OWASP World Tour Tokyo 2017 その2
各セッションをかいつまんでまとめます。
ここにスライドはまとまってますので、参照してください。
Presentations by OWASP Japan // Speaker Deck
OWASP Top 10を用いた脆弱性対応
ポイント
- OWASP Top 10では主要な脆弱性10個を説明
- PCI DSS等のガイドラインもOWASPを参照
- OWASP Top10 Proactive Controlでは脆弱性を作りこまないための事前の準備手法を解説
- IPA セキュアプログラミング講座
- OWASP Web Goat
参考
最小権限
ポイント
- 権限は、”権限の範囲”と”アクセス可能な期間”で考える
- 設計をする際にデータを中心に設計する
- リスクアセスメントでも同じ(情報資産の洗い出し→脅威の明確化)
設計の進め方
- 扱うデータの特定
- データのライフサイクルの検討
- データ操作権の特定
- 操作方法の検討
実装するには
- フレームワークのアクセス制御機能を利用(賛否両論あるが、独自よりはましだと判断)
- IPA
セキュアプログラミング講座 - OWASP
Top10 Proactive Control 2016
12の事例に学ぶWebアプリケーションのアクセス制御
どのように検証すべきか
第三者:権限表がないと判断できない
開発者:コーディング時にテストコード書いて検証する
・コードから権限表を生成する
>ドキュメンテーションとテストコードの記述のコストを抑える
>権限設定をユーザ視点、データ視点双方から確認しやすくする
続きます
OWASP World Tour Tokyo 2017 その1
9/30(土)にOWASP World Tour TokyoにNagoya Satelliteから参加しました。
2017 OWASP World Tour Tokyo - OWASP
OWASPとは
上のリンクを見ていただければわかると思いますが、英語なので補足します。
OWASPは、世界中でソフトウェアに関わるセキュリティ品質を改善することにコミットしています。
アプリケーションセキュリティのアプローチには、あらゆる側面が含まれています。その問題の解決には、人、プロセス、および技術の視点で取り組むことが必要です。こうしたコンセプトを推進する一環として、OWASPは、SDLC全体にセキュリティを組み込むことを希望する開発者のための基本的なAppSecトレーニングを提供します。
セキュリティというとかなり範囲が広いものになりますが、OWASPは
Open Web Application Security Project
の名の通り、Webアプリケーションセキュリティに関する団体です。ほぼボランティアで構成されています。大体こういう団体はボランティアですね。
Webアプリケーションを作る際の要件定義からセキュアコーディング、脆弱性診断等々に関する様々なガイドラインを作成し無償で公開しています。
2017 OWASP World Tour Tokyo
2017 OWASP World Tour Tokyo - OWASP
OWASPの年1回のトレーニングツアーで、いわゆるセミナーです。
今年はサテライト会場を含み、日本全国13会場でやっています。
ちなみに名古屋は2会場ありました。
各セッションのメモは次の記事で紹介します。
中学生が作った「ヤジュウセンパイウイルス」とは トレンドマイクロが解説(要約) - ITmedia NEWS
ばら撒いた方もばら撒いた方だけど、引っかかる方もリテラシー低いなあ。。教育とかは啓蒙の重要性がわかりますね。