SlideShare a Scribd company logo

OWASP Top 10 - 2013 を起点にして

Download as PPTX, PDF
Chia-Lung Hsieh
Chia-Lung Hsieh

OWASP Top 10の2013年版は今年出版しました。日本語訳も完成しました。三年間一度の更新なので、ぜひご参照下さい。Top 10はアプリケーション・セキュリティの初心者にも分かりやすいドキュメントなので、アプリセキュリティのトレンドや重要な課題を知りたい方々にお薦めします。

Technology
1 of 13
OWASP Top 10 – 2013 を起点にして 謝 佳龍 2013/12/16 OWASP Night 9th 2013
OWASP Top 10とは?  Open Web Application Security Project (OWASP)  アプリケーション・セキュリティ意識を向上するため  最初の客観的な情報セキュリティ・リスク評価基準  2004(2003)から3年間ごと更新  今年2013最新版リリース!  PCI DSS v3.0(要件6.5 一般的な脆弱性)  OWASP Top 10が参照されている  多数の企業や機関に使われて  de facto (事実上の基準)になっている
OWASP Top 10の歴史  2003, SANS/FBI Top 20があった (特定な製品向け)  →OWASP Top 10は製品ニュートラル  2007, MITRE CWE(共通脆弱性一覧)統計データ  →そのトレンド統計データを用いて更新  2010, 脆弱性からリスクへ!  リスク = 発生率 X 衝撃  企業自身で評価して下さい  2013, OWASP Top 10が成熟している。。。
脆弱性だけではなく  リスク  OWASP Risk Rating Methodologyに基づき ご 自 分 で 評 価 す る ご 自 分 で 評 価 す る
OWASP Top 10 – 2013版  2013/6, 英語版リリース  順番の入れ替え  新項目追加
2010版からの変更点(追加項目1)  A6 - 機密データの露出  “安全でない暗号化データ保管” + “不十分なトランスポート層保護”  保存時や転送時にかかわらず暗号化する  必要でない機密データを保存しない  強い暗号化アルゴリズムとキーを使用する  パスワード向けアルゴリズム(bcrypt, PBKDF2など)を使用する  オートコンプリートや画面キャッシュを無効化する
2010版からの変更点(追加項目2)  A7 - 機能レベルアクセス制御の欠落  “URLアクセス制御の失敗”から拡大した  各ビジネス機能が呼び出される際に、必ず認可を検証する  監査しやすい権限管理を設計する  アクセス権はデフォルトで全拒否する  業務上に必要な場合、アクセスの許可を確認する  ボタンを表示しないではなく、ビジネスロジック層で制御する
2010版からの変更点(追加項目3)  A9 - 既知の脆弱性を持つコンポーネントの使用  “セキュリティ設定のミス”の一部でした  コンポーネントは全て自分で書く。。。でも現実ではない  →常にコンポーネントを更新する  使用するコンポーネントの依存関係を把握する  公開データベースやメーリングリストで更新情報を確認する  コンポーネント管理のポリシーを作成する  必要でない、或いは脆弱な部分を無効化する
OWASP Top 10のトレンド 2004 2007 2010 2013 インジェクション A6 A2 A1 A1 認証とセッション A3 A7 A3 A2 XSS A4 A1 A2 A3 - A4 A4 A4 A10 - A6 機密情報露出 A8 A8 A7 A6 アクセス制御 A2 A10 A8 A7 - A5 A5 A8 - - - A9 - - A10 A10 A10 A9 A7 A6 - (A3) A1 - OWASP Top 10 オブジェクト直接参照 設定のミス CSRF 脆弱なコンポネント リダイレクト 安全でない通信 エラー処理 悪意ファイル実行 入力チェック 分けた バッファオーバーフロー (A5) DoS (A9) 結合した 追 加 し た A9 - 結合した A5 - 抽出した - - - - - - - - - - - 無くなった
疑問点1: 十年以来のトレンドを もう一度振り返ったら。。。  Top 10は、大体包括的なりつつ、内容はほぼ同じ見える。。。  Top 10の多い部分はなぜ消えていない?  考えられる原因  セキュリティコミュニティ =/= 開発コミュニティ  検出して修正する =/= 意識向上する 後からセキュリティ検証 だけでは足りない! 要件 設計 実装 最初からセキュリティを 意識しながら開発が必要! テスト 運用
疑問点2:社会学上のマタイ効果?  マタイ効果  重視されるもの(Top 10)だけが重視されつつ  他のは無視される? Header Injection DoS攻撃 ユーザプライバシ Clickjacking Concurrency Flaws
結論:Top 10だけじゃ足りない!  OWASP Top 10で止めない!  Top 10を起点にして。。。  無料なOWASPドキュメント:  Application Security Verification Standard (ASVS)  セキュリティ評価基準、セキュリティ要件設定  Developer’s Guide, Testing Guide  Prevention Cheat Sheets  Software Assurance Maturity Model(SAMM)
ご清聴有難うございます!

