Riotaro OKADA, profile picture
Uploaded byRiotaro OKADA
3,786 views

OWASP ASVS Project review 2.0 and 3.0

アプリケーションセキュリティ検査・検証の標準化 Application Security Verification Standard Project speaker: Riotaro OKADA (@okdt) at OWASP Night 18th (2015/7/29), Tokyo, Japan https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project

Embed presentation

Downloaded 15 times
アプリケーションセキュリティ検査・検証の標準化   Applica(on  Security  Verifica(on  Standard  Project 岡田良太郎   riotaro.okada@owasp.org   OWASP  Japan   Asterisk  Research
hAps://commons.wikimedia.org/wiki/File:Verifica(on_in_SE.jpg
ASVS     Applica(on  Security  Verifica(on  Standard •  OWASP  ASVS  アプリケーションセキュリティ検証標準 プロジェクト   –  “Webアプリケーション セキュリティ検査・検証を実施する ときに用いるため、検査の対象範囲、厳密さのレベルを 利用可能な範囲で整理し、標準化することです。”   –  “ASVSは、アプリケーションに加え、環境面での技術的セ キュリティコントロールをテストする基準も提供します。”   owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
OWASP  Top  10       イントロダクション >  注意事項
OWASP  Top  10には…   +D  開発者向けの次のステップ   >  反復可能なセキュリティプロセスと標準セキュリティ制御の確立と使用
ASVS  Verifica(on  Level  (v1.0/2009時代)   Consider ASVS instead of OWASP Top 10 •  Some  issues  when  implemented  in  prac(ce.   ASVS
ASVS  Verifica(on  Level  (v2.0)  
Level  0:   (セキュリティテスト・なし=あるある)
Level  1:  Opportunis(c   (簡単に見つかるレベル)
Level  2:  Standard   (標準的なレベル) ・”Detailed  Verifica(on  Requirements”   ・OWASP  Top  10をカバー   ・ビジネスロジックも検証
Level  3:  Advanced   (より進んだ脆弱性に対応)
それ以上:    L3+   •  ASVS  L3  +   – アプリケーション・スコープを超えたオプション・テ スト   – サードパーティのモジュールへのテスト   – ミッションクリティカルなシステムでは必要となるこ とがある。  
V2.  Authen(ca(on  Verifica(on  Requirements   Level  1 V2.1  基本的な使い方 V2.2  パスワードEchoなし V2.6  安全にフェイルする Level  2 V2.12  認証のロギング V2.13  Salt、暗号化 Level  3 V2.5  認証制御の実装 の(外部連携を含め) 集中化実装 V数字.数字 によるテスト項目のIden(fyもバージョン間で継承される
V8.  Error  Handling  and  Logging     Level  1 V8.1  攻撃者を支援し兼 ねないエラーメッセージ、 スタックトレースを出力し ない Level  2 V8.2  全エラーハンドリン グがサーバー上で実装 V8.8  セキュリティログは 認証されていないアクセ スや改ざんから保護され ていること   Level  3 V8.9  ログを閲覧するソフ トウェア上で、信頼できな いデータを含むすべての イベントが、コードとして 実行されないこと V数字.数字 によるテスト項目のIden(fyもバージョン間で継承される
“Detailed  Verifica(on  Requirements”   13項目の検査要件詳細 •  V2.  Authen(ca(on   •  V3.  Session  Management   •  V4.  Access  Control   •  V5.  Malicious  Input  Handling   •  V7.  Cryptography  at  Rest   •  V8.  Error  Handling  and  Logging   •  V9.  Data  Protec(on   •  V10.  Communica(ons   •  V11.  HTTP   •  V13.  Malicious  Controls   •  V15.  Business  Logic   •  V16.  File  and  Resource   •  V17.  Mobile The  numbering  scheme  has  been  kept   consistent  with  the  previous  version  of   ASVS  to  help  with  individuals  wishing  to   transi(on  from  one  to  the  other. 大項目 V(数字)   ASVSのバージョン間で同一。  
