SlideShare a Scribd company logo

オワスプナイト20150115 dependency check

Hiroaki Kuramochi
Hiroaki Kuramochi

オワスプナイト15th(2015/01/15)の講演資料です。

Software
1 of 32
Webアプリセキュリティ教育に関する取組み と OWASP dependncy checkを使ってみて 2015/01/15 @オワスプナイト 15th 株式会社ラック 倉持 浩明
about.me 倉持 浩明 株式会社ラック 執行役員 システムサービス本部 副本部長 兼 サービス企画部長 兼 産業システム統括部長 Project Management Professional
会社紹介 商 号 株式会社ラック 本社 東京都千代田区平河町 2-16-1 平河町森タワー 設 立 2007年10月1日 資本金 10億円 売上高 連結 330億円 (2014年3月期) 上場市場 ジャスダック市場(3857) 従業員数 連結 1,524名 (2014年4月1日現在) 事業内容 セキュリティソリューションサービス システムインテグレーションサービス 情報システム関連商品の販売およびサービス
本日お話ししたい事 1. Webアプリセキュリティ教育に関する取組み 2. OWASP dependency checkを使ってみて
紺屋の白袴ではダメ
Webアプリセキュリティ教育に関する取組み 1. 半日の入門コースを定期開催 – 基本的に座学中心 – 脆弱性のメカニズムと対策について、原理・原則を学ぶ – 受講者は、「PM」「SE」等の技術職以外に、Web企画職の方も 2. 社内ハードニングイベントを開催 – 現実的に起こりうるシナリオを体験する – 開発・運用・インシデント対応で必要なスキルを学ぶ 理論 実践
アジェンダ(例) • Webアプリケーションインシデントとビジネスインパクト事例 • セキュアなWebアプリケーション開発ー 概 論 ー • Webアプリケーションのセッション管理 • セッション管理の不備をついた攻撃と対策 – セッションハイジャック – セッションフィクセーション(セッション固定) – クロスサイト・リクエスト・フォージェリ • 入出力の不備を突いた攻撃と対策 – クロスサイトスクリプティング – SQLインジェクション – OSコマンドインジェクション – ディレクトリトラバーサル – 改行コードインジェクション • HTTPSの利用に関する注意事項 • 認証に関するお話 • クリックジャッキング対策 • HALF-DAY BOOT CAMP:半日の集中セッション • 脆弱性のメカニズムと対策の「原理・原則」を学ぶ • 座学+小テスト+グループディスカッション
受講者数の推移 累計受講者数:1,422名(2014年12月) 2014年2月以降はコンスタントに開催
Developer Security Training インストラクター:Jim Manico Jimのトレーニングを受講したことが、 (講師を)継続する励みになっています!
WASForum Hardening10 Evolutions In Okinawaの模様
社内ミニ「はーどにんぐ」イベントの模様(2014/12) • WASForum Hardening 10 E in Okinawaの コンテンツをカスタマイズして利用 • 「コンテスト」ではなく「トレーニング」とし、 • 参加者の心理的ハードルを下げ、たくさんの方に 受講してもらう
ハードニングを研修に取り入れよう! • 個々の脆弱性に関する知識だけでは実践で通用しない • スキルエリアの専門化;「アプリケーション開発者」 「インフラエンジニア」「ネットワークエンジニア」 「セキュリティエンジニア」・・・ • 実務で必要なのは総合力 • 「攻撃者の立場になって考えてみる」良い機会 • (社外イベントは)自身のスキルレベルと、今後のスキ ルアップに必要なことを把握することができる良い機会
OWASP Dependency Check https://www.owasp.org/index.php/OWASP_Dependency_Check
背景:OWASP Top10/2013 The OWASP Top-10 2013 / Dave Wichers https://speakerdeck.com/owaspjapan/the-owasp-top-10-2013-number-appsecapac2014
背景:OWASP Top10/2013 • 2013年から新たに加わったのが第9位の 「既知の脆弱性を持つコンポーネントの使用」 • 脆弱性が残るフレームワークやライブラリなどの コンポーネントをそのまま使用しているサービス は非常に多い。
Strutsの脆弱性(2014)
ITPro 西本逸郎のIT社会サバイバル術ーいまだ攻撃は継続中、脆弱性といかに付き合うべきか(下) http://itpro.nikkeibp.co.jp/article/COLUMN/20140608/562402/
Third-Party Dependencies • Application typically use 30 or more libraries. • 88 percent of code today’s application comes from libraries and frameworks. • 26 percent had known vulnerabilities. • Most vulnerabilities are undiscovered. Jeff Williams & Arshan Dabirsiaghi The Unfortunate Reality of Insecure Libraries Aspect Security (March 2012)
The OWASP Top-10 2013 / Dave Wichers https://speakerdeck.com/owaspjapan/the-owasp-top-10-2013-number-appsecapac2014
ライブラリ管理の現状? EXCELやWikiによる管理 情報収集 開発環境 検証環境 本番環境 環境によるバージョン差異
ライブラリ管理の課題 • 利用しているライブラリ、バージョンを管理する • ライブラリの脆弱性情報を収集する • 定期的なパッチマネジメントを計画し、実行する • パッチを適用したら、テストをしてからリリースする • 環境によるバージョン差異
解決策:自動化 The OWASP Top-10 2013 / Dave Wichers https://speakerdeck.com/owaspjapan/the-owasp-top-10-2013-number-appsecapac2014
管理できないなら、 自動化しちゃえば良いじゃない
OWASP Dependency Check https://www.owasp.org/index.php/OWASP_Dependency_Check • Simple answer to the A9 problem • Identifies libraries and reports on known/published vulnerabilities • Currently limited to Java & .NET libraries
インターフェイス • Command Line Tool • Maven Plugin • Ant Task • Jenkins Plugin dependency-check.sh --app "My App Name" --scan "/java/application/lib"
動作メカニズム(概要) 1. 対象となるJARファイルをスキャンし、「ライブラリ名」 「開発ベンダー」「バージョン」情報を収集。 – これらの情報は、Manifestファイル、pom.xml(Maven)、パッ ケージ名から収集する。 – ファイルハッシュで比較している訳ではない 2. NVD CVEデータベースを参照し、対象ライブラリ(バー ジョン)に脆弱性があるかどうかをレポート。
レポートのサンプル Dependencies Scanned: 39 Vulnerable Dependencies: 7
調査結果 対象システム ライブラリ数 脆弱 比率 A 29 2 7% B 39 7 18% C 48 7 15% D 98 14 14% E 31 5 16% F 28 5 18% G 55 5 9% H 31 6 19% I 22 2 9% J 64 5 8% K 39 7 18% 平均 44 6 13%
調査結果 OWASP dependency checkを使ったライブラリ調査結果 (11のJavaシステムに対する調査結果) • 1システムあたり平均44のライブラリが利用されており、 • そのうち13%のライブラリには既知の脆弱性がある
ライブラリ管理の課題 • 利用しているライブラリ、バージョンを管理する • ライブラリの脆弱性情報を収集する • 定期的なパッチマネジメントを計画し、実行する • パッチを適用したら、テストをしてからリリースする • 環境によるバージョン差異 dependency checkがカバー 残る課題(セキュリティ対策以前?)
No Silver Bullet! あたりまえのことを、あたりまえに・・・。 • バージョン管理 • テスト自動化 • ドキュメント • 教育 • ・・・ • “Quality is Planned in – not Inspected in”

