Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティ勉強会 / How do we confront the threat
Search
TomoyaKitaura
April 14, 2021
Technology
0
130
セキュリティ勉強会 / How do we confront the threat
TomoyaKitaura
April 14, 2021
Tweet
Share
More Decks by TomoyaKitaura
See All by TomoyaKitaura
New Relicの推せるところ・推せないところ / newrelic good and bad
tomoyakitaura
0
93
サービスレベルを管理してアジャイルを加速しよう!! / slm-accelerate-agility
tomoyakitaura
1
250
「頑張る」を「楽しむ」に変換する技術
tomoyakitaura
17
10k
これからの設計で変わること pre:invent2024アップデート速報 / pre:invent2024 network update
tomoyakitaura
1
230
セキュリティ活動をちょっとずつやる戦略を実行した気づき / Incremental Security Initiatives
tomoyakitaura
0
180
社内共通コンテナレジストリを設立して、開発者体験向上を狙ってみた /Establishing container registry to improve DX
tomoyakitaura
2
200
LTワークショップ3日目 / LT Workshop Day 3
tomoyakitaura
0
180
LTワークショップ2日目 / LT Workshop Day 2
tomoyakitaura
0
160
LTワークショップ(1日目) / LT workshop day 1
tomoyakitaura
1
200
Other Decks in Technology
See All in Technology
Strands Agents & Bedrock AgentCoreを1分でおさらい
minorun365
PRO
6
220
AIに目を奪われすぎて、周りの困っている人間が見えなくなっていませんか?
cap120
1
420
20250807_Kiroと私の反省会
riz3f7
0
110
Amazon Q Developerを活用したアーキテクチャのリファクタリング
k1nakayama
2
170
Nx × AI によるモノレポ活用 〜コードジェネレーター編〜
puku0x
0
330
みんなのSRE 〜チーム全員でのSRE活動にするための4つの取り組み〜
kakehashi
PRO
2
130
家族の思い出を形にする 〜 1秒動画の生成を支えるインフラアーキテクチャ
ojima_h
1
190
風が吹けばWHOISが使えなくなる~なぜWHOIS・RDAPはサーバー証明書のメール認証に使えなくなったのか~
orangemorishita
15
5.4k
KubeCon + CloudNativeCon Japan 2025 Recap
donkomura
0
160
Claude Codeが働くAI中心の業務システム構築の挑戦―AIエージェント中心の働き方を目指して
os1ma
9
1.5k
ロールが細分化された組織でSREと協働するインフラエンジニアは何をするか? / SRE Lounge #18
kossykinto
0
110
dipにおけるSRE変革の軌跡
dip_tech
PRO
1
220
Featured
See All Featured
YesSQL, Process and Tooling at Scale
rocio
173
14k
The World Runs on Bad Software
bkeepers
PRO
70
11k
What’s in a name? Adding method to the madness
productmarketing
PRO
23
3.6k
Code Review Best Practice
trishagee
69
19k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
161
15k
Embracing the Ebb and Flow
colly
86
4.8k
Faster Mobile Websites
deanohume
308
31k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Automating Front-end Workflow
addyosmani
1370
200k
Adopting Sorbet at Scale
ufuk
77
9.5k
How to Ace a Technical Interview
jacobian
278
23k
Transcript
ηΩϡϦςΟษڧձ ~ Ͳ͏ͬͯڴҖʹ ཱ͔͍͚͍͍ͪͬͯͷ͔ฤ ~ 2021/04/12 ͖ͨ͏Β
ຊͷΰʔϧ 2 ηΩϡϦςΟରࡦɺ ࠓޙͲ͏ͬͯऔΓΜͰ͍͜͏ ↓ ʢΘ͔͔ͬͨΒʣ࣮ࡍʹऔΓΜͰΈΑ͏!
