Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SHIFT LEFT PATH at AWS DEV DAY3 General Session

Avatar for Riotaro OKADA Riotaro OKADA
September 30, 2021

SHIFT LEFT PATH at AWS DEV DAY3 General Session

AWS DEV DAY3 General Session

開発者はセキュリティを継続的に学んで、シフトレフトを主体的にやったほうがいいと思うよというお話

岡田良太郎 (@okdt)
アスタリスク・リサーチ
asteriskresearch.com

Avatar for Riotaro OKADA

Riotaro OKADA

September 30, 2021
Tweet

More Decks by Riotaro OKADA

Other Decks in Programming

Transcript

  1. ϓϩάϥϚ͕ηΩϡϦςΟΛ޷͖Ͱ͸ͳ͍ཧ༝τοϓ 1. Sec連中は、現場を理解していないし、たぶんコードの書き⽅も知らない。 2. 誰もセキュリティをやる⽅法を教えてくれない。 3. ここまで⼒を⼊れ、時間をかけるべき理由がわからない。 4. プロセスが難しい、またはちゃんと決まっていない。 5.

    変化が激しく、いつも⾔うことが違う。 6. 注意を払う時間が⾜りない。 7. 突然現れては、⾨番のように⾏く⼿の邪魔をする。 8. 量が多くたいへん。 9. どんより。成功を祝われることはない。 10. ツールは、うるさいし、不愉快だし、しかも、正確じゃない。 2021年 By Chris Romeo
  2. .POPMJUIJD WEB 各種DB Mobile App Browser API webview 冗長構成 重大な脆弱性:

    SQLi、XSS、 CSRF、ディレクトリートラバーサル、コードイン ジェクション 2021年
  3. REST REST REST REST WEB アカウント 在庫 出荷 ・・・・ APIゲートウェイ

    ウェブサイト Mobile App Browser アカウントサービス 在庫管理サービス 出荷管理サービス ・・・・ 重大な脆弱性: XXE、SSRF、コードインジェクション、 モニタリング不足 Monolith +API 2021年
  4. IdP 認証基盤 ・・・・ Mobile App Browser ・・・・ Cloud Native メール配信

    サービス ストレージ サービス No code/Low code サービス 決済代行 サービス SaaS オンライン会議 サービス コミュニケーション チャットサービス WebHook App+API UI 2021年 各社⼊り乱れたコンポーネント
  5. 1.マルウェア 2.ウェブの仕組みを利⽤した攻撃 3.フィッシング 4.ウェブアプリケーションへの攻撃 5.スパム 6.DDoS 7.id盗難 8.データ漏洩 9.内部脅威 10.ボットネット

    11.物理的な操作/損害/盗難/紛失 12.情報漏洩 13.ランサムウェア 14.サイバースパイ 15.クリプトジャッキング 2021年
  6. ૂ͍͸ɺϢʔβͱɺσʔλͱɺϓϥοτϑΥʔϜɻ • チケット販売サイト「Pea$x」利⽤者リスト ネットで取り引き(2020/11/20) NHK • 総連HPにウイルス疑い 警視庁、韓国籍の元学⽣書類送検(2020/12/16)⽇経 • EXILEサイトで流出か、4万件以上のカード情報(2020/12/8)⽇経

    • 「PayPay」不正アクセス受ける 最⼤2007万件余の可能性(2020/12/7)NHK • 福島医⼤病院でランサム被害 17年夏、公表せず(2020/12/2)⽇経 • クレカ番号など漏洩か フリー、設定ミスで2898件(2021/2/10)⽇経 • NTTデータも被害、広がるGitHub上のコード流出問題(2021/2/1)⽇経❗ • コード⼀部流出、情報漏洩はなし 三井住友銀(2021/1/30)⽇経❗ • サーバーが不正アクセス被害|共英製鋼株式会社(2021/2/19)CyberSecurity.com • 男性向けファッション通販サイトに不正アクセス(2021/2/18)Security NEXT • 新潟市と飯⽥市の緊急通報システム「Net119」へ不正アクセス、登録者情報が参照 された可能性(2021/2/18)ScanNetSecurity • マイナビ転職で不正ログインでウェブ履歴書約21万件流出の可能性(2021/2/18) CyberSecurity.com • サーバに不正アクセス、原因や影響を調査 - 伯東株式会社(2021/2/17)Security NEXT • ⻄条市の健診予約システムが不正アクセスでサービス⼀時閉鎖へ(2021/2/16) CyberSecurity.com • 2市の健診サイトに不正アクセス 個⼈情報流失か 奈良(2021/2/12)朝⽇新聞 • 「サイバーパンク2077」開発元にサイバー攻撃 データ奪われ脅迫される (2021/2/12)ITMedia • バンダイグループお客様相談センターに不正アクセス、クラウド型営業管理システ ムのセキュリティ設定不備を突く(2021/2/1)ScanNetSecurity • アクセス制御に問題 • 暗号化されていない露出 • アプリの脆弱性インジェクションによる窃取 • 安全が確認されない不安な設計を標的に乗っ取り • セキュリティの設定ミスの悪⽤ • 脆弱で古くなったコンポーネントを⼊り⼝に • セキュリティログとモニタリング不⾜で対応が遅れる 2021年
  7. ϓϥΠόγΛڧԽͨ͠γεςϜͬͯʁ • 機能⾯の要求 • Privacy by Default か • 詳細な認可機能の必要?

