狠狠撸

狠狠撸Share a Scribd company logo

20180601 OWASP Top 10 2017の読み方

Download as PPTX, PDF
OWASP Nagoya
OWASP Nagoya

20180601 OWASP Nagoya Chapter ミーティング 第5回 OWASP Top 10 2017の読み方

1 of 32
Download to read offline
OWASP Top 10 2017の読み方 1 2018.06.01 (Fri) Isanori Sakanashi
自己紹介 ? 坂梨 功典(さかなし いさのり) ? facebook: https://www.facebook.com/isanori.sakanashi ? twitter : @PandaTw2 ? メール : isanori.sakanashi@owasp.org – SIベンダー系SE(インフラエンジニア) – 登録セキスペ(登録番号: 第002084号) – OWASP Nagoya Chapter Leader 2
私から皆さんに質問です。 ● OWASPって知っていますか? ● OWASP Projectって知っていますか? ● OWASP Top 10って知っていますか? ● OWASP ZAPって知っていますか? ● WEBアプリケーションのセキュリティって知っていますか? ● WEBアプリケーションのセキュア開発に興味ありますか? 3 是非OWASPの各種ドキュメントを一緒に勉強しましょう
1.前書き 2.OWASP Top 10-2017へようこそ 3.リリースノート 4.次のステップ 4 Agenda
1. 前書き 5 OWASP Top 10 2017
OWASP Top 10 2017 6 ● セキュアでないソフトウェア ○ 財務、医療、防衛、エネルギーおよびその他の重要インフラを損な います ● モダンなソフトウェア開発プロセスの急速な進歩により共通するリスク を迅速かつ正確に発見し開発することは不可欠です ● 様々なコミュニティが、このOWASP Top 10に対して情熱があります ● いまやTop 10はアプリケーションセキュリティのデファクト?スタンダ ードとなっています ● アプリケーションセキュリティの問題や改善提案は簡潔かつ確認できる 方法を提供します ○ 本リリースで適用 前書き
OWASP Top 10 2017 7 ● OWASP Top 10を見る人に対して次のステップへの提案 ○ 「開発者のための次のステップ」 ○ 「セキュリティテスト担当者のための次のステップ」 ○ CIOやCISOに適した「組織のための次のステップ」 ○ アプリケーションマネージャやアプリケーションのライフサイクル の責任を持つ人に適した「アプリケーションマネージャのための次 のステップ」 ● 長期的 ○ 組織が今持っている強みを活かしながら、SAMM(ソフトウェア品質 成熟度モデル)を用いてアプリケーションセキュリティプログラムを 計測し改善します 前書き
2. OWASP Top 10–2017へようこそ 8 OWASP Top 10 2017
OWASP Top 10 2017 9 ようこそ
OWASP Top 10 2017 10 ● メジャーアップデート ○ A8:2017-安全でないデシリアライゼーション ○ A10:2017-不十分なロギングとモニタリング ようこそ
OWASP Top 10 2017 11 ● 集計に使用されたデータ ■ 数多くのコミュニティのフィードバック、組織から充てめられた 数多くの広範囲なデータをもとにして作成されています。主に、 アプリケーションのセキュリティを専門とする企業から寄せられ た40以上のデータをもとに集計しています ■ 500人以上の個々の人々による業界調査を実施しています ■ データは数百の組織の10万以上の実在するアプリケーションおよ びAPIから集められた脆弱性にまたがるもので集計しています ようこそ
OWASP Top 10 2017 12 ● 主要な目的 ○ 開発者、デザイナー、アーキテクト、マネージャ、組織に最も一般 的かつ最も重要なWebアプリケーションセキュリティの弱点の影響 について教育します ○ これらのリスクの高い問題のある領域を守るための基本的なテクニ ックを提供し、現時点からどこへ進めるべきなかについてのガイダ ンスを提供しています ようこそ
OWASP Top 10 2017 13 ● 将来への道筋 ○ 10まででやめない ■ Webアプリケーションの全体的なセキュリティに影響を与える可能性のあ る問題は数多く存在します ● OWASP Developer's GuideやOWASP Cheat Sheet Series参照 ○ WebアプリケーションやAPIを開発するどんな人にとっても不可欠な情報 ■ WebアプリケーションおよびAPIの脆弱性を効果的に見つける方法に関する ガイダンスを提供します ● OWASP Testing Guide参照 ○ 定期的に変更 ■ OWASP Top 10はこれからも変化し続けます ■ アプリケーションコードの1行も変更していなくても脆弱になる可能性があ ります ようこそ
OWASP Top 10 2017 14 ● 将来への道筋 ○ 積極的に思考 ■ 脆弱性を追いかけるのをやめ、アプリケーションセキュリティコントロール を強力なものに確立する準備ができたら ● OWASP Proactive Controlsプロジェクトを活用します ○ 開発者がセキュリティをアプリケーションに組み込むための出発点 を提供します ● OWASP Application Security Verification Standard (ASVS)を活用します ○ 組織にとって、またアプリケーションレビュワーにとって何を検証 したら良いかを示すガイドとして提供します ようこそ
OWASP Top 10 2017 15 ● 将来への道筋 ○ 賢くツールを活用 ■ セキュリティ脆弱性は、非常に複雑で深刻なコードに埋もれていることがあ ります ■ そのような弱点を発見して排除するための最も費用対効果の高いアプローチ は、高度なツールを手元に備えている専門家となります ■ ツールのみに依存することは、セキュリティに関する誤った感覚をもたらし てしまうので、お勧めしません ○ 左へ右へ、どこへでも進める ■ セキュリティをソフトウェア開発の組織全体のカルチャーにかかわる不可欠 なものとすることに集中してください ■ OWASP Software Assurance Maturity Model (SAMM)を参考にしてください ようこそ
OWASP Top 10 2017 16 参考 ようこそ 要件定義 OWASP Top 10 Project 設計?開発 OWASP Proactive Controls OWASP Application Security Verification Standard(ASVS) OWASP Cheat Sheet Series テスト OWASP Testing Project(OWASP Testing Guide etc…) OWASP Offensive Web Testing Framework(OWTF) 運用?保守 OWASP ModSecurity Core Rule Set Project OWASP AppSensor OWASP CSRFGuard Project OWASP Dependency Check ※OWASP World Training Tour Tokyo 2017の資料より引用
