secureassist introduction -...

13
アプリケーション・セキュリティを 実現するベストプラクティスとは SecureAssist IDE Plugin and Enterprise Portal Introduc6on ASTERISK RESEARCH, INC. 株式会社アスタリスク・リサーチ Cigital社チャネルパートナー | Enabling Security for Developers | ©2015 Asterisk Research, Inc. 1 2015/9/3

Upload: asterisk-research-inc

Post on 22-Jan-2017

477 views

Category:

Software


5 download

TRANSCRIPT

Page 1: SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

   

アプリケーション・セキュリティを  実現するベストプラクティスとは

SecureAssist  IDE  Plugin  and  Enterprise  Portal    Introduc6on      

ASTERISK  RESEARCH,  INC.  株式会社アスタリスク・リサーチ  Cigital社チャネルパートナー  

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 1

2015/9/3

Page 2: SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

SDLCにおける開発段階のインパクト

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 2

Planning  &  Requirements

Design  &  Architecture Development TesPng ProducPon Maintenance

SAST  静的解析 DAST  動的解析

リスクの  80%以上  はこの段階に

起因  

コーディング  レビュー

MOINTORING ライフサイクル設計・教育

施策

開発品質阻害要因  •  スケジュール圧力  •  コスト圧力  •  スキルのばらつき  

対策が後手になるほどリスク対策・時間・コストは高額に

フェーズ

Page 3: SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

What  is  SecureAssist

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 3

プラグイン レビュー対象のファイル・タイプ IDE(統合開発環境)

Java  

JEE  /  JSP  /  XML  /  FTL  /  ProperPes      

PHP

Eclipse  RAD  

MyEclips  SpringSource  Tool  SuiteTM  IDE  

IntelliJ  (coming  soon)

.NET    

C#  /  VB.NET  /  ASPX Microso\  Visual  Studio

                                           は、IDE  Visual  Studio、Eclipseのプラグイン方式を採用。  開発者は、いつでも、自分自身のコードを  ”レビュー”  これにより、リスクの高い、脆弱性のもとになるプログラムコードをコミットする前、ビルドする前に見つけ、修正することができます。  安全なコードの書き方も身につき、安全なコーディングも身につきます。    一流のプログラミングセキュリティ・コーチを開発者ひとりひとりに配置するような、効率、コストパフォーマンスの高いソリューションです。

Page 4: SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 4

What  is  SecureAssist  リアルタイムコードレビュー・リスク指摘・修正ガイダンスツール

解説・ガイダンスや  サンプルコード  

脆弱性とコードの対応による  リスクレベルの可視化  

IDEプラグインによる  リアルタイムな  

コードレビュー  

Page 5: SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

SecureAssist  Enterprise  Portalで統合します  チーム全体のセキュアコーディング状況を集約する機能

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 5

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

・Deliver  Review  RuleSet,  Code  Guideline   独自ルールセット・ガイドドキュメントの配布  ・Ac6onable  intelligence   利活用可能なプロジェクトごとの統計情報  ・Manage  user  ac6vi6es  and  licenses   ユーザーの管理    

プロジェクト  A プロジェクト  B 品質管理 運用・企画・マネージメント

※  SecureAssistシステムは、スキャンなどの機微情報を製品提供元には送りません!  

Page 6: SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 6

入力値バリデーションならびに  出力値のエンコードを徹底

セキュアでないデータの取り扱いによる問題を回避

正しいコーディング手法の  導入・徹底

Cross-­‐Site  ScripPng*  >  Output  Sent  to  Browser  >  Output  Data  in  Web  Page  >  DOM  Object  >  HTTP  Header  ManipulaPon  >  GET  Requests  >  HTML  Comments  in  JSP  or  PHP  File  >  Hidden  Field  >  Data  Usage  from  HTTP  Request  >  Output  Encoding  Set  to  False    

SQL  InjecPon*  >  Dangerous  Method  Calls  >  Database  Query  ManipulaPon  >  Untrusted  Data  Source  for  Query  >  Dynamic  Database  Query    

Path  ManipulaPon*  >  UnsaniPzed  Data  Usage  >  Directory  Call  with  Dynamic  Inputs    