Recommended

IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftRiotaro OKADA
 
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkHiroaki Kuramochi
 
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出oshiro_seiya
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - Riotaro OKADA
 
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県Riotaro OKADA
 
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 JapaneseOWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 JapaneseHiroaki Kuramochi
 
OWASP Top 10 超初級編
OWASP Top 10 超初級編OWASP Top 10 超初級編
OWASP Top 10 超初級編AkitadaOmagari
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 

Recommended

IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftRiotaro OKADA
 
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkHiroaki Kuramochi
 
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出oshiro_seiya
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - Riotaro OKADA
 
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県Riotaro OKADA
 
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 JapaneseOWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 JapaneseHiroaki Kuramochi
 
OWASP Top 10 超初級編
OWASP Top 10 超初級編OWASP Top 10 超初級編
OWASP Top 10 超初級編AkitadaOmagari
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
Interact x Cloud Samurai 2016 Summer ログ分析のある生活 デモンストレーション編
Interact x Cloud Samurai 2016 Summer ログ分析のある生活 デモンストレーション編Interact x Cloud Samurai 2016 Summer ログ分析のある生活 デモンストレーション編
Interact x Cloud Samurai 2016 Summer ログ分析のある生活 デモンストレーション編Norio Sashizaki
 
Web API Next Challenge
Web API Next ChallengeWeb API Next Challenge
Web API Next Challengeuchimanajet7
 
Serverless で位置情報を活用する
Serverless で位置情報を活用するServerless で位置情報を活用する
Serverless で位置情報を活用するuchimanajet7
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会
 
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方OWASP Nagoya
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスクRiotaro OKADA
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other MeasuresTyphon 666
 
Iaas, paasと利用者
Iaas, paasと利用者Iaas, paasと利用者
Iaas, paasと利用者show you
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...Typhon 666
 
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?Yukiya Hayashi
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)
サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)
サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)VirtualTech Japan Inc.
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-Typhon 666
 
20160209 power cms_cloud_public
20160209 power cms_cloud_public20160209 power cms_cloud_public
20160209 power cms_cloud_publicSix Apart
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
20160208 power cms_cloud_public
20160208 power cms_cloud_public20160208 power cms_cloud_public
20160208 power cms_cloud_publicSix Apart
 
セキュリティCDN: Imperva Incapsula
セキュリティCDN: Imperva IncapsulaセキュリティCDN: Imperva Incapsula
セキュリティCDN: Imperva IncapsulaJ-Stream Inc.
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介OSSラボ株式会社
 
20160125 power cms_cloud_public
20160125 power cms_cloud_public20160125 power cms_cloud_public
20160125 power cms_cloud_publicSix Apart
 

More Related Content

What's hot

Interact x Cloud Samurai 2016 Summer ログ分析のある生活 デモンストレーション編
Interact x Cloud Samurai 2016 Summer ログ分析のある生活 デモンストレーション編Interact x Cloud Samurai 2016 Summer ログ分析のある生活 デモンストレーション編
Interact x Cloud Samurai 2016 Summer ログ分析のある生活 デモンストレーション編Norio Sashizaki
 
Web API Next Challenge
Web API Next ChallengeWeb API Next Challenge
Web API Next Challengeuchimanajet7
 
Serverless で位置情報を活用する
Serverless で位置情報を活用するServerless で位置情報を活用する
Serverless で位置情報を活用するuchimanajet7
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会
 
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方OWASP Nagoya
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスクRiotaro OKADA
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other MeasuresTyphon 666
 
