Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP Top 10 をベースとした自社最適なセキュアコーディングガイドの作成 / Cre...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
okuken
August 19, 2019
Technology
1.1k
3
Share
OWASP Top 10 をベースとした自社最適なセキュアコーディングガイドの作成 / Creating a secure coding guide for our company based on OWASP Top 10
自社最適なセキュアコーディングガイドを作成した経緯と、作成の際に考えた事、実運用についてご紹介します。
okuken
August 19, 2019
More Decks by okuken
See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
470
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
430
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
840
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
690
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
550
Dangerous usage of JNDI
okuken
0
470
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
490
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
okuken
0
2.9k
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.6k
Other Decks in Technology
See All in Technology
ふりかえりを 「あそび」にしたら、 学習が勝手に進んだ / Playful Retros Drive Learning
katoaz
0
420
Oracle AI Databaseデータベース・サービス: BaseDB/ExaDB-Dの可用性
oracle4engineer
PRO
1
170
NgRx SignalStore: The Power of Extensibility
rainerhahnekamp
0
150
Claude Teamプランの選定と、できること/できないこと
rfdnxbro
1
1.8k
Hooks, Filters & Now Context: Why MCPs Are the “Hooks” of the AI Era
miriamschwab
0
130
Strands Agents × Amazon Bedrock AgentCoreで パーソナルAIエージェントを作ろう
yokomachi
2
260
20260410 - CNTUG meetup #72 - DiskImage Builder 介紹:以 Kubespray CI 打造 RockyLinux 10 Cloud Image 為例
tico88612
0
110
2026年度新卒技術研修 サイバーエージェントのデータベース 活用事例とパフォーマンス調査入門
cyberagentdevelopers
PRO
5
6.6k
Oracle Cloud Infrastructure(OCI):Onboarding Session(はじめてのOCI/Oracle Supportご利⽤ガイド)
oracle4engineer
PRO
2
17k
さくらのAI Engineから始める クラウドネイティブ意識
melonps
0
120
AI環境整備はどのくらい開発生産性を変えうるか? #AI駆動開発 #AI自走環境
ucchi0909
0
110
Oracle AI Database@Azure:サービス概要のご紹介
oracle4engineer
PRO
6
1.4k
Featured
See All Featured
Bootstrapping a Software Product
garrettdimon
PRO
307
120k
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
220
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
140
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
350
Paper Plane (Part 1)
katiecoart
PRO
0
6.4k
Building the Perfect Custom Keyboard
takai
2
720
The Power of CSS Pseudo Elements
geoffreycrofte
82
6.2k
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.8k
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
1
480
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
310
A designer walks into a library…
pauljervisheath
211
24k
How GitHub (no longer) Works
holman
316
150k
Transcript
OWASP Top 10 をベースとした 自社最適なセキュアコーディングガイドの作成 奥野 健一 @okuken3 2019.08.19 WASNight
2019 Summer = OWASP x WASForum Night
Agenda 1. 自己紹介 2. 背景 3. セキュアコーディングガイドの作成 4. セキュアコーディングガイドの運用 5.
