Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
 
	
  
アプリケーション・セキュリティを	
  
実現するベストプラクティスとは	
SecureAssist	
  IDE	
  Plugin	
  and	
  Enterprise	
  Portal	
  	
  Introduc6...
SDLCにおける開発段階のインパクト	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
2	
Pl...
What	
  is	
  SecureAssist	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc...
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
4	
What	
  is	
  SecureAs...
SecureAssist	
  Enterprise	
  Portalで統合します	
  
チーム全体のセキュアコーディング状況を集約する機能	
|	
  Enabling	
  Security	
  for	
  Developers	
...
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
6	
入力値バリデーションならびに	
  
出力値...
開発成果物の価値が効率良く向上するサイクル	
  
見つけるだけではなく、修正し、改善していく	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asteris...
  関連サービスのコストイメージ	
#	
 Item	
 Cost	
ツール	
 SecureAssist	
  	
  
ケース:スターターパック 	
  
	
   最小構成: 20	
  ID	
  	
  
 Rulepack	
  C...
SecureAssist	
  開発元	
  
米Cigital社のご紹介	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Resea...
Cigital社 CTO	
  Gary	
  McGraw氏	
Gary	
  McGraw,	
  Ph.D.(ゲイリー・マグロー)	
  
-­‐  Cigital,	
  Inc. CTO	
  
•  セキュアな開発の方法論の第一人者...
Cigitalとアスタリスク・リサーチのパートナーシップを発表
(2015/4/30)	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
 ...
“Enabling	
  Security	
  for	
  Developers”	
  
の実現に向けて	
「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー
としてCigitalを選択してくれた...
Thanks	
  	
•  導入のご相談、試用期間	
  30日のフル機能検証は無料です。	
  
USAGE:	
  
–  サービス提供者様、開発会社様へのご提供	
  
–  コンサルティング、教育プログラムとのコラボレーション	
  ...
Upcoming SlideShare
Loading in …5
×

SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

604 views

Published on

SecureAssist - IDE Plugin and Enterprise Portal Introduction.
SDLCにおいて、最もインパクトがあるのは開発段階です。しかし、事前教育と、後工程の検査による品質確保では、ソフトウェアそのもののリスクは減りません。100項目以上のチェックを開発者の手元で改善できる方法があります。
https://www.asteriskresearch.com/