Detailed  Verifica(on  Required   V3.0  preview •  V1.    Architecture,  design  and  threat  modelling  (v1.0(2009)のものを復活) •  V2.  Authen(ca(on •  V3.  Session  management •  V4.  Access  control •  V5.  Malicious  input  handling •  V7.  Cryptography  at  rest •  V8.  Error  handling  and  logging •  V9.  Data  protec(on •  V10.  Communica(ons •  V11.  HTTP  security  configura(on •  V13.  Malicious  controls •  V15.  Business  logic •  V16.  File  and  resources •  V17.  Mobile •  V18.  Web  services  (NEW  for  3.0) •  V19.  Configura(on  (NEW  for  3.0) •  V20.  Client  side  Security  (NEW  for  3.0)
V18.  Web  services  (NEW  for  3.0)
V19.  Configura(on  (NEW  for  3.0)
V20.  Client  side  Security  (NEW  for  3.0)
Appendix  A:  システムの業界、脅威、用途などから、           システムの Level  をSugges(on Level1:  インターネットから   アクセスできるアプリケーション Level2:  少数あるいは限られた   程度の個人の健康情報や   個人識別情報、支払いデータ   などの機微情報を扱うアプリケー   ション Level3:  医療機器、デバイス、   人生にかかわる情報を扱う   アプリケーション。支払い、POS、   大量のトランザクションデータ。   管理機能も対象となる。   INDUSTRY:     保険・金融   製造、   輸送、   技術、道具、   インフラ、   防衛、   ヘルスケア、   不動産・食品   など
企画  要件定義  設計   実装   検査  デプロイ 調達 ASVSに基づく   検査手法をそろえる ASVS標準を使って   要件を明確にする リスクレベルの認識   ASVSでマッピング セキュリティ要件を   ASVSに照らして定義   L3なら設計レベル   要件も検討   選択したASVSレベルの   準拠状況を検査   開発 ※ 組織 OWASP  ASVS ツール・サービス提供者
Usage    “標準”の使い方 •  テストと結果報告に •  開発チームへ手渡す アプリケーションの認証 •  テスト担当チームへのガイドとして •  顧客へのテストガイドラインとして テスト手法の提供 •  外部テスターが要件を満たしているか •  契約者、協力会社が遵守すべきガイドとして ベンダー・サプライヤーの選択
ASVS  and  YOU   まずは  V2.0(2014)をゲット! •  マネージャ(経営層)にアプローチ   –  リスクとアプリケーションセキュリティへの理解     •  自分のスタートレベルを決める   –  L  1がおすすめ     •  開発中のソフトウェアにあてはめてみる   –  最初はめっちゃ大変。でもひとつずつ   •  責任者を任命   –  開発チームの中でこの適用を検討するスタッフをアサインする     •  やってみる  
ASVS  and  YOU   Security  Principle を学ぶ •  それぞれの層で徹底的に防衛 Defense  in  Depth.   •  ポジティブセキュリティモデル  Posi(ve  Security  Model   •  安全に失敗しろ Fail  Securely   •  最小権限の原則 Least  Privilege   •  Avoid  “Security  by  Obscurity”   •  …を信じない Do  not  trust  the  …     hAps://www.owasp.org/index.php/Category:Principle
ASVS  and  YOU •  V3.0  (July  2015)  preview!   –  大量のDeprecated   –  3つの新Verifica(on  Topic   •  V18.  Web  services     •  V19.  Configura(on     •  V20.  Client  side  Security     –  リファレンスも追加   •  Proac(ve  Control   •  Mobile  Top  10   •  PCI  DSS  3.0  
OWASP  Project  -­‐  Flagship   •  Tools  [Reviewed  September  2014]   –  OWASP  Zed  AAack  Proxy   –  OWASP  Web  Tes(ng  Environment  Project   –  OWASP  OWTF   –  OWASP  Dependency  Check   •  Code  [Reviewed  November  2014]   –  OWASP  ModSecurity  Core  Rule  Set  Project   –  OWASP  CSRFGuard  Project   –  OWASP  AppSensor  Project   •  Documenta(on[Reviewed  February  2015]  in  progress   –  OWASP  Applica(on  Security  Verifica(on  Standard  Project   –  OWASP  Sorware  Assurance  Maturity  Model  (SAMM)   –  OWASP  AppSensor  Project   –  OWASP  Top  Ten  Project   –  OWASP  Tes(ng  Guide  Project
  Thanks   @okdt

