Haga Takeshi, profile picture
Uploaded byHaga Takeshi
PPTX, PDF647 views

エフスタ!!勉強会#26 セキュリティと開発と

Embed presentation

Download to read offline
セキュリティと開発と 芳賀 健
自己紹介 芳賀 健 福島コンピュータシステム所属 田村郡三春町 在住 Java/PHP/.NETなどでWeb系システム開発 ソースコードへの脆弱性診断 (ISC)²Japan CISSP Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved =保有セキュリティ資格= ( Haga Takeshi ) 情報処理技術者試験 情報セキュリティスペシャリスト
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 開発工程 コーディング 内部設計 外部設計 要件定義 運用試験 結合試験 単体試験 ここで実装 を検討して セキュの検証 は ここ
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 開発工程別セキュリティ検討項目 コーディング 内部設計 外部設計 要件定義 運用試験 結合試験 単体試験 認証制御 アクセス 権 ログ管理 入力/出力 Chk/条件 プリペアド・ ステートメント 対応等 要求実装 の検証 インフラを含 めた セキュリティ 対策
工程別で、開発者だけでなく、 設計者も、発注者も、丸投げせずに セキュリティを意識しよう! Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved セキュリティ対策のまとめ 様々な情報の リスクを評価して!
まだだ、 まだ終わらんよ
OWASP TOP10って知っていますか? いま知っておくセキュリティ Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 技術者が Webアプリ開発者の助けとなるようなツールや フレームワーク、ガイドラインを提供する世 界的な非営利組織団体です
OWASP TOP 10(2013版) A-1 インジェクション SQLインジェクションやOSコマンドインジェクション A-2 認証とセッション管理の不備 セッション固定化攻撃(Session Fixation) A-3 XSS 反射型XSS、 DOM Based XSS A-4 安全でないオブジェクト の直接参照 Webサーバ上のファイルへ直接アクセス等 A-5 セキュリティの設定ミス パッケージやOSSのデバッグ情報の漏洩等 A-6 機密データの露出 DBへクレジットカードのセキュリティキーの格納等 A-7 機密レベル・アクセス 制御の欠落 Requestの改竄により上位権限へのアクセス等 A-8 CSRF mixiで発生した「はまちちゃん事件」の脆弱性 A-9 既知の脆弱性を持つコンポーネント の使用 パッケージやOSSに内包する脆弱性が利用される A-10 未検証のリダイレクト とフォワード フィッシングやマルウェアのサイトへリダイレクト 詳しくは、ここ ↓ https://www.owasp.org/ ※ 英語です 引用:https://www.owasp.org
A-1 インジェクション 代表としては、SQLインジェクション Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved SELECT name, price FROM items WHERE id = 1 SELECT name, price FROM items WHERE id=1 and 1=1 ・プリペアドステートメントによる実装必須! ・自由検索等の動的SQLの場合、 入力値に対するバリデーションと バリデーションに対する単体試験をしっかり と!
A-2 認証とセッション管理不備 代表としては、セッションの固定化 Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 引用:IPA セキュリティセンター 安全なウェブサイトの作り方 改訂第6版より
A-3 クロスサイトスクリプティング JavaScriptを注入される事で発生。 Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 引用:IPA セキュリティセンター 安全なウェブサイトの作り方 改訂第6版より
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 参考にする書籍など
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 回 開催月 タイトル 概要 4 2010/09 エフスタ!!勉強会vol.4 &東北情報セキュリティ勉強会 テーマはセキュリティと開発で スピーカーに上野宣さんをお招き。 6 2011/04 エフスタ!!勉強会vol.6 &東北情報セキュリティ勉強会 大震災の直後の開催。 感慨深い勉強会となった。 19 2013/10 エフスタ!!勉強会vol.19 &東北情報セキュリティ勉強会 SECCON2013先取り!と題して サイボウズ竹迫さんをお招き 23 2013/12 エフスタ!!TOKYO vol.3 クラウドサイコー クラウドセキュリティのため DIT 河野さんをお招き。 24 2014/01 エフスタ!!ナイトセミナー SNSのリスク管理 SNSのリスク管理について ラック 長谷川長一さんをお招き エフスタ勉強会のセキュリティの軌跡
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 私の 活動とし て 技術者とセキュリティ技術者の間に はしけを渡すことができたら・・・ そして、地方と首都圏の意識格差 可能な限り小さくしたい お客様へ の意識付 けも セキュリティ勉強会への思い
2014/4/25 16
Copyright ⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved ご清聴をありがとうございました Thank you. 謝辞
■参考 ・The Open Web Application Security Project (OWASP) https://www.owasp.org/ ・独立行政法人 情報処理推進機構 http://www.ipa.go.jp/security/index.html

