Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう

1,237 views

Published on

関西のセキュリティとグローバル
改め

「シフトレフトなんやで!」

Published in: Engineering
  • Be the first to comment

SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう

  1. 1. OWASP Japan Chapter Lead
  2. 2. OWASP - Open Web Application Security Project と は mission: ソフトウェアセキュリティについて 意思決定をする人のために役立つ十分な情報を 提供すること • 技術者、ビジネスオーナ、ユーザ • ソフトウェアに関する技術・セキュアプロセス • 現状理解・普及啓発・適用推進 • オープンソース・コミュニティベースで実現
  3. 3. OWASP FUKUSHIMA 2016 金子正人・山寺純 OWASP SENDAI 2015 小笠貴晴 OWASP KYUSHU 2015 服部 祐一・花田智洋 OWASP KANSAI 2014 長谷川陽介・斉藤太一・三木剛 OWASP JAPAN 2011 岡田良太郎・上野宣 日本のチャプター (地域の集まり)
  4. 4. OWASP Top 10 容易 x 甚大な影響を及ぼす脆弱性。 6 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング (XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
  5. 5. OWASP Top 10 グローバルで大人気 ©2016 Asterisk Research, Inc.7 出典:SANS Institute (2015)
  6. 6. 8 HARDENING PROJECT 2015/10 動画サイトで閲覧可能: http://www.nikkei.com/article/DGXMZO 92573760X01C15A0000000/
  7. 7. CSIRT数は増加 http://itpro.nikkeibp.co.jp/atclact/active/16/092700102/092700001/
  8. 8. 66.3% Enablin©Asterisk Research, Inc.10
  9. 9. Report NRI Secure Information Security Report 2015
  10. 10. Enablin©Asterisk Research, Inc.12 ■第2章 Webサーバのアクセスログ観察 第1節 外部ファイルを不正に読み込ませる攻撃 第2節 パスワードファイル閲覧攻撃 第3節 環境変数に対する調査 第4節 一時ファイルに対する調査 第5節 スキャンツールを用いた調査 第6節 SQLインジェクション攻撃 第7節 クロスサイトスクリプティング攻撃 第8節 EPGrecに対する調査 第9節 OpenFlashChartに対する調査 第10節 apach0day攻撃? ■第3章 Web型ハニーポットのログ観察 第1節 PUTメソッドによるWebサイト改ざん攻撃 第2節 Shellshock攻撃 第3節 Apache Magica攻撃 第4節 JBossのアクセス制限を回避する攻撃 第5節 Apache StrutsのredirectActionに対する攻 撃 第6節 Apache StrutsのClassLoaderに対する攻撃 第7節 Tomcatの設定不備の調査 第8節 phpMyAdminを狙ったコマンド実行攻撃 第9節 Joomla!のコマンド実行攻撃 第10節 Joomla!コンテンツエディタ(JCE)に対す 第11節 Drupalに対するSQLインジェクション攻 第12節 不正なファイルアップロード攻撃 第13節 ネットワーク設定情報ファイルに対す 第14節 WebCalendarに対する調査 第15節 ルータのWeb管理画面の脆弱性を狙 第16節 HTTP.sysの脆弱性を狙った攻撃 第17節 不正中継攻撃 ■第4章 多彩なハニーポットのログ観察 第1節 Elasticsearchに対する攻撃 第2節 NTPリフレクタ攻撃 第3節 Microsoft SQL Serverにおけるコマンド実 第4節 Heartbleed攻撃 第5節 BINDのTKEY DoS攻撃 第6節 ルータに対するSSH不正ログイン攻撃
  11. 11. セキュリティ対策は脅威の状況に % of Attacks 90% データ侵害の原因 95% 5% セキュリティ侵害の 原因の95%は アプリケーション 検査した95%以上 のサイトは深刻な脆 弱性を抱えている NIST アプリケーションの セキュリティ確保に 気を配っていない。 セキュリティ関連支出 の大半がネットワーク に費やされている。 Network Applications % of Dollars セキュリティ支出 10% 90%
  12. 12. Producer / faculty
  13. 13. 1425% Enablin©Asterisk Research, Inc.15
  14. 14. 16 Enablin©Asterisk Research, Inc. 1425% 攻撃者の攻撃ツールとランサム ウェアへの投資のリターン率 98% のサイトは脆弱、95%のモバイルアプリは脆弱 39% のパスワードは8文字 (1日で解 析できる) 25% の攻撃はXSS 24% の攻撃はShellShock などOSSの脆弱性攻撃
  15. 15. Priority?
  16. 16. シフトレフト Enablin©Asterisk Research, Inc.18
