SlideShare a Scribd company logo

Owasp Project を使ってみた

Akitsugu Ito
Akitsugu Ito

OWASP Night 19th で、サイボウズが活用する OWASP Project の成果物を紹介いたしました。

Internet
1 of 44
Downloaded 29 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
OWASP Project 使ってみた 1 A.Ito
自己紹介 伊藤彰嗣(@springmoon6) サイボウズ株式会社品質保証部セキュリティチーム所属 サイボウズの CSIRT (Cy-SIRT) で事務局を担当 2 https://owaspappsecapac2014.sched.org/speaker/ akitsugu_ito#.Va9YSnkViAg https://plus.google.com/1141190861078066 12904/posts/ZFt2KVhYPLY
Web アプリ開発とOWASP プロジェクト 3 要件定義 設計・開発 テスト 運用・保守 ① 要件定義 Web システム / Web アプリケーションセキュリティ要件書 ② 設計・開発 OWASP Proactive Controls OWASP ASVS OWASP Cheat Sheet Series ③ テスト OWASP Zed Attack Proxy OWASP Testing Guide OWASP OWTF (Offensive Web Testing Framework) ④ 運用・保守 OWASP ModSecurity Core Rule Set Project OWASP APPSensor OWASP Dependency Check
OWASP Flag Ship Projects 4 要件定義 設計・開発 テスト 運用・保守 ① 要件定義 Web システム / Web アプリケーションセキュリティ要件書 ② 設計・開発 OWASP Proactive Controls OWASP ASVS OWASP Cheat Sheet Series ③ テスト OWASP Zed Attack Proxy OWASP Testing Guide OWASP OWTF (Offensive Web Testing Framework) ④ 運用・保守 OWASP ModSecurity Core Rule Set Project OWASP APPSensor OWASP Dependency Check
OWASP Flag Ship Projects 5 要件定義 設計・開発 テスト 運用・保守 ① 要件定義 Web システム / Web アプリケーションセキュリティ要件書 ② 設計・開発 OWASP Proactive Controls OWASP ASVS OWASP Cheat Sheet Series ③ テスト OWASP Zed Attack Proxy OWASP Testing Guide OWASP OWTF (Offensive Web Testing Framework) ④ 運用・保守 OWASP ModSecurity Core Rule Set Project OWASP APPSensor OWASP Dependency Check
OWASP Dependency Check 6
サイボウズの開発プロセス(1) ウォーターフォール 7 要件検討 • PM主導 • 議論に参加 仕様策定 • 主導はPM, PG or UI • 仕様書の完成は PG • プロトタイピン グ 設計・実装 • ほぼPGのみ • 場合によりUI も 試験 • QAが担当 PM: プロダクトマネージャー(東京) PG: プログラマー(松山) UI: UXも担当(東京) QA: 品質保証担当者(松山)
サイボウズの開発プロセス(2) アジャイル 8 バックログ 実装すべき新機能 イテレーションの最後に 新機能のデモ 2週間
試験開始条件 9 試験開始条件 • 受け入れテストに合格している • 機能仕様書、テスト仕様書のレビューが完了している • 新規デプロイができる • 利用している OSS のバージョン情報のリストを CSIRT に提供し、既知の脆弱性が無いことが確認されている 要件定義 設計・開発 テスト 運用・保守
OSS の脆弱性 10 A1 インジェクション A2 認証とセッション管理の不備 A3 XSS A4 安全でないオブジェクトの参照 A5 セキュリティ設定のミス A6 機密データの露出 A7 機能レベルアクセス制御の欠落 A8 CSRF A9 既知の脆弱性を持つコンポーネントの使用 A10 未検証のリダイレクトとフォーワード OWASP Top 10 – 2013 でも指摘されるリスク https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf
OSS の脆弱性情報収集 CSIRT による情報収集 11 Cy-SIRT 運用本部 開発本部 2015 年 1 ~ 8 月 92 件の脆弱性情報を確認
OWASP Dependency Check OSS の脆弱性情報収集を自動化できる 12 https://www.owasp.org/index.php/OWASP_Dependency_Check
サイボウズの使い方 13 ビルドプロセスに組み込んで利用 自動テスト ビルド デプロイ Dependency Check 自動テスト ビルド デプロイ PUSH 時 デイリービルド
実行状況(1) 14
実行状況(2) 15
実行状況(3) 16
