Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP SAMMを活用したセキュア開発の推進
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
OWASP Japan
March 11, 2019
Technology
1.1k
0
Share
OWASP SAMMを活用したセキュア開発の推進
OWASP Night 2019.03 in Tokyo
OWASP SAMMを活用したセキュア開発の推進
神戸デジタル・ラボ 松田康司
OWASP Japan
March 11, 2019
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
390
20190107_AbuseCaseCheatSheet
owaspjapan
0
210
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
1.1k
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
3.5k
Shifting Left Like a Boss
owaspjapan
2
330
OWASP Top 10 and Your Web Apps
owaspjapan
2
420
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
280
elegance_of_OWASP_Top10_2017
owaspjapan
2
570
OWASP Top10 Translation YOMOYAMA talk by Ando-san
owaspjapan
0
570
Other Decks in Technology
See All in Technology
Podcast配信で広がったアウトプットの輪~70人と音声発信してきた7年間~/outputconf_01
fortegp05
0
190
ThetaOS - A Mythical Machine comes Alive
aslander
0
230
Oracle Cloud Infrastructure(OCI):Onboarding Session(はじめてのOCI/Oracle Supportご利⽤ガイド)
oracle4engineer
PRO
2
17k
40代からのアウトプット ― 経験は価値ある学びに変わる / 20260404 Naoki Takahashi
shift_evolve
PRO
4
710
20260326_AIDD事例紹介_ULSC.pdf
findy_eventslides
0
340
制約を設計する - 非決定性との境界線 / Designing constraints
soudai
PRO
4
820
Zephyr(RTOS)でARMとRISC-Vのコア間通信をしてみた
iotengineer22
0
120
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
5
1.3k
脳が溶けた話 / Melted Brain
keisuke69
1
1.2k
Amazon Qはアマコネで頑張っています〜 Amazon Q in Connectについて〜
yama3133
1
170
Blue/Green Deployment を用いた PostgreSQL のメジャーバージョンアップ
kkato1
1
220
遊びで始めたNew Relic MCP、気づいたらChatOpsなオブザーバビリティボットができてました/From New Relic MCP to a ChatOps Observability Bot
aeonpeople
1
150
Featured
See All Featured
How to train your dragon (web standard)
notwaldorf
97
6.6k
Claude Code どこまでも/ Claude Code Everywhere
nwiizo
64
54k
The World Runs on Bad Software
bkeepers
PRO
72
12k
Un-Boring Meetings
codingconduct
0
250
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
140
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
310
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
140
From π to Pie charts
rasagy
0
160
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.4k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
340
Building an army of robots
kneath
306
46k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
Transcript
OWASP SAMMを活用した セキュア開発の推進 2019/03/11 松田康司
自己紹介 • 松田康司 (まつだこうじ) • 株式会社神戸デジタル・ラボ セキュア開発推進・プロジェクトサポートチーム • カレー好きです
今日の話 • 全ての開発プロジェクトをセキュアにするため にOWASP SAMMを活用する話 • この活動で活用している他のOWASPドキュメ ントの紹介
きっかけ • 開発部門の納品前の脆弱性診断を担当した • 似たような診断結果が多く、同じ指摘を何度 もしていることが判明 • さらに、結果の中には、修正の多く工数がか かるものもあった
None
シフトレフト
OWASP SAMMについて
OWASP SAMMとは? Software Assurance Maturity Model • 開発プロジェクトの成熟度を評価し、定量化・ 可視化を実現 •
継続改善に向けたツールを提供 • より成熟したセキュア開発を行うことを支援す るドキュメント https://owaspsamm.org/ (v1.5 stable, v2.0 beta) https://www.jpcert.or.jp/securecoding_materials.html (v1.0 日本語)
定量化・可視化 4つのカテゴリ、12のアクティビティ、77のチェック項目 プロジェクトメンバーにヒアリングすることで可視化ができる
定量化・可視化 チェック項目の一例(v1.0) ◆戦略&指標
継続改善 四半期ごとのサイクル 目標設定 計画立案 実行 評価 OWASP SAMMで 可視化する OWASPのその他
のドキュメントを 活用 OWASP SAMMの ロードマップテン プレートを活用 OWASP SAMMの ロードマップテン プレートを活用
OWASP SAMMを活用する
活用にあたって 1. 開発プロジェクトでの活用 2. 結果の公開 3. やり始めたプロジェクトのサポート
1.開発プロジェクトでの活用 ◆現状の可視化 セキュリティテストに大きく依存した体制
1.開発プロジェクトでの活用 ◆現状の可視化 プロジェクトメンバーに現状を伝えることに役立つ
1.開発プロジェクトでの活用 ◆目標設定 業種別のロードマップテンプレートの活用 • 独立系ソフトウェアベンダ • オンラインサービスプロバイダ • 金融サービス機関 •
政府機関
1.開発プロジェクトでの活用 4つのカテゴリと12のアクティビティ
• 脅威の査定 – Threat Modeling Cheat Sheet • セキュリティ要件 –
OWASP Application Security Verification Standard – Webシステム/Webアプリケーションセキュリティ要件書 • セキュアなアーキテクチャ – OWASP Proactive Controls • コードレビュー – 各種チートシート
OWASP ASVS Application Security Verification Standard ◆Webアプリケーションの開発、設計、テストで必要となるセキュリティ要件 https://github.com/OWASP/ASVS/tree/master/4.0 (v4.0) https://www.jpcert.or.jp/securecoding/materials-owaspasvs.html
(v3.0.1 日本語) レベル1: 全てのアプリケーションが対象 レベル2: 機微なデータを扱うアプリケーションが対象 レベル3: さらに高度な信頼性が求められるアプリケーションが対 象 アプリケーションの内容によって、満たすべきレベルを決める。
OWASP ASVS Application Security Verification Standard
Webシステム/Webアプリケーション セキュリティ要件書 ◆安全なWebアプリケーションの開発に必要なセキュリティ要件 https://github.com/ueno1000/secreq (v3.0 日本語)
• 簡単にプロジェクトメンバーに満たすべき要 件を伝えられることができた • 要件に対して、実装方法まで議論した • コードレビューの観点が決まり、短時間でコー ドレビューができた
◆要件 ◆実装 • サーバ側でFormManagerを作成 • 全ての入力値検証をFormManagerで行うルールとする ◆レビュー観点 • FormManager を使っていること
• 文字種、文字列、形式をvalidatorに記載していること
共通フレームワーク 開発者 案件開発者 脆弱性診断 診断からのフィードバック ①実装 ②利用 ③納品前診断 ④結果FB
2.結果の公開 • 今までの内容を定期的に社内で発信 • フィードバックをもらいつつ、やり方を見直す • 自分自身も情報整理ができる
3.やり始めたプロジェクトのサポート • の予定。まだまだ道半ば。
まとめ
まとめ • OWASP SAMMは、成熟したセキュア開発を行 うことを支援する • OWASPのドキュメントを使って、簡単化を行う • 結果を常に公開し、フィードバックをもらうこと で、生産技術に反映できる
ご清聴ありがとうございました。
SiteGround - Reliable hosting with speed, security, and support you can count on.
owaspjapan
fortegp05
aslander
oracle4engineer
shift_evolve
findy_eventslides
soudai
iotengineer22
keisuke69
yama3133
kkato1
aeonpeople
notwaldorf
nwiizo
bkeepers
codingconduct
jdejongh
tmiket
rasagy
sergeychernyshev
mfonobong
kneath
chriscoyier