Denial  of  Service  Aeack  >  Hanging  JRE  >  Dynamic  Web  Page  Content  >  Processing  SensiPve  Data  >  Race  CondiPon  >  Struts  Config  >  XML  Aeacks    

File  Input/Output  >  Exposed  Buffers  >  Temporary  Files  in  Shared  Directories    

Other  Unvalidated  User  Input*  >  LDAP  InjecPon*  >  Xpath  InjecPon*  >  Command  InjecPon*  >  Remote  Code  ExecuPon  >  Javax  Persistence  Security

Insecure  Data  Storage  >  Insecure  File  Modes  >  No  Access  Control*  >  User  CredenPals  Stored*  >  Hardcoded  Password*  >  Access  to  Cache  >  HTTP  Auth  CredenPals  Stored*    

SensiPve  InformaPon  Leakage  >  Dynamic  Web  Page  Content  >  System  InformaPon  Leak  >  Exposure  of  AuthenPcaPon  Objects  >  Use  of  printStack  Trace  >  ExcepPon  Handling  >  Autocomplete  Seing  >  External  Storage  Used  >  Screen  View  Captured  >  Web  Page  Saved  to  Device  >  HTML  Form  Data  >  Insecure  ConfiguraPon  in  Manifest    

Weak  Cryptography*  >  Security  Features  >  Weak  Cryptographic  Hash  >  Weak  EncrypPon  >  Outdated  Cipher  >  Weak  Algorithm  >  Secure  Number  RandomizaPon  >  Insufficient  Key  Size  >  Inadequate  RSA  Padding    

Trust  Boundary  ViolaPons  >  User  Supplied  Data  to  Beans  >  Calls  AffecPng  CURL  Requests  >  Untrusted  Data  Source  >  UnsaniPzed  String  >  InjecPon  in  Email  >  Points  of  Interest  >  Entry  Point  ViolaPon  >  Socket  ConnecPon  Timeout  >  Socket  Stream  Timeout    

Unvalidated  Redirects  &  Forwards  >  URL  RedirecPon*  >  User  RedirecPon*  

Thread  APIs  >  Call  to  NoPfy()  >  InvocaPon  of  Thread.stop()  >  InvocaPon  of  Thread.run()    

Struts  MisconfiguraPon  >  XML  InjecPon  >  XML  DTD  Aeack  >  Missing/Duplicate  Form  Bean*  >  Missing  Forward  Name  Aeribute*  >  Missing  Path/Type  Aeribute*  >  Unnecessary  Aeribute  >  Required  Input  Aeribute  >  Invalid  ExcepPon  Scope  >  Missing  Form-­‐Property  Type  >  Dangerous  RelaPve  Path  >  AcPon  Not  Validated    

ConfiguraPon  >  ASP.NET  ConfiguraPon*  >  PHP  ConfiguraPon*  >  Environment  Variable  Value  >  Session  Timeout  ConfiguraPon*  >  Session  InacPve  Interval*  >  ImplementaPon  Time  Logic  Flaws  >  Call  to  ReadLine  >  Race  CondiPon  >  Hidden  Field    

Improper  Error  Handling  >  Unspecified  Error  Page  >  JSP  Defines  Error  Page  >  JSONRPC  Security    

Log  Handling  >  UnsaniPzed  Data  Wrieen  to  Logs  >  Private  User  Data  Logged    

Cookie  Security*  >Overly  Broad  Paths  >  Insufficient  Transport  Layer  ProtecPon  >  Session  Management    

Resource  Handling  >  File  Input  Output  >  Hibernate  Security  >  Resource  Not  Closed  in  Finally  Block  

*2013  OWASP  Top  10の関連項目

*2013  OWASP  Top  10の関連項目

テストケースカバレッジ:OWASP  Top  10,  CWE  Top  25に対応。PCI  DSSにも効果的。

Page 7: SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

開発成果物の価値が効率良く向上するサイクル  見つけるだけではなく、修正し、改善していく

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 7

1.  Find  risky  coding  and  vulnerabiliPes  earlier   セキュリティ問題を潜在を早期発見    

2.  Fix  &  Prevent  them    リスクのあるコーディングを修正・未然に防ぐ  

3.  Improved  educa6on  and  quality                  throughout  SDLC   開発ライフサイクルを通してソフトウェア品質向上

Page 8: SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

  関連サービスのコストイメージ

# Item Cost

ツール SecureAssist    ケース:スターターパック     最小構成: 20  ID     Rulepack  Configurator          Enterprise  Portal        ※  ID  数により単価は安くなります。  