More Related Content

PPTX
Isc2 japan chapter発足LT
byHaga Takeshi
 
PDF
20220113 my seeking_sre_v3
byAyachika Kitazaki
 
PDF
OWASPの歩き方(How to walk_the_owasp)
bySen Ueno
 
PPTX
20101022 構成管理勉強会資料
byAtsushi Takayasu
 
PPTX
自動運転業界のSRE活動
byTier_IV
 
PDF
2019 1117 security_jaws_toal_5min_slideshare
byShinichiro Kawano
 
PPTX
要求開発を補完する現状分析
byAtsushi Takayasu
 
PPTX
XPagesDay 2016 「開発事例 - XPages で作る動画閲覧サイト」
bytshost
 
Isc2 japan chapter発足LT
byHaga Takeshi
 
20220113 my seeking_sre_v3
byAyachika Kitazaki
 
OWASPの歩き方(How to walk_the_owasp)
bySen Ueno
 
20101022 構成管理勉強会資料
byAtsushi Takayasu
 
自動運転業界のSRE活動
byTier_IV
 
2019 1117 security_jaws_toal_5min_slideshare
byShinichiro Kawano
 
要求開発を補完する現状分析
byAtsushi Takayasu
 
XPagesDay 2016 「開発事例 - XPages で作る動画閲覧サイト」
bytshost
 

What's hot

PDF
なぜ自社で脆弱性診断を行うべきなのか
bySen Ueno
 
PDF
インフラエンジニアのこれまでとこれから
byKumano Ryo
 
PPTX
20181219 Introduction of Incident Response in AWS for Beginers
byTyphon 666
 
PPTX
5分で分かるサイボウズのSRE
byuchan_nos
 
PDF
2019 0917 nw-jaws_f-secure3min
byShinichiro Kawano
 
PDF
2019 1102 jaws_festa_f-secure10min_lt_slideshare
byShinichiro Kawano
 
PDF
セキュアなソフトウェアアーキテクチャー
byYasuo Ohgaki
 
PPTX
アプリケーション性能を管理するのに必要なこと
byAtsushi Takayasu
 
PPTX
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
byTyphon 666
 
PDF
[デブサミ2012]趣味と実益の脆弱性発見
byYosuke HASEGAWA
 
PDF
止めないためのWEBインフラ入門
bySho Okada
 
PPTX
20210716 Security Audit of Salesforce & Other Measures
byTyphon 666
 
PDF
DevelopersのためのSonicGardenで実践しているシステム運用での11の常識 〜監視編〜
byTeruo Adachi
 
PDF
2020 0727 f-secure night webinar #1 remote work
byShinichiro Kawano
 
PPTX
02.超初心者向けセキュリティ入門(IoT)
byStudy Group by SciencePark Corp.
 
PDF
2019 1214 io_t_sec_jp_06_kawano_slideshare
byShinichiro Kawano
 
PDF
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
byShinichiro Kawano
 
PDF
機械学習関連情報の収集方法
byIsao Takaesu
 
なぜ自社で脆弱性診断を行うべきなのか
bySen Ueno
 
インフラエンジニアのこれまでとこれから
byKumano Ryo
 
20181219 Introduction of Incident Response in AWS for Beginers
byTyphon 666
 
5分で分かるサイボウズのSRE
byuchan_nos
 
2019 0917 nw-jaws_f-secure3min
byShinichiro Kawano
 
2019 1102 jaws_festa_f-secure10min_lt_slideshare
byShinichiro Kawano
 
セキュアなソフトウェアアーキテクチャー
byYasuo Ohgaki
 
アプリケーション性能を管理するのに必要なこと
byAtsushi Takayasu
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
byTyphon 666
 
[デブサミ2012]趣味と実益の脆弱性発見
byYosuke HASEGAWA
 
止めないためのWEBインフラ入門
bySho Okada
 
20210716 Security Audit of Salesforce & Other Measures
byTyphon 666
 
DevelopersのためのSonicGardenで実践しているシステム運用での11の常識 〜監視編〜
byTeruo Adachi
 
2020 0727 f-secure night webinar #1 remote work
byShinichiro Kawano
 
02.超初心者向けセキュリティ入門(IoT)
byStudy Group by SciencePark Corp.
 
2019 1214 io_t_sec_jp_06_kawano_slideshare
byShinichiro Kawano
 
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
byShinichiro Kawano
 
機械学習関連情報の収集方法
byIsao Takaesu
 

Similar to エフスタ!!勉強会#26 セキュリティと開発と

PDF
PHPカンファレンス2014セキュリティ対談資料
byYasuo Ohgaki
 
PDF
ソースコード検査に耐えるコードとは?
byYasuo Ohgaki
 
PDF
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
byグローバルセキュリティエキスパート株式会社(GSX)
 
PDF
徳丸本ができるまで
byHiroshi Tokumaru
 
ODP
ライブコーディングとデモで理解するWebセキュリティの基礎
byTakahisa Kishiya
 
PPTX
今だからこそ振り返ろう!OWASP Top 10
byDaiki Ichinose
 
PPTX
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
byRiotaro OKADA
 
PPT
SEから見た情報セキュリティの課題
byKatsuhide Hirai
 
PPTX
第32回WebSig会議オープニングセッション
byWebSig24/7
 
PPTX
Security measures
byshusuke-ichikawa
 
PDF
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
byAsterisk Research, Inc.
 