良い所 17 • 既知の脆弱性とはいえ、依存を解析して、脆弱性を報告してくれる 自動で情報収集できる • mvn でプロジェクトをビルドする場合、 危険な脆弱性がある場合には、ビルドすらさせない対応が可能 • Jenkins 上にもプラグインがある ビルドプロセスに組み込める
改善を期待したい所 18 • Mysql の Connector/J に依存する際に MySQL 本体の脆弱性を表示 (Project に不具合報告するも、例外設定してほしいとの回答) 誤判定が多い • node.js / Google Closure Library など Client サイドの情報が無い • タイムアウト設定を自前ですることでカバー 海外のサイトに繋がらないと時間がかかる
例外設定 19 <configuration> <suppressionFile>ignore.xml</suppressionFile> </configuration> <?xml version="1.0" encoding="UTF-8"?> <suppressions xmlns="https://www.owasp.org/index.php/OWASP_Dependency_Check_Suppression"> <suppress> <notes><![CDATA[file name: javax.servlet.jsp.jstl-1.2.1.jar]]></notes> <sha1>7F687140E9D264EE00EAA924714ADF9A82CC18DC</sha1> <cve>CVE-2013-2566</cve> </suppress> </suppressions> メンテナンスコストが高い ignore.xml
OWASP ASVS v3 20
お客様が求めること 御社の製品は業界で認められたセキュリティ標準に従って 開発が行われていますか? 21 81 112 0 20 40 60 80 100 120 2014 年 2015 年
OWASP ASVS v3 22 https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project https://www.owasp.org/images/6/67/OWASPApplicationSecurityVerificationStandard3.0.pdf アプリケーションセキュリティ検証標準プロジェクト 検査の対象範囲、厳密さのレベルを整理し、標準化
ASVS v3 カテゴリ 項目 件数 項目 件数 V1: Architecture, design and threat modelling 10 V10: Communications security verification requirements 13 V2: Authentication Verification Requirements 26 V11: HTTP security configuration verification requirements 8 V3: Session Management Verification Requirements 13 V13: Malicious controls verification requirements 2 V4: Access Control Verification Requirements 12 V15: Business logic verification requirements 2 V5: Malicious input handling verification requirements 21 V16: Files and resources verification requirements 9 V7: Cryptography at rest verification requirements 10 V17: Mobile verification requirements 11 V8: Error handling and logging verification requirements 12 V18: Web services verification requirements 10 V9: Data protection verification requirements 11 V19. Configuration 9 23 179 項目
ASVS v3 カテゴリ(レベル1) 項目 件数 項目 件数 V1: Architecture, design and threat modelling 1 V10: Communications security verification requirements 7 V2: Authentication Verification Requirements 17 V11: HTTP security configuration verification requirements 6 V3: Session Management Verification Requirements 11 V13: Malicious controls verification requirements 0 V4: Access Control Verification Requirements 7 V15: Business logic verification requirements 0 V5: Malicious input handling verification requirements 10 V16: Files and resources verification requirements 7 V7: Cryptography at rest verification requirements 2 V17: Mobile verification requirements 6 V8: Error handling and logging verification requirements 1 V18: Web services verification requirements 7 V9: Data protection verification requirements 4 V19. Configuration 1 24 87 項目
