SlideShare a Scribd company logo

ネットワークから学ぶソフトウェアセキュリティの基礎

Yasuo Ohgaki
Yasuo Ohgaki

残念ながらネットワークでは”当たり前”のセキュリティ構造(アーキテクチャー)がソフトウェアでは”当たり前”ではありません。 アーキテクチャーに問題がある場合、十分なリスク管理レベルを達成することが困難になります。 ネットワークの当たり前、をソフトウェアでも行うと確実に安全性が向上します。

Software
1 of 30
Download to read offline
ネットワークから学ぶ ソフトウェアセキュリティの基礎 エレクトロニック・サービス・イニシアチブ 大垣 靖男
自己紹介 • 氏名: 大垣 靖男 • SNS:yohgaki(FB/G+/TW) • https://blog.ohgaki.net/ • yohgaki@ohgaki.net • https://www.es-i.jp/ • エレクトロニック・サービス・ イニシアチブ有限会社 代表取締 役社長、PostgreSQLユーザー 会 理事、PHP技術者認定 顧問、 BOSSCON CTO、岡山大学大学 院 非常勤講師 • Webシステム開発のコンサル ティング、テクニカルサポート、 セキュリティ検査など • PHPコミッター © Electronic Service Initiative, Ltd. https://es-i.jp/ 2
ある程度の規模のネットワーク構成 • エッジルーター • インターネットに接続する境界のルーター • インターネットとイントラネットを接続・分離 • 部門ルーター • 各部門の部門ネットワークに接続されたルーター • 各部門のネットワークの仕様に従って接続・分離 • 部門ネットワーク • それぞれの部門はセキュリティ要求に従って接続・分離 © Electronic Service Initiative, Ltd. https://es-i.jp/ 3
信頼境界線 • 一番重要な信頼境界線はインターネットとイントラネットの境界 • 各部門もそれぞれ信頼境界を持つ © Electronic Service Initiative, Ltd. https://es-i.jp/ 5
インターネットと イントラネットの 信頼境界 イントラネット内 にもそれぞれ 信頼境界 まず最外周の境界で可能な限りの防御 をするのがネットワークセキュリティ の当たり前
多層防御 • 多層防御:複数のレイヤーからなる防御策 • ネットワークではインターネットから分離して防御するだけで なく、ネットワークセグメント別に更なる防御が実装されてい る。 • ネットワークのみでなく、現在は普通にクライアントやデバイ スにもファイアウォールが利用され、デバイス毎に境界防御を 行う。 © Electronic Service Initiative, Ltd. https://es-i.jp/ 7
ネットワークの多層防御イメージ エッジ ルーター 部門ルーター 部門 ネットワーク デバイス 各信頼境で適切に防御 インターネット © Electronic Service Initiative, Ltd. https://es-i.jp/ 8
ネットワークの基本セキュリティ をソフトウェアに置き換える 主にWEBアプリを対象に ネットワーク図はそのままソフトウェアのアーキテクチャとして利用 © Electronic Service Initiative, Ltd. https://es-i.jp/ 9
Webアプリ コントローラー モデル ライブラリ ライブラリ ビュー ビュー ビュー
Webアプリで よくあるセキュリティモデル • モデルにより「入力境界の防御」を行う • Rails系、MVC系のフレームワークはコレ • ビューにより「出力境界の防御」を行う • 先の図でいうと次の通り © Electronic Service Initiative, Ltd. https://es-i.jp/ 11
Webアプリ コントローラー モデル ライブラリ ライブラリ ビュー ビュー ビュー まず最外周の境界で可能な限りの防御をする のがネットワークセキュリティの当たり前だ が、ソフトウェアでは・・・
Webアプリで よくあるセキュリティモデル • モデルにより「入力境界の防御」を行う • Rails系、MVC系のフレームワークはコレ • ビューにより「出力境界の防御」を行う ネットワーク設計の場合なら、この ようなセキュリティ設計をするエン ジニアは失格でしょう ソフトウェアの場合、セキュリティ設 計の概念が欠落している。このため、 ネットワーク設計なら「あり得ない設 計」でも許されている。 © Electronic Service Initiative, Ltd. https://es-i.jp/ 13