PDF
Kobe sec#7 summary
byYukio NAGAO
 
PPTX
4 Enemies of DevSecOps 2016
byRiotaro OKADA
 
PPTX
セキュア開発の<s>3つの</s>敵
byRiotaro OKADA
 
PDF
MicrosoftのID管理ソリューション-2010年度版
byjunichi anno
 
PDF
アプリ開発者に大きな影響 2017年版OWASP TOP 10
byYasuo Ohgaki
 
ODP
20 秋
byYuki Hirano
 
PDF
Security issue201312
byRiotaro OKADA
 
PDF
Sec gene pre_jun,2017
byTakeo Sakaguchi ,CISSP,CISA
 
PDF
Kobe sec#11 summary
byYukio NAGAO
 
PHPカンファレンス2014セキュリティ対談資料
byYasuo Ohgaki
 
ソースコード検査に耐えるコードとは?
byYasuo Ohgaki
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
byグローバルセキュリティエキスパート株式会社(GSX)
 
徳丸本ができるまで
byHiroshi Tokumaru
 
ライブコーディングとデモで理解するWebセキュリティの基礎
byTakahisa Kishiya
 
今だからこそ振り返ろう!OWASP Top 10
byDaiki Ichinose
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
byRiotaro OKADA
 
SEから見た情報セキュリティの課題
byKatsuhide Hirai
 
第32回WebSig会議オープニングセッション
byWebSig24/7
 
Security measures
byshusuke-ichikawa
 
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
byAsterisk Research, Inc.
 
Kobe sec#7 summary
byYukio NAGAO
 
4 Enemies of DevSecOps 2016
byRiotaro OKADA
 
セキュア開発の<s>3つの</s>敵
byRiotaro OKADA
 
MicrosoftのID管理ソリューション-2010年度版
byjunichi anno
 
アプリ開発者に大きな影響 2017年版OWASP TOP 10
byYasuo Ohgaki
 
20 秋
byYuki Hirano
 
Security issue201312
byRiotaro OKADA
 
Sec gene pre_jun,2017
byTakeo Sakaguchi ,CISSP,CISA
 
Kobe sec#11 summary
byYukio NAGAO
 

Recently uploaded

PDF
第21回 Gen AI 勉強会「NotebookLMで60ページ超の スライドを作成してみた」
by嶋 是一 (Yoshikazu SHIMA)
 
PDF
さくらインターネットの今 法林リージョン:さくらのAIとか GPUとかイベントとか 〜2026年もバク進します!〜
by法林浩之
 
PPTX
ddevについて .
byiPride Co., Ltd.
 
PDF
Drupal Recipes 解説 .
byiPride Co., Ltd.
 
PDF
2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ!!_企業まとめ_1229_3版
bysorabatake
 
PDF
100年後の知財業界-生成AIスライドアドリブプレゼン イーパテントYouTube配信
bye-Patent Co., Ltd.
 
PDF
Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis
byakipii ogaoga
 
PDF
Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector
byakipii ogaoga
 
PDF
Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望
byCRI Japan, Inc.
 
第21回 Gen AI 勉強会「NotebookLMで60ページ超の スライドを作成してみた」
by嶋 是一 (Yoshikazu SHIMA)
 
さくらインターネットの今 法林リージョン:さくらのAIとか GPUとかイベントとか 〜2026年もバク進します!〜
by法林浩之
 
ddevについて .
byiPride Co., Ltd.
 
Drupal Recipes 解説 .
byiPride Co., Ltd.
 
2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ!!_企業まとめ_1229_3版
bysorabatake
 
100年後の知財業界-生成AIスライドアドリブプレゼン イーパテントYouTube配信
bye-Patent Co., Ltd.
 
Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis
byakipii ogaoga
 
Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector
byakipii ogaoga
 
Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望
byCRI Japan, Inc.
 