    • ユーザの許諾範囲の遵守 • 実装⾯の要求 • 脆弱性の影響をうけないこと • データアクセスの安全 • データ保護の保証 • 運⽤管理⾯の要求 • インシデント発⽣時の対応 • 誰がどのように管理するか • 誰になにを許可するのか • 展開⾯の要求 • 他サービスとのデータ連携… 2021年
  8. ΢ΥʔλʔϑΥʔϧͷੈք؍ 要件 設計 実装 検証 リリース • 基本的に不可逆 • 要件の段階ですべて予知が求められる

    • 後戻り、⼿戻りは爆発的コスト。 • 品質は検証で担保する。 • やり直しは想定していない • 「時間とコスト」の政治⼒が⼀番⼤きい 2021年
  9. ࣮૷ͷ໰୊ɿൈ͚ɾ࿙ΕɾϜϥ 24 XSS, SQLiなど インジェクション 妙な出力 エラーメッセー ジやコメント 機能不全 重すぎる処理

    なりすまし 改ざん データ露出 ログなし アラートなし エラー処理と 例外処理不備 リリース前診断で指摘されるとデスマーチ決定。
  10. ઃܭͷ໰୊ɿߏ଄ͱ࣮૷ܭը 25 リファレンス ・アーキテク チャ 権限マトリック ス 採用する認証 メカニズム データ制御の

    構造 機密データの 識別と暗号化 基盤とコンポー ネント ログ、エラー ハンドリング ポリシー 想定脅威と防 御戦略 テスト戦略 訓練の調達 リリース前テストでは指摘しづらい
  11. "HJMFr %FW0QT $*$%ͷੈք؍ 要件 設計 実装 検証 リリース • 段階的な完成

    • Minimum Viable Product もっとも使う機能から作る • 実装と検証と学習は並⾏ • 連続的な検証 • 学習する組織として成⻑する 要件 設計 実装 検証 リリース 要件 設計 実装 検証 リリース 要件 設計 実装 検証 リリース 2021年 開発チームが主体者になったほうがいい
  12. (c) Riotaro OKADA / Asterisk Research, Inc. 28 New 3項⽬

    • A04 安全が確認されない不安な設計 • A08ソフトウェアとデータの整合性の不具合 • A10サーバーサイド・リクエスト・フォージェリ
  13. (c) Riotaro OKADA / Asterisk Research, Inc. 29 Up 5項⽬

    • A01 アクセス制御の不備 • A02 暗号化の失敗 • A05 セキュリティの設定ミス • A06 脆弱で古くなったコンポーネント • A09セキュリティログとモニタリングの失敗
  14. ήʔτͰ͸ͳ͘ɺΨʔυϨʔϧ ͱͯ͠ͷηΩϡϦςΟ • 作りやすく、衛りやすい「構造」(⼀例) • リファレンスアーキテクチャ • 認証と認可 (権限マトリックス) •

    コンポーネントの活⽤ • コードそのものの管理 • データ保存と暗号化 • モニタリングと運⽤ • セキュリティを含むテストの計画 • ・・・ 2021年
  15. ηΩϡϦςΟͱͷ૬ޓཧղͰਪਐͰ͖Δ͜ͱ ガードレールを作ろう 最も効果的な修正ポイン トとそのタイミングを話 し合おう 使っている⾔語や環境を 共有する。 頻繁な更新と柔軟性を 兼ね備える リスクをほったらかさない。

    合理的な対策を得る。プラ ンBなこともある。 開発者が⾃分で問題を 確認する⽅法をゲット 共通の⽬標を持ち、 その成功をたたえる 異なった役割の⼈と協⼒ する経験をたくさんする Join OWASP