Security issue201312
- 1. 2013/12/6 大阪セミナー 「いまWebディレクターが知っておくべき、" Webサイトセキュリティ対策のキホン!」 安全・確実に稼働するウェブサイトのための秘策 ~ウェブセキュリティ技術の活用の鍵を探る~ OWASP Japan Chapter Leader 岡田 良太郎 [email protected] 2013© Riotaro OKADA
- 3. BCP=resilienceの向上 平時(100%) 復旧時間 72時間 ダメージ 死の72時間か 黄金の72時間か 有事 2013© Riotaro OKADA
- 4. 1. Cloud computing WEBサイトは雲の上に • 責任管理境界はますますあいまいに – クラウドサービス • プラットフォームAmazon EC2/S3 etc • ストレージ • サービスプロビジョニング • API – マッシュアップ:他社のウェブAPIに依存する機能 • 他社のAPIに依存 – Web on Web on Web on ….Google • XML(RSS)データによる連動 2013© Riotaro OKADA
- 5. 2. Crowd 群衆の自由が大きくなる • ユーザの期待レベルが高まる – インターネットに大事な情報が 置かれるようになった • デジタルデータ • オンラインバンキング – インターネットがホビーからライ フラインに変化した • 決済サービス、電子マネー • 携帯とPCの境界線もあいま いに 2013© Riotaro OKADA
- 9. BCP コンセプトの進化 敏捷性 “Rapidity” 臨機性 “Resourcefulness” 有事に強い Disaster Resilience 冗長性“Redundancy” 堅牢性 “Robustness” 軽減/備え Mitigation Preparedness 神ワザ・人海戦術 “Act of God” 逐次対応 Adhoc Response 19xx’s 2000’s 2010’s 2013© Riotaro OKADA
- 10. Your Code is Part of Your Security Perimeter Billing! Human Resrcs! Directories! APPLICATION ATTACK! Web Services! Custom Developed Application Code! Legacy Systems! Databases! Application Layer! アプリケーションに多くの”入り口”! Web Server! Hardened OS! Firewall! Firewall! Network Layer! App Server! ネットワーク・レイヤーの防御(firewall, SSL, IDS, network hardening)! では、アプリレイヤーの攻撃を止めたり防御したりすることはできない。! 2013© Riotaro OKADA
- 13. (1)公開前にチェックすることでリスク を限定する方法 • パッチアプローチ – 設計に致命的な欠陥が ないこと、問題のあるコ ーディングに依存しない 機能設計であることが 前提。 – 「専門家」によるレビュ ー – ソフトウェアの対応は 表層的になりがち 企画 改善計画 要件 定義 設計 運用 開発 リリース テスト 環境構 築 2013© Riotaro OKADA
- 14. (2)運用中のシステムを定期点検する ことで外部からの診断をする方法 • ブラックボックステスト (pen-test) – ソフトウェアと公開環境 の外部仕様を外部的に テストするため、表層的 に解決することが前提 – ソフトウェアの対応は 表層的になりがち 企画 改善計画 要件 定義 設計 運用 開発 リリース テスト 環境構 築 2013© Riotaro OKADA
- 15. (3)WAFなどのアプライアンスで「番 人」を設置する方法 • ゲートウェイ – すべてのアクセスをアプリケ ーションで判断しなくて良い 分、サーバのパフォーマンス はいくらか楽になる。 – 脆弱性の攻撃はすべてフィ ルタリングできる内容ではな い。 • 課題 – 開発成果物の品質を甘く見 てしまう可能性がある。 企画 改善計画 要件 定義 設計 運用 開発 公開 テスト 環境構築 – アプリケーションがWAFで動 かなくなったら、どうする? – クラウドなど仮想環境では? 2013© Riotaro OKADA
- 16. (4)コーディングガイドラインで「お作 法」を厳格に規定する方法 • ルールブック方式 企画 – ルールブックの完全性、 標準化の妥当性が前提。 – 最新のものにメンテナン スする – 開発者の準拠状況をレ ビューする 改善計画 要件 定義 設計 運用 開発 公開 テスト 環境構築 2013© Riotaro OKADA
- 17. (5)事後対応に徹する • ログやIDSで検知して から対応する方式 企画 改善計画 – 抜け漏れ、ログクラック には無策 – 監視アウトソースは実 質的には番人方式 – ソフトウェア価値は向上 しない 要件 定義 運用 設計 公開 開発 テスト 環境構築 2013© Riotaro OKADA
- 18. WEBサイトのライフサイクル(SDL) DETECT PROTECT DETECT LIFE CYCLE PROTECT DETECT PROTECT DETECT PROTECT 2013© Riotaro OKADA
- 20. OWASP Top10 for 2013リリース Webアプリケーション脆弱性トップ10 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • A1 Injection • A2 Broken Authentication and Session Management • A3 Cross-Site Scripting (XSS) • A4 Insecure Direct Object References • A5 Security Misconfiguration • A6 Sensitive Data Exposure • A7 Missing Function Level Access Control • A8 Cross-Site Request Forgery (CSRF) • A9 Using Components with Known Vulnerabilities • A10 Unvalidated Redirects and Forwards PDFを見る-> 2013© Riotaro OKADA
- 21. 193+ Active Chapters 2013© Riotaro OKADA
- 22. 113+ Active Projects 2013© Riotaro OKADA
- 25. 日本語版アリ Development Guide • セキュアWebアプリケーションのための設計・ 構築・運用ガイドライン – どの程度安全にするか? • セキュリティガイドライン、認証、セッション管理、アクセス 制御、イベントのログ監視、データ検証、よく起こる問題 (XSSなど)を防ぐ方法、プライバシーへの配慮、暗号技術 – 2010年版が最新、日本語版は2002年 2013© Riotaro OKADA