 ケース-­‐1.  サブスクリプション購入  

700k  JPY    (スターターパック/年)  

ケース-­‐2.  パーペチュアル購入  1350k  JPY    

(スターターパック/保守:350k/年) ベーシック  サポートオプション  

初期導入支援(オンライン)  ユーザーセミナー(2h程度)  管理者セミナー(2h程度)  アクティベーション支援  

300k  JPYより

アドバンスド  サポートオプション

(ベーシックサポートオプションを含む)  ルール・ガイド・コンフィギュレーション支援  ユーザフォロー支援  システムアップデート支援  

500k  JPYより

SDLCトレーニング  ・オンライン  ・オンサイト

チーム全員向け:セキュリティ対策セット  セキュリティリーダー育成セット  セキュア設計・開発、モバイル開発  PCI  DSS準拠トレーニング

ご相談

テストサービス Test  As  A  Service  (3D  Unlimited)   ご相談

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 8

Page 9: SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

SecureAssist  開発元  米Cigital社のご紹介

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 9

 

•  1992年に創業・世界最大級の、ソフトウェアセキュリティに特化したコンサルティング・サービス提供会社。  

•  世界で最初の、静的コード解析の商用ツールを開発、主要な静的解析エンジンに採用。  

•  OWASP  Global  Supporter          

         

Applica6on  Security  Tes6ng

Penetra6on  Tes6ng

SoPware  Security  Strategy

Architecture  Analysis

Secure  Development Training

•  Fortune  500も含む大手企業270社以上 •  金融機関の上位10社の内9社 •  米国銀行の上位20銀行の内16銀行 •  ソフトウェアセキュリティ会社の上位3社 •  保険会社の上位3社 •  米国最大のゲーム会社 •  テクノロジー会社の上位10社の内5社

Page 10: SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

Cigital社 CTO  Gary  McGraw氏

Gary  McGraw,  Ph.D.(ゲイリー・マグロー)  -­‐  Cigital,  Inc. CTO  

•  セキュアな開発の方法論の第一人者

•  “Building  Secure  SoPware  and  SoPware  Security”  (邦題:Building  Secure  So\wareーソフトウェアセキュリティについて開発者が知っているべきこと)などの著者  

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 10

「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナーとしてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現する市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに長い期間目指してきたものです。」 -­‐  Gary  McGraw,  Cigital,  Inc.  CTO  

Page 11: SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

Cigitalとアスタリスク・リサーチのパートナーシップを発表(2015/4/30)

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 11

Page 12: SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

“Enabling  Security  for  Developers”  の実現に向けて

「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナーとしてCigitalを選択してくれたことをうれしく思います。優れたソフトウェアセキュリティを実現する市場を開発することは実社会においてまさに望まれていることであり、私たち両社がともに長い期間目指してきたものです」            

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 12

Chief  Technology  Officer  Gary  McGraw(ゲイリー・マグロー)

代表取締役    岡田 良太郎

「この提携により、当社がこれまでお客様に提供してきたコンサルティングならびにトレーニングのサービス・ラインアップに、Cigital社のソリューションを加わることとなり、さらにより多くの開発チームに貢献できるようになります。これにより、当社のセキュリティ事業分野のミッションである  “enabling  security  for  developers”を実現し、ひいては安全かつ安定的に持続可能なインターネット社会の実現に貢献できればと考えています」  

Page 13: SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

Thanks  

•  導入のご相談、試用期間  30日のフル機能検証は無料です。  USAGE:  –  サービス提供者様、開発会社様へのご提供  –  コンサルティング、教育プログラムとのコラボレーション  –  エンジニア評価、プロジェクト・プロダクト品質の可視化  –  開発・品質管理・運用チームの、共通指標の導入と推進  

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 13

Cigital社チャネルパートナー  アスタリスク・リサーチ  

heps://www.asteriskresearch.com/download/