3. リリースノート 17 OWASP Top 10 2017
OWASP Top 10 2017 18 ● OWASP Top 10はここ数年の急激な変化によって大きく改版 ○ リファクタリング ○ 手法を改良 ○ 新しいデータ募集のプロセスを活用 ○ コミュニティと協働 ○ リスクを評価し直す ○ それぞれのリスクを一から書き直す ○ 一般に利用されているフレームワークや言語への参照 リリースノート
OWASP Top 10 2017 19 ● アプリケーションの基本的な技術とアーキテクチャが大きく変化 ○ 従来のモノリシックアプリケーションからnode.jsやSpring Bootで書かれたマイクロサ ービスに置き換わっています ■ マイクロサービスには独自のセキュリティ上の課題が存在します ■ シングルページアプリケーション(SPA)やモバイルアプリケーションによって 使いまくられているAPI やRESTful Webサービスの背後に居座っています ■ コードによるアーキテクチャの前提、たとえば信頼できる発信者のような前提は もはや有効ではありません ○ モジュール化された機能豊富なフロントエンドの開発ができるようになりました (AngularやReactなどのJavaScriptフレームワーク) ○ サーバー側で提供されてきた機能がクライアント側の機能に移るため、それはそれで 独自のセキュリティ上の課題が発生しています リリースノート
OWASP Top 10 2017 20 ● データに裏付けられた新しい問題 ○ A4:2017-XML 外部エンティティ参照(XXE) ■ 新しいカテゴリとして追加 ■ 主にソースコード分析を行うセキュリティテストツール(SAST)から寄せられたデ ータが根拠 ■ コミュニティにより裏付けられた新しい問題 ○ A8:2017-安全でないデシリアライゼーション ■ 問題のある環境ではリモートからのコード実行や機微なオブジェクト操作が可能 ○ A10:2017-不十分なロギングとモニタリング ■ 機能の欠落は、不正な活動やセキュリティ違反の検知、インシデント対応、デジ タルフォレンジックを妨げるか、あるいは大幅に遅延させる可能性 リリースノート
OWASP Top 10 2017 21 ● 統合、引退(ただし、忘れて良いという意味ではありません) ○ A4-安全でないオブジェクト直接参照とA7-機能レベルアクセス制御の欠落 ■ 「A5:2017-アクセス制御の不備」へ統合 ○ A8-クロスサイトリクエストフォージェリ(CSRF) ○ A10-未検証のリダイレクトとフォワード リリースノート
4. アプリケーションセキュリティリスクについて 22 OWASP Top 10 2017
OWASP Top 10 2017 23 ● 組織におけるリスクを判断するためにまず次のようなことを考慮する必要 ○ 「脅威エージェント」 ○ 「攻撃手法」 ○ 「セキュリティ上の弱点」などに関する可能性を評価 ● 組織に対して ○ 「技術面への影響」 ○ 「ビジネス面への影響」 アプリケーションリスク
OWASP Top 10 2017 24 ● あなたにとってのリスク ○ 最も重大なウェブアプリケーションセキュリティリスクを特定すること ○ OWASP Risk Rating Methodologyに基づいた格付手法により、発生可能性と技術面へ の影響について評価 ○ 公共の利益団体において公開情報をCMSにより管理している場合や、医療システムに おいてセンシティブな健康記録を管理するために同じようなCMSを利用している場合 に、同じソフトウェアであっても脅威を引き起こすアクターやビジネスへの影響は大 きく異なります アプリケーションリスク
OWASP Top 10 2017 25 OWASP Top 10 2017の変更点 変更点
4. 次のステップ 26 OWASP Top 10 2017
OWASP Top 10 2017 27 ● 反復可能なセキュリティプロセスと標準セキュリティ制御の確立と使用 ○ 組織におけるリスクを判断するためにまず次のようなことを考慮する必要があります ■ 「脅威エージェント」、「攻撃手法」、「セキュリティ上の弱点」などに関する 可能性を評価する必要性があります ● 組織に対して ○ 「技術面への影響」 ○ 「ビジネス面への影響」 開発者 次ステップ アプリケーション セキュリティ要件 アプリケーション セキュリティ アーキテクチャ 標準的な セキュリティ制御 セキュアな開発 ライフサイクル アプリケーション セキュリティ教育
OWASP Top 10 2017 28 ● 継続的なアプリケーションセキュリティテストを確立します ○ アプリケーションポートフォリオの全体において、重要と考えられることにどのよう に焦点をあて、費用対効果の高い手法をとるべきかを考慮することを強く推奨してい ます ○ 開発スピードを損なうことのないようセキュリティの自動化を施し、既存の開発プロ セスを強化を実施します ○ アプリケーションポートフォリオの規模に応じたテスト、トリアージ、修復、再テス ト、再デプロイに係る年間コストを考慮します セキュリティテスト担当者 次ステップ 脅威モデルの理解 SDLC(ソフトウ ェア開発ライフサ イクル)の理解 テスト戦略 範囲と正確さの 達成 明確な結果の伝達
OWASP Top 10 2017 29 ● 今すぐ、アプリケーションセキュリティ計画を開始しましょう ○ アプリケーションセキュリティの実装は必須事項となります ○ 増加する攻撃と規制の圧力の間で、アプリケーションとAPIを保護するための効果的な プロセスや能力を組織において確立する必要があります ○ アプリケーションとAPIにおけるセキュリティを改良するためにアプリケーションセキ ュリティのプログラムを組織において確立することを推奨しています (OWASPとして) ○ アプリケーションセキュリティを実現するには、セキュリティと監査、ソフトウェア 開発、ビジネス及びエグゼクティブマネジメントを含む、組織のさまざまな部門が効 率的に連携する必要があります ■ OWASP SAMM、OWASP Application Security Guide For CISO 組織 次ステップ はじめに リスクベース ポートフォリオ アプローチ 強力な基礎の 作り上げ セキュリティを 既存プロセスに 統合 管理可視化の提供
OWASP Top 10 2017 30 ● アプリケーションライフサイクル全体を管理します ○ アプリケーションは、人が定期的に作成し、維持する最も複雑なシステム ○ アプリケーションにおけるITマネジメントは、アプリケーションのITライフサイクル 全体の責任を有するITスペシャリストにより実施されるべき ○ アプリケーションマネージャは、ITの観点から、要件策定からシステムの廃棄に至る までのアプリケーションライフサイクル全体を担当 アプリケーションマネージャ 次ステップ リソース管理の 要件 提案依頼書(RFP) と契約 計画と設計 デプロイ、テスト 及び公開 運用及び変更管理 システムの廃棄 追 加
Thank you!
OWASP Top 10 2017 32

