狠狠撸

狠狠撸Share a Scribd company logo

エフスタ!!勉強会#26 セキュリティと開発と

?Download as PPTX, PDF?
?
Haga Takeshi
Haga Takeshi
1 of 18
Download to read offline
セキュリティと開発と 芳賀 健
自己紹介 芳賀 健 福島コンピュータシステム所属 田村郡三春町 在住 Java/PHP/.NETなどでWeb系システム開発 ソースコードへの脆弱性診断 (ISC)?Japan CISSP Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved =保有セキュリティ資格= ( Haga Takeshi ) 情報処理技術者試験 情報セキュリティスペシャリスト
Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 開発工程 コーディング 内部設計 外部設計 要件定義 運用試験 結合試験 単体試験 ここで実装 を検討して セキュの検証 は ここ
Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 開発工程別セキュリティ検討項目 コーディング 内部設計 外部設計 要件定義 運用試験 結合試験 単体試験 認証制御 アクセス 権 ログ管理 入力/出力 Chk/条件 プリペアド? ステートメント 対応等 要求実装 の検証 インフラを含 めた セキュリティ 対策
工程別で、開発者だけでなく、 設計者も、発注者も、丸投げせずに セキュリティを意識しよう! Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved セキュリティ対策のまとめ 様々な情報の リスクを評価して!
まだだ、 まだ終わらんよ
OWASP TOP10って知っていますか? いま知っておくセキュリティ Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 技術者が Webアプリ開発者の助けとなるようなツールや フレームワーク、ガイドラインを提供する世 界的な非営利組織団体です
OWASP TOP 10(2013版) A-1 インジェクション SQLインジェクションやOSコマンドインジェクション A-2 認証とセッション管理の不備 セッション固定化攻撃(Session Fixation) A-3 XSS 反射型XSS、 DOM Based XSS A-4 安全でないオブジェクト の直接参照 Webサーバ上のファイルへ直接アクセス等 A-5 セキュリティの設定ミス パッケージやOSSのデバッグ情報の漏洩等 A-6 機密データの露出 DBへクレジットカードのセキュリティキーの格納等 A-7 機密レベル?アクセス 制御の欠落 Requestの改竄により上位権限へのアクセス等 A-8 CSRF mixiで発生した「はまちちゃん事件」の脆弱性 A-9 既知の脆弱性を持つコンポーネント の使用 パッケージやOSSに内包する脆弱性が利用される A-10 未検証のリダイレクト とフォワード フィッシングやマルウェアのサイトへリダイレクト 詳しくは、ここ ↓ https://www.owasp.org/ ※ 英語です 引用:https://www.owasp.org
A-1 インジェクション 代表としては、SQLインジェクション Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved SELECT name, price FROM items WHERE id = 1 SELECT name, price FROM items WHERE id=1 and 1=1 ?プリペアドステートメントによる実装必須! ?自由検索等の動的SQLの場合、 入力値に対するバリデーションと バリデーションに対する単体試験をしっかり と!
A-2 認証とセッション管理不備 代表としては、セッションの固定化 Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 引用:IPA セキュリティセンター 安全なウェブサイトの作り方 改訂第6版より
A-3 クロスサイトスクリプティング JavaScriptを注入される事で発生。 Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 引用:IPA セキュリティセンター 安全なウェブサイトの作り方 改訂第6版より
Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 参考にする書籍など
Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 回 開催月 タイトル 概要 4 2010/09 エフスタ!!勉強会vol.4 &東北情報セキュリティ勉強会 テーマはセキュリティと開発で スピーカーに上野宣さんをお招き。 6 2011/04 エフスタ!!勉強会vol.6 &東北情報セキュリティ勉強会 大震災の直後の開催。 感慨深い勉強会となった。 19 2013/10 エフスタ!!勉強会vol.19 &東北情報セキュリティ勉強会 SECCON2013先取り!と題して サイボウズ竹迫さんをお招き 23 2013/12 エフスタ!!TOKYO vol.3 クラウドサイコー クラウドセキュリティのため DIT 河野さんをお招き。 24 2014/01 エフスタ!!ナイトセミナー SNSのリスク管理 SNSのリスク管理について ラック 長谷川長一さんをお招き エフスタ勉強会のセキュリティの軌跡
Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 私の 活動とし て 技術者とセキュリティ技術者の間に はしけを渡すことができたら??? そして、地方と首都圏の意識格差 可能な限り小さくしたい お客様へ の意識付 けも セキュリティ勉強会への思い
エフスタ!!勉強会#26 セキュリティと開発と
2014/4/25 16
Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved ご清聴をありがとうございました Thank you. 謝辞
■参考 ?The Open Web Application Security Project (OWASP) https://www.owasp.org/ ?独立行政法人 情報処理推進機構 http://www.ipa.go.jp/security/index.html

