More Related Content
Similar to Security issue201312
Similar to Security issue201312 (20)
More from Riotaro OKADA (20)
Security issue201312
- 4. 1. Cloud computing WEBサイトは雲の上に
• 責任管理境界はますますあいまいに
– クラウドサービス
• プラットフォームAmazon EC2/S3 etc
• ストレージ
• サービスプロビジョニング
• API
– マッシュアップ:他社のウェブAPIに依存する機能
• 他社のAPIに依存
– Web on Web on Web on ….Google
• XML(RSS)データによる連動
2013©
Riotaro
OKADA
- 5. 2. Crowd 群衆の自由が大きくなる
• ユーザの期待レベルが高まる
– インターネットに大事な情報が
置かれるようになった
• デジタルデータ
• オンラインバンキング
– インターネットがホビーからライ
フラインに変化した
• 決済サービス、電子マネー
• 携帯とPCの境界線もあいま
いに
2013©
Riotaro
OKADA
- 9. BCP コンセプトの進化
敏捷性 “Rapidity”
臨機性 “Resourcefulness”
有事に強い Disaster Resilience
冗長性“Redundancy”
堅牢性 “Robustness”
軽減/備え Mitigation Preparedness
神ワザ・人海戦術 “Act
of
God”
逐次対応 Adhoc Response
19xx’s
2000’s
2010’s
2013©
Riotaro
OKADA
- 10. Your Code is Part of Your Security Perimeter
Billing!
Human Resrcs!
Directories!
APPLICATION
ATTACK!
Web Services!
Custom Developed
Application Code!
Legacy Systems!
Databases!
Application Layer!
アプリケーションに多くの”入り口”!
Web Server!
Hardened OS!
Firewall!
Firewall!
Network Layer!
App Server!
ネットワーク・レイヤーの防御(firewall, SSL, IDS, network hardening)!
では、アプリレイヤーの攻撃を止めたり防御したりすることはできない。!
2013©
Riotaro
OKADA
- 20. OWASP Top10 for 2013リリース
Webアプリケーション脆弱性トップ10
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
• A1 Injection
• A2 Broken Authentication and Session Management
• A3 Cross-Site Scripting (XSS)
• A4 Insecure Direct Object References
• A5 Security Misconfiguration
• A6 Sensitive Data Exposure
• A7 Missing Function Level Access Control
• A8 Cross-Site Request Forgery (CSRF)
• A9 Using Components with Known Vulnerabilities
• A10 Unvalidated Redirects and Forwards
PDFを見る->
2013©
Riotaro
OKADA
- 25. 日本語版アリ
Development Guide
• セキュアWebアプリケーションのための設計・
構築・運用ガイドライン
– どの程度安全にするか?
• セキュリティガイドライン、認証、セッション管理、アクセス
制御、イベントのログ監視、データ検証、よく起こる問題
(XSSなど)を防ぐ方法、プライバシーへの配慮、暗号技術
– 2010年版が最新、日本語版は2002年
2013©
Riotaro
OKADA
- 26. Code Review Guide
• セキュリティコードレビュー
• コードレビューのプロセスではなく、特定の脆弱
性に焦点を当てている
– 脆弱なコードのサンプルなど
• 言語別のベストプラクティス
– Java, Classic ASP, PHP, C/C++, MySQL, Flash,
AJAX, Web Services
2013©
Riotaro
OKADA
- 27. Testing Guide
• Webサイト/アプリケーションのテストガイド、全
349ページ(Ver.3)
• 各脆弱性、機能別のテスト方法
– Information Gathering, Configuration
Management Testing, Authentication Testing,
Session Management, Authorization Testing,
Business logic testing, Data Validation Testing,
DoS Testing, Web Services Testing, AJAX
Testing
2013©
Riotaro
OKADA
- 29. 全員全力で
• 顧客
– OWASP Top 10に示されるようなシンプルな問題はないウ
ェブアプリケーションを要求すべし。
• 開発者
– 安全なコードを書くことに責任を持つべし。
• ソフトウェア開発企業・組織
– Top 10問題がないもののみを出荷することを保証すべし。
• 教育者
– 安全でないコードを使って教育するのを直ちにやめるべし。
• プロジェクトマネージャ
– セキュリティ予算をネットワークとアプリケーションで配分し
て確保すべし。
– パフォーマンスレビュー(負荷テスト)にセキュリティチェッ
クのパートを加えるべし。
2013©
Riotaro
OKADA
- 32. OWASP Japan Local Chapter Meetings 2012
Consistent meeting attendance since 1st year of activities…
1st
2nd
4th
3rd
Year End Party
2013©
Riotaro
OKADA
- 37. AppSec APAC 2014 in Tokyo
ソラシティ・カンファレンスセンター
■Experience culture of Japan during sakura cherry blossom season
■Central location near Akihabara with reasonable hotels nearby
■Excellent networking opportunities with world-class professionals
2013©
Riotaro
OKADA
- 38. Why Tokyo?
Visit Tokyo, central location near Akihabara
Akihabara electronics town is the heart of Japan’s otaku sub-culture
Reasonable hotels minutes away from Tokyo’s most interesting area
Perfect time to visit Japan
Not only does Tokyo have countless sightseeing spots, it has the
world’s largest number of Michelin 3 star restaurants…
and March is sakura cherry blossom season!
Once in a lifetime opportunity!
2013©
Riotaro
OKADA
- 39. Only in Tokyo
Experience…
Japanese pop culture first hand
while at the same time
networking with OWASP Japan
and security specialists from
Japan and around the world!
2013©
Riotaro
OKADA
- 41. Keynote Speakers
奈良先端科学技術大学院大学教授"
山口 英 "
Suguru Yamaguchi"
OWASP Top 10執筆者"
デイブ・ウィッチャーズ"
Dave Wichers "
"
"
奈良先端科学技術大学院大学
教授。元日本政府内閣官房情
報セキュリティ対策推進室情
報セキュリティ補佐官。"
2004年から2010年まで、日本
政府内閣官房情報セキュリテ
ィ対策推進室(現内閣官房情
報セキュリティセンター)情
報セキュリティ補佐官に任命
され、内閣官房情報セキュリ
ティセンター( NISC )の設
立に関わる政府の情報セキュ
リティ基本計画の設計と実装
に携わった。
デイブ・ウィッチャーズ
はアスペクトセキュリテ
ィの共同創設者であり、
COOを務める。同社は、
アプリケーションセキュ
リティサービスに特化し
た専門企業である。彼は
OWASPボードメンバーと
しての長い貢献があり、
OWASP Top 10執筆者で
ある。
"
"
AppSec Apacは、ウェブ・セキュリティについて、世界から日本に、また日本から世界に向けて、
業界の最新の動向をシェアし、技術実装のノウハウや知見について共有できる機会となります。
2013©
Riotaro
OKADA