エフスタ!!勉強会#26 セキュリティと開発と

  • 1.
  • 2.
    自己紹介 芳賀 健 福島コンピュータシステム所属 田村郡三春町 在住 Java/PHP/.NETなどでWeb系システム開発 ソースコードへの脆弱性診断 (ISC)²Japan CISSP Copyrightⓒ 2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved =保有セキュリティ資格= ( Haga Takeshi ) 情報処理技術者試験 情報セキュリティスペシャリスト
  • 3.
    Copyright ⓒ 2014FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 開発工程 コーディング 内部設計 外部設計 要件定義 運用試験 結合試験 単体試験 ここで実装 を検討して セキュの検証 は ここ
  • 4.
    Copyright ⓒ 2014FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 開発工程別セキュリティ検討項目 コーディング 内部設計 外部設計 要件定義 運用試験 結合試験 単体試験 認証制御 アクセス 権 ログ管理 入力/出力 Chk/条件 プリペアド・ ステートメント 対応等 要求実装 の検証 インフラを含 めた セキュリティ 対策
  • 5.
    工程別で、開発者だけでなく、 設計者も、発注者も、丸投げせずに セキュリティを意識しよう! Copyright ⓒ 2014FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved セキュリティ対策のまとめ 様々な情報の リスクを評価して!
  • 6.
  • 7.
    OWASP TOP10って知っていますか? いま知っておくセキュリティ Copyright ⓒ2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 技術者が Webアプリ開発者の助けとなるようなツールや フレームワーク、ガイドラインを提供する世 界的な非営利組織団体です
  • 8.
    OWASP TOP 10(2013版) A-1インジェクション SQLインジェクションやOSコマンドインジェクション A-2 認証とセッション管理の不備 セッション固定化攻撃(Session Fixation) A-3 XSS 反射型XSS、 DOM Based XSS A-4 安全でないオブジェクト の直接参照 Webサーバ上のファイルへ直接アクセス等 A-5 セキュリティの設定ミス パッケージやOSSのデバッグ情報の漏洩等 A-6 機密データの露出 DBへクレジットカードのセキュリティキーの格納等 A-7 機密レベル・アクセス 制御の欠落 Requestの改竄により上位権限へのアクセス等 A-8 CSRF mixiで発生した「はまちちゃん事件」の脆弱性 A-9 既知の脆弱性を持つコンポーネント の使用 パッケージやOSSに内包する脆弱性が利用される A-10 未検証のリダイレクト とフォワード フィッシングやマルウェアのサイトへリダイレクト 詳しくは、ここ ↓ https://www.owasp.org/ ※ 英語です 引用:https://www.owasp.org
  • 9.
    A-1 インジェクション 代表としては、SQLインジェクション Copyright ⓒ2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved SELECT name, price FROM items WHERE id = 1 SELECT name, price FROM items WHERE id=1 and 1=1 ・プリペアドステートメントによる実装必須! ・自由検索等の動的SQLの場合、 入力値に対するバリデーションと バリデーションに対する単体試験をしっかり と!
  • 10.
    A-2 認証とセッション管理不備 代表としては、セッションの固定化 Copyright ⓒ2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 引用:IPA セキュリティセンター 安全なウェブサイトの作り方 改訂第6版より
  • 11.
    A-3 クロスサイトスクリプティング JavaScriptを注入される事で発生。 Copyright ⓒ2014 FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 引用:IPA セキュリティセンター 安全なウェブサイトの作り方 改訂第6版より
  • 12.
    Copyright ⓒ 2014FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 参考にする書籍など
  • 13.
    Copyright ⓒ 2014FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 回 開催月 タイトル 概要 4 2010/09 エフスタ!!勉強会vol.4 &東北情報セキュリティ勉強会 テーマはセキュリティと開発で スピーカーに上野宣さんをお招き。 6 2011/04 エフスタ!!勉強会vol.6 &東北情報セキュリティ勉強会 大震災の直後の開催。 感慨深い勉強会となった。 19 2013/10 エフスタ!!勉強会vol.19 &東北情報セキュリティ勉強会 SECCON2013先取り!と題して サイボウズ竹迫さんをお招き 23 2013/12 エフスタ!!TOKYO vol.3 クラウドサイコー クラウドセキュリティのため DIT 河野さんをお招き。 24 2014/01 エフスタ!!ナイトセミナー SNSのリスク管理 SNSのリスク管理について ラック 長谷川長一さんをお招き エフスタ勉強会のセキュリティの軌跡
  • 14.
    Copyright ⓒ 2014FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved 私の 活動とし て 技術者とセキュリティ技術者の間に はしけを渡すことができたら・・・ そして、地方と首都圏の意識格差 可能な限り小さくしたい お客様へ の意識付 けも セキュリティ勉強会への思い
  • 16.
  • 17.
    Copyright ⓒ 2014FUKUSHIMA COMPUTER SYSTEM CO.,LTD. ALL right reserved ご清聴をありがとうございました Thank you. 謝辞
  • 18.
    ■参考 ・The Open WebApplication Security Project (OWASP) https://www.owasp.org/ ・独立行政法人 情報処理推進機構 http://www.ipa.go.jp/security/index.html