セキュリティ勉強会 / How do we confront the threat

Transcript

1. ηΩϡϦςΟษڧձ ~ Ͳ͏΍ͬͯڴҖʹ 
 ཱͪ޲͔͍͚ͬͯ͹͍͍ͷ͔ฤ ~ 2021/04/12 ͖ͨ͏Β

2. ຊ೔ͷΰʔϧ 2 ηΩϡϦςΟରࡦɺ ࠓޙͲ͏΍ͬͯऔΓ૊ΜͰ͍͜͏ ↓ ʢΘ͔͔ͬͨΒʣ࣮ࡍʹऔΓ૊ΜͰΈΑ͏!

3. ΋͎͘͡ 3 1.ηΩϡϦςΟ͓͍͍ͬͯ͠ͷʁ - ߈ܸ͕੒ޭͨ͠ΒͲΜͳඃ֐Λड͚Δ͔ - ҰݴͰઆ໌͍ͯ͘͠10େڴҖ 2.ηΩϡϦςΟͱͷ޲͖߹͍ํ ▪૊৫ͱͯ͠ -

   Ͳ͏͢Ε͹҆৺ͱݴ͍੾ΕΔͷ͔ - ͔͚Δඅ༻ͱ޻਺͸Ͳͷఔ౓͕ద੾ͳͷ͔ ▪ΤϯδχΞͱͯ͠ - ୭͕ԿΛҙࣝ͢Ε͹͍͍ͷ͔ - Ͳ͏΍ͬͯษڧͨ͠Β͍͍ͷ͔

4. 4 1.ηΩϡϦςΟ͓͍͍ͬͯ͠ͷʁ

5. ߈ܸΛड͚ͨΒͲΜͳඃ֐Λड͚Δ͔ 5 - ۚમͷଛࣦ 
 ଛ֐ഛঈͷࢧ෷͍ 
 ෮چରԠ։ൃඅ༻΍༷ʑͳରԠඅ༻ - ސ٬ͷଛࣦ

   
 ࣾձతධՁ௿ԼʹΑΔސ٬ྲྀग़ 
 औҾઌ͔Βͷड஫ఀࢭ - ࣄۀܧଓͷ્֐ 
 ਓࡐྲྀग़ - ৽ػೳ։ൃͷ஗Ԇ 
 ճ෮ରԠ༏ઌʹΑΔ޻਺ͷݮଛ

6. ҰݴͰઆ໌͢Δ10େڴҖ 6 - ΠϯδΣΫγϣϯ - ೝূͷෆඋ - ػີ৘ใͷ࿐ग़ - XML֎෦ΤϯςΟςΟࢀরʢXXEʣ

   - ΞΫηε੍ޚͷෆඋ - ෆద੾ͳηΩϡϦςΟઃఆ - ΫϩεαΠτεΫϦϓςΟϯά - ҆શͰͳ͍σγϦΞϥΠθʔγϣϯ - ط஌ͷ੬ऑੑΛ࣋ͭίϯϙʔωϯτͷ࢖༻ - ෆे෼ͳϩΪϯάͱ؂ࢹ https://wiki.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf

