セキュリティと開発と

芳賀 健

自己紹介

芳賀 健福島コンピュータシステム所属

田村郡三春町 在住

Java/PHP/.NETなどでWeb系システム開発

ソースコードへの脆弱性診断

(ISC)²JapanCISSP

Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved

＝保有セキュリティ資格＝

( Haga Takeshi )

情報処理技術者試験情報セキュリティスペシャリスト

Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved

開発工程

コーディング

内部設計

外部設計

要件定義 運用試験

結合試験

単体試験

ここで実装を検討して

セキュの検証はここ

Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved

開発工程別セキュリティ検討項目

コーディング

内部設計

外部設計

要件定義 運用試験

結合試験

単体試験

認証制御

アクセス権

ログ管理

入力/出力Chk/条件

プリペアド・

ステートメント対応等

要求実装の検証

インフラを含めた

セキュリティ対策

工程別で、開発者だけでなく、

設計者も、発注者も、丸投げせずに

セキュリティを意識しよう！

Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved

セキュリティ対策のまとめ

様々な情報のリスクを評価して！

まだだ、

まだ終わらんよ

OWASP TOP10って知っていますか？

いま知っておくセキュリティ

Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved

技術者が

Webアプリ開発者の助けとなるようなツールやフレームワーク、ガイドラインを提供する世界的な非営利組織団体です

OWASP TOP 10（2013版）

A-1 インジェクション SQLインジェクションやOSコマンドインジェクション

A-2 認証とセッション管理の不備 セッション固定化攻撃（Session Fixation）

A-3 ＸＳＳ 反射型XSS、 DOM Based XSS

A-4安全でないオブジェクトの直接参照

Webサーバ上のファイルへ直接アクセス等

A-5 セキュリティの設定ミス パッケージやOSSのデバッグ情報の漏洩等

A-6 機密データの露出 DBへクレジットカードのセキュリティキーの格納等

A-7機密レベル・アクセス制御の欠落

Requestの改竄により上位権限へのアクセス等

A-8 ＣＳＲＦ mixiで発生した「はまちちゃん事件」の脆弱性

A-9既知の脆弱性を持つコンポーネントの使用

パッケージやOSSに内包する脆弱性が利用される

A-10未検証のリダイレクトとフォワード

フィッシングやマルウェアのサイトへリダイレクト

詳しくは、ここ ↓

https://www.owasp.org/

※ 英語です

引用：https://www.owasp.org

A-1 インジェクション

代表としては、SQLインジェクション

Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved

SELECT name, price FROM items WHERE id = 1

SELECT name, price FROM items WHERE id=1 and 1=1

・プリペアドステートメントによる実装必須！・自由検索等の動的SQLの場合、入力値に対するバリデーションとバリデーションに対する単体試験をしっかり

と！

A-2 認証とセッション管理不備

代表としては、セッションの固定化

Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved

引用：IPA セキュリティセンター安全なウェブサイトの作り方 改訂第6版より

A-3 クロスサイトスクリプティング

JavaScriptを注入される事で発生。

Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved

引用：IPA セキュリティセンター安全なウェブサイトの作り方 改訂第6版より

Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved

参考にする書籍など

Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved

回 開催月 タイトル 概要

４ 2010/09 エフスタ!!勉強会vol.4＆東北情報セキュリティ勉強会

テーマはセキュリティと開発でスピーカーに上野宣さんをお招き。

6 2011/04 エフスタ!!勉強会vol.6＆東北情報セキュリティ勉強会

大震災の直後の開催。感慨深い勉強会となった。

19 2013/10 エフスタ!!勉強会vol.19＆東北情報セキュリティ勉強会

SECCON2013先取り！と題してサイボウズ竹迫さんをお招き

23 2013/12 エフスタ!!TOKYO vol.3クラウドサイコー

クラウドセキュリティのためDIT 河野さんをお招き。

24 2014/01 エフスタ!!ナイトセミナーSNSのリスク管理

SNSのリスク管理についてラック 長谷川長一さんをお招き

エフスタ勉強会のセキュリティの軌跡

Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved

私の

活動として

技術者とセキュリティ技術者の間に

はしけを渡すことができたら・・・

そして、地方と首都圏の意識格差可能な限り小さくしたい

お客様への意識付

けも

セキュリティ勉強会への思い

2014/4/25 16

Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved

ご清聴をありがとうございました

Thank you.

謝辞

■参考

・The Open Web Application Security Project(OWASP)

https://www.owasp.org/・独立行政法人情報処理推進機構

http://www.ipa.go.jp/security/index.html