Published in: Software
  • Be the first to comment

SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

  1. 1.     アプリケーション・セキュリティを   実現するベストプラクティスとは SecureAssist  IDE  Plugin  and  Enterprise  Portal    Introduc6on       ASTERISK  RESEARCH,  INC.   株式会社アスタリスク・リサーチ   Cigital社チャネルパートナー   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 1 2015/9/3
  2. 2. SDLCにおける開発段階のインパクト |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 2 Planning  &   Requirements Design  &   Architecture Development TesPng ProducPon Maintenance SAST  静的解析 DAST  動的解析 リスクの   80%以上   はこの段階に 起因   コーディング   レビュー MOINTORING ライフサイクル設計・教育 施策 開発品質阻害要因   •  スケジュール圧力   •  コスト圧力   •  スキルのばらつき   対策が後手になるほど
 リスク対策・時間・コスト は高額に フェーズ
  3. 3. What  is  SecureAssist |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 3 プラグイン レビュー対象のファイル・タイプ IDE(統合開発環境) Java   JEE  /  JSP  /  XML  /  FTL  /  ProperPes       PHP Eclipse   RAD   MyEclips   SpringSource  Tool  SuiteTM  IDE   IntelliJ  (coming  soon) .NET     C#  /  VB.NET  /  ASPX Microso  Visual  Studio                                            は、IDE  Visual  Studio、Eclipseのプラグイン方式を採用。   開発者は、いつでも、自分自身のコードを  ”レビュー”   これにより、リスクの高い、脆弱性のもとになるプログラムコードをコミット する前、ビルドする前に見つけ、修正することができます。   安全なコードの書き方も身につき、安全なコーディングも身につきます。     一流のプログラミングセキュリティ・コーチを開発者ひとりひとりに配置す るような、効率、コストパフォーマンスの高いソリューションです。
  4. 4. |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 4 What  is  SecureAssist   リアルタイムコードレビュー・リスク指摘・修正ガイダンスツール 解説・ガイダンスや   サンプルコード   脆弱性とコードの対応による   リスクレベルの可視化   IDEプラグインによる   リアルタイムな   コードレビュー  
  5. 5. SecureAssist  Enterprise  Portalで統合します   チーム全体のセキュアコーディング状況を集約する機能 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 5 IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE ・Deliver  Review  RuleSet,  Code  Guideline    独自ルールセット・ガイドドキュメントの配布   ・Ac6onable  intelligence    利活用可能なプロジェクトごとの統計情報   ・Manage  user  ac6vi6es  and  licenses    ユーザーの管理     プロジェクト  A プロジェクト  B 品質管理 運用・企画・マネージメント ※  SecureAssistシステムは、スキャンなどの機微情報を製品提供元には送りません!  
  6. 6. |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 6 入力値バリデーションならびに   出力値のエンコードを徹底 セキュアでないデータの取り扱いによる問 題を回避 正しいコーディング手法の   導入・徹底 Cross-­‐Site  ScripPng*   >  Output  Sent  to  Browser   >  Output  Data  in  Web  Page   >  DOM  Object   >  HTTP  Header  ManipulaPon   >  GET  Requests   >  HTML  Comments  in  JSP  or  PHP  File   >  Hidden  Field   >  Data  Usage  from  HTTP  Request   >  Output  Encoding  Set  to  False     SQL  InjecPon*   >  Dangerous  Method  Calls   >  Database  Query  ManipulaPon   >  Untrusted  Data  Source  for  Query   >  Dynamic  Database  Query     Path  ManipulaPon*   >  UnsaniPzed  Data  Usage   >  Directory  Call  with  Dynamic  Inputs     Denial  of  Service  Aeack   >  Hanging  JRE   >  Dynamic  Web  Page  Content   >  Processing  SensiPve  Data   >  Race  CondiPon   >  Struts  Config   >  XML  Aeacks     File  Input/Output   >  Exposed  Buffers   >  Temporary  Files  in  Shared  Directories     Other  Unvalidated  User  Input*   >  LDAP  InjecPon*   >  Xpath  InjecPon*   >  Command  InjecPon*   >  Remote  Code  ExecuPon   >  Javax  Persistence  Security Insecure  Data  Storage   >  Insecure  File  Modes   >  No  Access  Control*   >  User  CredenPals  Stored*   >  Hardcoded  Password*   >  Access  to  Cache   >  HTTP  Auth  CredenPals  Stored*     SensiPve  InformaPon  Leakage   >  Dynamic  Web  Page  Content   >  System  InformaPon  Leak   >  Exposure  of  AuthenPcaPon  Objects   >  Use  of  printStack  Trace   >  ExcepPon  Handling   >  Autocomplete  Seing   >  External  Storage  Used   >  Screen  View  Captured   >  Web  Page  Saved  to  Device   >  HTML  Form  Data   >  Insecure  ConfiguraPon  in  Manifest     Weak  Cryptography*   >  Security  Features   >  Weak  Cryptographic  Hash   >  Weak  EncrypPon   >  Outdated  Cipher   >  Weak  Algorithm   >  Secure  Number  RandomizaPon   >  Insufficient  Key  Size   >  Inadequate  RSA  Padding     Trust  Boundary  ViolaPons   >  User  Supplied  Data  to  Beans   >  Calls  AffecPng  CURL  Requests   >  Untrusted  Data  Source   >  UnsaniPzed  String   >  InjecPon  in  Email   >  Points  of  Interest   >  Entry  Point  ViolaPon   >  Socket  ConnecPon  Timeout   >  Socket  Stream  Timeout     Unvalidated  Redirects  &  Forwards   >  URL  RedirecPon*   >  User  RedirecPon*   Thread  APIs   >  Call  to  NoPfy()   >  InvocaPon  of  