More Related Content

PDF
Owasp Project を使ってみた
byAkitsugu Ito
 
PPTX
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
byRiotaro OKADA
 
PDF
Privacy by Design with OWASP
byRiotaro OKADA
 
PDF
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
byRiotaro OKADA
 
PDF
IoT Security を実現する3つの視点とShift Left
byRiotaro OKADA
 
PPTX
4 Enemies of DevSecOps 2016
byRiotaro OKADA
 
PPTX
オワスプナイト20150115 dependency check
byHiroaki Kuramochi
 
PPTX
セキュア開発の<s>3つの</s>敵
byRiotaro OKADA
 
Owasp Project を使ってみた
byAkitsugu Ito
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
byRiotaro OKADA
 
Privacy by Design with OWASP
byRiotaro OKADA
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
byRiotaro OKADA
 
IoT Security を実現する3つの視点とShift Left
byRiotaro OKADA
 
4 Enemies of DevSecOps 2016
byRiotaro OKADA
 
オワスプナイト20150115 dependency check
byHiroaki Kuramochi
 
セキュア開発の<s>3つの</s>敵
byRiotaro OKADA
 

What's hot

PDF
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
byJPCERT Coordination Center
 
PDF
The Shift Left Path and OWASP
byRiotaro OKADA
 
PDF
OWASPの歩き方(How to walk_the_owasp)
bySen Ueno
 
PDF
アプリケーションのシフトレフトを実践するには
byRiotaro OKADA
 
PDF
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
byCybozucommunity
 
PDF
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
byRiotaro OKADA
 
PPTX
「教養としてのサイバーセキュリティ」講座
byRiotaro OKADA
 
PPTX
20190418 About the concept of intra-organization release approval flow in wat...
byTyphon 666
 
PDF
クラウドセキュリティ基礎 #seccamp
byMasahiro NAKAYAMA
 
PDF
アプリケーションデリバリーのバリューチェイン
byRiotaro OKADA
 
PPTX
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
byTyphon 666
 
PDF
Owasp evening : Privacy x Design with OWASP
byRiotaro OKADA
 
PPTX
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
byTyphon 666
 
PPTX
20210716 Security Audit of Salesforce & Other Measures
byTyphon 666
 
PDF
OWASP Proactive Control2016 Japanese
byHiroaki Kuramochi
 
PPTX
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
byRiotaro OKADA
 
PPTX
セキュリティスキルをゲットする、たった3つの方法
byRiotaro OKADA
 
PDF
企業のデジタル変革とサイバーリスク
byRiotaro OKADA
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
byJPCERT Coordination Center
 
The Shift Left Path and OWASP
byRiotaro OKADA
 
OWASPの歩き方(How to walk_the_owasp)
bySen Ueno
 
アプリケーションのシフトレフトを実践するには
byRiotaro OKADA
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
byCybozucommunity
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
byRiotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
byRiotaro OKADA
 
20190418 About the concept of intra-organization release approval flow in wat...
byTyphon 666
 
クラウドセキュリティ基礎 #seccamp
byMasahiro NAKAYAMA
 
アプリケーションデリバリーのバリューチェイン
byRiotaro OKADA
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
byTyphon 666
 
Owasp evening : Privacy x Design with OWASP
byRiotaro OKADA
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
byTyphon 666
 
20210716 Security Audit of Salesforce & Other Measures
byTyphon 666
 
OWASP Proactive Control2016 Japanese
byHiroaki Kuramochi
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
byRiotaro OKADA
 
セキュリティスキルをゲットする、たった3つの方法
byRiotaro OKADA
 
企業のデジタル変革とサイバーリスク
byRiotaro OKADA
 

Viewers also liked

PDF
プロダクトマネージャのお仕事
byShohei Hido
 
PDF
[AWSマイスターシリーズ] Amazon Elastic Compute Cloud (EC2)
byAmazon Web Services Japan
 
