Asterisk Research, Inc., profile picture
Uploaded byAsterisk Research, Inc.
1,083 views

SecureAssist Introduction

SecureAssist紹介資料です。 「脆弱性は元から断たなきゃダメ!」

Embed presentation

Download to read offline
    脆弱性は元から断たなきゃダメ! SecureAssist  IDE  Plugin  and  Enterprise  Portal    Introduc6on       ASTERISK  RESEARCH,  INC.   株式会社アスタリスク・リサーチ   Cigital社チャネルパートナー   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 1
SecureAssist |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 2 プラグイン レビュー対象のファイル・タイプ IDE(統合開発環境) Java   JEE  /  JSP  /  XML  /  FTL  /  ProperOes       PHP Eclipse   RAD   MyEclips   SpringSource  Tool  SuiteTM  IDE .NET     C#  /  VB.NET  /  ASPX MicrosoB  Visual  Studio                                          はVisual  Studio、Eclipseのプラグインとして提供されます。     開発者はいつでも手元でコードレビューをさせることができるので、脆弱性のもと になるプログラムコードをビルド前に見つけ、修正・確認することができます。   まるで、一流のプログラミングセキュリティ・コーチを開発者ひとりひと りの横に配置するような、効率・効果の高いソリューションです。 サポートしている技術 ジミニー・クリケット
|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 3 リアルタイムコードレビュー・リスクレベル・ガイダンス 解説・ガイダンスや   サンプルコード   脆弱性とコードの対応による   リスクレベルの可視化   IDEプラグインによる   リアルタイムな   コードレビュー  
|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 4 入力値バリデーションならびに   出力値のエンコードを徹底 セキュアでないデータの取り扱い による問題を回避 正しいコーディング手法の   導入・徹底 Cross-­‐Site  Scrip6ng*   >  Output  Sent  to  Browser   >  Output  Data  in  Web  Page   >  DOM  Object   >  HTTP  Header  ManipulaOon   >  GET  Requests   >  HTML  Comments  in  JSP  or  PHP  File   >  Hidden  Field   >  Data  Usage  from  HTTP  Request   >  Output  Encoding  Set  to  False     SQL  Injec6on*   >  Dangerous  Method  Calls   >  Database  Query  ManipulaOon   >  Untrusted  Data  Source  for  Query   >  Dynamic  Database  Query     Path  Manipula6on*   >  UnsaniOzed  Data  Usage   >  Directory  Call  with  Dynamic  Inputs     Denial  of  Service  AJack   >  Hanging  JRE   >  Dynamic  Web  Page  Content   >  Processing  SensiOve  Data   >  Race  CondiOon   >  Struts  Config   >  XML  A_acks     File  Input/Output   >  Exposed  Buffers   >  Temporary  Files  in  Shared  Directories     Other  Unvalidated  User  Input*   >  LDAP  InjecOon*   >  Xpath  InjecOon*   >  Command  InjecOon*   >  Remote  Code  ExecuOon   >  Javax  Persistence  Security Insecure  Data  Storage   >  Insecure  File  Modes   >  No  Access  Control*   >  User  CredenOals  Stored*   >  Hardcoded  Password*   >  Access  to  Cache   >  HTTP  Auth  CredenOals  Stored*     Sensi6ve  Informa6on  Leakage   >  Dynamic  Web  Page  Content   >  System  InformaOon  Leak   >  Exposure  of  AuthenOcaOon  Objects   >  Use  of  printStack  Trace   >  ExcepOon  Handling   >  Autocomplete  Sebng   >  External  Storage  Used   >  Screen  View  Captured   >  Web  Page  Saved  to  Device   >  HTML  Form  Data   >  Insecure  ConfiguraOon  in  Manifest     Weak  Cryptography*   >  Security  Features   >  Weak  Cryptographic  Hash   >  Weak  EncrypOon   >  Outdated  Cipher   >  Weak  Algorithm   >  Secure  Number  RandomizaOon   >  Insufficient  Key  Size   >  Inadequate  RSA  Padding     Trust  Boundary  Viola6ons   >  User  Supplied  Data  to  Beans   >  Calls  AffecOng  CURL  Requests   >  Untrusted  Data  Source   >  UnsaniOzed  String   >  InjecOon  in  Email   >  Points  of  Interest   >  Entry  Point  ViolaOon   >  Socket  ConnecOon  Timeout   >  Socket  Stream  Timeout     Unvalidated  Redirects  &  Forwards   >  URL  RedirecOon*   >  User  RedirecOon*   Thread  APIs   >  Call  to  NoOfy()   >  InvocaOon  of  Thread.stop()   >  InvocaOon  of  Thread.run()     Struts  Misconfigura6on   >  XML  InjecOon   >  XML  DTD  A_ack   >  Missing/Duplicate  Form  Bean*   >  Missing  Forward  Name  A_ribute*   >  Missing  Path/Type  A_ribute*   >  Unnecessary  A_ribute   >  Required  Input  A_ribute   >  Invalid  ExcepOon  Scope   >  Missing  Form-­‐Property  Type   >  Dangerous  RelaOve  Path   >  AcOon  Not  Validated     Configura6on   >  ASP.NET  ConfiguraOon*   >  PHP  ConfiguraOon*   >  Environment  Variable  Value   >  Session  Timeout  ConfiguraOon*   >  Session  