Submit Search
Upload
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
•
2 likes
•
1,185 views
Minoru Sakai
Follow
大阪 Web制作者向け セキュリティセミナー 最近のWebサイト攻撃事例とキホン対策 資料
Read less
Read more
Report
Share
Report
Share
1 of 53
Download now
Download to read offline
Recommended
参加しよう!Hardening Project #h10v #h・v
参加しよう!Hardening Project #h10v #h・v
Masahiro NAKAYAMA
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
RubyでDSL
RubyでDSL
Yukimitsu Izawa
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
#qpstudy 2015.11 Hardening 10 ValueChainで惨敗してきた
#qpstudy 2015.11 Hardening 10 ValueChainで惨敗してきた
Masahiro NAKAYAMA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
Webプラットフォームのセキュリティ
Webプラットフォームのセキュリティ
Muneaki Nishimura
Recommended
参加しよう!Hardening Project #h10v #h・v
参加しよう!Hardening Project #h10v #h・v
Masahiro NAKAYAMA
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
RubyでDSL
RubyでDSL
Yukimitsu Izawa
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
#qpstudy 2015.11 Hardening 10 ValueChainで惨敗してきた
#qpstudy 2015.11 Hardening 10 ValueChainで惨敗してきた
Masahiro NAKAYAMA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
Webプラットフォームのセキュリティ
Webプラットフォームのセキュリティ
Muneaki Nishimura
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
Sec013 その資格情報、簡
Sec013 その資格情報、簡
Tech Summit 2016
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
sonickun
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
Kyo Ago
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」
Sen Ueno
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
zaki4649
phpcon kansai 20140628
phpcon kansai 20140628
ichikaway
脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!
ichikaway
More Related Content
What's hot
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
Sec013 その資格情報、簡
Sec013 その資格情報、簡
Tech Summit 2016
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
sonickun
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
Kyo Ago
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」
Sen Ueno
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
zaki4649
What's hot
(20)
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Sec013 その資格情報、簡
Sec013 その資格情報、簡
Privacy by Design with OWASP
Privacy by Design with OWASP
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
The Shift Left Path and OWASP
The Shift Left Path and OWASP
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
Viewers also liked
phpcon kansai 20140628
phpcon kansai 20140628
ichikaway
脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!
ichikaway
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
Buffer overflow
Buffer overflow
ionis111
第8回脆弱性診断入門
第8回脆弱性診断入門
ionis111
Office365のID基盤活用とセキュリティ上の注意点
Office365のID基盤活用とセキュリティ上の注意点
Naohiro Fujie
Viewers also liked
(6)
phpcon kansai 20140628
phpcon kansai 20140628
脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
Buffer overflow
Buffer overflow
第8回脆弱性診断入門
第8回脆弱性診断入門
Office365のID基盤活用とセキュリティ上の注意点
Office365のID基盤活用とセキュリティ上の注意点
Similar to 20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
Takahisa Kishiya
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
de:code 2017
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
株式会社スカイアーチネットワークス
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
Shinichiro Kawano
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
Shinobu Yasuda
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119
wintechq
5 moriya security-seminar2005_05
5 moriya security-seminar2005_05
Eiichi Moriya
Security measures
Security measures
shusuke-ichikawa
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Yurika Kakiuchi
Java/Androidセキュアコーディング
Java/Androidセキュアコーディング
Masaki Kubo
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
ymmt
AWS Well-Architected Tool 活用術セミナー セキュリティ編
AWS Well-Architected Tool 活用術セミナー セキュリティ編
Nobuhiro Nakayama
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
株式会社スカイアーチネットワークス
【Securify】Partner program.pdf
【Securify】Partner program.pdf
mihokawagoe
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
Shinichiro Kawano
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
株式会社スカイアーチネットワークス
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
Insight Technology, Inc.