インターネットと イントラネットの 信頼境界防御なし イントラネット内 にもそれぞれ 信頼境界がない ネットワークエンジニアであれば、 これはあり得ない設計・・・
Webアプリの あるべきセキュリティモデル • 最外周の信頼境界での境界防御が必要 • 現状は最外周の防御が「出力境界だけ」しかないモデルが当たり前 • 「出力境界の防御」だけが当たり前ではセキュアにならない © Electronic Service Initiative, Ltd. https://es-i.jp/ 15
インターネットと イントラネットの 信頼境界で入力検証 コントローラー モデル ライブラリ ライブラリ ビュー ビュー ビュー まず最外周の境界で可能な限りの防御 をするのがネットワークセキュリティ の当たり前、はソフトウェアにも必要 ソフトウェア内にもそれぞ れ信頼境界 出力境界の特に重要
Webアプリの多層防御イメージ モデル ライブラリ等 ビュー 各信頼境で適切に防御 インターネット コントローラー © Electronic Service Initiative, Ltd. https://es-i.jp/ 17
ネットワークでは なぜ“最外周”の信頼境界防御が重要か? • 内部のデバイス全てを「安全」にするのが理想だが現実は・・・ • 全てのデバイスを「安全」にするのは困難 • デバイスは入れ替わる場合が多い • 全てのデバイスに全てのセキュリティパッチの即時適用は困難 • 意図的に古く脆弱なデバイスを使っている場合も ソフトウェアエンジニア でも困難であると解るはず © Electronic Service Initiative, Ltd. https://es-i.jp/ 18
ソフトウェアでも なぜ“最外周”の信頼境界防御が重要か? • 内部のデバイス全てを「安全」にするのが理想だが現実は・・・ • 全てのデバイスコードを「安全」にするのは困難 • デバイスコードは入れ替わる(書き換えられる)場合が多い • 全てのデバイスコードに全てのセキュリティパッチの即時適用は 困難 • 意図的に古く脆弱なデバイスコードを使っている場合も ソフトウェアエンジニア なら困難であると知っている はず © Electronic Service Initiative, Ltd. https://es-i.jp/ 19
少し気になる誤解 • 入力境界の防御(入力バリデーション)は“ソフトウェアの仕 様”でセキュリティ対策ではない • これは、明らかに誤りです。セキュアコーディング基礎を具体 的に解説していた旧版ISO27000では“リスク管理”の一環とし てセキュリティ対策(リスク対応策)として、定期的なレ ビュー(見直し)を求めています。 • “ソフトの仕様“としセキュリティ対策として管理(見直し)し ない場合、重要な境界防御の脆弱性を見過ごすことに。 © Electronic Service Initiative, Ltd. https://es-i.jp/ 20
まとめ © Electronic Service Initiative, Ltd. https://es-i.jp/ 21
ソフトウェアの セキュリティアーキテクチャは・・・ • ネットワークセキュリティアーキテクチャと比べると 「失格レベル」のアーキテクチャが多い © Electronic Service Initiative, Ltd. https://es-i.jp/ 22
なぜ失格レベルの セキュリティアーキテクチャばかりなのか? • セキュリティアーキテクチャが無いのが当たり前だった • 習慣は変えづらい。今時、「関数などを無視した非構造化プログラミング が良い!」と言う人は一人も居ない。しかし、ダイクストラが構造化プロ グラミングを提唱した当時は“本気で非構造化でも構わない!”と反論した 開発者は多数居た。 • セキュリティ専門家でさえ「セキュアなソフトウェアアーキテ クチャ」を教えていなかった、中には知らない人も • ダイクストラの構造化プログラミングは有害だとする専門家もいたくらい なので、これは仕方がないかも。だが周回遅れも甚だしい。 • 普通のコンピュータサイエンティストは遅くとも90年代初めに「防御的プ ログラミング」が提唱された時、つまり4半世紀前から知っているはず © Electronic Service Initiative, Ltd. https://es-i.jp/ 23