Recommended

シフトレフト戦略と冲縄県
シフトレフト戦略と冲縄県シフトレフト戦略と冲縄県
シフトレフト戦略と冲縄県
Riotaro OKADA
?
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
Riotaro OKADA
?
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 JapaneseOWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 Japanese
Hiroaki Kuramochi
?
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
?
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
?
翱奥础厂笔冲罢辞辫冲10冲2017冲础3机微な情报の露出
翱奥础厂笔冲罢辞辫冲10冲2017冲础3机微な情报の露出翱奥础厂笔冲罢辞辫冲10冲2017冲础3机微な情报の露出
翱奥础厂笔冲罢辞辫冲10冲2017冲础3机微な情报の露出
oshiro_seiya
?
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
?
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
?
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
?
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
?
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
ymmt
?
セキュア开発の&补尘辫;濒迟;蝉&驳迟;3つの&补尘辫;濒迟;/蝉&驳迟;敌
セキュア开発の&补尘辫;濒迟;蝉&驳迟;3つの&补尘辫;濒迟;/蝉&驳迟;敌セキュア开発の&补尘辫;濒迟;蝉&驳迟;3つの&补尘辫;濒迟;/蝉&驳迟;敌
セキュア开発の&补尘辫;濒迟;蝉&驳迟;3つの&补尘辫;濒迟;/蝉&驳迟;敌
Riotaro OKADA
?
Web API Next Challenge
Web API Next ChallengeWeb API Next Challenge
Web API Next Challenge
uchimanajet7
?
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
?
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
Yukiya Hayashi
?
Spring framework
Spring frameworkSpring framework
Spring framework
Toru Takefusa
?
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
?
OWASP Top 10 - 2013 を起点にして
OWASP Top 10 - 2013 を起点にしてOWASP Top 10 - 2013 を起点にして
OWASP Top 10 - 2013 を起点にして
Chia-Lung Hsieh
?
ノンプログラミングで Azure media services(短縮版)
ノンプログラミングで Azure media services(短縮版)ノンプログラミングで Azure media services(短縮版)
ノンプログラミングで Azure media services(短縮版)
Takanori Tsuruta
?
Azure MediaServices 最新情報160924
Azure MediaServices 最新情報160924Azure MediaServices 最新情報160924
Azure MediaServices 最新情報160924
Takanori Tsuruta
?
Owasp top10 HandsOn
Owasp top10 HandsOnOwasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
?
レビューのネガポジ RandomForest vs LSTM
レビューのネガポジ RandomForest vs LSTMレビューのネガポジ RandomForest vs LSTM
レビューのネガポジ RandomForest vs LSTM
Keisho Suzuki
?
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
?
「ど素人の非セキュ女が翱奥础厂笔や日本のセキュリティ団体の活动やイベントを调べてみた」
「ど素人の非セキュ女が翱奥础厂笔や日本のセキュリティ団体の活动やイベントを调べてみた」「ど素人の非セキュ女が翱奥础厂笔や日本のセキュリティ団体の活动やイベントを调べてみた」
「ど素人の非セキュ女が翱奥础厂笔や日本のセキュリティ団体の活动やイベントを调べてみた」
OWASP Kansai
?
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
?
OWASP Projects
OWASP ProjectsOWASP Projects
OWASP Projects
Takanori Nakanowatari
?
OpenStack Now!
OpenStack Now!OpenStack Now!
OpenStack Now!
Hideki Saito
?
Agile japan2016 a 2 ricksoft
Agile japan2016 a 2 ricksoftAgile japan2016 a 2 ricksoft
Agile japan2016 a 2 ricksoft
Hiroshi Ohnuki
?
サイホ?ウス?のオーフ?ンソースへの取り組み - OSC 2018 Osaka
サイホ?ウス?のオーフ?ンソースへの取り組み - OSC 2018 Osakaサイホ?ウス?のオーフ?ンソースへの取り組み - OSC 2018 Osaka
サイホ?ウス?のオーフ?ンソースへの取り組み - OSC 2018 Osaka
Yuki Okada
?
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
v6app
?