- 26. Code Review Guide • セキュリティコードレビュー • コードレビューのプロセスではなく、特定の脆弱 性に焦点を当てている – 脆弱なコードのサンプルなど • 言語別のベストプラクティス – Java, Classic ASP, PHP, C/C++, MySQL, Flash, AJAX, Web Services 2013© Riotaro OKADA
- 27. Testing Guide • Webサイト/アプリケーションのテストガイド、全 349ページ(Ver.3) • 各脆弱性、機能別のテスト方法 – Information Gathering, Configuration Management Testing, Authentication Testing, Session Management, Authorization Testing, Business logic testing, Data Validation Testing, DoS Testing, Web Services Testing, AJAX Testing 2013© Riotaro OKADA
- 28. 日本語版アリ 経営視点 組織的なセキュリティ成熟モデル • SAMM (Software Assurance Maturity Model) “ソフトウェアセキュリティ保障成熟度モデル” • CISOトレーニングに活用 2013© Riotaro OKADA
- 29. 全員全力で • 顧客 – OWASP Top 10に示されるようなシンプルな問題はないウ ェブアプリケーションを要求すべし。 • 開発者 – 安全なコードを書くことに責任を持つべし。 • ソフトウェア開発企業・組織 – Top 10問題がないもののみを出荷することを保証すべし。 • 教育者 – 安全でないコードを使って教育するのを直ちにやめるべし。 • プロジェクトマネージャ – セキュリティ予算をネットワークとアプリケーションで配分し て確保すべし。 – パフォーマンスレビュー(負荷テスト)にセキュリティチェッ クのパートを加えるべし。 2013© Riotaro OKADA
- 30. 皆様にご提案 • オープンコラボレーションへのチャレンジ – まずは、ご自分で、そしてスタッフに。 – わかりやすいきっかけをうまく活用 → 情報交換と協働の枠組みづくり • ネット配信のあるイベントにも注目 OWASP Japanもがんばります。 – 仙台-大阪-東京 同時ネット接続での開催も実現 2013© Riotaro OKADA
- 31. OWASP Japan Local Chapter 2013© Riotaro OKADA
- 32. OWASP Japan Local Chapter Meetings 2012 Consistent meeting attendance since 1st year of activities… 1st 2nd 4th 3rd Year End Party 2013© Riotaro OKADA
- 33. OWASP Nights (Japan Local Chapter Meetings) 2013 5th 6th 7th 8th 2013© Riotaro OKADA
- 34. OWASP Japan Speakers 2013© Riotaro OKADA
- 35. Global AppSec North America Nov. 2013 New York City, New York 2013© Riotaro OKADA
- 37. AppSec APAC 2014 in Tokyo ソラシティ・カンファレンスセンター ■Experience culture of Japan during sakura cherry blossom season ■Central location near Akihabara with reasonable hotels nearby ■Excellent networking opportunities with world-class professionals 2013© Riotaro OKADA
- 38. Why Tokyo? Visit Tokyo, central location near Akihabara Akihabara electronics town is the heart of Japan’s otaku sub-culture Reasonable hotels minutes away from Tokyo’s most interesting area Perfect time to visit Japan Not only does Tokyo have countless sightseeing spots, it has the world’s largest number of Michelin 3 star restaurants… and March is sakura cherry blossom season! Once in a lifetime opportunity! 2013© Riotaro OKADA
- 39. Only in Tokyo Experience… Japanese pop culture first hand while at the same time networking with OWASP Japan and security specialists from Japan and around the world! 2013© Riotaro OKADA
- 41. Keynote Speakers 奈良先端科学技術大学院大学教授" 山口 英 " Suguru Yamaguchi" OWASP Top 10執筆者" デイブ・ウィッチャーズ" Dave Wichers " " " 奈良先端科学技術大学院大学 教授。元日本政府内閣官房情 報セキュリティ対策推進室情 報セキュリティ補佐官。" 2004年から2010年まで、日本 政府内閣官房情報セキュリテ ィ対策推進室(現内閣官房情 報セキュリティセンター)情 報セキュリティ補佐官に任命 され、内閣官房情報セキュリ ティセンター( NISC )の設 立に関わる政府の情報セキュ リティ基本計画の設計と実装 に携わった。 デイブ・ウィッチャーズ はアスペクトセキュリテ ィの共同創設者であり、 COOを務める。同社は、 アプリケーションセキュ リティサービスに特化し た専門企業である。彼は OWASPボードメンバーと しての長い貢献があり、 OWASP Top 10執筆者で ある。 " " AppSec Apacは、ウェブ・セキュリティについて、世界から日本に、また日本から世界に向けて、 業界の最新の動向をシェアし、技術実装のノウハウや知見について共有できる機会となります。 2013© Riotaro OKADA