Thread.stop()   >  InvocaPon  of  Thread.run()     Struts  MisconfiguraPon   >  XML  InjecPon   >  XML  DTD  Aeack   >  Missing/Duplicate  Form  Bean*   >  Missing  Forward  Name  Aeribute*   >  Missing  Path/Type  Aeribute*   >  Unnecessary  Aeribute   >  Required  Input  Aeribute   >  Invalid  ExcepPon  Scope   >  Missing  Form-­‐Property  Type   >  Dangerous  RelaPve  Path   >  AcPon  Not  Validated     ConfiguraPon   >  ASP.NET  ConfiguraPon*   >  PHP  ConfiguraPon*   >  Environment  Variable  Value   >  Session  Timeout  ConfiguraPon*   >  Session  InacPve  Interval*   >  ImplementaPon  Time  Logic  Flaws   >  Call  to  ReadLine   >  Race  CondiPon   >  Hidden  Field     Improper  Error  Handling   >  Unspecified  Error  Page   >  JSP  Defines  Error  Page   >  JSONRPC  Security     Log  Handling   >  UnsaniPzed  Data  Wrieen  to  Logs   >  Private  User  Data  Logged     Cookie  Security*   >Overly  Broad  Paths   >  Insufficient  Transport  Layer  ProtecPon   >  Session  Management     Resource  Handling   >  File  Input  Output   >  Hibernate  Security   >  Resource  Not  Closed  in  Finally  Block   *2013  OWASP  Top  10の関連項目 テストケースカバレッジ:OWASP  Top  10,  CWE  Top  25に対応。PCI  DSSにも効果的。
  7. 7. 開発成果物の価値が効率良く向上するサイクル   見つけるだけではなく、修正し、改善していく |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 7 1.  Find  risky  coding  and  vulnerabiliPes  earlier    セキュリティ問題を潜在を早期発見     2.  Fix  &  Prevent  them     リスクのあるコーディングを修正・未然に防ぐ   3.  Improved  educa6on  and  quality                  throughout  SDLC    開発ライフサイクルを通してソフトウェア品質向上
  8. 8.   関連サービスのコストイメージ # Item Cost ツール SecureAssist     ケース:スターターパック     最小構成: 20  ID      Rulepack  Configurator          Enterprise  Portal        ※  ID  数により単価は安くなります。     ケース-­‐1.  サブスクリプション購入   700k  JPY     (スターターパック/年)   ケース-­‐2.  パーペチュアル購入   1350k  JPY     (スターターパック/保守:350k/年) ベーシック   サポートオプション   初期導入支援(オンライン)   ユーザーセミナー(2h程度)   管理者セミナー(2h程度)   アクティベーション支援   300k  JPYより アドバンスド   サポートオプション (ベーシックサポートオプションを含む)   ルール・ガイド・コンフィギュレーション支援   ユーザフォロー支援   システムアップデート支援   500k  JPYより SDLCトレーニング   ・オンライン   ・オンサイト チーム全員向け:セキュリティ対策セット   セキュリティリーダー育成セット   セキュア設計・開発、モバイル開発   PCI  DSS準拠トレーニング ご相談 テストサービス Test  As  A  Service  (3D  Unlimited)   ご相談 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 8
  9. 9. SecureAssist  開発元   米Cigital社のご紹介 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 9   •  1992年に創業・世界最大級の、ソフトウェアセキュリティに特化したコンサルティング・サービ ス提供会社。   •  世界で最初の、静的コード解析の商用ツールを開発、主要な静的解析エンジンに採用。   •  OWASP  Global  Supporter                     Applica6on   Security  Tes6ng Penetra6on   Tes6ng SoPware  Security   Strategy Architecture   Analysis Secure   Development Training •  Fortune  500も含む大手企業270社以上 •  金融機関の上位10社の内9社 •  米国銀行の上位20銀行の内16銀行 •  ソフトウェアセキュリティ会社の上位3社 •  保険会社の上位3社 •  米国最大のゲーム会社 •  テクノロジー会社の上位10社の内5社
  10. 10. Cigital社 CTO  Gary  McGraw氏 Gary  McGraw,  Ph.D.(ゲイリー・マグロー)   -­‐  Cigital,  Inc. CTO   •  セキュアな開発の方法論の第一人者 •  “Building  Secure  SoPware  and  SoPware  Security”   (邦題:Building  Secure  Sowareーソフトウェアセキュリティについて開発者が知っているべ きこと)などの著者   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 10 「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー としてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現す る市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに 長い期間目指してきたものです。」 -­‐  Gary  McGraw,  Cigital,  Inc.  CTO  
  11. 11. Cigitalとアスタリスク・リサーチのパートナーシップを発表 (2015/4/30) |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 11
  12. 12. “Enabling  Security  for  Developers”   の実現に向けて 「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー としてCigitalを選択してくれたことをうれしく思います。優れたソフトウェアセキュリティを実現する 市場を開発することは実社会においてまさに望まれていることであり、私たち両社がともに長い 期間目指してきたものです」             |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 12 Chief  Technology  Officer   Gary  McGraw(ゲイリー・マグロー) 代表取締役     岡田 良太郎 「この提携により、当社がこれまでお客様に提供してきたコンサルティングならびにトレーニング のサービス・ラインアップに、Cigital社のソリューションを加わることとなり、さらにより多くの開発 チームに貢献できるようになります。これにより、当社のセキュリティ事業分野のミッションである   “enabling  security  for  developers”を実現し、ひいては安全かつ安定的に持続可能なインター ネット社会の実現に貢献できればと考えています」  
  13. 13. Thanks   •  導入のご相談、試用期間  30日のフル機能検証は無料です。   USAGE:   –  サービス提供者様、開発会社様へのご提供   –  コンサルティング、教育プログラムとのコラボレーション   –  エンジニア評価、プロジェクト・プロダクト品質の可視化   –  開発・品質管理・運用チームの、共通指標の導入と推進   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 13 Cigital社チャネルパートナー   アスタリスク・リサーチ   heps://www.asteriskresearch.com/download/

×