  17. 17. ©2016 Asterisk Research, Inc.19 ー 一般教養としてのセキュリティで今、いちばん情報が足りない分野はなんでしょうか? 設計・開発段階からセキュリティの機能を組み込む「セキュアプログラミング」 だろう。… すべてのプログラマーがセキュアプログラミングを常識として知っているべきだと 思うが、残念ながらセキュアプログラミングを学ぶための情報は限られている。 山口 英 奈良先端科学技術大学院大学教授, JPCERT/CC設立者, 内閣官房初代情報セキュリティ補佐官 http://itpro.nikkeibp.co.jp/atcl/interview/14/262522/090700192/?ST=management&P=4
  18. 18. 2017年「いかにアプリを構築し、実装するか、 新たな議論が巻き起こる」 11 things we think will happen in business technology in 2017 “A new debate in how to build and ship applications.” Business Insider誌, Jan. 2, 2017
  19. 19. DevSecOps = DevOps + Sec ビジネス要件 カイハツ 運用 セキュリティ ウォーター フォール アジャイル DevOps DevSecOps !
  20. 20. 出荷直前のテストに重点を置く時代の終焉 ©Asterisk Research, Inc.22 フェーズ Percent 企画・要件定義フェーズ 53.4% 設計フェーズ 16.5% 開発中 14.6% コードのチェックイン 4.9% リリース前 8.7% Other 1.9% 出典:SANS Institute (2015)
  21. 21. SHIFT LEFT! 0 20 40 60 80 100 設計 構築 検証 運用 1 6.5 15 対応コスト 100 ©Asterisk Research, Inc.23 SHIFT LEFT 原因85
  22. 22. 事前の策:OWASP Proactive Controls Enablin©2016 Asterisk Research, Inc.24 OWASP Top 10 Proactive Controls 2016 1: 早期に、繰り返しセキュリティを検証する 2: クエリーのパラメータ化 3: データのエンコーディング 4: すべての入力値を検証する 5: アイデンティティと認証管理の実装 6: 適切なアクセス制御の実装 7: データの保護 8: ロギングと侵入検知の実装 9: セキュリティフレームワークやライブラリの活用 10: エラー処理と例外処理 日本語もあります https://www.owasp.org/images/a/a8/OWASPTop10ProactiveControls2016-Japanese.pdf
  23. 23. 原因と結果の対応 正しい構築手法とプロセス → 複数の脆弱性を激減させる。 大半がコーディングにかかわるもの。 ©2016 Asterisk Research, Inc.25 OWASP Top 10 1:インジェクション 2:認証とセッション 管理の不備 3:クロスサイトスク リプティング 4:安全でないオブ ジェクト直接参照 5:セキュリティ設定 のミス 6:機密データの露出 7:機能レベルのアク セス制御の欠落 8:クロスサイトリク エストフォージェリ 9:既知の脆弱性を持 つコンポーネントの 使用 10:未検証のリダイ レクトとフォワード ProactiveControls 1: 早期に、繰り返しセキュリティを検証する ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 2: クエリーのパラメータ化 ✔ 3: データのエンコーディング ✔ ✔ 4: すべての入力値を検証する ✔ ✔ ✔ 5: アイデンティティと認証管理の実装 ✔ 6: 適切なアクセス制御の実装 ✔ ✔ 7: データの保護 ✔ 8: ロギングと侵入検知の実装 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 9: セキュリティフレームワークやライブラリの活用 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 10: エラー処理と例外処理 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ OWASP Top 10 x Proactive Controls MAPPING
  24. 24. 伝統的なSHIFT LEFT https://en.wikipedia.org/wiki/Shift_left_testing
  25. 25. ちょっと増えたSHIFT LEFT https://en.wikipedia.org/wiki/Shift_left_testing ・アジャイル ・リーン
  26. 26. DevOps時代のSHIFT LEFT https://en.wikipedia.org/wiki/Shift_left_testing ・コードレビューツール ・テスト自動化 ・デリバリー自動化
  27. 27. はやく やすく うまいこと
  28. 28. セキュリティは ITの 総合格闘技 © MMA
  29. 29. Enablin©Asterisk Research, Inc.31 IT= I x T
  30. 30. SHIFT LEFT ものづくりでセキュリティ イニシアチブを取り返そう
  31. 31. OWASP Japan
  32. 32. 日本一前向きなチャプター OWASP KANSAI
  33. 33. ありがとうございます。
  34. 34. #sosaisec

×