More Related Content

What's hot (17)

SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
?
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
?
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
ymmt
?
セキュア开発の&补尘辫;濒迟;蝉&驳迟;3つの&补尘辫;濒迟;/蝉&驳迟;敌
セキュア开発の&补尘辫;濒迟;蝉&驳迟;3つの&补尘辫;濒迟;/蝉&驳迟;敌セキュア开発の&补尘辫;濒迟;蝉&驳迟;3つの&补尘辫;濒迟;/蝉&驳迟;敌
セキュア开発の&补尘辫;濒迟;蝉&驳迟;3つの&补尘辫;濒迟;/蝉&驳迟;敌
Riotaro OKADA
?
Web API Next Challenge
Web API Next ChallengeWeb API Next Challenge
Web API Next Challenge
uchimanajet7
?
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
?
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
Yukiya Hayashi
?
Spring framework
Spring frameworkSpring framework
Spring framework
Toru Takefusa
?
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
?
OWASP Top 10 - 2013 を起点にして
OWASP Top 10 - 2013 を起点にしてOWASP Top 10 - 2013 を起点にして
OWASP Top 10 - 2013 を起点にして
Chia-Lung Hsieh
?
ノンプログラミングで Azure media services(短縮版)
ノンプログラミングで Azure media services(短縮版)ノンプログラミングで Azure media services(短縮版)
ノンプログラミングで Azure media services(短縮版)
Takanori Tsuruta
?
Azure MediaServices 最新情報160924
Azure MediaServices 最新情報160924Azure MediaServices 最新情報160924
Azure MediaServices 最新情報160924
Takanori Tsuruta
?
Owasp top10 HandsOn
Owasp top10 HandsOnOwasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
?
レビューのネガポジ RandomForest vs LSTM
レビューのネガポジ RandomForest vs LSTMレビューのネガポジ RandomForest vs LSTM
レビューのネガポジ RandomForest vs LSTM
Keisho Suzuki
?
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
?
「ど素人の非セキュ女が翱奥础厂笔や日本のセキュリティ団体の活动やイベントを调べてみた」
「ど素人の非セキュ女が翱奥础厂笔や日本のセキュリティ団体の活动やイベントを调べてみた」「ど素人の非セキュ女が翱奥础厂笔や日本のセキュリティ団体の活动やイベントを调べてみた」
「ど素人の非セキュ女が翱奥础厂笔や日本のセキュリティ団体の活动やイベントを调べてみた」
OWASP Kansai
?
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
?
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
?
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
?
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
ymmt
?
セキュア开発の&补尘辫;濒迟;蝉&驳迟;3つの&补尘辫;濒迟;/蝉&驳迟;敌
セキュア开発の&补尘辫;濒迟;蝉&驳迟;3つの&补尘辫;濒迟;/蝉&驳迟;敌セキュア开発の&补尘辫;濒迟;蝉&驳迟;3つの&补尘辫;濒迟;/蝉&驳迟;敌
セキュア开発の&补尘辫;濒迟;蝉&驳迟;3つの&补尘辫;濒迟;/蝉&驳迟;敌
Riotaro OKADA
?
Web API Next Challenge
Web API Next ChallengeWeb API Next Challenge
Web API Next Challenge
uchimanajet7
?
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
?
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
Yukiya Hayashi
?
Spring framework
Spring frameworkSpring framework
Spring framework
Toru Takefusa
?
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
?
OWASP Top 10 - 2013 を起点にして
OWASP Top 10 - 2013 を起点にしてOWASP Top 10 - 2013 を起点にして
OWASP Top 10 - 2013 を起点にして
Chia-Lung Hsieh
?
ノンプログラミングで Azure media services(短縮版)
ノンプログラミングで Azure media services(短縮版)ノンプログラミングで Azure media services(短縮版)
ノンプログラミングで Azure media services(短縮版)
Takanori Tsuruta
?
Azure MediaServices 最新情報160924
Azure MediaServices 最新情報160924Azure MediaServices 最新情報160924
Azure MediaServices 最新情報160924
Takanori Tsuruta
?
Owasp top10 HandsOn
Owasp top10 HandsOnOwasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
?
レビューのネガポジ RandomForest vs LSTM
レビューのネガポジ RandomForest vs LSTMレビューのネガポジ RandomForest vs LSTM
レビューのネガポジ RandomForest vs LSTM
Keisho Suzuki
?
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
?
「ど素人の非セキュ女が翱奥础厂笔や日本のセキュリティ団体の活动やイベントを调べてみた」
「ど素人の非セキュ女が翱奥础厂笔や日本のセキュリティ団体の活动やイベントを调べてみた」「ど素人の非セキュ女が翱奥础厂笔や日本のセキュリティ団体の活动やイベントを调べてみた」
「ど素人の非セキュ女が翱奥础厂笔や日本のセキュリティ団体の活动やイベントを调べてみた」
OWASP Kansai
?
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
?

Similar to 20180601 OWASP Top 10 2017の読み方 (20)