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
Masanori KAMAYAMA
Similar to 20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
(20)
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119
5 moriya security-seminar2005_05
5 moriya security-seminar2005_05
Security measures
Security measures
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Java/Androidセキュアコーディング
Java/Androidセキュアコーディング
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
AWS Well-Architected Tool 活用術セミナー セキュリティ編
AWS Well-Architected Tool 活用術セミナー セキュリティ編
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
【Securify】Partner program.pdf
【Securify】Partner program.pdf
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
1.
最近のWebサイト攻撃事例とキホン対策 境 稔 Copyright Secure
Your Site. All rights reserved.
2.
自己紹介 境 稔 普段やっているお仕事 SOC /
CSIRT運用 脆弱性診断 診断手法トレーニング お仕事以外 Certified Information Systems Security Professional OWASP Zed Attack Proxy 運用マニュアル 監修 https://www.facebook.com/minor.sakai Copyright Secure Your Site. Some rights reserved. 2
3.
最近のWebサイト攻撃事例とキホン対策 1. 最近のWebサイト攻撃トレンドと事例 ❯ 最近の傾向 ❯ 事例1
パスワードリストアタック ❯ 事例2 SQLインジェクション Demo SQL Injectionを利用した情報の窃取 2. キホン対策 ❯ セキュリティ要件の決定 ❯ リリース前セキュリティテスト 余談 フリーツール ZAP 3. リスクの評価と管理 ❯ リスクへの対応 まとめ Copyright Secure Your Site. Some rights reserved. 3
4.
1. 最近のWebサイト攻撃トレンドと事例 Copyright Secure
Your Site. Some rights reserved. 4
5.
Copyright Secure Your
Site. Some rights reserved. 5
6.
1.2. これらだけではない不正アクセス事件 2012年不正アクセス被害内容 2012年不正アクセス届出状況 不正プログラ ム埋め込み 9% その他(被害 あり) 2% 侵入 50% なりすまし 30% DoS 8% メール不正中 継 1% データの窃 盗、盗み見 7% オンライ ンサービ スの不 正利用 17% メール不正中 継 1% その他 8% 踏み台として 悪用 21% ウェブサイト改 ざん 32% 不正アカウント の作成 2% サービス低下 11% パスワード ファイルの ファイルの書き 盗用 0% 換え 1% Copyright
Secure Your Site. Some rights reserved. 6
7.
サイバー攻撃セキュリティレポート 「P54 APTとアンダーグラウンド」
名和 利男 氏 記事 図1国内のサイバー攻撃の発生推移 より Copyright Secure Your Site. Some rights reserved. 7
8.
Copyright Secure Your
Site. Some rights reserved. 8
9.
1.5. どんなサイトが狙われる? Copyright Secure
Your Site. Some rights reserved. 9
10.
1.6. 事例1 登録されたお客さまご本人以外の第三者による不 正なログインが発生していたことを確認いたしま した。不正ログインが発生していた期間は、 2013年4月6日(土)~2013年8月3日(土)の 間で、不正ログインの対象となったIDは、 243,266件となります。 本件は、他社サービスから流出した可能性のある ID・パスワードを利用して行っている http://ameblo.jp/staff/entry-11591175203.html Copyright Secure
Your Site. Some rights reserved. 10
11.
Copyright Secure Your
Site. Some rights reserved. 11
12.
1.8. 脆弱性をついた攻撃も・・・ 脆弱性関連情報に関する届出状況 ・ソフトウェアに比べ、ウェブサイトに関する届出情報が圧倒的多数。 ・届出件数は増加傾向 IPA ソフトウェア等の脆弱性関連情報に関する活動報告レポート [2013年第3四半期(7月~9月)] Copyright
Secure Your Site. Some rights reserved. より 12
13.
1.9. 事例2 WebサーバがSQLインジェクション攻撃を受け、 約11万件のクレジットカード情報や セキュリティコードが流出 サーバに保有されていた 最大14万6701件のカード情報のうち、 2011年3月7日~13年4月23日に申し込まれた 10万9112件の カード名義人名、カード番号、有効期限、 セキュリティコード、申込者の住所 Copyright Secure
Your Site. Some rights reserved. 13
14.
