Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP_Contents_Reference
Search
OWASP Japan
April 05, 2016
Technology
1k
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OWASP_Contents_Reference
OWASP Japan
April 05, 2016
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
400
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
1.1k
20190107_AbuseCaseCheatSheet
owaspjapan
0
220
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
1.2k
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
3.5k
Shifting Left Like a Boss
owaspjapan
2
340
OWASP Top 10 and Your Web Apps
owaspjapan
2
430
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
300
elegance_of_OWASP_Top10_2017
owaspjapan
2
580
Other Decks in Technology
See All in Technology
アカウントが増えてからでは遅い? ~ マルチアカウント統制の勘所 ~
kenichinakamura
0
220
「ちゃんとやっている」は独りよがりだった ― 不安に寄り添うインシデント対応へ / Towards incident response that addresses anxieties
chmikata
1
4.5k
勉強会企画をアプリで構造化してみた 〜そこで見えた、AIとの付き合い方〜 / I've structured a study group plan using an app.
pauli
0
340
環境凍結という Toil を倒す -セルフサービス型 Ephemeral テスト環境の 設計と実践
shirouz
1
2.1k
しくみを学んで使いこなそう GitHub Copilot app
torumakabe
1
150
AIと共生する開発者プラットフォーム:バクラクのモノレポ×マイクロサービス基盤
sakajunquality
2
3.2k
LLMやAIエージェントをソフトウェアに組み込むプラクティス
shibuiwilliam
1
220
Control Planeで育てるBtoB SaaSの認証基盤 - SRE NEXT 2026
pokohide
1
2.1k
次世代ランサムウェア対策の考察 / 20260704 Mitsutoshi Matsuo
shift_evolve
PRO
5
1.7k
AIDLC_ヤフーショッピングの取り組み
lycorptech_jp
PRO
0
600
Text-to-SQLをAgentCoreで実現し、生成されるSQLの精度を定量的に評価する
yakumo
2
770
地域 SRE コミュニティ最前線 / SRE NEXT 2026 Discussion Night Track C
muziyoshiz
0
200
Featured
See All Featured
sira's awesome portfolio website redesign presentation
elsirapls
0
300
Evolving SEO for Evolving Search Engines
ryanjones
0
240
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
360
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
davidcarrasco
3
180
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.7k
How to build a perfect <img>
jonoalderson
1
5.8k
Odyssey Design
rkendrick25
PRO
2
730
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
220
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.9k
Agile that works and the tools we love
rasmusluckow
331
22k
Deep Space Network (abreviated)
tonyrice
0
220
Transcript
運⽤ 保守 企画 要件定義 テスト 設計 開発 プロダクトマネジャー、CISO (Manager)
アーキテクト、開発者 (Builder) 品質担当者、脆弱性診断⼠ (Breaker) 運⽤保守担当者、管理者 (Defender) 実施すべきセキュリティ対策例 ・開発⽅針・体制整備 ・セキュリティ要件の決定 活⽤可能な資料・ツール例 ・OWASP ASVS ・セキュリティ要件書 実施すべきセキュリティ対策例 ・構成管理 ・脆弱性への対応 活⽤可能な資料・ツール例 ・Dependency Check ・AppSensor 実施すべきセキュリティ対策例 ・脆弱性を作りこまない設計・実装 ・セキュアコーディング 活⽤可能な資料・ツール例 ・Proactive Controls ・Cheat Sheet Series 実施すべきセキュリティ対策例 ・単体、結合、総合テスト ・セキュリティテスト 活⽤可能な資料・ツール例 ・Testing Guide ・Zed Attack Proxy(ZAP) 基礎 知識 ⼯程別活⽤可能な資料・ツールの紹介
名称 概要 対象 活⽤⽅法 OWASP Top 10 ウェブアプリにおいて 最も注意すべき10の脆 弱性とそれを作りこま
ない対処法を理解する ための資料。モバイル 版やIoT版も存在する 脆弱性の内容、確認⽅ 法、攻撃シナリオ、防 ⽌⽅法等を理解するた めに、企業における教 育や⾃⼰啓発等に活⽤ されている OWASP ASVS v3 組織におけるセキュリ ティに関する取組のレ ベルを設定し、そのレ ベルに応じた要件を実 現するのに活⽤するた めの資料 組織やシステムに対す るセキュリティレベル の状況の確認に加え、 その状況を証明する際 のエビデンスの作成に も活⽤されている セキュリティ要件書 v2 ウェブアプリに対して ⼀般的に盛り込むべき と考えられるセキュリ ティ要件を理解するた めの資料 ウェブアプリの要件定 義⼯程におけるセキュ リティ要件の策定に活 ⽤されている Open SAMM v1 ⼯程ごとに組織が直⾯ するリスクに応じたセ キュリティ対策の策 定・実施を⽀援するた めの資料。最新版は v1.1 組織におけるセキュリ ティ対策の策定に活⽤ されている Manager Builder Breaker Defender Manager Builder Manager Builder 活⽤可能な主要な資料・ツールの⼀覧 Manager Builder Breaker Defender :資料 :ツール :⽇本語 :英語
名称 概要 対象 活⽤⽅法 Cheat Sheet Series セキュリティを⾼める ための知識や、それら 機能を実装する⽅法を
理解するための資料。 50以上の分冊で構成さ れている 個別具体的なセキュリ ティに関する知⾒を習 得するための⾃⼰啓発 に活⽤されている Proactive Controls v2 ウェブアプリの開発者 が注意すべき10のセキ ュリティ技術を理解す るための資料。 OWASP Top10の脆弱 性とも対応している ウェブアプリの開発⼯ 程を担当する開発者を 対象とした⾃⼰啓発に 活⽤されている Testing Guide v4 ウェブアプリに対する テストに関して、その ⽬的や⽅法を理解する ための資料。slackによ る情報共有スペースが 作られている ウェブアプリに対する テスト⼿法を習得する ための⾃⼰啓発に活⽤ されている ZAP v2.4 ウェブアプリに対する セキュリティテストを 実施するためのツー ル。v2.1に対応した⽇ 本語の運⽤マニュアル が整備されている ウェブアプリに対する セキュリティテストを 実施する際に活⽤され ている Builder Breaker Defender Builder Builder 活⽤可能な主要な資料・ツールの⼀覧 Breaker Breaker :資料 :ツール :⽇本語 :英語
名称 概要 対象 活⽤⽅法 Dependency Check 脆弱性が報告されてい るライブラリが利⽤さ れていないかを確認す るためのツール。
Jenkins等のプラグイ ンも存在している ビルドプロセスに組み 込等により、利⽤して いるライブラリに既知 の脆弱性が含まれてい ないことを確認する際 に活⽤されている AppSensor ウェブアプリに対する 攻撃を検知、分析し、 ⾃動的に応答すること により攻撃を防ぐため のツール ウェブアプリの運⽤時 に活⽤されている Broken Web Apps 既知の脆弱性を含むウ ェブアプリ、脆弱性を 敢えて作りこんだウェ ブアプリ等様々なウェ ブアプリが詰め合わさ れているツール 脆弱性の検出⽅法を理 解するための⾃⼰啓発 に活⽤されている Snakes and Ladders 遊びながらOWASP Top10とMobile Top10で紹介されてい る脆弱性を勉強するた めのツール ウェブアプリやモバイ ルアプリの脆弱性を理 解するための⾃⼰啓発 に活⽤されている Defender Builder 活⽤可能な主要な資料・ツールの⼀覧 Breaker Defender Manager Defender :資料 :ツール :⽇本語 :英語 Breaker Builder