なぜ失格レベルの セキュリティアーキテクチャばかりなのか? • 特にインターネットでセキュリティを構造的・論理的に考えない開 発者(やセキュリティ専門家?)が、当たり前のセキュアなアーキ テクチャを全力で否定している • (まったくセキュリティを理解していないのに、異常に攻撃的な人が居る) • (普通の人はこういうのに関わりたくないので、そのうち解るだろう、と傍観 することが多い) • 私は成り行き上、なぜかセキュアなアーキテクチャの数少ないエバンジェリス トになっている(ただし、ISO27000とかを真面目にしている会社は言わなく てもやっている。ISO27000は2000年策定時からセキュアコーディングの基 礎技法を標準に記載していた。2014年版では「当たり前」になったとして、 セキュアプログラミング技術を採用する、と簡潔な表記に変更されています) © Electronic Service Initiative, Ltd. https://es-i.jp/ 24
セキュリティ専門家は以前から推奨してい た、がノイズにかき消されているのが現状 • ISO 27000 • CERT Top 10 Secure Coding Practices • OWASP Secure Coding ‐ Quick Reference Guide • CWE/SANS Top 25 • といった権威あるセキュリティ標準・ガイドラインは10年以上 というスパンで啓蒙している © Electronic Service Initiative, Ltd. https://es-i.jp/ 25
• 言葉だと解りづらいので図にすると © Electronic Service Initiative, Ltd. https://es-i.jp/ 26
• 基本アーキテクチャ – アプリケーション、モジュール、関 数・メソッド、粒度に関わらず共通 セキュアなソフトウェアアーキテクチャ © Electronic Service Initiative, Ltd. https://es-i.jp/ 27 入力 (HTML/JavaScript/JSON/データベース/OS/WebAPIなど) 入力処理 ロジック処理 出力処理 出力 (HTML/JavaScript/JSON/データベース/OS/WebAPIなど) アプリケーション 入力処理 ロジック処理 出力処理 入力処理 ロジック処理 出力処理 モジュール 関数・メソッド 各レイヤーの 境界防御 が防御の基本 ✓ アプリケーションレベルの境界 防御が特に重要 ✓ データは基本的に信頼できない ✓ アプリレベルで入力バリデー ションすれば、アプリ全体に対 して妥当性を保証可能 信頼境界線
入力 処理 出力 セキュリティ対策とコンテクスト • 入力処理 • 入力のコンテクストで バリデーション • 出力処理 • 出力のコンテクストで、エス ケープ、安全なAPI、バリデー ション(ホワイトリスト) © Electronic Service Initiative, Ltd. https://es-i.jp/ 28 ✓ HTML:コンテンツ、URI、JavaScript 文字列など ✓ SQL:引数、識別子、SQL語句、拡張 機能(正規表現、XML、JSON) ✓ LDAP、XPath、コマンド、etc ✓ 何処に出力するデータか?が重要 ✓ 金額、高さ、幅などの数値 ✓ 名前、住所、コメントなどの文字列 ✓ 電話、郵便番号などの定型文字列 ✓ 都道府県、年代などの分類・集合 ✓ それぞれのHTTP/SMTPヘッダーなど ✓ どのような入力データか?が重要 入力処理では “入力のコンテクスト“が重要 出力処理では ”出力のコンテクスト”が重要 ✓ できる限り“最終出力”に近い場所で セキュリティ処理を行う ✓ “最終出力”に近い場所の方が “コンテクスト”が明確 ✓ アプリケーションの入力バリデーション (ホワイトリスト型)が最も重要 ✓ 重要なモジュール/関数は縦深(多層) 防御 ど ち ら も コ ン テ ク ス ト が 重 要 ! 信頼境界線 信頼境界線
最後に • 脆弱性だけを潰していても、満足いくセキュリティレベルに到 達するのは「非常に困難」です。 • 理由: 合成の誤謬 • セキュアなアーキテクチャで作らないと、訴訟になった場合に 非常に不利です。契約金額以上の賠償金支払いの可能性があり ます。 • 理由:契約金額以上の賠償金支払いとなる判決があった • やっている所は黙ってやるべきことをやっています! © Electronic Service Initiative, Ltd. https://es-i.jp/ 29
セキュアなアーキテクチャは使って いる所では当たり前に使われていま す。ノイズに惑わされないように。 ご清聴ありがとうございました。 弊社ではソースコード検査/研修/テクニカルサポートなどの サービスも提供しています。お問い合わせはお気軽に。 © Electronic Service Initiative, Ltd. https://es-i.jp/ 30

