ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
•
6 likes•1,688 views
Stackoverflow Dev Days 2015 in Tokyoのスピーチ 「ビルトイン・セキュリティのススメ」
Report
Share
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
- 1. @okdt @owaspjapan Hello | Enabling Security for Developers | ©2015 Asterisk Research, Inc. 1
- 4. つくるスキル vs 壊すスキル PRIORITY Social Impact Business decisions FULL-STACK H/W Network Application Database Users RISK Point of failure Unauthorized access Disasters Absence of key person COMMU- NICATION Team Stakeholders Government Community 4
- 5. 材料にこだわらないクスリ
- 7. ソフトウェアのサプライチェインは? Screen Shot 2015-‐08-‐14 at 19.54.28.png
- 8. 8 1963 / 249420 = 0.0078…. Less than 1%
- 9. Keynote: Facebook CSO Alex Stamos
- 11. “最大のリスク要因” ©2015 Asterisk Research, Inc. 11 RMS Titanic deparOng Southampton on April 10, 1912. (Photo: CreaOve Commons)
- 12. Intel Edison SD Card size PC Bluetooth/LE Wi-‐Fi 24x32x2.1mm 22nm 500MHz Linux 1GB RAM 4GB storage Dual Core IA “コンピュータやスマートフォンのみならず、椅子や コーヒーメーカーや、マグカップまでがネットワークデ バイスになります。” hHp://www.intel.com/content/www/us/en/do-‐it-‐yourself/edison.html
- 14. 検索: “OWASP Japan ブログ”
- 17. ホールインしやすい スタート地点から どうぞ。 1. 設計 2. 開発 3. ビルド 4. テスト 5. リリース
- 18. OWASP Top 10
- 21. Level 1: OpportunisOc (簡単に見つかるレベル)
- 22. Level 2: Standard (標準的なレベル) ・”Detailed VerificaOon Requirements” ・OWASP Top 10をカバー ・ビジネスロジックも検証
- 23. Level 3: Advanced (より進んだ脆弱性に対応)
- 24. それ以上: L3+ • ASVS L3 + – アプリケーション・スコープを超えたオプション・テ スト – サードパーティのモジュールへのテスト – ミッションクリティカルなシステムでは必要となるこ とがある。
- 25. V2. AuthenOcaOon VerificaOon Requirements Level 1 V2.1 基本的な使い方 V2.2 パスワードEchoなし V2.6 安全にフェイルする Level 2 V2.12 認証のロギング V2.13 Salt、暗号化 Level 3 V2.5 認証制御の実装 の(外部連携を含め) 集中化実装 V数字.数字 によるテスト項目のIdenOfyもバージョン間で継承される
- 26. V8. Error Handling and Logging Level 1 V8.1 攻撃者を支援し兼 ねないエラーメッセージ、 スタックトレースを出力し ない Level 2 V8.2 全エラーハンドリン グがサーバー上で実装 V8.8 セキュリティログは 認証されていないアクセ スや改ざんから保護され ていること Level 3 V8.9 ログを閲覧するソフ トウェア上で、信頼できな いデータを含むすべての イベントが、コードとして 実行されないこと V数字.数字 によるテスト項目のIdenOfyもバージョン間で継承される
- 28. OWASP ProActive Controls ProacOve Controls 脆弱性を事前に除去または低減しよう!
- 29. OWASP Internet of Things Top 10 hHps://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project I1 安全でないウェブインターフェース I2 欠陥のある認証・認可機構 I3 安全でないネットワークサービス I4 通信路の暗号化の欠如 I5 プライバシー I6 安全でないクラウドインターフェース I7 弱いモバイルインターフェース I8 設定の不備 I9 ソフトウェア・ファームウェアの問題 I10 物理的な問題
- 30. 本日、持ってきました。保存版 OWASP IoT Top 10 リスク概要編 日本語版
- 31. OWASP Cheat Sheet Project No チートシート 1 Webアプリの認証に関するチートシート 2 ユーザーがパスワードを忘れた場合の措置に関するチートシート 3 Webアプリにおけるログの取得などに関するチートシート 4 パスワードなどの保持に関するチートシート 5 PHPにおけるセキュリティ対策に関するチートシート 6 セキュアコーディングに関するチートシート 7 SQLインジェクション対策に関するチートシート 8 XSS対策に関するチートシート 9 ・・・・
- 34. ZAPがサーバにアクセス、脆弱性有無を⾃自動判断 テスター ウェブサーバ POST /confirm.php HTTP/1.1 (中略略) Cookie: PHPSESSID=xxxxxx name=shonantoka”>xss&mail=shonantoka %40example.org&gender=1 リクエスト レスポンス <html><body> ⽒氏名:shonantoka”>xss<br> メール:shonantoka@example.org<br> 性別:男<br> <from action=“register” method=“POST”> ZAP
- 35. つまり開発成果物の価値が効率良く向上するサイクル 見つけるだけではなく、修正し、改善していくコミュニティ | Enabling Security for Developers | ©2015 Asterisk Research, Inc. 35 1. Find risky coding and vulnerabiliOes earlier セキュリティ問題を潜在を早期発見 2. Fix & Prevent them リスクのあるコーディングを修正・未然に防ぐ 3. Improved educa8on and quality throughout SDLC 開発ライフサイクルを通してソフトウェア品質向上
- 36. OWASP Kyushu 2015.3〜~ OWASP Kansai 2014.3〜~ OWASP Japan 2012.3〜~ OWASP Sendai New 国内には⾸首都圏をはじめ、4つのチャプターが存在 OWASP ⽇日本
- 38. 22 OWASP Japan Local Chapter MeeOngs Reasons for holding OWASP Global AppSec in Japan – OWASP Japan Local Chapter – 2013.3.1
- 40. まとめ • 最大のリスクは「思い込み」。 – リスクは自分の中にある – コミュニケーションのレバレッジ • ビルトイン・セキュリティ – ひとりよがりなコーディングをやめよう – 共通言語を持とう • コラボレーションが効く。 – 巨人の肩に乗れ – ハチドリのひとしずく 40
- 41. OWASP Japan 岡田良太郎 公共関連の活動(抜粋) • 沖縄サイバーセキュリティネットワークアドバイザ(内閣府沖縄総合事務局、現任) • 政府調達担当向けサイバー演習評価委員(総務省、現任) • セキュリティキャンプ インストラクタ (経済産業省、現任) • マレーシア政府セキュリティイニシアチブ・インストラクタ(外務省、2015年) • 総務省IT調達研修 (総務省)、自治体IT調達調査担当 (IPA、2013年) ビジネスを持続・向上させる「セキュリティ」を実現可能にする取組みをしています。 グローバル コミュニティ 攻撃対策・堅牢化 災害緊急対応 セキュア開発の 超効率化
- 42. | Enabling Security for Developers | ©2015 Asterisk Research, Inc. 42
- 43. @okdt @owaspjapan Thank you | Enabling Security for Developers | ©2015 Asterisk Research, Inc. 43