Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SecureAssist Introduction

938 views

Published on

SecureAssist紹介資料です。

「脆弱性は元から断たなきゃダメ!」

Published in: Technology
  • Be the first to comment

SecureAssist Introduction

  1. 1.     脆弱性は元から断たなきゃダメ! SecureAssist  IDE  Plugin  and  Enterprise  Portal    Introduc6on       ASTERISK  RESEARCH,  INC.   株式会社アスタリスク・リサーチ   Cigital社チャネルパートナー   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 1
  2. 2. SecureAssist |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 2 プラグイン レビュー対象のファイル・タイプ IDE(統合開発環境) Java   JEE  /  JSP  /  XML  /  FTL  /  ProperOes       PHP Eclipse   RAD   MyEclips   SpringSource  Tool  SuiteTM  IDE .NET     C#  /  VB.NET  /  ASPX MicrosoB  Visual  Studio                                          はVisual  Studio、Eclipseのプラグインとして提供されます。     開発者はいつでも手元でコードレビューをさせることができるので、脆弱性のもと になるプログラムコードをビルド前に見つけ、修正・確認することができます。   まるで、一流のプログラミングセキュリティ・コーチを開発者ひとりひと りの横に配置するような、効率・効果の高いソリューションです。 サポートしている技術 ジミニー・クリケット
  3. 3. |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 3 リアルタイムコードレビュー・リスクレベル・ガイダンス 解説・ガイダンスや   サンプルコード   脆弱性とコードの対応による   リスクレベルの可視化   IDEプラグインによる   リアルタイムな   コードレビュー  
  4. 4. |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 4 入力値バリデーションならびに   出力値のエンコードを徹底 セキュアでないデータの取り扱い による問題を回避 正しいコーディング手法の   導入・徹底 Cross-­‐Site  Scrip6ng*   >  Output  Sent  to  Browser   >  Output  Data  in  Web  Page   >  DOM  Object   >  HTTP  Header  ManipulaOon   >  GET  Requests   >  HTML  Comments  in  JSP  or  PHP  File   >  Hidden  Field   >  Data  Usage  from  HTTP  Request   >  Output  Encoding  Set  to  False     SQL  Injec6on*   >  Dangerous  Method  Calls   >  Database  Query  ManipulaOon   >  Untrusted  Data  Source  for  Query   >  Dynamic  Database  Query     Path  Manipula6on*   >  UnsaniOzed  Data  Usage   >  Directory  Call  with  Dynamic  Inputs     Denial  of  Service  AJack   >  Hanging  JRE   >  Dynamic  Web  Page  Content   >  Processing  SensiOve  Data   >  Race  CondiOon   >  Struts  Config   >  XML  A_acks     File  Input/Output   >  Exposed  Buffers   >  Temporary  Files  in  Shared  Directories     Other  Unvalidated  User  Input*   >  LDAP  InjecOon*   >  Xpath  InjecOon*   >  Command  InjecOon*   >  Remote  Code  ExecuOon   >  Javax  Persistence  Security Insecure  Data  Storage   >  Insecure  File  Modes   >  No  Access  Control*   >  User  CredenOals  Stored*   >  Hardcoded  Password*   >  Access  to  Cache   >  HTTP  Auth  CredenOals  Stored*     Sensi6ve  Informa6on  Leakage   >  Dynamic  Web  Page  Content   >  System  InformaOon  Leak   >  Exposure  of  AuthenOcaOon  Objects   >  Use  of  printStack  Trace   >  ExcepOon  Handling   >  Autocomplete  Sebng   >  External  Storage  Used   >  Screen  View  Captured   >  Web  Page  Saved  to  Device   >  HTML  Form  Data   >  Insecure  ConfiguraOon  in  Manifest     Weak  Cryptography*   >  Security  Features   >  Weak  Cryptographic  Hash   >  Weak  EncrypOon   >  Outdated  Cipher   >  Weak  Algorithm   >  Secure  Number  RandomizaOon   >  Insufficient  Key  Size   >  Inadequate  RSA  Padding     Trust  Boundary  Viola6ons   >  User  Supplied  Data  to  Beans   >  Calls  AffecOng  CURL  Requests   >  Untrusted  Data  Source   >  UnsaniOzed  String   >  InjecOon  in  Email   >  Points  of  Interest   >  Entry  Point  ViolaOon   >  Socket  ConnecOon  Timeout   >  Socket  Stream  Timeout     Unvalidated  Redirects  &  Forwards   >  URL  RedirecOon*   >  User  RedirecOon*   Thread  APIs   >  Call  to  NoOfy()   >  InvocaOon  of  Thread.stop()   >  InvocaOon  of  Thread.run()     Struts  Misconfigura6on   >  XML  InjecOon   >  XML  DTD  A_ack   >  Missing/Duplicate  Form  Bean*   >  Missing  Forward  Name  A_ribute*   >  Missing  Path/Type  A_ribute*   >  Unnecessary  A_ribute   >  Required  Input  A_ribute   >  Invalid  ExcepOon  Scope   >  Missing  Form-­‐Property  Type   >  Dangerous  RelaOve  Path   >  AcOon  Not  Validated     Configura6on   >  ASP.NET  ConfiguraOon*   >  PHP  ConfiguraOon*   >  Environment  Variable  Value   >  Session  Timeout  ConfiguraOon*   >  Session  InacOve  Interval*   >  