͎͘͡ 3 1.ηΩϡϦςΟ͓͍͍ͬͯ͠ͷʁ - ߈ܸ͕ޭͨ͠ΒͲΜͳඃΛड͚Δ͔ - ҰݴͰઆ໌͍ͯ͘͠10େڴҖ 2.ηΩϡϦςΟͱͷ͖߹͍ํ ▪৫ͱͯ͠ -
Ͳ͏͢Ε҆৺ͱݴ͍ΕΔͷ͔ - ͔͚Δඅ༻ͱͲͷఔ͕దͳͷ͔ ▪ΤϯδχΞͱͯ͠ - ୭͕ԿΛҙࣝ͢Ε͍͍ͷ͔ - Ͳ͏ͬͯษڧͨ͠Β͍͍ͷ͔
4 1.ηΩϡϦςΟ͓͍͍ͬͯ͠ͷʁ
߈ܸΛड͚ͨΒͲΜͳඃΛड͚Δ͔ 5 - ۚમͷଛࣦ ଛഛঈͷࢧ͍ ෮چରԠ։ൃඅ༻༷ʑͳରԠඅ༻ - ސ٬ͷଛࣦ
ࣾձతධՁԼʹΑΔސ٬ྲྀग़ औҾઌ͔Βͷडఀࢭ - ࣄۀܧଓͷ્ ਓࡐྲྀग़ - ৽ػೳ։ൃͷԆ ճ෮ରԠ༏ઌʹΑΔͷݮଛ
ҰݴͰઆ໌͢Δ10େڴҖ 6 - ΠϯδΣΫγϣϯ - ೝূͷෆඋ - ػີใͷ࿐ग़ - XML֎෦ΤϯςΟςΟࢀরʢXXEʣ
- ΞΫηε੍ޚͷෆඋ - ෆదͳηΩϡϦςΟઃఆ - ΫϩεαΠτεΫϦϓςΟϯά - ҆શͰͳ͍σγϦΞϥΠθʔγϣϯ - طͷ੬ऑੑΛ࣋ͭίϯϙʔωϯτͷ༻ - ෆेͳϩΪϯάͱࢹ https://wiki.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf
ΠϯδΣΫγϣϯ 7 ▪༰ ੬ऑੑͷ͋ΔγεςϜʹରͯ͠ɺ։ൃऀͷఆ ֎ʹΑΔจࣈྻೖྗΛߦ͏͜ͱʹΑΓɺγες ϜΛͬऔͬͨΓվ᜵͢ΔڴҖ
ೝূͷෆඋ 8 ▪༰ ʮਖ਼͍͠ΞΫηεݖΛ࣋ͭਓ͕ਖ਼͘͠ΞΫηε ݖΛ࣋ͭʯͱ͍͏͋Δ͖ঢ়ଶ͕ෆඋʹΑͬ ͯ৵͞Εͯ͠·͏ڴҖ
ػີใͷ࿐ग़ 9 ▪༰ ҙਤͤͣॏཁσʔλ͕҉߸Խ͞Ε͍ͯͳ͍/ެ ։͞Εͯ͠·͍ͬͯΔͰୈࡾऀ͕ӾཡͰ͖ ͯ͠·͏ڴҖ
XML֎෦ΤϯςΟςΟࢀরʢXXEʣ 10 ▪༰ XMLϓϩηοαͷ༷Λٯखʹͱͬͯɺ ༷ʑͳ߈ܸΛՄೳͱͯ͠͠·͏ڴҖ
ΞΫηε੍ޚͷෆඋ 11 ▪༰ ຊདྷඞཁͱ͞ΕΔΞΫηεݖݶҎ্ͷػೳΛ ࣮ߦͰ͖ͯ͠·͏͜ͱʹΑΓɺΞΫηεݖݶ ཧશମ͕੬ऑͱͳ͍ͬͯΔ༷ͷڴҖ
ෆదͳηΩϡϦςΟઃఆ 12 ▪༰ ਓతϛεෆదͳઃఆʹΑͬͯɺ༷ʑͳ੬ ऑੑΛҾ͖ى͍ͯ͜͠Δ༷ͷڴҖ
ΫϩεαΠτεΫϦϓςΟϯά 13 ▪߈ܸ༰ ੬ऑੑͷ͋ΔඪతαΠτͷυϝΠϯݖݶʹΑͬͯѱ ҙͷ͋ΔεΫϦϓτΛ࣮ߦͤ͞Δ͜ͱ͕Ͱ͖ΔڴҖ
҆શͰͳ͍σγϦΞϥΠθʔγϣϯ 14 ▪߈ܸ༰ ੬ऑੑͷ͋ΔσʔλมΛߦ͏ॲཧʹ͓͍ͯɺ ѱҙͷ͋ΔϓϩάϥϜΛ࣮ߦͤͯ͞͠·͏ͱ͍͏ڴҖ