1.10. 脆弱性の種類と脅威 脆弱性の種類は届出の多い3種類の脆 弱性が全体の86%を占める。 ・クロスサイト・スクリプティング ・DNS情報の設定不備 ・SQLインジェクション IPA ソフトウェア等の脆弱性関連情報に関する活動報告レポート
[2013年第3四半期(7月~9月)] Copyright Secure Your Site. Some rights reserved. 14 より
15.
Demo. SQL Injectionを利用した情報の窃取 Copyright
Secure Your Site. Some rights reserved. 15
16.
Demo.1 SQL Injectionって? Copyright
Secure Your Site. Some rights reserved. 16
17.
Demo.2 ありがちなECサイト() Copyright Secure
Your Site. Some rights reserved. 17
18.
Demo.3 ありがちなECサイト()で Snake Oilを検索 Snake
Oilを検索してみる Copyright Secure Your Site. Some rights reserved. 18
19.
Demo.4 中ではどんな処理が・・・? 商品一覧から、商品名が 「Snake Oil」の 商品情報を探し出してきて、情 報を表示する。 Copyright
Secure Your Site. Some rights reserved. 19
20.
Demo.5 商品名が変わると 別の商品を検索・・・ 商品一覧から、商品名が 「*******」の 商品情報を探し出してきて、情 報を表示する。 Copyright Secure
Your Site. Some rights reserved. 20
21.
Demo.6 どんな文章だって代入 商品一覧から、商品名が「 A」とかもういいから、この際全 部表示して。 」なものの商品情報を探し出し てきて、情報を表示する。 [以下抹消] Copyright Secure
Your Site. Some rights reserved. 21
22.
Demo.7 いっそ、別の一覧から・・・ 商品一覧から、商品名が「 A」とかもういいから、この際全 部表示して。ついでにユーザ情 報の一覧も表示して。 [以下抹消] 」なものの商品情報を探し出してきて、情報を表示する。 Copyright Secure
Your Site. Some rights reserved. 22
23.
Demoが動かなかった時の保険1-1 ~ユーザー情報の一覧~ ハッシュ化されたパスワード? Copyright Secure Your
Site. Some rights reserved. 23
24.
Demoが動かなかった時の保険1-2 ~ハッシュ化されたパスワード?~ Copyright Secure Your
Site. Some rights reserved. 24
25.
Demoが動かなかった時の保険2 ~AdminのパスワードをGoogle先生に聞く~ Copyright Secure Your
Site. Some rights reserved. 25
26.
Demoが動かなかった時の保険3 ~ログインしてみる~ Copyright Secure Your
Site. Some rights reserved. 26
27.
2. キホン対策 Copyright Secure
Your Site. Some rights reserved. 27
28.
2.1. 対策を、どこで? 企画 脅威の分析 (廃棄) 保守 監視と改善 変更管理 運用 要件定義 セキュリティ要件の決定 セキュアコーディング 開発 リリース前セキュリティテスト Copyright Secure
Your Site. Some rights reserved. 28
29.
2.1. 対策を、どこで? 企画 脅威の分析 (廃棄) 保守 監視と改善 変更管理 運用 要件定義 セキュリティ要件の決定 セキュアコーディング 開発 リリース前セキュリティテスト Copyright Secure
Your Site. Some rights reserved. 29
30.
2.2. セキュリティ要件の決定の必要性 【開発会社】セキュリティ要件が明確でな いと、発注者からセキュリティ対策や関連 するコストに掛かる対価を受け取ることが できない。 セキュリティ対策にコストを掛けない粗悪品 を作る開発会社が安い金額で受注してしま う。 発注者側からセキュリティ要件書を示す必要 発注に、セキュリティ要件を組み込む Copyright Secure
Your Site. Some rights reserved. 30
31.
2.3. セキュリティ要件の決定 Web システム/Web アプリケーションセキュリティ要件書 https://www.owasp.org/index.php/File:Web_application_security_requirements.pdf Copyright
Secure Your Site. Some rights reserved. 31
32.