PPTX
お絵かきのお話(~nw構成図ってどんな感じで書いてます?~)
byTatsuya Maruno
 
PDF
Product Principles
byJeremy Horn
 
PPTX
サイボウズPM(開発PM)について
byshoji_yamada
 
PDF
プロダクトオーナーシップ勉強会 第2回
bypepabo-po
 
PDF
パケットで遊ぼう! #ssmjp 2015/04
byTakaaki Hoyo
 
PDF
ネイティブマーケティングカンパニーにおけるプロダクトマネージャー
byTomotake Nakamura
 
PDF
Yakocloud digitalization 151219
by知礼 八子
 
ODP
TDU CTFのお話
bynomuken
 
PDF
POとPOじゃない人の勉強会 第11回
bypepabo-po
 
PDF
POとPOじゃない人の勉強会 第7回
bypepabo-po
 
PPTX
PMの立ち位置について
bySSK
 
PDF
POとPOじゃない人の勉強会 第10回
bypepabo-po
 
PDF
POとPOじゃない人の勉強会 第9回
bypepabo-po
 
PDF
POとPOじゃない人の勉強会 第8回
bypepabo-po
 
PDF
Smartnews Product Manager Night
bySmartNews, Inc.
 
PDF
11年続くサービスの新陳代謝を上げる
byAkane Yamarin
 
PDF
教育サービス開発での第一歩
byEiji Hachiya
 
PPTX
大きい組織におけるPmとその育成についてふわっとした相談をするlt
byJiro Hiraiwa
 
プロダクトマネージャのお仕事
byShohei Hido
 
[AWSマイスターシリーズ] Amazon Elastic Compute Cloud (EC2)
byAmazon Web Services Japan
 
お絵かきのお話(~nw構成図ってどんな感じで書いてます?~)
byTatsuya Maruno
 
Product Principles
byJeremy Horn
 
サイボウズPM(開発PM)について
byshoji_yamada
 
プロダクトオーナーシップ勉強会 第2回
bypepabo-po
 
パケットで遊ぼう! #ssmjp 2015/04
byTakaaki Hoyo
 
ネイティブマーケティングカンパニーにおけるプロダクトマネージャー
byTomotake Nakamura
 
Yakocloud digitalization 151219
by知礼 八子
 
TDU CTFのお話
bynomuken
 
POとPOじゃない人の勉強会 第11回
bypepabo-po
 
POとPOじゃない人の勉強会 第7回
bypepabo-po
 
PMの立ち位置について
bySSK
 
POとPOじゃない人の勉強会 第10回
bypepabo-po
 
POとPOじゃない人の勉強会 第9回
bypepabo-po
 
POとPOじゃない人の勉強会 第8回
bypepabo-po
 
Smartnews Product Manager Night
bySmartNews, Inc.
 