طͷ੬ऑੑΛ࣋ͭίϯϙʔωϯτͷ༻ 15 ▪߈ܸ༰ ೝ͞Εͨ੬ऑੑΛରࡦ͠ͳ͍··ར༻͢Δ͜ͱ ʹΑΓɺ༷ʑͳ߈ܸΛڐ༰ͱͯ͠͠·͏ڴҖ
ෆेͳϩΪϯάͱϞχλϦϯά 16 ▪߈ܸ༰ ߈ܸͷૣظൃݟ߈ܸऀʹରͯ͠ૌুΛߦ͏ͨΊ ͷূڌ͕ඞཁͱͳΔ͕ɺෆेͰ͋Δ͕ނʹͦͷ ճ෮ߦಈ͕ߦ͑ͳ͍ڴҖ
17 2.ηΩϡϦςΟͱͷ͖߹͍ํ
18 ~৫ͱͯ͠ฤ~ Ͳ͏͢Ε҆৺ͱ͍͍͖ΕΔͷ͔
Ͳ͏͢Ε҆৺ͱ͍͍͖ΕΔͷ͔ 19 - WAFΛద༻ࡁΈ - ΞΫηεݖݶ࠷దԽࡁΈ - ଟཁૉೝূඞਢԽࡁΈ - IDSಋೖࡁΈ
- σϓϩΠ࣌ͷCI/CDϓϩηεͰϖωτϨΠγϣϯςετ࣮ߦࡁΈ - …etc ͜͜·ͰΕόονϦɾɾɾ
Ͳ͏͢Ε҆৺ͱ͍͍͖ΕΔͷ͔ 20 ɾɾɾͱͳΒͳ͍ͷͳΜͰͩΖ͏͔
21 ʲ࣮2લʹߟ͑ͨೝྖҬͰͷηΩϡϦςΟରࡦʳ - WAFΛద༻ࡁΈ - ΞΫηεݖݶ࠷దԽࡁΈ - ଟཁૉೝূඞਢԽࡁΈ - IDSಋೖࡁΈ
- σϓϩΠ࣌ͷCI/CDϓϩηεͰϖωτϨΠγϣϯςετ࣮ߦࡁΈ - …etc ʲൃੜ͓͔ͯ͘͠͠ͳ͍ڴҖʳ - 1લʹೝ͞Εͨ৽ͨͳڴҖ - ೝྖҬ֎ͷڴҖ - ಋೖͨ͠ηΩϡϦςΟରࡦ͕ٕज़తʹԽͨ͜͠ͱʹΑΔڴҖ
22 ʲ࣮2લʹߟ͑ͨೝྖҬͰͷηΩϡϦςΟରࡦʳ - WAFΛద༻ࡁΈ - ΞΫηεݖݶ࠷దԽࡁΈ - ଟཁૉೝূඞਢԽࡁΈ - IDSಋೖࡁΈ
- σϓϩΠ࣌ͷCI/CDϓϩηεͰϖωτϨΠγϣϯςετ࣮ߦࡁΈ - …etc ʲൃੜ͓͔ͯ͘͠͠ͳ͍ڴҖʳ - 1લʹೝ͞Εͨ৽ͨͳڴҖ - ೝྖҬ֎ͷڴҖ - ಋೖͨ͠ηΩϡϦςΟରࡦ͕ٕज़తʹԽͨ͜͠ͱʹΑΔڴҖ ͳʹ͕͍͚ͳ͔ͬͨɾɾɾʁ
ܧଓతࢿͷେࣄ͞ 23 - ηΩϡϦςΟͷ͕ى͖ͨͱ͖ʹ ៦Δ͖ϓϩηε͕ଘࡏ͠ͳ͍͜ͱ͕ Ұ൪ͷෆ҆ཁૉ - Ծʹܧଓతͳ׆ಈΛ্ͨ͠Ͱ͕ൃੜͨ͠߹ɺ
ͦͷ׆ಈࣗମͷϓϩηεΛݟ͢͠ΕΑ͘ɺ ͦ͏ͬͯ৫ڧ͘ͳ͍ͬͯ͘ͷͩͱݸਓతʹ ࢥ͍·͢ɻ
24 ~৫ͱͯ͠ฤ~ ͔͚Δඅ༻ͱͬͯͲͷఔ͕దͳͷ
͔͚Δඅ༻ͱͬͯͲͷఔ͕దͳͷ 25 ݱࡏͷྫ ӡ༻ 40% ৽ػೳ։ൃ 60%
͔͚Δඅ༻ͱͬͯͲͷఔ͕దͳͷ 26 ྫ1 ηΩϡϦςΟ 40% ӡ༻ 40% ৽ػೳ։ൃ 20% ηΩϡϦςΟਖ਼ٛͰ͢!!
ྫ2 ηΩϡϦςΟ 5% ӡ༻ 40% ৽ػೳ։ൃ 55% ސ٬֫ಘ͕ୈҰ༏ઌͰ͢!!