OWASP Projects
OWASP ProjectsOWASP Projects
OWASP Projects
Takanori Nakanowatari
?
OpenStack Now!
OpenStack Now!OpenStack Now!
OpenStack Now!
Hideki Saito
?
Agile japan2016 a 2 ricksoft
Agile japan2016 a 2 ricksoftAgile japan2016 a 2 ricksoft
Agile japan2016 a 2 ricksoft
Hiroshi Ohnuki
?
サイホ?ウス?のオーフ?ンソースへの取り組み - OSC 2018 Osaka
サイホ?ウス?のオーフ?ンソースへの取り組み - OSC 2018 Osakaサイホ?ウス?のオーフ?ンソースへの取り組み - OSC 2018 Osaka
サイホ?ウス?のオーフ?ンソースへの取り組み - OSC 2018 Osaka
Yuki Okada
?
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
v6app
?
20170909 第13回名古屋情報セキュリティ勉強会 LT
20170909 第13回名古屋情報セキュリティ勉強会 LT20170909 第13回名古屋情報セキュリティ勉強会 LT
20170909 第13回名古屋情報セキュリティ勉強会 LT
OWASP Nagoya
?
翱奥础厂笔のドキュメントやツールを知ろう
翱奥础厂笔のドキュメントやツールを知ろう翱奥础厂笔のドキュメントやツールを知ろう
翱奥础厂笔のドキュメントやツールを知ろう
Yuichi Hattori
?
OWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 OverviewOWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 Overview
OWASP Nagoya
?
Owasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxeOwasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxe
OWASP Nagoya
?
Application insights で行ってみよう
Application insights で行ってみようApplication insights で行ってみよう
Application insights で行ってみよう
Kazushi Kamegawa
?
OSC2015 Hamanako IPv6アプリの作り方
OSC2015 Hamanako IPv6アプリの作り方OSC2015 Hamanako IPv6アプリの作り方
OSC2015 Hamanako IPv6アプリの作り方
v6app
?
そろそろ(おまえらの)顿别惫翱辫蝉について一言いっておくか
そろそろ(おまえらの)顿别惫翱辫蝉について一言いっておくかそろそろ(おまえらの)顿别惫翱辫蝉について一言いっておくか
そろそろ(おまえらの)顿别惫翱辫蝉について一言いっておくか
Takashi Takebayashi
?
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)
shingo inafuku
?
最高のリモート開発を実現するために取り組んて?いること - Cybozu Tech Conference 2017
最高のリモート開発を実現するために取り組んて?いること - Cybozu Tech Conference 2017最高のリモート開発を実現するために取り組んて?いること - Cybozu Tech Conference 2017
最高のリモート開発を実現するために取り組んて?いること - Cybozu Tech Conference 2017
Yuki Okada
?
OpenStack入門 2016/06/27
OpenStack入門 2016/06/27OpenStack入門 2016/06/27
OpenStack入門 2016/06/27
株式会社 NTTテクノクロス
?
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
翱厂厂ラボ株式会社
?
20150307 fukuoka meetup community jaws-ug
20150307 fukuoka meetup community jaws-ug20150307 fukuoka meetup community jaws-ug
20150307 fukuoka meetup community jaws-ug
Toshiyuki Konparu
?
6製品1サービスの開発にPortfolio for JIRAを使ってみた
6製品1サービスの開発にPortfolio for JIRAを使ってみた6製品1サービスの開発にPortfolio for JIRAを使ってみた
6製品1サービスの開発にPortfolio for JIRAを使ってみた
Hiroshi Ohnuki
?
ソフトウェアエンジニアと高位合成
ソフトウェアエンジニアと高位合成ソフトウェアエンジニアと高位合成
ソフトウェアエンジニアと高位合成
Kenichiro MITSUDA
?
ビッグデータ関连翱蝉蝉动向调査とニーズ分析
ビッグデータ関连翱蝉蝉动向调査とニーズ分析ビッグデータ関连翱蝉蝉动向调査とニーズ分析
ビッグデータ関连翱蝉蝉动向调査とニーズ分析
Yukio Yoshida
?
OWASP Projects
OWASP ProjectsOWASP Projects
OWASP Projects
Takanori Nakanowatari
?
OpenStack Now!
OpenStack Now!OpenStack Now!
OpenStack Now!
Hideki Saito
?
Agile japan2016 a 2 ricksoft
Agile japan2016 a 2 ricksoftAgile japan2016 a 2 ricksoft
Agile japan2016 a 2 ricksoft
Hiroshi Ohnuki
?
サイホ?ウス?のオーフ?ンソースへの取り組み - OSC 2018 Osaka
サイホ?ウス?のオーフ?ンソースへの取り組み - OSC 2018 Osakaサイホ?ウス?のオーフ?ンソースへの取り組み - OSC 2018 Osaka
サイホ?ウス?のオーフ?ンソースへの取り組み - OSC 2018 Osaka
Yuki Okada
?
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
v6app
?
20170909 第13回名古屋情報セキュリティ勉強会 LT
20170909 第13回名古屋情報セキュリティ勉強会 LT20170909 第13回名古屋情報セキュリティ勉強会 LT
20170909 第13回名古屋情報セキュリティ勉強会 LT
OWASP Nagoya
?
翱奥础厂笔のドキュメントやツールを知ろう
翱奥础厂笔のドキュメントやツールを知ろう翱奥础厂笔のドキュメントやツールを知ろう
翱奥础厂笔のドキュメントやツールを知ろう
Yuichi Hattori
?
OWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 OverviewOWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 Overview
OWASP Nagoya
?
Owasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxeOwasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxe
OWASP Nagoya
?
Application insights で行ってみよう
Application insights で行ってみようApplication insights で行ってみよう
Application insights で行ってみよう
Kazushi Kamegawa
?
OSC2015 Hamanako IPv6アプリの作り方
OSC2015 Hamanako IPv6アプリの作り方OSC2015 Hamanako IPv6アプリの作り方
OSC2015 Hamanako IPv6アプリの作り方
v6app
?
そろそろ(おまえらの)顿别惫翱辫蝉について一言いっておくか
そろそろ(おまえらの)顿别惫翱辫蝉について一言いっておくかそろそろ(おまえらの)顿别惫翱辫蝉について一言いっておくか
そろそろ(おまえらの)顿别惫翱辫蝉について一言いっておくか
Takashi Takebayashi
?
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)
shingo inafuku
?
最高のリモート開発を実現するために取り組んて?いること - Cybozu Tech Conference 2017
最高のリモート開発を実現するために取り組んて?いること - Cybozu Tech Conference 2017最高のリモート開発を実現するために取り組んて?いること - Cybozu Tech Conference 2017
最高のリモート開発を実現するために取り組んて?いること - Cybozu Tech Conference 2017
Yuki Okada
?
OpenStack入門 2016/06/27
OpenStack入門 2016/06/27OpenStack入門 2016/06/27
OpenStack入門 2016/06/27
株式会社 NTTテクノクロス
?
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
翱厂厂ラボ株式会社
?
20150307 fukuoka meetup community jaws-ug
20150307 fukuoka meetup community jaws-ug20150307 fukuoka meetup community jaws-ug
20150307 fukuoka meetup community jaws-ug
Toshiyuki Konparu
?
6製品1サービスの開発にPortfolio for JIRAを使ってみた
6製品1サービスの開発にPortfolio for JIRAを使ってみた6製品1サービスの開発にPortfolio for JIRAを使ってみた
6製品1サービスの開発にPortfolio for JIRAを使ってみた
Hiroshi Ohnuki
?
ソフトウェアエンジニアと高位合成
ソフトウェアエンジニアと高位合成ソフトウェアエンジニアと高位合成
ソフトウェアエンジニアと高位合成
Kenichiro MITSUDA
?
ビッグデータ関连翱蝉蝉动向调査とニーズ分析
ビッグデータ関连翱蝉蝉动向调査とニーズ分析ビッグデータ関连翱蝉蝉动向调査とニーズ分析
ビッグデータ関连翱蝉蝉动向调査とニーズ分析
Yukio Yoshida
?