Recommended

5分で解るセキュアコーディング
5分で解るセキュアコーディング5分で解るセキュアコーディング
5分で解るセキュアコーディングYasuo Ohgaki
 
SQLインジェクション総”習”編
SQLインジェクション総”習”編SQLインジェクション総”習”編
SQLインジェクション総”習”編Yasuo Ohgaki
 
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?Yasuo Ohgaki
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーYasuo Ohgaki
 
アプリ開発者に大きな影響 2017年版OWASP TOP 10
アプリ開発者に大きな影響 2017年版OWASP TOP 10 アプリ開発者に大きな影響 2017年版OWASP TOP 10
アプリ開発者に大きな影響 2017年版OWASP TOP 10 Yasuo Ohgaki
 
Web担当者が知っておくべきPHPとセキュリティ
Web担当者が知っておくべきPHPとセキュリティWeb担当者が知っておくべきPHPとセキュリティ
Web担当者が知っておくべきPHPとセキュリティYasuo Ohgaki
 
経営者・マネージャーが知るべき情報セキュリティ
経営者・マネージャーが知るべき情報セキュリティ経営者・マネージャーが知るべき情報セキュリティ
経営者・マネージャーが知るべき情報セキュリティYasuo Ohgaki
 
セキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試みセキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試みHiroshi Tokumaru
 

Recommended

5分で解るセキュアコーディング
5分で解るセキュアコーディング5分で解るセキュアコーディング
5分で解るセキュアコーディングYasuo Ohgaki
 
SQLインジェクション総”習”編
SQLインジェクション総”習”編SQLインジェクション総”習”編
SQLインジェクション総”習”編Yasuo Ohgaki
 
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?Yasuo Ohgaki
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーYasuo Ohgaki
 
アプリ開発者に大きな影響 2017年版OWASP TOP 10
アプリ開発者に大きな影響 2017年版OWASP TOP 10 アプリ開発者に大きな影響 2017年版OWASP TOP 10
アプリ開発者に大きな影響 2017年版OWASP TOP 10 Yasuo Ohgaki
 
Web担当者が知っておくべきPHPとセキュリティ
Web担当者が知っておくべきPHPとセキュリティWeb担当者が知っておくべきPHPとセキュリティ
Web担当者が知っておくべきPHPとセキュリティYasuo Ohgaki
 
経営者・マネージャーが知るべき情報セキュリティ
経営者・マネージャーが知るべき情報セキュリティ経営者・マネージャーが知るべき情報セキュリティ
経営者・マネージャーが知るべき情報セキュリティYasuo Ohgaki
 
セキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試みセキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試みHiroshi Tokumaru
 
PHPカンファレンス2014セキュリティ対談資料
PHPカンファレンス2014セキュリティ対談資料PHPカンファレンス2014セキュリティ対談資料
PHPカンファレンス2014セキュリティ対談資料Yasuo Ohgaki
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~Hiroshi Tokumaru
 
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則Hiroshi Tokumaru
 
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみようデバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみようHiroshi Tokumaru
 
安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018Hiroshi Tokumaru
 
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座Hiroshi Tokumaru
 
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016Hiroshi Tokumaru
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くHiroshi Tokumaru
 
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門Hiroshi Tokumaru
 
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...グローバルセキュリティエキスパート株式会社(GSX)
 
20141111 明日の認証会議資料(寺田)
20141111 明日の認証会議資料(寺田)20141111 明日の認証会議資料(寺田)
20141111 明日の認証会議資料(寺田)マジセミ by (株)オープンソース活用研究所
 
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪NHN テコラス株式会社
 
Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用マジセミ by (株)オープンソース活用研究所
 
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!zaki4649
 
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」Sen Ueno
 
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかにHiroshi Tokumaru
 
ウェブセキュリティの常識
ウェブセキュリティの常識ウェブセキュリティの常識
ウェブセキュリティの常識Hiroshi Tokumaru
 
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshareShinichiro Kawano
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_securityShinichiro Kawano
 
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-Yoshio SAKAI
 
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]Takeshi Takahashi
 

More Related Content

What's hot

PHPカンファレンス2014セキュリティ対談資料
PHPカンファレンス2014セキュリティ対談資料PHPカンファレンス2014セキュリティ対談資料
PHPカンファレンス2014セキュリティ対談資料Yasuo Ohgaki
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~Hiroshi Tokumaru
 
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則Hiroshi Tokumaru
 
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみようデバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみようHiroshi Tokumaru
 
安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018Hiroshi Tokumaru
 
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座Hiroshi Tokumaru
 
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016Hiroshi Tokumaru
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くHiroshi Tokumaru
 
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門Hiroshi Tokumaru
 
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...グローバルセキュリティエキスパート株式会社(GSX)
 
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪NHN テコラス株式会社
 
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!zaki4649
 
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」Sen Ueno
 
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかにHiroshi Tokumaru
 
ウェブセキュリティの常識
ウェブセキュリティの常識ウェブセキュリティの常識
ウェブセキュリティの常識Hiroshi Tokumaru
 
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshareShinichiro Kawano
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_securityShinichiro Kawano
 

What's hot (20)

PHPカンファレンス2014セキュリティ対談資料
PHPカンファレンス2014セキュリティ対談資料PHPカンファレンス2014セキュリティ対談資料
PHPカンファレンス2014セキュリティ対談資料
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
 
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
 
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみようデバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
 
安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018
 
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
 
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴く
 
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門
 
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
 
20141111 明日の認証会議資料(寺田)
20141111 明日の認証会議資料(寺田)20141111 明日の認証会議資料(寺田)
20141111 明日の認証会議資料(寺田)
 
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
 
Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用
 
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
 
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」
 
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
 
ウェブセキュリティの常識
ウェブセキュリティの常識ウェブセキュリティの常識
ウェブセキュリティの常識
 
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
 

Similar to ネットワークから学ぶソフトウェアセキュリティの基礎

高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-Yoshio SAKAI
 
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]Takeshi Takahashi
 
クラウドセキュリティ基礎
クラウドセキュリティ基礎クラウドセキュリティ基礎
クラウドセキュリティ基礎Masahiro NAKAYAMA
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~Hitachi, Ltd. OSS Solution Center.
 