11年続くサービスの新陳代謝を上げる
byAkane Yamarin
 
教育サービス開発での第一歩
byEiji Hachiya
 
大きい組織におけるPmとその育成についてふわっとした相談をするlt
byJiro Hiraiwa
 

Similar to OWASP ASVS Project review 2.0 and 3.0

PPTX
OWASPのドキュメントやツールを知ろう
byYuichi Hattori
 
PDF
OWASP ASVS5.0 overview 20240607_owaspnagoya
byOWASP Nagoya
 
PDF
セキュリティ基準、標準、規制 との付き合い方
byTomohiro Nakashima
 
PDF
introduction to OWASP's documentation 20250607
byOWASP Nagoya
 
PDF
OWASP Top 10 - 2021 Overview
byOWASP Nagoya
 
PDF
ソースコード検査に耐えるコードとは?
byYasuo Ohgaki
 
PDF
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
byHiroshi Tokumaru
 
PDF
OWASP_Top_10_2017_A3機微な情報の露出
byoshiro_seiya
 
PPTX
今だからこそ振り返ろう!OWASP Top 10
byDaiki Ichinose
 
PPTX
OWASP Top 10 - 2013 を起点にして
byChia-Lung Hsieh
 
PPTX
エフスタ!!勉強会#26 セキュリティと開発と
byHaga Takeshi
 
PDF
OWASP Projects
byTakanori Nakanowatari
 
PDF
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
byRiotaro OKADA
 
PDF
アプリ開発者に大きな影響 2017年版OWASP TOP 10
byYasuo Ohgaki
 
PPTX
20180601 OWASP Top 10 2017の読み方
byOWASP Nagoya
 
PPTX
OWASP Top 10 2017 RC1について
byDaiki Ichinose
 
PPTX
OWASP Top 10 超初級編
byAkitadaOmagari
 
PDF
Security issue201312
byRiotaro OKADA
 
KEY
セキュリティとコンプライアンスプログラムについて
byToshiboumi Ohta
 
OWASPのドキュメントやツールを知ろう
byYuichi Hattori
 
OWASP ASVS5.0 overview 20240607_owaspnagoya
byOWASP Nagoya
 
セキュリティ基準、標準、規制 との付き合い方
byTomohiro Nakashima
 
introduction to OWASP's documentation 20250607
byOWASP Nagoya
 
OWASP Top 10 - 2021 Overview
byOWASP Nagoya
 
ソースコード検査に耐えるコードとは?
byYasuo Ohgaki
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
byHiroshi Tokumaru
 
OWASP_Top_10_2017_A3機微な情報の露出
byoshiro_seiya
 
今だからこそ振り返ろう!OWASP Top 10
byDaiki Ichinose
 
OWASP Top 10 - 2013 を起点にして
byChia-Lung Hsieh
 
エフスタ!!勉強会#26 セキュリティと開発と
byHaga Takeshi
 
OWASP Projects
byTakanori Nakanowatari
 
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
byRiotaro OKADA
 
アプリ開発者に大きな影響 2017年版OWASP TOP 10
byYasuo Ohgaki
 
20180601 OWASP Top 10 2017の読み方
byOWASP Nagoya
 
OWASP Top 10 2017 RC1について
byDaiki Ichinose
 
OWASP Top 10 超初級編
byAkitadaOmagari
 
Security issue201312
byRiotaro OKADA
 
セキュリティとコンプライアンスプログラムについて
byToshiboumi Ohta
 

More from Riotaro OKADA

PPT
eTrend20070608
byRiotaro OKADA
 
PPTX
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
byRiotaro OKADA
 
PPTX
Introducing AppSec APAC 2014 in TOKYO
byRiotaro OKADA
 
PPTX
もしあなたが 「何歳まで生きたい?」と聞かれたなら
byRiotaro OKADA
 
PPTX
Hackademy サイバーセキュリティ教育プロジェクト
byRiotaro OKADA
 
PDF
iSPP 仙台シンポジウム
byRiotaro OKADA
 
PDF
シフトレフト戦略と沖縄県
byRiotaro OKADA
 
PDF
2021年に来るカイハツトレンド予測、だと?
byRiotaro OKADA
 
PDF
Crowdsourcing basic20090515-pickup
byRiotaro OKADA
 
eTrend20070608
byRiotaro OKADA
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
byRiotaro OKADA
 
Introducing AppSec APAC 2014 in TOKYO
byRiotaro OKADA
 
もしあなたが 「何歳まで生きたい?」と聞かれたなら
byRiotaro OKADA
 
Hackademy サイバーセキュリティ教育プロジェクト
byRiotaro OKADA
 
iSPP 仙台シンポジウム
byRiotaro OKADA
 
シフトレフト戦略と沖縄県
byRiotaro OKADA
 
2021年に来るカイハツトレンド予測、だと?
byRiotaro OKADA
 
Crowdsourcing basic20090515-pickup
byRiotaro OKADA
 

Recently uploaded

PDF
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):東京大学情報基盤センター テーマ1/2/3「Society5.0の実現を目指す『計算・データ・学習...
byPC Cluster Consortium
 
PDF
visionOS TC「新しいマイホームで過ごすApple Vision Proとの新生活」
bySugiyama Yugo
 
PPTX
DrupalCon Nara 2025の記録 .
byiPride Co., Ltd.
 
PDF
安価な ロジック・アナライザを アナライズ(?),Analyze report of some cheap logic analyzers
byたけおか しょうぞう
 
PDF
第25回FA設備技術勉強会_自宅で勉強するROS・フィジカルAIアイテム.pdf
byTomohiroKusu
 
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
PCCC25(設立25年記念PCクラスタシンポジウム):東京大学情報基盤センター テーマ1/2/3「Society5.0の実現を目指す『計算・データ・学習...
byPC Cluster Consortium
 
visionOS TC「新しいマイホームで過ごすApple Vision Proとの新生活」
bySugiyama Yugo
 
DrupalCon Nara 2025の記録 .
byiPride Co., Ltd.
 