7. ΠϯδΣΫγϣϯ 7 ▪಺༰ ੬ऑੑͷ͋ΔγεςϜʹରͯ͠ɺ։ൃऀͷ૝ఆ ֎ʹΑΔจࣈྻೖྗΛߦ͏͜ͱʹΑΓɺγες ϜΛ৐ͬऔͬͨΓվ᜵͢ΔڴҖ

8. ೝূͷෆඋ 8 ▪಺༰ ʮਖ਼͍͠ΞΫηεݖΛ࣋ͭਓ͕ਖ਼͘͠ΞΫηε ݖΛ࣋ͭʯͱ͍͏͋Δ΂͖ঢ়ଶ͕ෆඋʹΑͬ ͯ৵֐͞Εͯ͠·͏ڴҖ

9. ػີ৘ใͷ࿐ग़ 9 ▪಺༰ ҙਤͤͣॏཁσʔλ͕҉߸Խ͞Ε͍ͯͳ͍/ެ ։͞Εͯ͠·͍ͬͯΔ౳Ͱୈࡾऀ͕ӾཡͰ͖ ͯ͠·͏ڴҖ

10. XML֎෦ΤϯςΟςΟࢀরʢXXEʣ 10 ▪಺༰ XMLϓϩηοαͷ࢓༷Λٯखʹͱͬͯɺ ༷ʑͳ߈ܸΛՄೳͱͯ͠͠·͏ڴҖ

11. ΞΫηε੍ޚͷෆඋ 11 ▪಺༰ ຊདྷඞཁͱ͞ΕΔΞΫηεݖݶҎ্ͷػೳΛ ࣮ߦͰ͖ͯ͠·͏͜ͱʹΑΓɺΞΫηεݖݶ ؅ཧશମ͕੬ऑͱͳ͍ͬͯΔ༷ͷڴҖ

12. ෆద੾ͳηΩϡϦςΟઃఆ 12 ▪಺༰ ਓతϛε΍ෆద੾ͳઃఆʹΑͬͯɺ༷ʑͳ੬ ऑੑΛҾ͖ى͍ͯ͜͠Δ༷ͷڴҖ

13. ΫϩεαΠτεΫϦϓςΟϯά 13 ▪߈ܸ಺༰ ੬ऑੑͷ͋ΔඪతαΠτͷυϝΠϯݖݶʹΑͬͯѱ ҙͷ͋ΔεΫϦϓτΛ࣮ߦͤ͞Δ͜ͱ͕Ͱ͖ΔڴҖ 


14. ҆શͰͳ͍σγϦΞϥΠθʔγϣϯ 14 ▪߈ܸ಺༰ ੬ऑੑͷ͋Δσʔλม׵Λߦ͏ॲཧʹ͓͍ͯɺ ѱҙͷ͋ΔϓϩάϥϜΛ࣮ߦͤͯ͞͠·͏ͱ͍͏ڴҖ 


15. ط஌ͷ੬ऑੑΛ࣋ͭίϯϙʔωϯτͷ࢖༻ 15 ▪߈ܸ಺༰ ೝ஌͞Εͨ੬ऑੑΛରࡦ͠ͳ͍··ར༻͢Δ͜ͱ ʹΑΓɺ༷ʑͳ߈ܸΛڐ༰ͱͯ͠͠·͏ڴҖ

16. ෆे෼ͳϩΪϯάͱϞχλϦϯά 16 ▪߈ܸ಺༰ ߈ܸͷૣظൃݟ΍߈ܸऀʹରͯ͠ૌুΛߦ͏ͨΊ ͷূڌ͕ඞཁͱͳΔ͕ɺෆे෼Ͱ͋Δ͕ނʹͦͷ ճ෮ߦಈ͕ߦ͑ͳ͍ڴҖ

17. 17 2.ηΩϡϦςΟͱͷ޲͖߹͍ํ

18. 18 ~૊৫ͱͯ͠ฤ~ Ͳ͏͢Ε͹҆৺ͱ͍͍͖ΕΔͷ͔

19. Ͳ͏͢Ε͹҆৺ͱ͍͍͖ΕΔͷ͔ 19 - WAFΛద༻ࡁΈ - ΞΫηεݖݶ΋࠷దԽࡁΈ - ଟཁૉೝূ΋ඞਢԽࡁΈ - IDS΋ಋೖࡁΈ

    - σϓϩΠ࣌ͷCI/CDϓϩηεͰϖωτϨΠγϣϯςετ΋࣮ߦࡁΈ - …etc ͜͜·Ͱ΍Ε͹όονϦɾɾɾ

20. Ͳ͏͢Ε͹҆৺ͱ͍͍͖ΕΔͷ͔ 20 ɾɾɾͱ͸ͳΒͳ͍ͷ͸ͳΜͰͩΖ͏͔

21. 21 ʲ࣮͸2೥લʹߟ͑ͨೝ஌ྖҬͰͷηΩϡϦςΟରࡦʳ - WAFΛద༻ࡁΈ - ΞΫηεݖݶ΋࠷దԽࡁΈ - ଟཁૉೝূ΋ඞਢԽࡁΈ - IDS΋ಋೖࡁΈ

    - σϓϩΠ࣌ͷCI/CDϓϩηεͰϖωτϨΠγϣϯςετ΋࣮ߦࡁΈ - …etc ʲൃੜͯ͠΋͓͔͘͠ͳ͍ڴҖʳ - 1೥લʹೝ஌͞Εͨ৽ͨͳڴҖ - ೝ஌ྖҬ֎ͷڴҖ - ಋೖͨ͠ηΩϡϦςΟରࡦ͕ٕज़తʹ௠෗Խͨ͜͠ͱʹΑΔڴҖ