質問項目の例 No 1.1 質問項目 Verify that all application components are identified and are known to be needed. レベル 1 Since 1.0 回答 (対応済み) サイボウズでは各製品が利用している OSS を棚卸して管理しています。 各 OSS のアップデート情報を週次で確認し、セキュリティ情報が含まれる 場合には、各製品チームに連絡をします。緊急度の高い情報が確認できた場 合には、速やかに各チームに連絡するようにしています。 25
kintone の準拠状況 70 12 3 0 10 20 30 40 50 60 70 80 対応済み 未対応 対象外 26
未対応項目の例 パスワード辞書による弱いパスワー ドやよく使われるパスワードの利用 制限 全ての API Response に Content-Disposition: attachment; を付与 原則として禁止とするアクセス制御 外部のサイトに遷移する際に、 クッションページを設ける 入力値検証に失敗した際にログに出 力する 全ての入力値に対して上限チェック を行う CSP V2 による完全性チェック ログインセッションの最大数を設定 する GET および POST 以外の HTTP ヘッ ダの利用禁止 サーバー側でアップロードされた ファイルのウイルスチェックを行う 27
ASVS v3 を使ってみて 28 • チェックシートに回答することで、潜在的なリスクを あぶり出すことができる あらたな見地を得られる • なぜ質問されているかを理解することが重要 • まずは議論のきっかけに使ってみるのが良いのでは? 回答することが目的では無い
OWASP ZAP & bWAPP 29
エンジニアサマーインターンシップ 30 http://cybozu.co.jp/company/job/recruitment/intern/engineer-summer2015/index.html
製品セキュリティコース 31 講師を担当 することに
要件 セキュリティチームの業務説明 脆弱性検査の体験 インターン時間は丸1日 担当1名。準備期間 20 日程 32
環境構成 33 隔離ネットワーク
OWASP ZAP Web アプリの脆弱性診断を行うための アプリケーション https://www.owasp.org/index.php/ OWASP_Zed_Attack_Proxy_Project Linux、Windows、MAC OS X などの マルチプラットフォームで実行可能。 35
bWAPP 脆弱性診断を学ぶために利用する 脆弱性が意図的に作りこまれたアプリケーション http://www.mmeit.be/bwapp/index.htm 36
演習環境の様子 36
OWASP ZAP でサマーインターン 37 • 基本的な機能については、何もせずとも日本語化されている 日本語への親和性の高さ • まったくの初心者に対しても説明しやすい機能が豊富 (セッションの保管ダイアログ / クイックスタート など) 初学者への説明コストが低い • インターン終了後の練習教材として利用できる 教材を持ち帰ってもらえる
本日のまとめ 38
OWASP の成果物を使ってみた 39 • 開発プロセスの各段階に適したコンテンツが多数公開 Web アプリ開発とOWASP プロジェクト • 自動で OSS の脆弱性情報を収集。CI と相性良好。 OWASP Dependency Check • 製品の潜在的な問題点をあぶり出すために活用。 OWASP ASVS v3
Appendix 今後やりたいこと 40
OWASP Flag Ship Projects 41 要件定義 設計・開発 テスト 運用・保守 ① 要件定義 Web システム / Web アプリケーションセキュリティ要件書 ② 設計・開発 OWASP Proactive Controls OWASP ASVS OWASP Cheat Sheet Series ③ テスト OWASP Zed Attack Proxy OWASP Testing Guide OWASP OWTF (Offensive Web Testing Framework) ④ 運用・保守 OWASP ModSecurity Core Rule Set Project OWASP APPSensor OWASP Dependency Check
なぜやりたいか? 42 • サイボウズは Web 健康診断仕様 をカスタマ イズして脆弱性検証を実施している。 • 色々と不足しているテスト観点が出てきてお り、補完するドキュメントとして使いたい。 OWASP Testing Guide
OWASP Testing Guide 43 社内勉強会始めました
引用元 Outreach Activities + α (仲田様)  https://speakerdeck.com/owaspjapan/outreach-activities-number- owaspnight18th アプリケーションセキュリティ検査・検証の標準化 (岡田様)  https://www.slideshare.net/fullscreen/okdt/owasp-asvs-project-review- 20-and-30 44