InacOve  Interval*   >  ImplementaOon  Time  Logic  Flaws   >  Call  to  ReadLine   >  Race  CondiOon   >  Hidden  Field     Improper  Error  Handling   >  Unspecified  Error  Page   >  JSP  Defines  Error  Page   >  JSONRPC  Security     Log  Handling   >  UnsaniOzed  Data  Wri_en  to  Logs   >  Private  User  Data  Logged     Cookie  Security*   >Overly  Broad  Paths   >  Insufficient  Transport  Layer  ProtecOon   >  Session  Management     Resource  Handling   >  File  Input  Output   >  Hibernate  Security   >  Resource  Not  Closed  in  Finally  Block   *2013  OWASP  Top  10の関連項目 SecureAssistにより、主な脆弱性攻撃によるリスクを80%減少させることが可能になります。   OWASP  Top  10  important  risksやCWE  Top  25に対応
開発チームはコードに自信が持てるようになります   重要な問題を発見・修正そして学習する好循環を加速します。 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 5 1.  Find  vulnerabiliOes  early    セキュリティ問題を潜在させない問題発見手法     2.  Educate  to  fix  &  prevent  them    セキュリティ欠陥を未然に防ぎ、学習効果向上   3.  Improved  quality  throughout  SDLC    開発ライフサイクルを改善し、ソフトウェア品質向上  
チーム統合機能:   IDE  Plugin  and  Enterprise  Portal |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 6 SecureAssist   Enterprise  Portal IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE(統合開発環境)Pluginの機能 ・Work  Faster    ・Work  Smarter    ・Keep  security  in  mind    より早く         より効率良く       セキュリティを常に意識 ・Ac6onable  intelligence    利活用可能な統計情報   ・Simplify  updates    アップデートの簡略化   ・Manage  users    ユーザーの管理   ・Deliver  Review  RuleSet    独自ルールセットの配布   ・Deliver  Code  Guideline    ガイドドキュメントの配布  
Enterprise  Portal管理画面 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 7 •  プロジェクトやユーザーごとの 統計情報、可視化、および  レポートの出力   •  チーム独自のガイドラインの 設定、リアルタイム反映   •  ユーザーの管理とプラグイン のライセンス配布 チーム全体のセキュアコーディング状況を集約する機能
リリース直前に脆弱性を見つかって大量修正・・・   セキュリティ品質の確保でお悩みですか? |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 8 リリース前修正!リリース後の 問題指摘!    脆弱性対策のための手法も    予算も時間もない!        ホントに面倒くさい (T_T)  
セキュア開発の段階をエンパワーする   開発者のためのSecureAssist |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 9 Planning  &   Requirements Design  &   Architecture Development TesOng ProducOon Maintenance SAST  静的解析 DAST  動的解析 要因の 85% システム脆弱性の85%は   開発段階に起因   •  IDEでコードレビュー   •  チーム統合機能   •  コストパフォーマンス 開発レビュー MOINTORING ライフサイクル設計・教育
脆弱性は元から断たなきゃダメ! システム脆弱性の85%は開発段階に起因します。 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 10 ソフトウェア開発におけるセキュリティ対応は、開発プロセスの後 工程になればなるほどリスクが高く、手戻りの時間もコストも高く つきます。 開発チームがソースコードにもっともかか わっているタイミングで問題の原因を取り 除くことが必要であり、対策の効率は飛躍 的に向上します。 解決策:   開発者全員が自分で使える Reviewツール。  5X 10X 30X Coding Integra6on/ component   tes6ng System   tes6ng Produc6on 85% 15X 当段階で発生した脆弱性(%) 当段階で発見された脆弱性(%) 当段階での脆弱性修正コスト
SecureAssist  開発元   米Cigital社のご紹介 cigital.com |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 11   •  世界最大級の、ソフトウェアセキュリティに特化した   コンサルティング・サービス提供会社   •  1992年に創業   •  世界で最初の、静的コード解析の商用ツールを開発、   主要な静的解析ツールに採用されている。     •  ソフトウェアセキュリティ業界のオピニオンリーダー     •  OWASP  Global  Supporter                    
Cigital社のソリューションを活用している企業 •  Fortune  500も含む大手企業270社以上 •  金融機関の上位10社の内9社 •  米国銀行の上位20銀行の内16銀行 •  ソフトウェアセキュリティ会社の上位3社 •  保険会社の上位3社 •  米国最大のゲーム会社 •  テクノロジー会社の上位10社の内5社 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 12
Cigital社のCTO   Gary  McGraw氏 Gary  McGraw,  Ph.D.(ゲイリー・マグロー)   -­‐  Cigital,  Inc. CTO   •  セキュアな開発の方法論の第一人者 •  “Building  Secure  SoBware  and  SoBware  Security”   (邦題:Building  Secure  Soqwareーソフトウェアセキュリティについて開発者が知っているべ きこと)などの著者   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 13 「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー としてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現す る市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに 長い期間目指してきたものです。」 -­‐  Gary  McGraw,  Cigital,  Inc.  CTO  
Cigitalとアスタリスク・リサーチのパートナーシップを発表 (2015/4/30) |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 14
Thanks   •  導入のご相談、お見積もり、試用期間  30日のフル機能検証 は無料です。   •  活用手段はさまざま   –  開発会社様へのご提供   –  コンサルティングとのコラボレーション   –  セキュア開発ソリューションへの組み込み   –  教育ツールとしてのご活用   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 15 Cigital社チャネルパートナー   アスタリスク・リサーチ    アプリケーションセキュリティ・チームをよろしくお願いします。