22. 22 ʲ࣮͸2೥લʹߟ͑ͨೝ஌ྖҬͰͷηΩϡϦςΟରࡦʳ - WAFΛద༻ࡁΈ - ΞΫηεݖݶ΋࠷దԽࡁΈ - ଟཁૉೝূ΋ඞਢԽࡁΈ - IDS΋ಋೖࡁΈ

    - σϓϩΠ࣌ͷCI/CDϓϩηεͰϖωτϨΠγϣϯςετ΋࣮ߦࡁΈ - …etc ʲൃੜͯ͠΋͓͔͘͠ͳ͍ڴҖʳ - 1೥લʹೝ஌͞Εͨ৽ͨͳڴҖ - ೝ஌ྖҬ֎ͷڴҖ - ಋೖͨ͠ηΩϡϦςΟରࡦ͕ٕज़తʹ௠෗Խͨ͜͠ͱʹΑΔڴҖ ͳʹ͕͍͚ͳ͔ͬͨɾɾɾʁ

23. ܧଓత౤ࢿͷେࣄ͞ 23 - ηΩϡϦςΟͷ໰୊͕ى͖ͨͱ͖ʹ 
 ៦Δ΂͖ϓϩηε͕ଘࡏ͠ͳ͍͜ͱ͕ 
 Ұ൪ͷෆ҆ཁૉ - Ծʹܧଓతͳ׆ಈΛ্ͨ͠Ͱ໰୊͕ൃੜͨ͠৔߹͸ɺ

    
 ͦͷ׆ಈࣗମͷϓϩηεΛݟ௚͢͠Ε͹Α͘ɺ 
 ͦ͏΍ͬͯ૊৫͸ڧ͘ͳ͍ͬͯ͘΋ͷͩͱݸਓతʹ͸ 
 ࢥ͍·͢ɻ

24. 24 ~૊৫ͱͯ͠ฤ~ ͔͚Δඅ༻ͱ޻਺ͬͯͲͷఔ౓͕ద੾ͳͷ

25. ͔͚Δඅ༻ͱ޻਺ͬͯͲͷఔ౓͕ద੾ͳͷ 25 ݱࡏͷྫ ӡ༻ 40% ৽ػೳ։ൃ 60%

26. ͔͚Δඅ༻ͱ޻਺ͬͯͲͷఔ౓͕ద੾ͳͷ 26 ྫ1 ηΩϡϦςΟ 40% ӡ༻ 40% ৽ػೳ։ൃ 20% ηΩϡϦςΟ͸ਖ਼ٛͰ͢!!

    ྫ2 ηΩϡϦςΟ 5% ӡ༻ 40% ৽ػೳ։ൃ 55% ސ٬֫ಘ͕ୈҰ༏ઌͰ͢!!

27. ໰୊͕ൃੜͨ͠ͱ͖ͷ޻਺͸Ͳ͏ͳΔͷ͔ 27 ໰୊ൃੜ࣌ͷྫ ো֐ରԠ 60% ӡ༻ 40% - ηΩϡϦςΟʹΑΔ໰୊͕ൃੜ ͨ͠৔߹ɺ৽ػೳ։ൃͷதࢭΛ

    ༨ّͳ͘͞ΕΔέʔε͕ଟʑ - ৽ػೳ։ൃΛࢭΊͳ͍ͨΊͱ͍ ͏ҙຯͰηΩϡϦςΟ׆ಈ͸౤ ࢿͰ͋Δͱ͍͏ߟ͑ํ΋༗ޮ

28. ౤ࢿ͸ద੾ʹܭը͠ɺಘΒΕΔརӹ͸࠷େԽ͢Δ 28 - ·ͣ͸ݱঢ়ௐࠪͷλεΫ͔Β਱ߦ͢Δ - ௐࠪ݁Ռ͔ΒҰ൪౤ࢿରޮՌ͕ߴͦ͏ͳࢪࡦΛܭը͠ɺ࣮ߦ͢ΔɻͦͷͨΊ ͷ޻਺Λ֬อ͢Δͱ͍͏αΠΫϧΛճ͢͜ͱͰ࠷దԽ͍ͯ͘͠(มಈ͢Δ͜ͱ Λલఏͱ͢Δ) - ௐࠪλεΫ͸ܧଓతʹߦ͍ɺௐࠪ಺༰ɾํ๏΋๨ΕͣʹΞοϓσʔτΛ͔͚ͯ