Iaas, paasと利用者
Iaas, paasと利用者Iaas, paasと利用者
Iaas, paasと利用者show you
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...Typhon 666
 
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?Yukiya Hayashi
 

What's hot (10)

Interact x Cloud Samurai 2016 Summer ログ分析のある生活 デモンストレーション編
Interact x Cloud Samurai 2016 Summer ログ分析のある生活 デモンストレーション編Interact x Cloud Samurai 2016 Summer ログ分析のある生活 デモンストレーション編
Interact x Cloud Samurai 2016 Summer ログ分析のある生活 デモンストレーション編
 
Web API Next Challenge
Web API Next ChallengeWeb API Next Challenge
Web API Next Challenge
 
Serverless で位置情報を活用する
Serverless で位置情報を活用するServerless で位置情報を活用する
Serverless で位置情報を活用する
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
 
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
 
Iaas, paasと利用者
Iaas, paasと利用者Iaas, paasと利用者
Iaas, paasと利用者
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
 
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
 

Similar to OWASP Top 10 - 2013 を起点にして

SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)
サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)
サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)VirtualTech Japan Inc.
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-Typhon 666
 
20160209 power cms_cloud_public
20160209 power cms_cloud_public20160209 power cms_cloud_public
20160209 power cms_cloud_publicSix Apart
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
20160208 power cms_cloud_public
20160208 power cms_cloud_public20160208 power cms_cloud_public
20160208 power cms_cloud_publicSix Apart
 
セキュリティCDN: Imperva Incapsula
セキュリティCDN: Imperva IncapsulaセキュリティCDN: Imperva Incapsula
セキュリティCDN: Imperva IncapsulaJ-Stream Inc.
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介OSSラボ株式会社
 
20160125 power cms_cloud_public
20160125 power cms_cloud_public20160125 power cms_cloud_public
20160125 power cms_cloud_publicSix Apart
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
ディープラーニングの車載応用に向けて
ディープラーニングの車載応用に向けてディープラーニングの車載応用に向けて
ディープラーニングの車載応用に向けてIkuro Sato
 
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omoEdb summit 2016_20160216.omo
Edb summit 2016_20160216.omoKazuki Omo
 
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介Elasticsearch
 
owasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injectionowasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injectiontobaru_yuta
 
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)脆弱性診断研究会
 

Similar to OWASP Top 10 - 2013 を起点にして (20)

SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
 
サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)
サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)
サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
 
20160209 power cms_cloud_public
20160209 power cms_cloud_public20160209 power cms_cloud_public
20160209 power cms_cloud_public
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
 
20160208 power cms_cloud_public
20160208 power cms_cloud_public20160208 power cms_cloud_public
20160208 power cms_cloud_public
 
セキュリティCDN: Imperva Incapsula
セキュリティCDN: Imperva IncapsulaセキュリティCDN: Imperva Incapsula
セキュリティCDN: Imperva Incapsula
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
 
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
 
20160125 power cms_cloud_public
20160125 power cms_cloud_public20160125 power cms_cloud_public
20160125 power cms_cloud_public
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
 
ディープラーニングの車載応用に向けて
ディープラーニングの車載応用に向けてディープラーニングの車載応用に向けて
ディープラーニングの車載応用に向けて
 
160724 jtf2016sre
160724 jtf2016sre160724 jtf2016sre
160724 jtf2016sre
 
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omoEdb summit 2016_20160216.omo
Edb summit 2016_20160216.omo
 
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介
大規模スレットインテリジェンス基盤の運用事例 Elasticセキュリティ活用ケース紹介
 
owasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injectionowasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injection
 
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
 
160901 osce2016sre
160901 osce2016sre160901 osce2016sre
160901 osce2016sre
 

Recently uploaded

モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成Hiroshi Tomioka
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案sugiuralab
 

Recently uploaded (9)

モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版) 2024年4月作成
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
 