2.3. セキュリティ要件の決定 Web システム/Web アプリケーションセキュリティ要件書 Copyright
Secure Your Site. Some rights reserved. 32
33.
2.4. セキュリティ要件の決定 地方公共団体における情報システムセキュリティ要求仕様モデルプラン https://www.lasdec.or.jp/cms/12,28369,84.html Copyright Secure Your
Site. Some rights reserved. 33
34.
2.4. セキュリティ要件の決定 地方公共団体における情報システムセキュリティ要求仕様モデルプラン 地方公共団体における情報システム セキュリティ要求仕様モデルプラン Copyright Secure Your
Site. Some rights reserved. 34
35.
2.4. セキュリティ要件の決定 地方公共団体における情報システムセキュリティ要求仕様モデルプラン Copyright Secure Your
Site. Some rights reserved. 35
36.
2.5. リリース前セキュリティテスト その納品物(WebApplication)は、 発注者とE/Uが意図する 発注通りの動作 と安全 が担保されていますか? Copyright
Secure Your Site. Some rights reserved. 36
37.
2.6. リリース前セキュリティテスト ウェブ健康診断仕様 http://www.ipa.go.jp/files/000017319.pdf Copyright Secure Your
Site. Some rights reserved. 37
38.
2.6. リリース前セキュリティテスト ウェブ健康診断仕様 Copyright Secure Your
Site. Some rights reserved. 38
39.
2.6. リリース前セキュリティテスト ウェブ健康診断仕様 Copyright Secure Your
Site. Some rights reserved. 39
40.
余談 フリーツールを使用して、 簡易テストをしてみる。 Copyright Secure
Your Site. Some rights reserved. 40
41.
余談 フリーツールを使用して、 簡易テストをしてみる。 https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project Copyright Secure
Your Site. Some rights reserved. 41
42.
余談 フリーツールを使用して、 簡易テストをしてみる。 URLを入力して[攻撃]ボタンを押すだけ!? Copyright Secure
Your Site. Some rights reserved. 42
43.
3. リスクの評価と管理 Copyright Secure
Your Site. Some rights reserved. 43
44.
Copyright Secure Your
Site. Some rights reserved. 44
45.
3.1. リスクへの対応モデル リスクの 回避 リスク低減 リスク受容 リスク移転 Copyright Secure
Your Site. Some rights reserved. 45
46.
3.3. 共通脆弱性評価システムCVSS 情報システムの脆弱性に対するオープンで汎用的な評価手法であり、 ベンダーに依存しない共通の評価方法 http://jvndb.jvn.jp/cvss/ja.html Copyright Secure
Your Site. Some rights reserved. 46
47.
まとめ Copyright Secure Your
Site. Some rights reserved. 47
48.
Copyright Secure Your
Site. Some rights reserved. 48
49.
対策を、どこで? 企画 脅威の分析 (廃棄) 保守 監視と改善 変更管理 運用 要件定義 セキュリティ要件の決定 セキュアコーディング 開発 リリース前セキュリティテスト Copyright Secure Your
Site. Some rights reserved. 49
50.
セキュリティ要件の決定の必要性 【開発会社】セキュリティ要件が明確でな いと、発注者からセキュリティ対策や関連 するコストに掛かる対価を受け取ることが できない。 セキュリティ対策にコストを掛けない粗悪品 を作る開発会社が安い金額で受注してしまう。 発注者側からセキュリティ要件書を示す必要 発注に、セキュリティ要件を組み込む Copyright Secure Your
Site. Some rights reserved. 50
51.
リリース前セキュリティテスト Copyright Secure Your
Site. Some rights reserved. 51
52.
リスクへの対応モデル リスクの 回避 リスク低減 リスク保有 リスク移転 Copyright Secure Your
Site. Some rights reserved. 52
53.
ご清聴ありがとうございました。 Copyright Secure Your
Site. Some rights reserved. 53
Download now