    ͍͘ - ࢪࡦ಺༰ʹ͓͍ͯɺ͍҆ɺ͏·͍ɺૣ͍͸ਖ਼ٛ

29. 29 ~ΤϯδχΞͱͯ͠ฤ~ ୭͕ԿΛҙࣝ͢Ε͹Α͍ͷ͔

30. ୭͕ҙࣝ͢Δඞཁ͕͋Δͷ͔ 30 ଟ૚๷ޚͱ͸ ηΩϡϦςΟରࡦΛ૊Έ߹Θͤͯ֊૚Λங͘͜ͱͰɺ Ұͭͷରࡦ͕ഁΒΕͯ΋࣍ͷʢͦͷ·ͨ࣍ͷʣରࡦ͕ 
 ߈ܸΛ཈ࢭ͠ɺ߈ܸͷݕ஌ٴͼରԠͰ͖ΔΑ͏ʹ͢Δ 
 ૯߹తͳηΩϡϦςΟΞϓϩʔνΛࢦ͢ɻ

31. ୭͕ҙࣝ͢Δඞཁ͕͋Δͷ͔ 31 ͭ·Γɺ ϑϩϯτΤϯυ όοΫΤϯυ Πϯϑϥ ֊૚Λ্هʹݟཱͯͨ৔߹ɺͦΕͧΕ͕ηΩϡϦςΟରࡦΛ 
 ࢪ͢͜ͱʹΑͬͯɺΑΓڧݻͳηΩϡϦςΟΛங͘͜ͱ͕Ͱ͖Δ ΑΓޮՌతͳରࡦΛݕ౼͢Δʹ͸ɺΈΜͳͷྗ͕ෆՄܽ

32. ୭͕ҙࣝ͢Δඞཁ͕͋Δͷ͔ -> શһ 32

33. 33 ~ΤϯδχΞͱͯ͠ฤ~ Ͳ͏΍ͬͯษڧͨ͠Β͍͍ͷ͔

34. ηΩϡϦςΟͷษڧํ๏ʢश׳ฤʣ 34 - Qiita 
 https://qiita.com/ - Zenn 
 https://zenn.dev/

    - Developer io 
 https://dev.classmethod.jp/

35. ηΩϡϦςΟͷษڧํ๏ʢಡॻฤʣ 35

36. ηΩϡϦςΟͷษڧํ๏ʢWebฤʣ 36 - OWASP Top 10 ~2017~ 
 ڴҖͷτϨϯυ͕஌ΕΔ -

    OWASP Top 10 Proactive Controls ~2018~ 
 શ։ൃνʔϜʹ޲͚ͯޮՌతͱ͞ΕΔରࡦͷ঺հ - Google ChromeͷηΩϡϦςΟΞοϓσʔτ 
 ΞοϓσʔτΛ͢ΔʹࢸͬͨܦҢ΍എܠΛ 
 ղઆͯ͘͠ΕͯΔέʔε͕͋Δ - ҆શͳ΢ΣϒαΠτͷ࡞ΓํʢIPAʣ 
 ۩ମతͳ߈ܸ಺༰ͷৄࡉͱͦͷରࡦͳͲ͕໢ཏతʹهࡌ͞ΕͯΔ 


37. վΊͯຊ೔ͷΰʔϧ 37 ηΩϡϦςΟରࡦɺ ࠓޙͲ͏΍ͬͯऔΓ૊ΜͰ͍͜͏ ↓ ʢΘ͔͔ͬͨΒʣ࣮ࡍʹऔΓ૊ΜͰΈΑ͏!

38. վΊͯຊ೔ͷΰʔϧ 38 ͳʹ͔ҰͭͰ΋࣋ͪؼͬͯ ࣮ફʹͭͳ͛ͯ΋Β͑ͨΒ خ͍͠Ͱ͢

39. 39 ͝੩ௌ͋Γ͕ͱ͏ޚ࠲͍·ͨ͠