将来必要となるエンジニアのスキルについて考える Ver3
将来必要となるエンジニアのスキルについて考える Ver3将来必要となるエンジニアのスキルについて考える Ver3
将来必要となるエンジニアのスキルについて考える Ver3Hiroshi Oyamada
 
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdfソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdfFumieNakayama
 
20160927_守るべきは、大量の情報資産を管理するデータベース! ~ユーザ事例から見るデータベースのセキュリティ対策~ by 株式会社インサイトテクノ...
20160927_守るべきは、大量の情報資産を管理するデータベース! ~ユーザ事例から見るデータベースのセキュリティ対策~ by 株式会社インサイトテクノ...20160927_守るべきは、大量の情報資産を管理するデータベース! ~ユーザ事例から見るデータベースのセキュリティ対策~ by 株式会社インサイトテクノ...
20160927_守るべきは、大量の情報資産を管理するデータベース! ~ユーザ事例から見るデータベースのセキュリティ対策~ by 株式会社インサイトテクノ...Insight Technology, Inc.
 
PHPにないセキュリティ機能
PHPにないセキュリティ機能PHPにないセキュリティ機能
PHPにないセキュリティ機能Yasuo Ohgaki
 
PHPにないセキュリティ機能
PHPにないセキュリティ機能PHPにないセキュリティ機能
PHPにないセキュリティ機能Yasuo Ohgaki
 
PHPにないセキュリティ機能
PHPにないセキュリティ機能PHPにないセキュリティ機能
PHPにないセキュリティ機能Yasuo Ohgaki
 
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ日本マイクロソフト株式会社
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:schoowebcampus
 
NIST Cybersecurity Framework 概要
NIST Cybersecurity Framework 概要NIST Cybersecurity Framework 概要
NIST Cybersecurity Framework 概要You&I
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~Tomohiro Nakashima
 
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎Takahisa Kishiya
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxmkoda
 

Similar to ネットワークから学ぶソフトウェアセキュリティの基礎 (20)

高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
 
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
 
クラウドセキュリティ基礎
クラウドセキュリティ基礎クラウドセキュリティ基礎
クラウドセキュリティ基礎
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
 
将来必要となるエンジニアのスキルについて考える Ver3
将来必要となるエンジニアのスキルについて考える Ver3将来必要となるエンジニアのスキルについて考える Ver3
将来必要となるエンジニアのスキルについて考える Ver3
 
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdfソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
 
20160927_守るべきは、大量の情報資産を管理するデータベース! ~ユーザ事例から見るデータベースのセキュリティ対策~ by 株式会社インサイトテクノ...
20160927_守るべきは、大量の情報資産を管理するデータベース! ~ユーザ事例から見るデータベースのセキュリティ対策~ by 株式会社インサイトテクノ...20160927_守るべきは、大量の情報資産を管理するデータベース! ~ユーザ事例から見るデータベースのセキュリティ対策~ by 株式会社インサイトテクノ...
20160927_守るべきは、大量の情報資産を管理するデータベース! ~ユーザ事例から見るデータベースのセキュリティ対策~ by 株式会社インサイトテクノ...
 
PHPにないセキュリティ機能
PHPにないセキュリティ機能PHPにないセキュリティ機能
PHPにないセキュリティ機能
 
PHPにないセキュリティ機能
PHPにないセキュリティ機能PHPにないセキュリティ機能
PHPにないセキュリティ機能
 
PHPにないセキュリティ機能
PHPにないセキュリティ機能PHPにないセキュリティ機能
PHPにないセキュリティ機能
 
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
 
[Japan Tech summit 2017] SEC 011
[Japan Tech summit 2017] SEC 011[Japan Tech summit 2017] SEC 011
[Japan Tech summit 2017] SEC 011
 
NIST Cybersecurity Framework 概要
NIST Cybersecurity Framework 概要NIST Cybersecurity Framework 概要
NIST Cybersecurity Framework 概要
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
 
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
 
What is CompTIA
What is CompTIAWhat is CompTIA
What is CompTIA
 

ネットワークから学ぶソフトウェアセキュリティの基礎