OWASP Top 10 - 2013 を起点にして

  • 1. OWASP Top 10 – 2013 を起点にして 謝 佳龍 2013/12/16 OWASP Night 9th 2013
  • 2. OWASP Top 10とは?  Open Web Application Security Project (OWASP)  アプリケーション・セキュリティ意識を向上するため  最初の客観的な情報セキュリティ・リスク評価基準  2004(2003)から3年間ごと更新  今年2013最新版リリース!  PCI DSS v3.0(要件6.5 一般的な脆弱性)  OWASP Top 10が参照されている  多数の企業や機関に使われて  de facto (事実上の基準)になっている
  • 3. OWASP Top 10の歴史  2003, SANS/FBI Top 20があった (特定な製品向け)  →OWASP Top 10は製品ニュートラル  2007, MITRE CWE(共通脆弱性一覧)統計データ  →そのトレンド統計データを用いて更新  2010, 脆弱性からリスクへ!  リスク = 発生率 X 衝撃  企業自身で評価して下さい  2013, OWASP Top 10が成熟している。。。
  • 4. 脆弱性だけではなく  リスク  OWASP Risk Rating Methodologyに基づき ご 自 分 で 評 価 す る ご 自 分 で 評 価 す る
  • 5. OWASP Top 10 – 2013版  2013/6, 英語版リリース  順番の入れ替え  新項目追加
  • 6. 2010版からの変更点(追加項目1)  A6 - 機密データの露出  “安全でない暗号化データ保管” + “不十分なトランスポート層保護”  保存時や転送時にかかわらず暗号化する  必要でない機密データを保存しない  強い暗号化アルゴリズムとキーを使用する  パスワード向けアルゴリズム(bcrypt, PBKDF2など)を使用する  オートコンプリートや画面キャッシュを無効化する
  • 7. 2010版からの変更点(追加項目2)  A7 - 機能レベルアクセス制御の欠落  “URLアクセス制御の失敗”から拡大した  各ビジネス機能が呼び出される際に、必ず認可を検証する  監査しやすい権限管理を設計する  アクセス権はデフォルトで全拒否する  業務上に必要な場合、アクセスの許可を確認する  ボタンを表示しないではなく、ビジネスロジック層で制御する
  • 8. 2010版からの変更点(追加項目3)  A9 - 既知の脆弱性を持つコンポーネントの使用  “セキュリティ設定のミス”の一部でした  コンポーネントは全て自分で書く。。。でも現実ではない  →常にコンポーネントを更新する  使用するコンポーネントの依存関係を把握する  公開データベースやメーリングリストで更新情報を確認する  コンポーネント管理のポリシーを作成する  必要でない、或いは脆弱な部分を無効化する
  • 9. OWASP Top 10のトレンド 2004 2007 2010 2013 インジェクション A6 A2 A1 A1 認証とセッション A3 A7 A3 A2 XSS A4 A1 A2 A3 - A4 A4 A4 A10 - A6 機密情報露出 A8 A8 A7 A6 アクセス制御 A2 A10 A8 A7 - A5 A5 A8 - - - A9 - - A10 A10 A10 A9 A7 A6 - (A3) A1 - OWASP Top 10 オブジェクト直接参照 設定のミス CSRF 脆弱なコンポネント リダイレクト 安全でない通信 エラー処理 悪意ファイル実行 入力チェック 分けた バッファオーバーフロー (A5) DoS (A9) 結合した 追 加 し た A9 - 結合した A5 - 抽出した - - - - - - - - - - - 無くなった
  • 10. 疑問点1: 十年以来のトレンドを もう一度振り返ったら。。。  Top 10は、大体包括的なりつつ、内容はほぼ同じ見える。。。  Top 10の多い部分はなぜ消えていない?  考えられる原因  セキュリティコミュニティ =/= 開発コミュニティ  検出して修正する =/= 意識向上する 後からセキュリティ検証 だけでは足りない! 要件 設計 実装 最初からセキュリティを 意識しながら開発が必要! テスト 運用
  • 11. 疑問点2:社会学上のマタイ効果?  マタイ効果  重視されるもの(Top 10)だけが重視されつつ  他のは無視される? Header Injection DoS攻撃 ユーザプライバシ Clickjacking Concurrency Flaws
  • 12. 結論:Top 10だけじゃ足りない!  OWASP Top 10で止めない!  Top 10を起点にして。。。  無料なOWASPドキュメント:  Application Security Verification Standard (ASVS)  セキュリティ評価基準、セキュリティ要件設定  Developer’s Guide, Testing Guide  Prevention Cheat Sheets  Software Assurance Maturity Model(SAMM)