安価な ロジック・アナライザを アナライズ(?),Analyze report of some cheap logic analyzers
byたけおか しょうぞう
 
第25回FA設備技術勉強会_自宅で勉強するROS・フィジカルAIアイテム.pdf
byTomohiroKusu
 

OWASP ASVS Project review 2.0 and 3.0

  • 1.
    アプリケーションセキュリティ検査・検証の標準化   Applica(on  Security  Verifica(on  Standard  Project 岡田良太郎   riotaro.okada@owasp.org   OWASP  Japan   Asterisk  Research
  • 2.
  • 3.
    ASVS     Applica(on  Security  Verifica(on  Standard •  OWASP  ASVS  アプリケーションセキュリティ検証標準 プロジェクト   –  “Webアプリケーション セキュリティ検査・検証を実施する ときに用いるため、検査の対象範囲、厳密さのレベルを 利用可能な範囲で整理し、標準化することです。”   –  “ASVSは、アプリケーションに加え、環境面での技術的セ キュリティコントロールをテストする基準も提供します。”   owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
  • 4.
    OWASP  Top  10       イントロダクション >  注意事項
  • 5.
    OWASP  Top  10には…   +D  開発者向けの次のステップ   >  反復可能なセキュリティプロセスと標準セキュリティ制御の確立と使用
  • 6.
    ASVS  Verifica(on  Level  (v1.0/2009時代)   Consider ASVS instead of OWASP Top 10 •  Some  issues  when  implemented  in  prac(ce.   ASVS
  • 7.
  • 8.
  • 9.
    Level  1:  Opportunis(c   (簡単に見つかるレベル)
  • 10.
    Level  2:  Standard   (標準的なレベル) ・”Detailed  Verifica(on  Requirements”   ・OWASP  Top  10をカバー   ・ビジネスロジックも検証
  • 11.
    Level  3:  Advanced   (より進んだ脆弱性に対応)
  • 12.
    それ以上:    L3+   •  ASVS  L3  +   – アプリケーション・スコープを超えたオプション・テ スト   – サードパーティのモジュールへのテスト   – ミッションクリティカルなシステムでは必要となるこ とがある。  
  • 13.
    V2.  Authen(ca(on  Verifica(on  Requirements   Level  1 V2.1  基本的な使い方 V2.2  パスワードEchoなし V2.6  安全にフェイルする Level  2 V2.12  認証のロギング V2.13  Salt、暗号化 Level  3 V2.5  認証制御の実装 の(外部連携を含め) 集中化実装 V数字.数字 によるテスト項目のIden(fyもバージョン間で継承される
  • 14.
    V8.  Error  Handling  and  Logging     Level  1 V8.1  攻撃者を支援し兼 ねないエラーメッセージ、 スタックトレースを出力し ない Level  2 V8.2  全エラーハンドリン グがサーバー上で実装 V8.8  セキュリティログは 認証されていないアクセ スや改ざんから保護され ていること   Level  3 V8.9  ログを閲覧するソフ トウェア上で、信頼できな いデータを含むすべての イベントが、コードとして 実行されないこと V数字.数字 によるテスト項目のIden(fyもバージョン間で継承される
  • 15.
    “Detailed  Verifica(on  Requirements”   13項目の検査要件詳細 •  V2.  Authen(ca(on   •  V3.  Session  Management   •  V4.  Access  Control   •  V5.  Malicious  Input  Handling   •  V7.  Cryptography  at  Rest   •  V8.  Error  Handling  and  Logging   •  V9.  Data  Protec(on   •  V10.  Communica(ons   •  V11.  HTTP   •  V13.  Malicious  Controls   •  V15.  Business  Logic   •  V16.  File  and  Resource   •  V17.  Mobile The  numbering  scheme  has  been  kept   consistent  with  the  previous  version  of   ASVS  to  help  with  individuals  wishing  to   transi(on  from  one  to  the  other. 大項目 V(数字)   ASVSのバージョン間で同一。  
  • 16.
