Mais conteúdo relacionado Semelhante a ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA (20) Mais de Riotaro OKADA (11) ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA4. つくるスキル vs 壊すスキル
PRIORITY
Social Impact
Business
decisions
FULL-STACK
H/W
Network
Application
Database
Users
RISK
Point of failure
Unauthorized
access
Disasters
Absence of key
person
COMMU-
NICATION
Team
Stakeholders
Government
Community
4
12. Intel
Edison
SD
Card
size
PC
Bluetooth/LE
Wi-‐Fi
24x32x2.1mm
22nm
500MHz
Linux
1GB
RAM
4GB
storage
Dual
Core
IA
“コンピュータやスマートフォンのみならず、椅子や
コーヒーメーカーや、マグカップまでがネットワークデ
バイスになります。”
hHp://www.intel.com/content/www/us/en/do-‐it-‐yourself/edison.html
22. Level
2:
Standard
(標準的なレベル)
・”Detailed
VerificaOon
Requirements”
・OWASP
Top
10をカバー
・ビジネスロジックも検証
24. それ以上:
L3+
• ASVS
L3
+
– アプリケーション・スコープを超えたオプション・テ
スト
– サードパーティのモジュールへのテスト
– ミッションクリティカルなシステムでは必要となるこ
とがある。
25. V2.
AuthenOcaOon
VerificaOon
Requirements
Level
1
V2.1
基本的な使い方
V2.2
パスワードEchoなし
V2.6
安全にフェイルする
Level
2
V2.12
認証のロギング
V2.13
Salt、暗号化
Level
3
V2.5
認証制御の実装
の(外部連携を含め)
集中化実装
V数字.数字 によるテスト項目のIdenOfyもバージョン間で継承される
26. V8.
Error
Handling
and
Logging
Level
1
V8.1
攻撃者を支援し兼
ねないエラーメッセージ、
スタックトレースを出力し
ない
Level
2
V8.2
全エラーハンドリン
グがサーバー上で実装
V8.8
セキュリティログは
認証されていないアクセ
スや改ざんから保護され
ていること
Level
3
V8.9
ログを閲覧するソフ
トウェア上で、信頼できな
いデータを含むすべての
イベントが、コードとして
実行されないこと
V数字.数字 によるテスト項目のIdenOfyもバージョン間で継承される
29. OWASP
Internet
of
Things
Top
10
hHps://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project
I1
安全でないウェブインターフェース
I2
欠陥のある認証・認可機構
I3
安全でないネットワークサービス
I4
通信路の暗号化の欠如
I5
プライバシー
I6
安全でないクラウドインターフェース
I7
弱いモバイルインターフェース
I8
設定の不備
I9
ソフトウェア・ファームウェアの問題
I10
物理的な問題
31. OWASP Cheat Sheet Project
No チートシート
1 Webアプリの認証に関するチートシート
2 ユーザーがパスワードを忘れた場合の措置に関するチートシート
3 Webアプリにおけるログの取得などに関するチートシート
4 パスワードなどの保持に関するチートシート
5 PHPにおけるセキュリティ対策に関するチートシート
6 セキュアコーディングに関するチートシート
7 SQLインジェクション対策に関するチートシート
8 XSS対策に関するチートシート
9 ・・・・
34. ZAPがサーバにアクセス、脆弱性有無を⾃自動判断
テスター ウェブサーバ
POST /confirm.php HTTP/1.1
(中略略)
Cookie: PHPSESSID=xxxxxx
name=shonantoka”>xss&mail=shonantoka
%40example.org&gender=1
リクエスト
レスポンス
<html><body>
⽒氏名:shonantoka”>xss<br>
メール:shonantoka@example.org<br>
性別:男<br>
<from action=“register” method=“POST”>
ZAP
38. 22
OWASP
Japan
Local
Chapter
MeeOngs
Reasons
for
holding
OWASP
Global
AppSec
in
Japan
–
OWASP
Japan
Local
Chapter
–
2013.3.1
40. まとめ
• 最大のリスクは「思い込み」。
– リスクは自分の中にある
– コミュニケーションのレバレッジ
• ビルトイン・セキュリティ
– ひとりよがりなコーディングをやめよう
– 共通言語を持とう
• コラボレーションが効く。
– 巨人の肩に乗れ
– ハチドリのひとしずく
40
41. OWASP Japan 岡田良太郎
公共関連の活動(抜粋)
• 沖縄サイバーセキュリティネットワークアドバイザ(内閣府沖縄総合事務局、現任)
• 政府調達担当向けサイバー演習評価委員(総務省、現任)
• セキュリティキャンプ インストラクタ (経済産業省、現任)
• マレーシア政府セキュリティイニシアチブ・インストラクタ(外務省、2015年)
• 総務省IT調達研修 (総務省)、自治体IT調達調査担当 (IPA、2013年)
ビジネスを持続・向上させる「セキュリティ」を実現可能にする取組みをしています。
グローバル
コミュニティ
攻撃対策・堅牢化
災害緊急対応
セキュア開発の
超効率化