脆弱性は元から断たなきゃダメ！

SecureAssist  IDE  Plugin  and  Enterprise  Portal    Introduc6on      

ASTERISK  RESEARCH,  INC.  株式会社アスタリスク・リサーチ  Cigital社チャネルパートナー  

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 1

SecureAssist

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 2

プラグイン レビュー対象のファイル・タイプ IDE（統合開発環境）

Java  

JEE  /  JSP  /  XML  /  FTL  /  ProperOes      

PHP

Eclipse  RAD  

MyEclips  SpringSource  Tool  SuiteTM  IDE

.NET    

C#  /  VB.NET  /  ASPX MicrosoB  Visual  Studio

                                         はVisual  Studio、Eclipseのプラグインとして提供されます。    開発者はいつでも手元でコードレビューをさせることができるので、脆弱性のもとになるプログラムコードをビルド前に見つけ、修正・確認することができます。

 まるで、一流のプログラミングセキュリティ・コーチを開発者ひとりひとりの横に配置するような、効率・効果の高いソリューションです。

サポートしている技術

ジミニー・クリケット

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 3

リアルタイムコードレビュー・リスクレベル・ガイダンス

解説・ガイダンスや  サンプルコード  

脆弱性とコードの対応による  リスクレベルの可視化  

IDEプラグインによる  リアルタイムな  

コードレビュー  

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 4

入力値バリデーションならびに  出力値のエンコードを徹底

セキュアでないデータの取り扱いによる問題を回避

正しいコーディング手法の  導入・徹底

Cross-­‐Site  Scrip6ng＊  >  Output  Sent  to  Browser  >  Output  Data  in  Web  Page  >  DOM  Object  >  HTTP  Header  ManipulaOon  >  GET  Requests  >  HTML  Comments  in  JSP  or  PHP  File  >  Hidden  Field  >  Data  Usage  from  HTTP  Request  >  Output  Encoding  Set  to  False    

SQL  Injec6on＊  >  Dangerous  Method  Calls  >  Database  Query  ManipulaOon  >  Untrusted  Data  Source  for  Query  >  Dynamic  Database  Query    

Path  Manipula6on＊  >  UnsaniOzed  Data  Usage  >  Directory  Call  with  Dynamic  Inputs    

Denial  of  Service  AJack  >  Hanging  JRE  >  Dynamic  Web  Page  Content  >  Processing  SensiOve  Data  >  Race  CondiOon  >  Struts  Config  >  XML  A_acks    

File  Input/Output  >  Exposed  Buffers  >  Temporary  Files  in  Shared  Directories    

Other  Unvalidated  User  Input＊  >  LDAP  InjecOon＊  >  Xpath  InjecOon＊  >  Command  InjecOon＊  >  Remote  Code  ExecuOon  >  Javax  Persistence  Security

Insecure  Data  Storage  >  Insecure  File  Modes  >  No  Access  Control＊  >  User  CredenOals  Stored＊  >  Hardcoded  Password＊  >  Access  to  Cache  >  HTTP  Auth  CredenOals  Stored＊    

Sensi6ve  Informa6on  Leakage  >  Dynamic  Web  Page  Content  >  System  InformaOon  Leak  >  Exposure  of  AuthenOcaOon  Objects  >  Use  of  printStack  Trace  >  ExcepOon  Handling  >  Autocomplete  Sebng  >  External  Storage  Used  >  Screen  View  Captured  >  Web  Page  Saved  to  Device  >  HTML  Form  Data  >  Insecure  ConfiguraOon  in  Manifest    

Weak  Cryptography＊  >  Security  Features  >  Weak  Cryptographic  Hash  >  Weak  EncrypOon  >  Outdated  Cipher  >  Weak  Algorithm  >  Secure  Number  RandomizaOon  >  Insufficient  Key  Size  >  Inadequate  RSA  Padding    

Trust  Boundary  Viola6ons  >  User  Supplied  Data  to  Beans  >  Calls  AffecOng  CURL  Requests  >  Untrusted  Data  Source  >  UnsaniOzed  String  >  InjecOon  in  Email  >  Points  of  Interest  >  Entry  Point  ViolaOon  >  Socket  ConnecOon  Timeout  >  Socket  Stream  Timeout    

Unvalidated  Redirects  &  Forwards  >  URL  RedirecOon＊  >  User  RedirecOon＊  

Thread  APIs  >  Call  to  NoOfy()  >  InvocaOon  of  Thread.stop()  >  InvocaOon  of  Thread.run()    

Struts  Misconfigura6on  >  XML  InjecOon  >  XML  DTD  A_ack  >  Missing/Duplicate  Form  Bean＊  >  Missing  Forward  Name  A_ribute＊  >  Missing  Path/Type  A_ribute＊  >  Unnecessary  A_ribute  >  Required  Input  A_ribute  >  Invalid  ExcepOon  Scope  >  Missing  Form-­‐Property  Type  >  Dangerous  RelaOve  Path  >  AcOon  Not  Validated    

Configura6on  >  ASP.NET  ConfiguraOon＊  >  PHP  ConfiguraOon＊  >  Environment  Variable  Value  >  Session  Timeout  ConfiguraOon＊  >  Session  InacOve  Interval＊  >  ImplementaOon  Time  Logic  Flaws  >  Call  to  ReadLine  >  Race  CondiOon  >  Hidden  Field    

Improper  Error  Handling  >  Unspecified  Error  Page  >  JSP  Defines  Error  Page  >  JSONRPC  Security    