Recommended

OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 JapaneseOWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 JapaneseHiroaki Kuramochi
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftRiotaro OKADA
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略Riotaro OKADA
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 

Recommended

OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 JapaneseOWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 JapaneseHiroaki Kuramochi
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftRiotaro OKADA
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略Riotaro OKADA
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県Riotaro OKADA
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - Riotaro OKADA
 
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介OSSラボ株式会社
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)Sen Ueno
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方OWASP Nagoya
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other MeasuresTyphon 666
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~Riotaro OKADA
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...Typhon 666
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについてTyphon 666
 
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?Yukiya Hayashi
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-Typhon 666
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
20220113 my seeking_sre_v3
20220113 my seeking_sre_v320220113 my seeking_sre_v3
20220113 my seeking_sre_v3Ayachika Kitazaki
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
phpcon kansai 20140628
phpcon kansai 20140628phpcon kansai 20140628
phpcon kansai 20140628ichikaway
 
クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!Mizutani Masayoshi
 
低対話型サーバハニーポットの運用結果及び考察
低対話型サーバハニーポットの運用結果及び考察低対話型サーバハニーポットの運用結果及び考察
低対話型サーバハニーポットの運用結果及び考察Takaaki Hoyo
 

More Related Content

What's hot

シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県Riotaro OKADA
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - Riotaro OKADA
 
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介OSSラボ株式会社
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)Sen Ueno
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方OWASP Nagoya
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other MeasuresTyphon 666
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~Riotaro OKADA
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...Typhon 666
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについてTyphon 666
 
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?Yukiya Hayashi
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-Typhon 666
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
phpcon kansai 20140628
phpcon kansai 20140628phpcon kansai 20140628
phpcon kansai 20140628ichikaway
 

What's hot (20)

シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
 
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
 
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
 
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
 
20220113 my seeking_sre_v3
20220113 my seeking_sre_v320220113 my seeking_sre_v3
20220113 my seeking_sre_v3
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
 
phpcon kansai 20140628
phpcon kansai 20140628phpcon kansai 20140628
phpcon kansai 20140628
 