More Related Content

What's hot (19)

PDF
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
 
PPTX
セキュア開発の&lt;s>3つの&lt;/s>敵
Riotaro OKADA
 
PDF
The Shift Left Path and OWASP
Riotaro OKADA
 
PDF
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
 
PDF
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
 
PDF
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
 
PPTX
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
 
PDF
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
 
PPTX
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
 
PDF
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
 
PPTX
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
 
PPTX
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
 
PDF
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
OSSラボ株式会社
 
PDF
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
 
PPTX
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
 
PPTX
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
 
PDF
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity
 
PDF
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
JPCERT Coordination Center
 
PDF
企業のデジタル変革とサイバーリスク
Riotaro OKADA
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
 
セキュア開発の&lt;s>3つの&lt;/s>敵
Riotaro OKADA
 
The Shift Left Path and OWASP
Riotaro OKADA
 
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
 
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
 
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
 
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
 
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
 
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
OSSラボ株式会社
 
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
 
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity
 
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
JPCERT Coordination Center
 
企業のデジタル変革とサイバーリスク
Riotaro OKADA
 

Viewers also liked (20)

PDF
ラクしていい感じのスライドを作るための2つのポイント
Kairi Ishizuka
 
PDF
ゆるく学ぼう!現在のフロントエンドまとめ
将一 深見
 
PDF
プロジェクトマネジメントは仕組み化が9割
Mharu
 
PDF
Deino流デザインディレクション
貴文 猪口
 
PDF
Best Teacher_法人向けサービス説明資料
Find Job Startup
 
PDF
5分で資料作ってSlideShareにアップロードする錬金術
Shinobu Okano
 
PPT
20111117 msp説明資料
Akiyuki Minami
 
PPTX
プレゼンテーションドキュメント講座 Basic
Miho Yamahashi
 
PDF
さあ、デザインをはじめよう。DevLOVE関西
rie05
 
PPTX
明治維新の原動力、高杉晋作が奇兵隊の募集要項をパワポで作ってみたら
SKET
 
PDF
文章のクオリティを上げる方法(井庭研レクチャーズ Vol.3)
Takashi Iba
 
PDF
Webデザインのウソ・ホント ~ Web らしくデザインするためのヒント
Yasuhisa Hasegawa
 
PPTX
プレゼン基礎講座 2016.11
智治 長沢
 
PDF
ビビッド・パワポ・オペーレーション Revision 2015
Masahito Zembutsu
 
PDF
“ロジカル・プレゼンテーション” で実践的な論理的思考力を身につける
bijikin
 
PDF
伝わるチラシの作りかた講座:2日目「レイアウト・デザインのコツ」
Kumiko Hiramoto
 
PDF
視聴者に優しいプレゼン資料の作り方
akihiro_0228
 
PDF
いいデザインと悪いデザイン
Takahashi Koki
 
PPTX
プレゼン用 きれいでわかりやすいパワーポイントを作る方法
Makiko Kunieda
 
PDF