More Related Content

PPTX
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Keycloak入門
byHiroyuki Wada
 
PPTX
20181219 Introduction of Incident Response in AWS for Beginers
byTyphon 666
 
PDF
KeycloakのDevice Flow、CIBAについて
byHiroyuki Wada
 
PPTX
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
byRWSJapan
 
PDF
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
byAsterisk Research, Inc.
 
PDF
Lightweight Keycloak
byHiroyuki Wada
 
PDF
SNSの動画投稿機能ちょこっとネタ集 - 俺聞け11
byechizenya yota
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
byHitachi, Ltd. OSS Solution Center.
 
Keycloak入門
byHiroyuki Wada
 
20181219 Introduction of Incident Response in AWS for Beginers
byTyphon 666
 
KeycloakのDevice Flow、CIBAについて
byHiroyuki Wada
 
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
byRWSJapan
 
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
byAsterisk Research, Inc.
 
Lightweight Keycloak
byHiroyuki Wada
 
SNSの動画投稿機能ちょこっとネタ集 - 俺聞け11
byechizenya yota
 

Similar to SecureAssist Introduction

PDF
Java/Androidセキュアコーディング
byMasaki Kubo
 
ODP
ライブコーディングとデモで理解するWebセキュリティの基礎
byTakahisa Kishiya
 
PPTX
エフスタ!!勉強会#26 セキュリティと開発と
byHaga Takeshi
 
PDF
とある診断員と色々厄介な脆弱性達
byzaki4649
 
PDF
フリーでやろうぜ!セキュリティチェック!
byzaki4649
 
PPTX
HTML5 Web アプリケーションのセキュリティ
by彰 村地
 
PPTX
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
bymkoda
 
PPT
SEから見た情報セキュリティの課題
byKatsuhide Hirai
 
PDF
「開発者とセキュリティのお付き合い」5パターン
byToshi Aizawa
 
PPT
セキュアプログラミング講座
byminoru-ito
 
PPTX
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
byjunichi anno
 
PDF
Salesforce Identity
bySalesforce Developers Japan
 
PDF
アプリケーションデリバリーのバリューチェイン
byRiotaro OKADA
 
PDF
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
PPTX
4 Enemies of DevSecOps 2016
byRiotaro OKADA
 
PPTX
Browser andsecurity2015
by彰 村地
 
PPTX
WEBサイトのセキュリティ対策 -継続的なアップデート-
byhogehuga
 
PDF
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
byDevelopers Summit
 
PPT
資料
byTatsuya Ueda
 
PDF
Webアプリケーションのセキュリティ
byTokai University
 
Java/Androidセキュアコーディング
byMasaki Kubo
 
ライブコーディングとデモで理解するWebセキュリティの基礎
byTakahisa Kishiya
 
エフスタ!!勉強会#26 セキュリティと開発と
byHaga Takeshi
 
とある診断員と色々厄介な脆弱性達
byzaki4649
 
フリーでやろうぜ!セキュリティチェック!
byzaki4649
 
HTML5 Web アプリケーションのセキュリティ
by彰 村地
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
bymkoda
 
SEから見た情報セキュリティの課題
byKatsuhide Hirai
 
「開発者とセキュリティのお付き合い」5パターン
byToshi Aizawa
 
セキュアプログラミング講座
byminoru-ito
 
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
byjunichi anno
 
Salesforce Identity
bySalesforce Developers Japan
 
アプリケーションデリバリーのバリューチェイン
byRiotaro OKADA
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
4 Enemies of DevSecOps 2016
byRiotaro OKADA
 
Browser andsecurity2015
by彰 村地
 
WEBサイトのセキュリティ対策 -継続的なアップデート-
byhogehuga
 
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
byDevelopers Summit
 
資料
byTatsuya Ueda
 
Webアプリケーションのセキュリティ
byTokai University
 

More from Asterisk Research, Inc.

PDF
SecureAssist IntelliJ Plug-in 導入ガイド
byAsterisk Research, Inc.
 
PDF
Cigital 3D Security Testing
byAsterisk Research, Inc.
 
PDF
SecureAssist Enterprise Portal APIガイド
byAsterisk Research, Inc.
 
PDF
SecureAssist Enterprise Portal 導入ガイド
byAsterisk Research, Inc.
 
PDF
SecureAssist Eclipse Plug-in 導入ガイド
byAsterisk Research, Inc.
 
PPTX
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
byAsterisk Research, Inc.
 
PDF
SecureAssist Visual Studio Package 導入ガイド
byAsterisk Research, Inc.
 
PDF
SecureAssist Enterprise Portal アップグレードガイド
byAsterisk Research, Inc.
 
PDF
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
byAsterisk Research, Inc.
 
PDF
SecureAssist Rulepack Configurator 利用ガイド
byAsterisk Research, Inc.
 
SecureAssist IntelliJ Plug-in 導入ガイド
byAsterisk Research, Inc.
 
Cigital 3D Security Testing
byAsterisk Research, Inc.
 
SecureAssist Enterprise Portal APIガイド
byAsterisk Research, Inc.
 
SecureAssist Enterprise Portal 導入ガイド
byAsterisk Research, Inc.
 
SecureAssist Eclipse Plug-in 導入ガイド
byAsterisk Research, Inc.
 
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
byAsterisk Research, Inc.
 
SecureAssist Visual Studio Package 導入ガイド
byAsterisk Research, Inc.
 
SecureAssist Enterprise Portal アップグレードガイド
byAsterisk Research, Inc.
 
