OWASP Top10 Translation YOMOYAMA talk by Ando-san

Transcript

1. OWASP Top10翻訳の よもやま話 （株）オージス総研 アプリケーションセキュリティソリューション部 安藤 崇周 WASNight 2018 Kick-Off

   = OWASP x WASForum Night

2. 自己紹介 • 仕事 – ITアーキテクト – ITコンサルタント – PM –

   Scrum Master(CSM&CSPO) – プログラマ • OWASP活動 – OWT2017 「OWASP Top10を用いた脆弱性対応」のスピーカー https://speakerdeck.com/owaspjapan/owt2017jp-owasp-top10 2017/9/30 1

3. 参画の手順わかりますか？ 2017/9/30 2 Owasp-Japan メーリングリス トで募集連絡 経歴をメールで 送る SlackにInviteさ れる

4. 翻訳作業の流れ 2017/9/30 3 OWASP Top10の原文はmdファイ ル。Visual Studio Code便利！ Slackを追い かける

   とにかく翻訳 とにかく githubにpush とにかくSlack に投稿

5. やりたいことをやるべし！ • A10 不十分なロギングとモニタリング – アーキテクトとしては「ロギングとモニタリング」は当 然やりたい！ • A1 インジェクション

   – OWT 2017でA1を題材にしたから変わった部分を知り たい！ • A5 アクセス制御の不備 – みんなが奥ゆかしくて手を挙げないからやっちゃお う！ 2017/9/30 4

6. 2017:A1 インジェクション 2017/9/30 5 • やっぱりインジェクションがA1に • 脆弱性発見のポイントや防止方法において、 2013年よりもより具体的に記載 •

   SASTとDASTといったツールの有効性に言及 • どんなデータソースもインジェクションの経路 になりえる…Top10の全部を読むのが面倒な 人もA1は見ましょう

7. 2017:A5 アクセス制御の不備 2017/9/30 6 • 2013:A4「安全でないオブジェクト直接参照」と 2013:A7「機能レベルアクセス制御の欠落」を マージ • SAST、DASTだけでは有効性の検証ができな

   い。アクセス制御に関する機能面での単体・ 結合テストが有効 • マイクロサービス、SPA対応が大きく反映

8. 2017:A10 不十分なロギングとモニタリング 2017/9/30 7 • 2017年版の新項目 • タイムリーなインシデント対応のためにログと モニタリングを整備する •

   失敗したログインのログも取りましょう • テストでの検証が大切 • ASVS V8:エラー処理とログの保存に関する検 証要件も併せて参照する

9. 2017:全般 ESAPIの言及が消えた！ 2017/9/30 8

10. 2017/9/30 9 JOIN OWASP