More from OWASP Nagoya (16)

OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP Nagoya
?
(A7)cross site scripting
(A7)cross site scripting(A7)cross site scripting
(A7)cross site scripting
OWASP Nagoya
?
#24 prepare for_hands-on
#24 prepare for_hands-on#24 prepare for_hands-on
#24 prepare for_hands-on
OWASP Nagoya
?
(A2)broken authentication
(A2)broken authentication(A2)broken authentication
(A2)broken authentication
OWASP Nagoya
?
Developer tools
Developer toolsDeveloper tools
Developer tools
OWASP Nagoya
?
#23 prepare for_hands-on
#23 prepare for_hands-on#23 prepare for_hands-on
#23 prepare for_hands-on
OWASP Nagoya
?
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみようOWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP Nagoya
?
Rethinking car security based on autonomous driving and advanced driving support
Rethinking car security based on autonomous driving and advanced driving supportRethinking car security based on autonomous driving and advanced driving support
Rethinking car security based on autonomous driving and advanced driving support
OWASP Nagoya
?
OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya_WordPress_Handson_3OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya
?
OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya_WordPress_Handson_2OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya
?
OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya_WordPress_Handson_1OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya
?
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
OWASP Nagoya
?
20181117-一般的な脆弱性の概要?対策を知り、窜础笔で见つけてみよう!
20181117-一般的な脆弱性の概要?対策を知り、窜础笔で见つけてみよう!20181117-一般的な脆弱性の概要?対策を知り、窜础笔で见つけてみよう!
20181117-一般的な脆弱性の概要?対策を知り、窜础笔で见つけてみよう!
OWASP Nagoya
?
奥笔厂颁补苍による奥辞谤诲笔谤别蝉蝉の脆弱性スキャン
奥笔厂颁补苍による奥辞谤诲笔谤别蝉蝉の脆弱性スキャン奥笔厂颁补苍による奥辞谤诲笔谤别蝉蝉の脆弱性スキャン
奥笔厂颁补苍による奥辞谤诲笔谤别蝉蝉の脆弱性スキャン
OWASP Nagoya
?
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP Nagoya
?
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP Nagoya
?
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP Nagoya
?
(A7)cross site scripting
(A7)cross site scripting(A7)cross site scripting
(A7)cross site scripting
OWASP Nagoya
?
#24 prepare for_hands-on
#24 prepare for_hands-on#24 prepare for_hands-on
#24 prepare for_hands-on
OWASP Nagoya
?
(A2)broken authentication
(A2)broken authentication(A2)broken authentication
(A2)broken authentication
OWASP Nagoya
?
Developer tools
Developer toolsDeveloper tools
Developer tools
OWASP Nagoya
?
#23 prepare for_hands-on
#23 prepare for_hands-on#23 prepare for_hands-on
#23 prepare for_hands-on
OWASP Nagoya
?
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみようOWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP Nagoya
?
Rethinking car security based on autonomous driving and advanced driving support
Rethinking car security based on autonomous driving and advanced driving supportRethinking car security based on autonomous driving and advanced driving support
Rethinking car security based on autonomous driving and advanced driving support
OWASP Nagoya
?
OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya_WordPress_Handson_3OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya
?
OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya_WordPress_Handson_2OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya
?
OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya_WordPress_Handson_1OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya
?
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
OWASP Nagoya
?
20181117-一般的な脆弱性の概要?対策を知り、窜础笔で见つけてみよう!
20181117-一般的な脆弱性の概要?対策を知り、窜础笔で见つけてみよう!20181117-一般的な脆弱性の概要?対策を知り、窜础笔で见つけてみよう!
20181117-一般的な脆弱性の概要?対策を知り、窜础笔で见つけてみよう!
OWASP Nagoya
?
奥笔厂颁补苍による奥辞谤诲笔谤别蝉蝉の脆弱性スキャン
奥笔厂颁补苍による奥辞谤诲笔谤别蝉蝉の脆弱性スキャン奥笔厂颁补苍による奥辞谤诲笔谤别蝉蝉の脆弱性スキャン
奥笔厂颁补苍による奥辞谤诲笔谤别蝉蝉の脆弱性スキャン
OWASP Nagoya
?
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP Nagoya
?
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP Nagoya
?