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
byAsterisk Research, Inc.
 
SecureAssist Rulepack Configurator 利用ガイド
byAsterisk Research, Inc.
 

Recently uploaded

PDF
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):東京大学情報基盤センター テーマ1/2/3「Society5.0の実現を目指す『計算・データ・学習...
byPC Cluster Consortium
 
PDF
visionOS TC「新しいマイホームで過ごすApple Vision Proとの新生活」
bySugiyama Yugo
 
PPTX
DrupalCon Nara 2025の記録 .
byiPride Co., Ltd.
 
PDF
安価な ロジック・アナライザを アナライズ(?),Analyze report of some cheap logic analyzers
byたけおか しょうぞう
 
PDF
第25回FA設備技術勉強会_自宅で勉強するROS・フィジカルAIアイテム.pdf
byTomohiroKusu
 
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
PCCC25(設立25年記念PCクラスタシンポジウム):東京大学情報基盤センター テーマ1/2/3「Society5.0の実現を目指す『計算・データ・学習...
byPC Cluster Consortium
 
visionOS TC「新しいマイホームで過ごすApple Vision Proとの新生活」
bySugiyama Yugo
 
DrupalCon Nara 2025の記録 .
byiPride Co., Ltd.
 
安価な ロジック・アナライザを アナライズ(?),Analyze report of some cheap logic analyzers
byたけおか しょうぞう
 