Log  Handling  >  UnsaniOzed  Data  Wri_en  to  Logs  >  Private  User  Data  Logged    

Cookie  Security＊  >Overly  Broad  Paths  >  Insufficient  Transport  Layer  ProtecOon  >  Session  Management    

Resource  Handling  >  File  Input  Output  >  Hibernate  Security  >  Resource  Not  Closed  in  Finally  Block  

＊2013  OWASP  Top  10の関連項目

＊2013  OWASP  Top  10の関連項目

SecureAssistにより、主な脆弱性攻撃によるリスクを80%減少させることが可能になります。  

OWASP  Top  10  important  risksやCWE  Top  25に対応

開発チームはコードに自信が持てるようになります  重要な問題を発見・修正そして学習する好循環を加速します。

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 5

1.  Find  vulnerabiliOes  early  　セキュリティ問題を潜在させない問題発見手法    

2.  Educate  to  fix  &  prevent  them  　セキュリティ欠陥を未然に防ぎ、学習効果向上  

3.  Improved  quality  throughout  SDLC  　開発ライフサイクルを改善し、ソフトウェア品質向上  

チーム統合機能：  IDE  Plugin  and  Enterprise  Portal

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 6

SecureAssist  Enterprise  Portal

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE

IDE（統合開発環境）Pluginの機能

・Work  Faster    ・Work  Smarter    ・Keep  security  in  mind  　より早く        　より効率良く      　セキュリティを常に意識

・Ac6onable  intelligence  　利活用可能な統計情報  ・Simplify  updates  　アップデートの簡略化  ・Manage  users  　ユーザーの管理  

・Deliver  Review  RuleSet  　独自ルールセットの配布  ・Deliver  Code  Guideline  　ガイドドキュメントの配布  

Enterprise  Portal管理画面

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 7

•  プロジェクトやユーザーごとの統計情報、可視化、および　レポートの出力  

•  チーム独自のガイドラインの設定、リアルタイム反映  

•  ユーザーの管理とプラグインのライセンス配布

チーム全体のセキュアコーディング状況を集約する機能

リリース直前に脆弱性を見つかって大量修正・・・  セキュリティ品質の確保でお悩みですか？

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 8

リリース前修正！リリース後の問題指摘！  　脆弱性対策のための手法も  　予算も時間もない！    

　　 ホントに面倒くさい (T_T)  

セキュア開発の段階をエンパワーする  開発者のためのSecureAssist

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 9

Planning  &  Requirements

Design  &  Architecture Development TesOng ProducOon Maintenance

SAST  静的解析 DAST  動的解析

要因の

85% システム脆弱性の85%は  

開発段階に起因  

•  IDEでコードレビュー  •  チーム統合機能  •  コストパフォーマンス

開発レビュー MOINTORING ライフサイクル設計・教育

脆弱性は元から断たなきゃダメ！ システム脆弱性の85%は開発段階に起因します。

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 10

ソフトウェア開発におけるセキュリティ対応は、開発プロセスの後工程になればなるほどリスクが高く、手戻りの時間もコストも高くつきます。

開発チームがソースコードにもっともかかわっているタイミングで問題の原因を取り除くことが必要であり、対策の効率は飛躍的に向上します。

解決策：  開発者全員が自分で使えるReviewツール。  5X

10X

30X

Coding Integra6on/component  tes6ng

System  tes6ng

Produc6on

85%

15X

当段階で発生した脆弱性（%）

当段階で発見された脆弱性（%）

当段階での脆弱性修正コスト

SecureAssist  開発元  米Cigital社のご紹介 cigital.com

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 11

 

•  世界最大級の、ソフトウェアセキュリティに特化した  コンサルティング・サービス提供会社  

•  1992年に創業  

•  世界で最初の、静的コード解析の商用ツールを開発、  主要な静的解析ツールに採用されている。  

 

•  ソフトウェアセキュリティ業界のオピニオンリーダー    

•  OWASP  Global  Supporter                    

Cigital社のソリューションを活用している企業

•  Fortune  500も含む大手企業270社以上

•  金融機関の上位10社の内9社

•  米国銀行の上位20銀行の内16銀行

•  ソフトウェアセキュリティ会社の上位3社

•  保険会社の上位3社

•  米国最大のゲーム会社

•  テクノロジー会社の上位10社の内5社

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 12

Cigital社のCTO  Gary  McGraw氏

Gary  McGraw,  Ph.D.（ゲイリー・マグロー）  -­‐  Cigital,  Inc.　CTO  

•  セキュアな開発の方法論の第一人者

•  “Building  Secure  SoBware  and  SoBware  Security”  （邦題：Building  Secure  Soqwareーソフトウェアセキュリティについて開発者が知っているべきこと）などの著者  

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 13

「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナーとしてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現する市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに長い期間目指してきたものです。」 -­‐  Gary  McGraw,  Cigital,  Inc.  CTO  

Cigitalとアスタリスク・リサーチのパートナーシップを発表(2015/4/30)

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 14

Thanks  

•  導入のご相談、お見積もり、試用期間  30日のフル機能検証は無料です。  

•  活用手段はさまざま  –  開発会社様へのご提供  –  コンサルティングとのコラボレーション  –  セキュア開発ソリューションへの組み込み  –  教育ツールとしてのご活用  

|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 15

Cigital社チャネルパートナー  アスタリスク・リサーチ    アプリケーションセキュリティ・チームをよろしくお願いします。