    Detailed  Verifica(on  Required   V3.0  preview •  V1.    Architecture,  design  and  threat  modelling  (v1.0(2009)のものを復活) •  V2.  Authen(ca(on •  V3.  Session  management •  V4.  Access  control •  V5.  Malicious  input  handling •  V7.  Cryptography  at  rest •  V8.  Error  handling  and  logging •  V9.  Data  protec(on •  V10.  Communica(ons •  V11.  HTTP  security  configura(on •  V13.  Malicious  controls •  V15.  Business  logic •  V16.  File  and  resources •  V17.  Mobile •  V18.  Web  services  (NEW  for  3.0) •  V19.  Configura(on  (NEW  for  3.0) •  V20.  Client  side  Security  (NEW  for  3.0)
  • 17.
    V18.  Web  services  (NEW  for  3.0)
  • 18.
    V19.  Configura(on  (NEW  for  3.0)
  • 19.
    V20.  Client  side  Security  (NEW  for  3.0)
  • 21.
    Appendix  A:  システムの業界、脅威、用途などから、           システムの Level  をSugges(on Level1:  インターネットから   アクセスできるアプリケーション Level2:  少数あるいは限られた   程度の個人の健康情報や   個人識別情報、支払いデータ   などの機微情報を扱うアプリケー   ション Level3:  医療機器、デバイス、   人生にかかわる情報を扱う   アプリケーション。支払い、POS、   大量のトランザクションデータ。   管理機能も対象となる。   INDUSTRY:     保険・金融   製造、   輸送、   技術、道具、   インフラ、   防衛、   ヘルスケア、   不動産・食品   など
  • 22.
    企画  要件定義  設計   実装   検査  デプロイ 調達 ASVSに基づく   検査手法をそろえる ASVS標準を使って   要件を明確にする リスクレベルの認識   ASVSでマッピング セキュリティ要件を   ASVSに照らして定義   L3なら設計レベル   要件も検討   選択したASVSレベルの   準拠状況を検査   開発 ※ 組織 OWASP  ASVS ツール・サービス提供者
  • 23.
    Usage    “標準”の使い方 • テストと結果報告に •  開発チームへ手渡す アプリケーションの認証 •  テスト担当チームへのガイドとして •  顧客へのテストガイドラインとして テスト手法の提供 •  外部テスターが要件を満たしているか •  契約者、協力会社が遵守すべきガイドとして ベンダー・サプライヤーの選択
  • 24.
    ASVS  and  YOU   まずは  V2.0(2014)をゲット! •  マネージャ(経営層)にアプローチ   –  リスクとアプリケーションセキュリティへの理解     •  自分のスタートレベルを決める   –  L  1がおすすめ     •  開発中のソフトウェアにあてはめてみる   –  最初はめっちゃ大変。でもひとつずつ   •  責任者を任命   –  開発チームの中でこの適用を検討するスタッフをアサインする     •  やってみる  
  • 25.
    ASVS  and  YOU   Security  Principle を学ぶ •  それぞれの層で徹底的に防衛 Defense  in  Depth.   •  ポジティブセキュリティモデル  Posi(ve  Security  Model   •  安全に失敗しろ Fail  Securely   •  最小権限の原則 Least  Privilege   •  Avoid  “Security  by  Obscurity”   •  …を信じない Do  not  trust  the  …     hAps://www.owasp.org/index.php/Category:Principle
  • 26.
    ASVS  and  YOU • V3.0  (July  2015)  preview!   –  大量のDeprecated   –  3つの新Verifica(on  Topic   •  V18.  Web  services     •  V19.  Configura(on     •  V20.  Client  side  Security     –  リファレンスも追加   •  Proac(ve  Control   •  Mobile  Top  10   •  PCI  DSS  3.0  
  • 27.
    OWASP  Project  -­‐  Flagship   •  Tools  [Reviewed  September  2014]   –  OWASP  Zed  AAack  Proxy   –  OWASP  Web  Tes(ng  Environment  Project   –  OWASP  OWTF   –  OWASP  Dependency  Check   •  Code  [Reviewed  November  2014]   –  OWASP  ModSecurity  Core  Rule  Set  Project   –  OWASP  CSRFGuard  Project   –  OWASP  AppSensor  Project   •  Documenta(on[Reviewed  February  2015]  in  progress   –  OWASP  Applica(on  Security  Verifica(on  Standard  Project   –  OWASP  Sorware  Assurance  Maturity  Model  (SAMM)   –  OWASP  AppSensor  Project   –  OWASP  Top  Ten  Project   –  OWASP  Tes(ng  Guide  Project
  • 28.