20180601 OWASP Top 10 2017の読み方

  • 1. OWASP Top 10 2017の読み方 1 2018.06.01 (Fri) Isanori Sakanashi
  • 2. 自己紹介 ? 坂梨 功典(さかなし いさのり) ? facebook: https://www.facebook.com/isanori.sakanashi ? twitter : @PandaTw2 ? メール : isanori.sakanashi@owasp.org – SIベンダー系SE(インフラエンジニア) – 登録セキスペ(登録番号: 第002084号) – OWASP Nagoya Chapter Leader 2
  • 3. 私から皆さんに質問です。 ● OWASPって知っていますか? ● OWASP Projectって知っていますか? ● OWASP Top 10って知っていますか? ● OWASP ZAPって知っていますか? ● WEBアプリケーションのセキュリティって知っていますか? ● WEBアプリケーションのセキュア開発に興味ありますか? 3 是非OWASPの各種ドキュメントを一緒に勉強しましょう
  • 6. OWASP Top 10 2017 6 ● セキュアでないソフトウェア ○ 財務、医療、防衛、エネルギーおよびその他の重要インフラを損な います ● モダンなソフトウェア開発プロセスの急速な進歩により共通するリスク を迅速かつ正確に発見し開発することは不可欠です ● 様々なコミュニティが、このOWASP Top 10に対して情熱があります ● いまやTop 10はアプリケーションセキュリティのデファクト?スタンダ ードとなっています ● アプリケーションセキュリティの問題や改善提案は簡潔かつ確認できる 方法を提供します ○ 本リリースで適用 前書き
  • 7. OWASP Top 10 2017 7 ● OWASP Top 10を見る人に対して次のステップへの提案 ○ 「開発者のための次のステップ」 ○ 「セキュリティテスト担当者のための次のステップ」 ○ CIOやCISOに適した「組織のための次のステップ」 ○ アプリケーションマネージャやアプリケーションのライフサイクル の責任を持つ人に適した「アプリケーションマネージャのための次 のステップ」 ● 長期的 ○ 組織が今持っている強みを活かしながら、SAMM(ソフトウェア品質 成熟度モデル)を用いてアプリケーションセキュリティプログラムを 計測し改善します 前書き
  • 8. 2. OWASP Top 10–2017へようこそ 8 OWASP Top 10 2017
  • 9. OWASP Top 10 2017 9 ようこそ
  • 10. OWASP Top 10 2017 10 ● メジャーアップデート ○ A8:2017-安全でないデシリアライゼーション ○ A10:2017-不十分なロギングとモニタリング ようこそ
  • 11. OWASP Top 10 2017 11 ● 集計に使用されたデータ ■ 数多くのコミュニティのフィードバック、組織から充てめられた 数多くの広範囲なデータをもとにして作成されています。主に、 アプリケーションのセキュリティを専門とする企業から寄せられ た40以上のデータをもとに集計しています ■ 500人以上の個々の人々による業界調査を実施しています ■ データは数百の組織の10万以上の実在するアプリケーションおよ びAPIから集められた脆弱性にまたがるもので集計しています ようこそ
  • 12. OWASP Top 10 2017 12 ● 主要な目的 ○ 開発者、デザイナー、アーキテクト、マネージャ、組織に最も一般 的かつ最も重要なWebアプリケーションセキュリティの弱点の影響 について教育します ○ これらのリスクの高い問題のある領域を守るための基本的なテクニ ックを提供し、現時点からどこへ進めるべきなかについてのガイダ ンスを提供しています ようこそ
  • 13. OWASP Top 10 2017 13 ● 将来への道筋 ○ 10まででやめない ■ Webアプリケーションの全体的なセキュリティに影響を与える可能性のあ る問題は数多く存在します ● OWASP Developer's GuideやOWASP Cheat Sheet Series参照 ○ WebアプリケーションやAPIを開発するどんな人にとっても不可欠な情報 ■ WebアプリケーションおよびAPIの脆弱性を効果的に見つける方法に関する ガイダンスを提供します ● OWASP Testing Guide参照 ○ 定期的に変更 ■ OWASP Top 10はこれからも変化し続けます ■ アプリケーションコードの1行も変更していなくても脆弱になる可能性があ ります ようこそ
  • 14. OWASP Top 10 2017 14 ● 将来への道筋 ○ 積極的に思考 ■ 脆弱性を追いかけるのをやめ、アプリケーションセキュリティコントロール を強力なものに確立する準備ができたら ● OWASP Proactive Controlsプロジェクトを活用します ○ 開発者がセキュリティをアプリケーションに組み込むための出発点 を提供します ● OWASP Application Security Verification Standard (ASVS)を活用します ○ 組織にとって、またアプリケーションレビュワーにとって何を検証 したら良いかを示すガイドとして提供します ようこそ
  • 15. OWASP Top 10 2017 15 ● 将来への道筋 ○ 賢くツールを活用 ■ セキュリティ脆弱性は、非常に複雑で深刻なコードに埋もれていることがあ ります ■ そのような弱点を発見して排除するための最も費用対効果の高いアプローチ は、高度なツールを手元に備えている専門家となります ■ ツールのみに依存することは、セキュリティに関する誤った感覚をもたらし てしまうので、お勧めしません ○ 左へ右へ、どこへでも進める ■ セキュリティをソフトウェア開発の組織全体のカルチャーにかかわる不可欠 なものとすることに集中してください ■ OWASP Software Assurance Maturity Model (SAMM)を参考にしてください ようこそ
  • 16. OWASP Top 10 2017 16 参考 ようこそ 要件定義 OWASP Top 10 Project 設計?開発 OWASP Proactive Controls OWASP Application Security Verification Standard(ASVS) OWASP Cheat Sheet Series テスト OWASP Testing Project(OWASP Testing Guide etc…) OWASP Offensive Web Testing Framework(OWTF) 運用?保守 OWASP ModSecurity Core Rule Set Project OWASP AppSensor OWASP CSRFGuard Project OWASP Dependency Check ※OWASP World Training Tour Tokyo 2017の資料より引用