More Related Content

エフスタ!!勉強会#26 セキュリティと開発と

  • 2. 自己紹介 芳賀 健 福島コンピュータシステム所属 田村郡三春町 在住 Java/PHP/.NETなどでWeb系システム開発 ソースコードへの脆弱性診断 (ISC)?Japan CISSP Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved =保有セキュリティ資格= ( Haga Takeshi ) 情報処理技術者試験 情報セキュリティスペシャリスト
  • 3. Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 開発工程 コーディング 内部設計 外部設計 要件定義 運用試験 結合試験 単体試験 ここで実装 を検討して セキュの検証 は ここ
  • 4. Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 開発工程別セキュリティ検討項目 コーディング 内部設計 外部設計 要件定義 運用試験 結合試験 単体試験 認証制御 アクセス 権 ログ管理 入力/出力 Chk/条件 プリペアド? ステートメント 対応等 要求実装 の検証 インフラを含 めた セキュリティ 対策
  • 5. 工程別で、開発者だけでなく、 設計者も、発注者も、丸投げせずに セキュリティを意識しよう! Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved セキュリティ対策のまとめ 様々な情報の リスクを評価して!
  • 7. OWASP TOP10って知っていますか? いま知っておくセキュリティ Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 技術者が Webアプリ開発者の助けとなるようなツールや フレームワーク、ガイドラインを提供する世 界的な非営利組織団体です
  • 8. OWASP TOP 10(2013版) A-1 インジェクション SQLインジェクションやOSコマンドインジェクション A-2 認証とセッション管理の不備 セッション固定化攻撃(Session Fixation) A-3 XSS 反射型XSS、 DOM Based XSS A-4 安全でないオブジェクト の直接参照 Webサーバ上のファイルへ直接アクセス等 A-5 セキュリティの設定ミス パッケージやOSSのデバッグ情報の漏洩等 A-6 機密データの露出 DBへクレジットカードのセキュリティキーの格納等 A-7 機密レベル?アクセス 制御の欠落 Requestの改竄により上位権限へのアクセス等 A-8 CSRF mixiで発生した「はまちちゃん事件」の脆弱性 A-9 既知の脆弱性を持つコンポーネント の使用 パッケージやOSSに内包する脆弱性が利用される A-10 未検証のリダイレクト とフォワード フィッシングやマルウェアのサイトへリダイレクト 詳しくは、ここ ↓ https://www.owasp.org/ ※ 英語です 引用:https://www.owasp.org
  • 9. A-1 インジェクション 代表としては、SQLインジェクション Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved SELECT name, price FROM items WHERE id = 1 SELECT name, price FROM items WHERE id=1 and 1=1 ?プリペアドステートメントによる実装必須! ?自由検索等の動的SQLの場合、 入力値に対するバリデーションと バリデーションに対する単体試験をしっかり と!
  • 10. A-2 認証とセッション管理不備 代表としては、セッションの固定化 Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 引用:IPA セキュリティセンター 安全なウェブサイトの作り方 改訂第6版より
  • 11. A-3 クロスサイトスクリプティング JavaScriptを注入される事で発生。 Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 引用:IPA セキュリティセンター 安全なウェブサイトの作り方 改訂第6版より
  • 12. Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 参考にする書籍など
  • 13. Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 回 開催月 タイトル 概要 4 2010/09 エフスタ!!勉強会vol.4 &東北情報セキュリティ勉強会 テーマはセキュリティと開発で スピーカーに上野宣さんをお招き。 6 2011/04 エフスタ!!勉強会vol.6 &東北情報セキュリティ勉強会 大震災の直後の開催。 感慨深い勉強会となった。 19 2013/10 エフスタ!!勉強会vol.19 &東北情報セキュリティ勉強会 SECCON2013先取り!と題して サイボウズ竹迫さんをお招き 23 2013/12 エフスタ!!TOKYO vol.3 クラウドサイコー クラウドセキュリティのため DIT 河野さんをお招き。 24 2014/01 エフスタ!!ナイトセミナー SNSのリスク管理 SNSのリスク管理について ラック 長谷川長一さんをお招き エフスタ勉強会のセキュリティの軌跡
  • 14. Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 私の 活動とし て 技術者とセキュリティ技術者の間に はしけを渡すことができたら??? そして、地方と首都圏の意識格差 可能な限り小さくしたい お客様へ の意識付 けも セキュリティ勉強会への思い
  • 17. Copyright ? 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved ご清聴をありがとうございました Thank you. 謝辞
  • 18. ■参考 ?The Open Web Application Security Project (OWASP) https://www.owasp.org/ ?独立行政法人 情報処理推進機構 http://www.ipa.go.jp/security/index.html