優れたデザインの 定義と思考方法
Junichi Izumi
 
ラクしていい感じのスライドを作るための2つのポイント
Kairi Ishizuka
 
ゆるく学ぼう!現在のフロントエンドまとめ
将一 深見
 
プロジェクトマネジメントは仕組み化が9割
Mharu
 
Deino流デザインディレクション
貴文 猪口
 
Best Teacher_法人向けサービス説明資料
Find Job Startup
 
5分で資料作ってSlideShareにアップロードする錬金術
Shinobu Okano
 
20111117 msp説明資料
Akiyuki Minami
 
プレゼンテーションドキュメント講座 Basic
Miho Yamahashi
 
さあ、デザインをはじめよう。DevLOVE関西
rie05
 
明治維新の原動力、高杉晋作が奇兵隊の募集要項をパワポで作ってみたら
SKET
 
文章のクオリティを上げる方法(井庭研レクチャーズ Vol.3)
Takashi Iba
 
Webデザインのウソ・ホント ~ Web らしくデザインするためのヒント
Yasuhisa Hasegawa
 
プレゼン基礎講座 2016.11
智治 長沢
 
ビビッド・パワポ・オペーレーション Revision 2015
Masahito Zembutsu
 
“ロジカル・プレゼンテーション” で実践的な論理的思考力を身につける
bijikin
 
伝わるチラシの作りかた講座:2日目「レイアウト・デザインのコツ」
Kumiko Hiramoto
 
視聴者に優しいプレゼン資料の作り方
akihiro_0228
 
いいデザインと悪いデザイン
Takahashi Koki
 
プレゼン用 きれいでわかりやすいパワーポイントを作る方法
Makiko Kunieda
 
優れたデザインの 定義と思考方法
Junichi Izumi
 
Ad

Similar to Owasp Project を使ってみた (20)

PDF
Security issue201312
Riotaro OKADA
 
PDF
DevSecOps 時代の WafCharm
Yuto Ichikawa
 
PDF
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Takeshi Takahashi
 
PDF
セキュリティ品質向上に向けたサイボウズの取り組み
Akitsugu Ito
 
PDF
Amazon inspector
Serverworks Co.,Ltd.
 
PDF
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
Hiroaki Kuramochi
 
PPTX
Survey and Analysis of ICS Vulnerabilities (Japanese)
Digital Bond
 
PPTX
OWASPのドキュメントやツールを知ろう
Yuichi Hattori
 
PDF
私がMuninに恋する理由 - インフラエンジニアでも監視がしたい! -
Masahito Zembutsu
 
PDF
OWASP Projects
Takanori Nakanowatari
 
PDF
Amazon Inspector v2で脆弱性管理を始めてみた
cluclu_land
 
PPTX
今だからこそ振り返ろう!OWASP Top 10
Daiki Ichinose
 
PDF
安全なプログラムの作り方
Kazuhiro Nishiyama
 
PDF
エンタープライズソフトウェア開発とOSS
Hiroshi Nakamura
 
PDF
セキュリティ基準、標準、規制 との付き合い方
Tomohiro Nakashima
 
PDF
ソースコード検査に耐えるコードとは?
Yasuo Ohgaki
 
PDF
安全なWebアプリ構築1回
Project Samurai
 
PDF
Try
Yukimitsu Izawa
 
PDF
PHPカンファレンス2014セキュリティ対談資料
Yasuo Ohgaki
 
PDF
NGINX App Protect for Secure Coding Webinar
NGINX, Inc.
 
Security issue201312
Riotaro OKADA
 
DevSecOps 時代の WafCharm
Yuto Ichikawa
 
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Takeshi Takahashi
 
セキュリティ品質向上に向けたサイボウズの取り組み
Akitsugu Ito
 
Amazon inspector
Serverworks Co.,Ltd.
 
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
Hiroaki Kuramochi
 
Survey and Analysis of ICS Vulnerabilities (Japanese)
Digital Bond
 
OWASPのドキュメントやツールを知ろう
Yuichi Hattori
 
私がMuninに恋する理由 - インフラエンジニアでも監視がしたい! -
Masahito Zembutsu
 
OWASP Projects
Takanori Nakanowatari
 
Amazon Inspector v2で脆弱性管理を始めてみた
cluclu_land
 
今だからこそ振り返ろう!OWASP Top 10
Daiki Ichinose
 
安全なプログラムの作り方
Kazuhiro Nishiyama
 
エンタープライズソフトウェア開発とOSS
Hiroshi Nakamura
 
セキュリティ基準、標準、規制 との付き合い方
Tomohiro Nakashima
 
ソースコード検査に耐えるコードとは?
Yasuo Ohgaki
 
安全なWebアプリ構築1回
Project Samurai
 
Try
Yukimitsu Izawa
 
PHPカンファレンス2014セキュリティ対談資料
Yasuo Ohgaki
 
NGINX App Protect for Secure Coding Webinar
NGINX, Inc.
 
Ad

Owasp Project を使ってみた