第25回FA設備技術勉強会_自宅で勉強するROS・フィジカルAIアイテム.pdf
byTomohiroKusu
 

SecureAssist Introduction

  • 1.
        脆弱性は元から断たなきゃダメ! SecureAssist  IDE  Plugin  and  Enterprise  Portal    Introduc6on       ASTERISK  RESEARCH,  INC.   株式会社アスタリスク・リサーチ   Cigital社チャネルパートナー   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 1
  • 2.
    SecureAssist |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 2 プラグイン レビュー対象のファイル・タイプ IDE(統合開発環境) Java   JEE  /  JSP  /  XML  /  FTL  /  ProperOes       PHP Eclipse   RAD   MyEclips   SpringSource  Tool  SuiteTM  IDE .NET     C#  /  VB.NET  /  ASPX MicrosoB  Visual  Studio                                          はVisual  Studio、Eclipseのプラグインとして提供されます。     開発者はいつでも手元でコードレビューをさせることができるので、脆弱性のもと になるプログラムコードをビルド前に見つけ、修正・確認することができます。   まるで、一流のプログラミングセキュリティ・コーチを開発者ひとりひと りの横に配置するような、効率・効果の高いソリューションです。 サポートしている技術 ジミニー・クリケット
  • 3.
    |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 3 リアルタイムコードレビュー・リスクレベル・ガイダンス 解説・ガイダンスや   サンプルコード   脆弱性とコードの対応による   リスクレベルの可視化   IDEプラグインによる   リアルタイムな   コードレビュー  
  • 4.
    |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 4 入力値バリデーションならびに   出力値のエンコードを徹底 セキュアでないデータの取り扱い による問題を回避 正しいコーディング手法の   導入・徹底 Cross-­‐Site  Scrip6ng*   >  Output  Sent  to  Browser   >  Output  Data  in  Web  Page   >  DOM  Object   >  HTTP  Header  ManipulaOon   >  GET  Requests   >  HTML  Comments  in  JSP  or  PHP  File   >  Hidden  Field   >  Data  Usage  from  HTTP  Request   >  Output  Encoding  Set  to  False     SQL  Injec6on*   >  Dangerous  Method  Calls   >  Database  Query  ManipulaOon   >  Untrusted  Data  Source  for  Query   >  Dynamic  Database  Query     Path  Manipula6on*   >  UnsaniOzed  Data  Usage   >  Directory  Call  with  Dynamic  Inputs     Denial  of  Service  AJack   >  Hanging  JRE   >  Dynamic  Web  Page  Content   >  Processing  SensiOve  Data   >  Race  CondiOon   >  Struts  Config   >  XML  A_acks     File  Input/Output   >  Exposed  Buffers   >  Temporary  Files  in  Shared  Directories     Other  Unvalidated  User  Input*   >  LDAP  InjecOon*   >  Xpath  InjecOon*   >  Command  InjecOon*   >  Remote  Code  ExecuOon   >  Javax  Persistence  Security Insecure  Data  Storage   >  Insecure  File  Modes   >  No  Access  Control*   >  User  CredenOals  Stored*   >  Hardcoded  Password*   >  Access  to  Cache   >  HTTP  Auth  CredenOals  Stored*     Sensi6ve  Informa6on  Leakage   >  Dynamic  Web  Page  Content   >  System  InformaOon  Leak   >  Exposure  of  AuthenOcaOon  Objects   >  Use  of  printStack  Trace   >  ExcepOon  Handling   >  Autocomplete  Sebng   >  External  Storage  Used   >  Screen  View  Captured   >  Web  Page  Saved  to  Device   >  HTML  