Viewers also liked

クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!Mizutani Masayoshi
 
低対話型サーバハニーポットの運用結果及び考察
低対話型サーバハニーポットの運用結果及び考察低対話型サーバハニーポットの運用結果及び考察
低対話型サーバハニーポットの運用結果及び考察Takaaki Hoyo
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)JPCERT Coordination Center
 
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道junk_coken
 
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)脆弱性診断研究会
 
サーバ攻撃されてみた
サーバ攻撃されてみたサーバ攻撃されてみた
サーバ攻撃されてみたKimie Furuya
 
サイバー考古学@ささみ 2017.2.20
サイバー考古学@ささみ 2017.2.20サイバー考古学@ささみ 2017.2.20
サイバー考古学@ささみ 2017.2.20Masahiro Tabata
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010Sen Ueno
 
ダークネットのはなし #ssmjp
ダークネットのはなし #ssmjpダークネットのはなし #ssmjp
ダークネットのはなし #ssmjpsonickun
 
connpass運営が選ぶこのコミュニティがすごい〜コミュニティマネージャーSummit2017
connpass運営が選ぶこのコミュニティがすごい〜コミュニティマネージャーSummit2017connpass運営が選ぶこのコミュニティがすごい〜コミュニティマネージャーSummit2017
connpass運営が選ぶこのコミュニティがすごい〜コミュニティマネージャーSummit2017Haruo Sato
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティHiroshi Tokumaru
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!zaki4649
 
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10Daiki Ichinose
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsKota Kanbe
 
RSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjpRSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjpsonickun
 

Viewers also liked (18)

クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!
 
低対話型サーバハニーポットの運用結果及び考察
低対話型サーバハニーポットの運用結果及び考察低対話型サーバハニーポットの運用結果及び考察
低対話型サーバハニーポットの運用結果及び考察
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
 
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
 
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
 
サーバ攻撃されてみた
サーバ攻撃されてみたサーバ攻撃されてみた
サーバ攻撃されてみた
 
サイバー考古学@ささみ 2017.2.20
サイバー考古学@ささみ 2017.2.20サイバー考古学@ささみ 2017.2.20
サイバー考古学@ささみ 2017.2.20
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
 
ダークネットのはなし #ssmjp
ダークネットのはなし #ssmjpダークネットのはなし #ssmjp
ダークネットのはなし #ssmjp
 
connpass運営が選ぶこのコミュニティがすごい〜コミュニティマネージャーSummit2017
connpass運営が選ぶこのコミュニティがすごい〜コミュニティマネージャーSummit2017connpass運営が選ぶこのコミュニティがすごい〜コミュニティマネージャーSummit2017
connpass運営が選ぶこのコミュニティがすごい〜コミュニティマネージャーSummit2017
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
 
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
 
Your hash is.
Your hash is.Your hash is.
Your hash is.
 
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
 
RSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjpRSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjp
 

Similar to オワスプナイト20150115 dependency check

オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...VirtualTech Japan Inc.
 
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...Nobuyuki Tamaoki
 
[Preview] MySQL session at Open Source Conference 2014 .Enterprise Osaka
[Preview] MySQL session at Open Source Conference 2014 .Enterprise Osaka[Preview] MySQL session at Open Source Conference 2014 .Enterprise Osaka
[Preview] MySQL session at Open Source Conference 2014 .Enterprise OsakaRyusuke Kajiyama
 
駅すぱあとWebサービスにおけるAWSとその周辺
駅すぱあとWebサービスにおけるAWSとその周辺駅すぱあとWebサービスにおけるAWSとその周辺
駅すぱあとWebサービスにおけるAWSとその周辺Mikawa Kouta
 
20161111 java one2016-feedback
20161111 java one2016-feedback20161111 java one2016-feedback
20161111 java one2016-feedbackTakashi Ito
 
20161119 java one-feedback_osaka
20161119 java one-feedback_osaka20161119 java one-feedback_osaka
20161119 java one-feedback_osakaTakashi Ito
 
20150920 中国地方db勉強会
20150920 中国地方db勉強会20150920 中国地方db勉強会
20150920 中国地方db勉強会yoyamasaki
 
AWS を活用して小さなチームで 世界で使われるサービスを運用する方法 - JAWS Days 2013
AWS を活用して小さなチームで 世界で使われるサービスを運用する方法 - JAWS Days 2013AWS を活用して小さなチームで 世界で使われるサービスを運用する方法 - JAWS Days 2013
AWS を活用して小さなチームで 世界で使われるサービスを運用する方法 - JAWS Days 2013Takashi Someda
 
Iss seminar 2010709#1-upload
Iss seminar 2010709#1-uploadIss seminar 2010709#1-upload
Iss seminar 2010709#1-uploadOpenwave Systems
 
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetupS Akai
 
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のことv6app
 
2014-01-28 Operation in the future
2014-01-28 Operation in the future2014-01-28 Operation in the future
2014-01-28 Operation in the futureOperation Lab, LLC.
 
