エフスタ!!勉強会#26 セキュリティと開発と
TRANSCRIPT
自己紹介
芳賀 健福島コンピュータシステム所属
田村郡三春町 在住
Java/PHP/.NETなどでWeb系システム開発
ソースコードへの脆弱性診断
(ISC)²JapanCISSP
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved
=保有セキュリティ資格=
( Haga Takeshi )
情報処理技術者試験情報セキュリティスペシャリスト
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved
開発工程
コーディング
内部設計
外部設計
要件定義 運用試験
結合試験
単体試験
ここで実装を検討して
セキュの検証はここ
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved
開発工程別セキュリティ検討項目
コーディング
内部設計
外部設計
要件定義 運用試験
結合試験
単体試験
認証制御
アクセス権
ログ管理
入力/出力Chk/条件
プリペアド・
ステートメント対応等
要求実装の検証
インフラを含めた
セキュリティ対策
工程別で、開発者だけでなく、
設計者も、発注者も、丸投げせずに
セキュリティを意識しよう!
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved
セキュリティ対策のまとめ
様々な情報のリスクを評価して!
OWASP TOP10って知っていますか?
いま知っておくセキュリティ
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved
技術者が
Webアプリ開発者の助けとなるようなツールやフレームワーク、ガイドラインを提供する世界的な非営利組織団体です
OWASP TOP 10(2013版)
A-1 インジェクション SQLインジェクションやOSコマンドインジェクション
A-2 認証とセッション管理の不備 セッション固定化攻撃(Session Fixation)
A-3 XSS 反射型XSS、 DOM Based XSS
A-4安全でないオブジェクトの直接参照
Webサーバ上のファイルへ直接アクセス等
A-5 セキュリティの設定ミス パッケージやOSSのデバッグ情報の漏洩等
A-6 機密データの露出 DBへクレジットカードのセキュリティキーの格納等
A-7機密レベル・アクセス制御の欠落
Requestの改竄により上位権限へのアクセス等
A-8 CSRF mixiで発生した「はまちちゃん事件」の脆弱性
A-9既知の脆弱性を持つコンポーネントの使用
パッケージやOSSに内包する脆弱性が利用される
A-10未検証のリダイレクトとフォワード
フィッシングやマルウェアのサイトへリダイレクト
詳しくは、ここ ↓
https://www.owasp.org/
※ 英語です
引用:https://www.owasp.org
A-1 インジェクション
代表としては、SQLインジェクション
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved
SELECT name, price FROM items WHERE id = 1
SELECT name, price FROM items WHERE id=1 and 1=1
・プリペアドステートメントによる実装必須!・自由検索等の動的SQLの場合、入力値に対するバリデーションとバリデーションに対する単体試験をしっかり
と!
A-2 認証とセッション管理不備
代表としては、セッションの固定化
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved
引用:IPA セキュリティセンター安全なウェブサイトの作り方 改訂第6版より
A-3 クロスサイトスクリプティング
JavaScriptを注入される事で発生。
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved
引用:IPA セキュリティセンター安全なウェブサイトの作り方 改訂第6版より
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved
回 開催月 タイトル 概要
4 2010/09 エフスタ!!勉強会vol.4&東北情報セキュリティ勉強会
テーマはセキュリティと開発でスピーカーに上野宣さんをお招き。
6 2011/04 エフスタ!!勉強会vol.6&東北情報セキュリティ勉強会
大震災の直後の開催。感慨深い勉強会となった。
19 2013/10 エフスタ!!勉強会vol.19&東北情報セキュリティ勉強会
SECCON2013先取り!と題してサイボウズ竹迫さんをお招き
23 2013/12 エフスタ!!TOKYO vol.3クラウドサイコー
クラウドセキュリティのためDIT 河野さんをお招き。
24 2014/01 エフスタ!!ナイトセミナーSNSのリスク管理
SNSのリスク管理についてラック 長谷川長一さんをお招き
エフスタ勉強会のセキュリティの軌跡
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved
私の
活動として
技術者とセキュリティ技術者の間に
はしけを渡すことができたら・・・
そして、地方と首都圏の意識格差可能な限り小さくしたい
お客様への意識付
けも
セキュリティ勉強会への思い
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved
ご清聴をありがとうございました
Thank you.
謝辞
■参考
・The Open Web Application Security Project(OWASP)
https://www.owasp.org/・独立行政法人情報処理推進機構
http://www.ipa.go.jp/security/index.html