Form  Data   >  Insecure  ConfiguraOon  in  Manifest     Weak  Cryptography*   >  Security  Features   >  Weak  Cryptographic  Hash   >  Weak  EncrypOon   >  Outdated  Cipher   >  Weak  Algorithm   >  Secure  Number  RandomizaOon   >  Insufficient  Key  Size   >  Inadequate  RSA  Padding     Trust  Boundary  Viola6ons   >  User  Supplied  Data  to  Beans   >  Calls  AffecOng  CURL  Requests   >  Untrusted  Data  Source   >  UnsaniOzed  String   >  InjecOon  in  Email   >  Points  of  Interest   >  Entry  Point  ViolaOon   >  Socket  ConnecOon  Timeout   >  Socket  Stream  Timeout     Unvalidated  Redirects  &  Forwards   >  URL  RedirecOon*   >  User  RedirecOon*   Thread  APIs   >  Call  to  NoOfy()   >  InvocaOon  of  Thread.stop()   >  InvocaOon  of  Thread.run()     Struts  Misconfigura6on   >  XML  InjecOon   >  XML  DTD  A_ack   >  Missing/Duplicate  Form  Bean*   >  Missing  Forward  Name  A_ribute*   >  Missing  Path/Type  A_ribute*   >  Unnecessary  A_ribute   >  Required  Input  A_ribute   >  Invalid  ExcepOon  Scope   >  Missing  Form-­‐Property  Type   >  Dangerous  RelaOve  Path   >  AcOon  Not  Validated     Configura6on   >  ASP.NET  ConfiguraOon*   >  PHP  ConfiguraOon*   >  Environment  Variable  Value   >  Session  Timeout  ConfiguraOon*   >  Session  InacOve  Interval*   >  ImplementaOon  Time  Logic  Flaws   >  Call  to  ReadLine   >  Race  CondiOon   >  Hidden  Field     Improper  Error  Handling   >  Unspecified  Error  Page   >  JSP  Defines  Error  Page   >  JSONRPC  Security     Log  Handling   >  UnsaniOzed  Data  Wri_en  to  Logs   >  Private  User  Data  Logged     Cookie  Security*   >Overly  Broad  Paths   >  Insufficient  Transport  Layer  ProtecOon   >  Session  Management     Resource  Handling   >  File  Input  Output   >  Hibernate  Security   >  Resource  Not  Closed  in  Finally  Block   *2013  OWASP  Top  10の関連項目 SecureAssistにより、主な脆弱性攻撃によるリスクを80%減少させることが可能になります。   OWASP  Top  10  important  risksやCWE  Top  25に対応
  • 5.
    開発チームはコードに自信が持てるようになります   重要な問題を発見・修正そして学習する好循環を加速します。 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 5 1.  Find  vulnerabiliOes  early    セキュリティ問題を潜在させない問題発見手法     2.  Educate  to  fix  &  prevent  them    セキュリティ欠陥を未然に防ぎ、学習効果向上   3.  Improved  quality  throughout  SDLC    開発ライフサイクルを改善し、ソフトウェア品質向上  
  • 6.
    チーム統合機能:   IDE  Plugin  and  Enterprise  Portal |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 6 SecureAssist   Enterprise  Portal IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE(統合開発環境)Pluginの機能 ・Work  Faster    ・Work  Smarter    ・Keep  security  in  mind    より早く         より効率良く       セキュリティを常に意識 ・Ac6onable  intelligence    利活用可能な統計情報   ・Simplify  updates    アップデートの簡略化   ・Manage  users    ユーザーの管理   ・Deliver  Review  RuleSet    独自ルールセットの配布   ・Deliver  Code  Guideline    ガイドドキュメントの配布  
