure Sky Technology Inc. 9 Webセキュリティのトレンドは追いにくい? ▶ Webセキュリティは、情報セキュリティの中の一部 ▶ そもそもセキュリティ界隈は人があまり多くない…
▶ 業務だけだと数年前の情報で止まってしまう ▶ 英語の資料がほとんど ▶ 開発やNWに比べてセキュリティの情報は少ない
Secure Sky Technology Inc. 10 本題 Webセキュリティのトレンドに追従するための、 弊社でのキャッチアップ方法についてご紹介します
Secure Sky Technology Inc. 11 注意 ▶ 今日紹介する内容はあくまで一例です ▶ 情報収集や分析に正解はありません
▶ 個人の主観が含まれる内容もあります ▶ ご自身や組織の中で活用される際にご参考になれば幸いです
Secure Sky Technology Inc. 12 キャッチアップ紹介
Secure Sky Technology Inc. 13 どんな情報を集めるか セキュリティ情報と言っても色々な情報がある ▶ ソフトウェア製品の脆弱性情報 ▶
官公庁や企業のセキュリティ調査レポート ▶ セキュリティに関連したガイダンス、要件書 ▶ サイバー犯罪の被害情報や犯罪組織の活動情報 ▶ セキュリティ研究者の論文、講演、記事 今回はWebアプリケーション診断に影響のある情報に限定
Secure Sky Technology Inc. 14 標準的な情報を把握する Webセキュリティ業界における標準的な仕様、ガイドなどを把握する ▶ OWASP ASVS
(Application Security Verification Standard) ◼ https://github.com/OWASP/ASVS/tree/v4.0.2 ▶ OWASP TOP 10 2021 ◼ https://owasp.org/Top10/ja/ 国内の場合、IPAやJNSA(日本ネットワークセキュリティ協会)が公開する資料には 軽く目を通しておく
Secure Sky Technology Inc. 15 Webブラウザ セキュリティ向上やプライバシー保護目的で機能追加や変更がある クライアントの動作に影響するので注視しておきたい ▶ SameSite属性の仕様変更
▶ 非HTTPSサイトへの警告表示 ▶ SHA-1証明書の警告表示 ▶ サイト分離(Site Isolation)に関連する機能追加
Secure Sky Technology Inc. 16 セキュリティ専門のカンファレンス 主要なカンファレンスに参加することで、新しい攻撃手法や脆弱性の仕組みについ て触れることができる 講演時のビデオやスライドを見るだけでも参考になる ▶
BlackHat ◼ https://www.blackhat.com/ ▶ DEFCON ◼ https://defcon.org/ ▶ CODEBLUE ◼ https://codeblue.jp/2021/
Secure Sky Technology Inc. 17 研究者の情報を追う セキュリティ研究者個人もしくは所属組織が発行するレポートや技術ブログなどを見 る 研究者を知らない場合は、カンファレンスやSNSを通して知っていく ▶
PortSwigger Research ◼ https://portswigger.net/research ▶ Orange Tsai ◼ https://blog.orange.tw/
Secure Sky Technology Inc. 18 バグバウンティ バグバウンティとは: ▶ 日本では『バグ報酬金制度』や『脆弱性報酬金制度』と呼ぶことが多い ▶
脆弱性の報告に対して企業が報酬金や贈り物を送る仕組み ▶ 自社のプロダクトに限定して制度を採用している企業もある ◼ サイボウズ、Googleなど ▶ HackerOneやBugcrowdなどの代行サービスもある ▶ 一部の報告は開示されており、ネット上で読むことが可能 ▶ 専門家が自身のブログで解説している場合もある
Secure Sky Technology Inc. 19 バグバウンティ バグバウンティのレポートに含まれる項目 ▶ 概要 ▶
再現方法 ▶ リスク ▶ 対策・緩和策 ▶ 企業側のリスク判断 脆弱性診断の報告内容と似た構成なので分かりやすい 報酬金を払わないケースで、企業側の判断理由が記載されていることもある
Secure Sky Technology Inc. 20 診断状況からみる技術動向 日頃の案件から、利用されている技術傾向や動向をを分析する ▶ JavaScript(JS)フレームワークの普及 ◼
SPA(Single Page Application)構成のサイトが増加 ◼ Vue.js、React、AngularなどのJSフレームワークが利用されている ▶ Web API診断のニーズ増加 ◼ WebサイトのデータをREST API経由で公開 ◼ GraphQLやgRPC等の技術の登場と利用サイトの増加 ▶ Webブラウザベンダーの影響 ◼ HTTPSサイトの増加 ◼ Set-Cookie時のSameSite設定を明示しているサイトの増加
Secure Sky Technology Inc. 21 診断しなくても、なんとなく分かる 診断をしていない場合でも、感覚的に分かる方法 ※あくまでもなんとなくです。 ▶ 技術書典の出展内容
▶ 記事関係サービスのトレンドを見る ◼ Qiita、Zenn、note、はてなブログ、Medium など ▶ Githubのトレンド
Secure Sky Technology Inc. 22 キャッチアップの後は…
Secure Sky Technology Inc. 23 積極的な共有が重要 インプットの後は積極的な共有を行う 情報収集は一人よりも複数人で行うほうが効率的 社内での取り組み ▶
技術カテゴリ毎にチャットカテゴリを分類 ▶ 月一で技術共有の会議
Secure Sky Technology Inc. 24 その他の取り組みにつなげる 調べて終わるのではなく、次につなげる ▶ 検査に導入しサービス向上へ繋げる ▶
勉強会やハンズオンなどで有識者を増やす 社内での取り組み ▶ 業務時間の10%を研究開発に使える ▶ 診断技術向上のための調査研究活動 ▶ 社内勉強会やブログ記事など 社内調査研究活動(レッドアイ)
Secure Sky Technology Inc. 25 その他の取り組みにつなげる 社内勉強会で利用したスライドの一部を公開しています ▶ SSRF基礎 ◼
https://www.slideshare.net/ssuser12fe9c/ssrf-248482162 ▶ PHP Object Injection 入門 ◼ https://www.slideshare.net/ssuser12fe9c/php-object-injection-232176005 ▶ Docker導入手順(古め) ◼ https://www.slideshare.net/ssuser12fe9c/docker-232175702
Secure Sky Technology Inc. 26 ご清聴ありがとうございました