  • 18. OWASP Top 10 2017 18 ● OWASP Top 10はここ数年の急激な変化によって大きく改版 ○ リファクタリング ○ 手法を改良 ○ 新しいデータ募集のプロセスを活用 ○ コミュニティと協働 ○ リスクを評価し直す ○ それぞれのリスクを一から書き直す ○ 一般に利用されているフレームワークや言語への参照 リリースノート
  • 19. OWASP Top 10 2017 19 ● アプリケーションの基本的な技術とアーキテクチャが大きく変化 ○ 従来のモノリシックアプリケーションからnode.jsやSpring Bootで書かれたマイクロサ ービスに置き換わっています ■ マイクロサービスには独自のセキュリティ上の課題が存在します ■ シングルページアプリケーション(SPA)やモバイルアプリケーションによって 使いまくられているAPI やRESTful Webサービスの背後に居座っています ■ コードによるアーキテクチャの前提、たとえば信頼できる発信者のような前提は もはや有効ではありません ○ モジュール化された機能豊富なフロントエンドの開発ができるようになりました (AngularやReactなどのJavaScriptフレームワーク) ○ サーバー側で提供されてきた機能がクライアント側の機能に移るため、それはそれで 独自のセキュリティ上の課題が発生しています リリースノート
  • 20. OWASP Top 10 2017 20 ● データに裏付けられた新しい問題 ○ A4:2017-XML 外部エンティティ参照(XXE) ■ 新しいカテゴリとして追加 ■ 主にソースコード分析を行うセキュリティテストツール(SAST)から寄せられたデ ータが根拠 ■ コミュニティにより裏付けられた新しい問題 ○ A8:2017-安全でないデシリアライゼーション ■ 問題のある環境ではリモートからのコード実行や機微なオブジェクト操作が可能 ○ A10:2017-不十分なロギングとモニタリング ■ 機能の欠落は、不正な活動やセキュリティ違反の検知、インシデント対応、デジ タルフォレンジックを妨げるか、あるいは大幅に遅延させる可能性 リリースノート
  • 21. OWASP Top 10 2017 21 ● 統合、引退(ただし、忘れて良いという意味ではありません) ○ A4-安全でないオブジェクト直接参照とA7-機能レベルアクセス制御の欠落 ■ 「A5:2017-アクセス制御の不備」へ統合 ○ A8-クロスサイトリクエストフォージェリ(CSRF) ○ A10-未検証のリダイレクトとフォワード リリースノート
  • 23. OWASP Top 10 2017 23 ● 組織におけるリスクを判断するためにまず次のようなことを考慮する必要 ○ 「脅威エージェント」 ○ 「攻撃手法」 ○ 「セキュリティ上の弱点」などに関する可能性を評価 ● 組織に対して ○ 「技術面への影響」 ○ 「ビジネス面への影響」 アプリケーションリスク
  • 24. OWASP Top 10 2017 24 ● あなたにとってのリスク ○ 最も重大なウェブアプリケーションセキュリティリスクを特定すること ○ OWASP Risk Rating Methodologyに基づいた格付手法により、発生可能性と技術面へ の影響について評価 ○ 公共の利益団体において公開情報をCMSにより管理している場合や、医療システムに おいてセンシティブな健康記録を管理するために同じようなCMSを利用している場合 に、同じソフトウェアであっても脅威を引き起こすアクターやビジネスへの影響は大 きく異なります アプリケーションリスク
  • 25. OWASP Top 10 2017 25 OWASP Top 10 2017の変更点 変更点
  • 27. OWASP Top 10 2017 27 ● 反復可能なセキュリティプロセスと標準セキュリティ制御の確立と使用 ○ 組織におけるリスクを判断するためにまず次のようなことを考慮する必要があります ■ 「脅威エージェント」、「攻撃手法」、「セキュリティ上の弱点」などに関する 可能性を評価する必要性があります ● 組織に対して ○ 「技術面への影響」 ○ 「ビジネス面への影響」 開発者 次ステップ アプリケーション セキュリティ要件 アプリケーション セキュリティ アーキテクチャ 標準的な セキュリティ制御 セキュアな開発 ライフサイクル アプリケーション セキュリティ教育
  • 28. OWASP Top 10 2017 28 ● 継続的なアプリケーションセキュリティテストを確立します ○ アプリケーションポートフォリオの全体において、重要と考えられることにどのよう に焦点をあて、費用対効果の高い手法をとるべきかを考慮することを強く推奨してい ます ○ 開発スピードを損なうことのないようセキュリティの自動化を施し、既存の開発プロ セスを強化を実施します ○ アプリケーションポートフォリオの規模に応じたテスト、トリアージ、修復、再テス ト、再デプロイに係る年間コストを考慮します セキュリティテスト担当者 次ステップ 脅威モデルの理解 SDLC(ソフトウ ェア開発ライフサ イクル)の理解 テスト戦略 範囲と正確さの 達成 明確な結果の伝達
  • 29. OWASP Top 10 2017 29 ● 今すぐ、アプリケーションセキュリティ計画を開始しましょう ○ アプリケーションセキュリティの実装は必須事項となります ○ 増加する攻撃と規制の圧力の間で、アプリケーションとAPIを保護するための効果的な プロセスや能力を組織において確立する必要があります ○ アプリケーションとAPIにおけるセキュリティを改良するためにアプリケーションセキ ュリティのプログラムを組織において確立することを推奨しています (OWASPとして) ○ アプリケーションセキュリティを実現するには、セキュリティと監査、ソフトウェア 開発、ビジネス及びエグゼクティブマネジメントを含む、組織のさまざまな部門が効 率的に連携する必要があります ■ OWASP SAMM、OWASP Application Security Guide For CISO 組織 次ステップ はじめに リスクベース ポートフォリオ アプローチ 強力な基礎の 作り上げ セキュリティを 既存プロセスに 統合 管理可視化の提供
  • 30. OWASP Top 10 2017 30 ● アプリケーションライフサイクル全体を管理します ○ アプリケーションは、人が定期的に作成し、維持する最も複雑なシステム ○ アプリケーションにおけるITマネジメントは、アプリケーションのITライフサイクル 全体の責任を有するITスペシャリストにより実施されるべき ○ アプリケーションマネージャは、ITの観点から、要件策定からシステムの廃棄に至る までのアプリケーションライフサイクル全体を担当 アプリケーションマネージャ 次ステップ リソース管理の 要件 提案依頼書(RFP) と契約 計画と設計 デプロイ、テスト 及び公開 運用及び変更管理 システムの廃棄 追 加
  • 32. OWASP Top 10 2017 32
AboutCopyright
? 2025 狠狠撸