まとめ
奥野 健一 @okuken3 株式会社ウエディングパーク プロダクトセキュリティチーム(2018年12月に立上げ) 情報処理安全確保支援士 登録申請中 自己紹介
✓ 主要部分は概ねPHP/Laravelで実装
2. 背景
プロダクトセキュリティ チーム立上げ 脆弱性診断一部内製化 運用開始 2018.12 2019.01 02 03 04
05 06 07 08 プロダクトセキュリティチームの経過 Vuls運用開始 新卒向け プロダクトセキュリティ研修 セキュアコーディング ガイド作成・運用開始 脆弱性情報共有 定例会議開始 プロダクトセキュリティ 社内ポータルサイト開始 RISS試験合格 (奥野)
開発フロー上の課題点 企画 設計 実装 単体 テスト 総合 テスト 脆弱性 診断
リリース ✓ ブラックボックス診断であり脆弱性発見の網羅性に限界がある ✓ このタイミングの脆弱性発見では手戻りの影響が大きい ✓ セキュアコーディングガイドを全社開発標準として組み込むことで、 設計・実装のタイミングで脆弱性の混入を防止する ✓ 脆弱性診断は開発フローの最後の砦 ✓ 「脆弱性診断では指摘ゼロが当たり前」を全開発者に意識づけ
3. セキュアコーディングガイドの作成
HTTP Server PHP Application DB 設計書 一般的なセキュアコーディングガイド
HTTP Server PHP Application DB 設計書 Prepared Statements を使いましょう ユーザー入力をウェブページ
に出力する場合はエスケープ 処理を施しましょう 認証機能を設けましょう 一般的なセキュアコーディングガイド
HTTP Server PHP Laravel Middleware Controller Model View HTTP Server
PHP Application DB DB 自社最適なセキュアコーディングガイド
HTTP Server PHP Laravel Middleware Controller Model View DB Blade(ViewFW)
での実装例がな いと曖昧になる Eloquent(ORM) での実装例がな いと曖昧になる HTTP Server PHP Application DB 認証認可は middlewareでの 実装例がないと 曖昧になる HTTP Serverで各種 HTTPヘッダを付与し ている事実を前提に しないと曖昧になる 自社最適なセキュアコーディングガイド
自社最適なセキュアコーディングガイド DBアクセスの 改修あり? 【SQLインジェクション防止のルール内容を確認】 Eloquent(ORM)を適切に使用する 実装イメージ 湧かない? 次のルールへ 【実装のOK例/NG例を確認】 OK例:User::where(“name”,
$name)->get(); NG例:User::whereRaw("name='" . $name . "'")->get(); ルール順守を確認 次のルールへ ✓ こんな感じのルールが ✓ 表形式で ✓ 重要度順に過多でない分量で 一覧化されたガイドが望ましい。 (静的チェック自動化は追々)
攻撃 可能性 診断指摘 ゼロ 何をベースとするか 適度な 分量 ✓ 実績を基にした重大リスクトップ 10であり、
✓ 脆弱性診断の観点にも含まれている、 OWASP Top 10 をベースとすることで、 直接的に要件を満たすガイドを作成する。
いかにしてガイドに落とし込むか https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf OWAST Top 10 (2017, 2013) の各リスクを主軸とし、 下記資料等を参考に、セキュアコーディングルールに落とし込み。
✓ OWASP Top 10 の「防止方法」「参考資料」の項(右図赤枠) ✓ Webアプリケーション脆弱性診断ガイドライン (OWASP Pentester Skillmap Project JP) ✓ OWASP Cheat Sheet Series ✓ 安全なウェブサイトの作り方 (IPA) ✓ Laravel Documentation ✓ 自社サービスのソースコード、インフラの設定
4. セキュアコーディングガイドの運用
✓ 全社開発標準に組み込み ✓ まずはセルフチェックをルール化 ✓ 開発者からの質問・要望の受付窓口設置(Slackチャンネル) ✓ 追記すべき事柄があれば随時追記・周知
✓ セキュアコーディングガイド勉強会の開催 セキュアコーディングガイドの運用
まとめ ✓ OWASP Top 10 をベースとした、自社最適なセキュアコーディングガイドを作成 ✓ 全社開発標準に組み込み、まずはセルフチェックによる運用から開始
✓ 質問・要望の受付窓口を設置し、現場の声を吸い上げ ✓ 現場の声や、最新のセキュリティ知見を取り入れ、継続的に改善
ご清聴ありがとうございました
okuken
katoaz
oracle4engineer
rainerhahnekamp
rfdnxbro
miriamschwab
yokomachi
tico88612
cyberagentdevelopers
melonps
ucchi0909
garrettdimon
techseoconnect
codingconduct
mfonobong
katiecoart
takai
geoffreycrofte
jnunemaker
katarinadahlin
inesmontani
pauljervisheath
holman