ImplementaOon  Time  Logic  Flaws   >  Call  to  ReadLine   >  Race  CondiOon   >  Hidden  Field     Improper  Error  Handling   >  Unspecified  Error  Page   >  JSP  Defines  Error  Page   >  JSONRPC  Security     Log  Handling   >  UnsaniOzed  Data  Wri_en  to  Logs   >  Private  User  Data  Logged     Cookie  Security*   >Overly  Broad  Paths   >  Insufficient  Transport  Layer  ProtecOon   >  Session  Management     Resource  Handling   >  File  Input  Output   >  Hibernate  Security   >  Resource  Not  Closed  in  Finally  Block   *2013  OWASP  Top  10の関連項目 SecureAssistにより、主な脆弱性攻撃によるリスクを80%減少させることが可能になります。   OWASP  Top  10  important  risksやCWE  Top  25に対応
  5. 5. 開発チームはコードに自信が持てるようになります   重要な問題を発見・修正そして学習する好循環を加速します。 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 5 1.  Find  vulnerabiliOes  early    セキュリティ問題を潜在させない問題発見手法     2.  Educate  to  fix  &  prevent  them    セキュリティ欠陥を未然に防ぎ、学習効果向上   3.  Improved  quality  throughout  SDLC    開発ライフサイクルを改善し、ソフトウェア品質向上  
  6. 6. チーム統合機能:   IDE  Plugin  and  Enterprise  Portal |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 6 SecureAssist   Enterprise  Portal IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE(統合開発環境)Pluginの機能 ・Work  Faster    ・Work  Smarter    ・Keep  security  in  mind    より早く         より効率良く       セキュリティを常に意識 ・Ac6onable  intelligence    利活用可能な統計情報   ・Simplify  updates    アップデートの簡略化   ・Manage  users    ユーザーの管理   ・Deliver  Review  RuleSet    独自ルールセットの配布   ・Deliver  Code  Guideline    ガイドドキュメントの配布  
  7. 7. Enterprise  Portal管理画面 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 7 •  プロジェクトやユーザーごとの 統計情報、可視化、および  レポートの出力   •  チーム独自のガイドラインの 設定、リアルタイム反映   •  ユーザーの管理とプラグイン のライセンス配布 チーム全体のセキュアコーディング状況を集約する機能
  8. 8. リリース直前に脆弱性を見つかって大量修正・・・   セキュリティ品質の確保でお悩みですか? |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 8 リリース前修正!リリース後の 問題指摘!    脆弱性対策のための手法も    予算も時間もない!        ホントに面倒くさい (T_T)  
  9. 9. セキュア開発の段階をエンパワーする   開発者のためのSecureAssist |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 9 Planning  &   Requirements Design  &   Architecture Development TesOng ProducOon Maintenance SAST  静的解析 DAST  動的解析 要因の 85% システム脆弱性の85%は   開発段階に起因   •  IDEでコードレビュー   •  チーム統合機能   •  コストパフォーマンス 開発レビュー MOINTORING ライフサイクル設計・教育
  10. 10. 脆弱性は元から断たなきゃダメ! システム脆弱性の85%は開発段階に起因します。 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 10 ソフトウェア開発におけるセキュリティ対応は、開発プロセスの後 工程になればなるほどリスクが高く、手戻りの時間もコストも高く つきます。 開発チームがソースコードにもっともかか わっているタイミングで問題の原因を取り 除くことが必要であり、対策の効率は飛躍 的に向上します。 解決策:   開発者全員が自分で使える Reviewツール。  5X 10X 30X Coding Integra6on/ component   tes6ng System   tes6ng Produc6on 85% 15X 当段階で発生した脆弱性(%) 当段階で発見された脆弱性(%) 当段階での脆弱性修正コスト
  11. 11. SecureAssist  開発元   米Cigital社のご紹介 cigital.com |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 11   •  世界最大級の、ソフトウェアセキュリティに特化した   コンサルティング・サービス提供会社   •  1992年に創業   •  世界で最初の、静的コード解析の商用ツールを開発、   主要な静的解析ツールに採用されている。     •  ソフトウェアセキュリティ業界のオピニオンリーダー     •  OWASP  Global  Supporter                    
  12. 12. Cigital社のソリューションを活用している企業 •  Fortune  500も含む大手企業270社以上 •  金融機関の上位10社の内9社 •  米国銀行の上位20銀行の内16銀行 •  ソフトウェアセキュリティ会社の上位3社 •  保険会社の上位3社 •  米国最大のゲーム会社 •  テクノロジー会社の上位10社の内5社 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 12
  13. 13. Cigital社のCTO   Gary  McGraw氏 Gary  McGraw,  Ph.D.(ゲイリー・マグロー)   -­‐  Cigital,  Inc. CTO   •  セキュアな開発の方法論の第一人者 •  “Building  Secure  SoBware  and  SoBware  Security”   (邦題:Building  Secure  Soqwareーソフトウェアセキュリティについて開発者が知っているべ きこと)などの著者   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 13 「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー としてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現す る市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに 長い期間目指してきたものです。」 -­‐  Gary  McGraw,  Cigital,  Inc.  CTO  
  14. 14. Cigitalとアスタリスク・リサーチのパートナーシップを発表 (2015/4/30) |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 14
  15. 15. Thanks   •  導入のご相談、お見積もり、試用期間  30日のフル機能検証 は無料です。   •  活用手段はさまざま   –  開発会社様へのご提供   –  コンサルティングとのコラボレーション   –  セキュア開発ソリューションへの組み込み   –  教育ツールとしてのご活用   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 15 Cigital社チャネルパートナー   アスタリスク・リサーチ    アプリケーションセキュリティ・チームをよろしくお願いします。

×