  • 7.
    Enterprise  Portal管理画面 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 7 •  プロジェクトやユーザーごとの 統計情報、可視化、および  レポートの出力   •  チーム独自のガイドラインの 設定、リアルタイム反映   •  ユーザーの管理とプラグイン のライセンス配布 チーム全体のセキュアコーディング状況を集約する機能
  • 8.
    リリース直前に脆弱性を見つかって大量修正・・・   セキュリティ品質の確保でお悩みですか? |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 8 リリース前修正!リリース後の 問題指摘!    脆弱性対策のための手法も    予算も時間もない!        ホントに面倒くさい (T_T)  
  • 9.
    セキュア開発の段階をエンパワーする   開発者のためのSecureAssist |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 9 Planning  &   Requirements Design  &   Architecture Development TesOng ProducOon Maintenance SAST  静的解析 DAST  動的解析 要因の 85% システム脆弱性の85%は   開発段階に起因   •  IDEでコードレビュー   •  チーム統合機能   •  コストパフォーマンス 開発レビュー MOINTORING ライフサイクル設計・教育
  • 10.
    脆弱性は元から断たなきゃダメ! システム脆弱性の85%は開発段階に起因します。 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 10 ソフトウェア開発におけるセキュリティ対応は、開発プロセスの後 工程になればなるほどリスクが高く、手戻りの時間もコストも高く つきます。 開発チームがソースコードにもっともかか わっているタイミングで問題の原因を取り 除くことが必要であり、対策の効率は飛躍 的に向上します。 解決策:   開発者全員が自分で使える Reviewツール。  5X 10X 30X Coding Integra6on/ component   tes6ng System   tes6ng Produc6on 85% 15X 当段階で発生した脆弱性(%) 当段階で発見された脆弱性(%) 当段階での脆弱性修正コスト
  • 11.
    SecureAssist  開発元   米Cigital社のご紹介cigital.com |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 11   •  世界最大級の、ソフトウェアセキュリティに特化した   コンサルティング・サービス提供会社   •  1992年に創業   •  世界で最初の、静的コード解析の商用ツールを開発、   主要な静的解析ツールに採用されている。     •  ソフトウェアセキュリティ業界のオピニオンリーダー     •  OWASP  Global  Supporter                    
  • 12.
    Cigital社のソリューションを活用している企業 •  Fortune  500も含む大手企業270社以上 • 金融機関の上位10社の内9社 •  米国銀行の上位20銀行の内16銀行 •  ソフトウェアセキュリティ会社の上位3社 •  保険会社の上位3社 •  米国最大のゲーム会社 •  テクノロジー会社の上位10社の内5社 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 12
  • 13.
    Cigital社のCTO   Gary  McGraw氏 Gary  McGraw,  Ph.D.(ゲイリー・マグロー)   -­‐  Cigital,  Inc. CTO   •  セキュアな開発の方法論の第一人者 •  “Building  Secure  SoBware  and  SoBware  Security”   (邦題:Building  Secure  Soqwareーソフトウェアセキュリティについて開発者が知っているべ きこと)などの著者   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 13 「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー としてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現す る市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに 長い期間目指してきたものです。」 -­‐  Gary  McGraw,  Cigital,  Inc.  CTO  
  • 14.
  • 15.
    Thanks   •  導入のご相談、お見積もり、試用期間  30日のフル機能検証 は無料です。   •  活用手段はさまざま   –  開発会社様へのご提供   –  コンサルティングとのコラボレーション   –  セキュア開発ソリューションへの組み込み   –  教育ツールとしてのご活用   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 15 Cigital社チャネルパートナー   アスタリスク・リサーチ    アプリケーションセキュリティ・チームをよろしくお願いします。