͕ൃੜͨ͠ͱ͖ͷͲ͏ͳΔͷ͔ 27 ൃੜ࣌ͷྫ োରԠ 60% ӡ༻ 40% - ηΩϡϦςΟʹΑΔ͕ൃੜ ͨ͠߹ɺ৽ػೳ։ൃͷதࢭΛ
༨ّͳ͘͞ΕΔέʔε͕ଟʑ - ৽ػೳ։ൃΛࢭΊͳ͍ͨΊͱ͍ ͏ҙຯͰηΩϡϦςΟ׆ಈ ࢿͰ͋Δͱ͍͏ߟ͑ํ༗ޮ
ࢿదʹܭը͠ɺಘΒΕΔརӹ࠷େԽ͢Δ 28 - ·ͣݱঢ়ௐࠪͷλεΫ͔Βߦ͢Δ - ௐࠪ݁Ռ͔ΒҰ൪ࢿରޮՌ͕ߴͦ͏ͳࢪࡦΛܭը͠ɺ࣮ߦ͢ΔɻͦͷͨΊ ͷΛ֬อ͢Δͱ͍͏αΠΫϧΛճ͢͜ͱͰ࠷దԽ͍ͯ͘͠(มಈ͢Δ͜ͱ Λલఏͱ͢Δ) - ௐࠪλεΫܧଓతʹߦ͍ɺௐࠪ༰ɾํ๏ΕͣʹΞοϓσʔτΛ͔͚ͯ
͍͘ - ࢪࡦ༰ʹ͓͍ͯɺ͍҆ɺ͏·͍ɺૣ͍ਖ਼ٛ
29 ~ΤϯδχΞͱͯ͠ฤ~ ୭͕ԿΛҙࣝ͢ΕΑ͍ͷ͔
୭͕ҙࣝ͢Δඞཁ͕͋Δͷ͔ 30 ଟޚͱ ηΩϡϦςΟରࡦΛΈ߹Θͤͯ֊Λங͘͜ͱͰɺ Ұͭͷରࡦ͕ഁΒΕͯ࣍ͷʢͦͷ·ͨ࣍ͷʣରࡦ͕ ߈ܸΛࢭ͠ɺ߈ܸͷݕٴͼରԠͰ͖ΔΑ͏ʹ͢Δ ૯߹తͳηΩϡϦςΟΞϓϩʔνΛࢦ͢ɻ
୭͕ҙࣝ͢Δඞཁ͕͋Δͷ͔ 31 ͭ·Γɺ ϑϩϯτΤϯυ όοΫΤϯυ Πϯϑϥ ֊Λ্هʹݟཱͯͨ߹ɺͦΕͧΕ͕ηΩϡϦςΟରࡦΛ ࢪ͢͜ͱʹΑͬͯɺΑΓڧݻͳηΩϡϦςΟΛங͘͜ͱ͕Ͱ͖Δ ΑΓޮՌతͳରࡦΛݕ౼͢ΔʹɺΈΜͳͷྗ͕ෆՄܽ
୭͕ҙࣝ͢Δඞཁ͕͋Δͷ͔ -> શһ 32
33 ~ΤϯδχΞͱͯ͠ฤ~ Ͳ͏ͬͯษڧͨ͠Β͍͍ͷ͔
ηΩϡϦςΟͷษڧํ๏ʢश׳ฤʣ 34 - Qiita https://qiita.com/ - Zenn https://zenn.dev/
- Developer io https://dev.classmethod.jp/
ηΩϡϦςΟͷษڧํ๏ʢಡॻฤʣ 35
ηΩϡϦςΟͷษڧํ๏ʢWebฤʣ 36 - OWASP Top 10 ~2017~ ڴҖͷτϨϯυ͕ΕΔ -
OWASP Top 10 Proactive Controls ~2018~ શ։ൃνʔϜʹ͚ͯޮՌతͱ͞ΕΔରࡦͷհ - Google ChromeͷηΩϡϦςΟΞοϓσʔτ ΞοϓσʔτΛ͢ΔʹࢸͬͨܦҢഎܠΛ ղઆͯ͘͠ΕͯΔέʔε͕͋Δ - ҆શͳΣϒαΠτͷ࡞ΓํʢIPAʣ ۩ମతͳ߈ܸ༰ͷৄࡉͱͦͷରࡦͳͲ͕ཏతʹهࡌ͞ΕͯΔ
վΊͯຊͷΰʔϧ 37 ηΩϡϦςΟରࡦɺ ࠓޙͲ͏ͬͯऔΓΜͰ͍͜͏ ↓ ʢΘ͔͔ͬͨΒʣ࣮ࡍʹऔΓΜͰΈΑ͏!
վΊͯຊͷΰʔϧ 38 ͳʹ͔ҰͭͰ࣋ͪؼͬͯ ࣮ફʹͭͳ͛ͯΒ͑ͨΒ خ͍͠Ͱ͢
39 ͝੩ௌ͋Γ͕ͱ͏ޚ࠲͍·ͨ͠