Agile japan2016 a 2 ricksoft
Agile japan2016 a 2 ricksoftAgile japan2016 a 2 ricksoft
Agile japan2016 a 2 ricksoftHiroshi Ohnuki
 
Visual Studio Onlineで実践するDevOps手法
Visual Studio Onlineで実践するDevOps手法Visual Studio Onlineで実践するDevOps手法
Visual Studio Onlineで実践するDevOps手法Takashi Takebayashi
 
20150131 ChugokuDB-Shimane-MySQL
20150131 ChugokuDB-Shimane-MySQL20150131 ChugokuDB-Shimane-MySQL
20150131 ChugokuDB-Shimane-MySQLRyusuke Kajiyama
 
OWASP Top 10 超初級編
OWASP Top 10 超初級編OWASP Top 10 超初級編
OWASP Top 10 超初級編AkitadaOmagari
 
【SQiP2016】楽天のアジャイル開発とメトリクス事例
【SQiP2016】楽天のアジャイル開発とメトリクス事例【SQiP2016】楽天のアジャイル開発とメトリクス事例
【SQiP2016】楽天のアジャイル開発とメトリクス事例Kotaro Ogino
 

Similar to オワスプナイト20150115 dependency check (20)

オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
 
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
 
[Preview] MySQL session at Open Source Conference 2014 .Enterprise Osaka
[Preview] MySQL session at Open Source Conference 2014 .Enterprise Osaka[Preview] MySQL session at Open Source Conference 2014 .Enterprise Osaka
[Preview] MySQL session at Open Source Conference 2014 .Enterprise Osaka
 
駅すぱあとWebサービスにおけるAWSとその周辺
駅すぱあとWebサービスにおけるAWSとその周辺駅すぱあとWebサービスにおけるAWSとその周辺
駅すぱあとWebサービスにおけるAWSとその周辺
 
Owasp top10 HandsOn
Owasp top10 HandsOnOwasp top10 HandsOn
Owasp top10 HandsOn
 
20161111 java one2016-feedback
20161111 java one2016-feedback20161111 java one2016-feedback
20161111 java one2016-feedback
 
20161119 java one-feedback_osaka
20161119 java one-feedback_osaka20161119 java one-feedback_osaka
20161119 java one-feedback_osaka
 
Jasst15 webjasst
Jasst15 webjasstJasst15 webjasst
Jasst15 webjasst
 
20150920 中国地方db勉強会
20150920 中国地方db勉強会20150920 中国地方db勉強会
20150920 中国地方db勉強会
 
AWS を活用して小さなチームで 世界で使われるサービスを運用する方法 - JAWS Days 2013
AWS を活用して小さなチームで 世界で使われるサービスを運用する方法 - JAWS Days 2013AWS を活用して小さなチームで 世界で使われるサービスを運用する方法 - JAWS Days 2013
AWS を活用して小さなチームで 世界で使われるサービスを運用する方法 - JAWS Days 2013
 
OWASP Projects
OWASP ProjectsOWASP Projects
OWASP Projects
 
Iss seminar 2010709#1-upload
Iss seminar 2010709#1-uploadIss seminar 2010709#1-upload
Iss seminar 2010709#1-upload
 
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
 
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
 
2014-01-28 Operation in the future
2014-01-28 Operation in the future2014-01-28 Operation in the future
2014-01-28 Operation in the future
 
Agile japan2016 a 2 ricksoft
Agile japan2016 a 2 ricksoftAgile japan2016 a 2 ricksoft
Agile japan2016 a 2 ricksoft
 
Visual Studio Onlineで実践するDevOps手法
Visual Studio Onlineで実践するDevOps手法Visual Studio Onlineで実践するDevOps手法
Visual Studio Onlineで実践するDevOps手法
 
20150131 ChugokuDB-Shimane-MySQL
20150131 ChugokuDB-Shimane-MySQL20150131 ChugokuDB-Shimane-MySQL
20150131 ChugokuDB-Shimane-MySQL
 
OWASP Top 10 超初級編
OWASP Top 10 超初級編OWASP Top 10 超初級編
OWASP Top 10 超初級編
 
【SQiP2016】楽天のアジャイル開発とメトリクス事例
【SQiP2016】楽天のアジャイル開発とメトリクス事例【SQiP2016】楽天のアジャイル開発とメトリクス事例
【SQiP2016】楽天のアジャイル開発とメトリクス事例
 

オワスプナイト20150115 dependency check