【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf

0：自己紹介 1：今日の目的 2：Snakes&Ladders説明 3：Let's Play(Beer Bash!!) 4：まとめ eLV セキュリティシリーズ#2

本資料は基本的に公開します！ガリガリメモらなくておｋ！！　　マークのあるページは別です！写真、SNS投稿などもNG！！酒は飲んでも飲まれるな( ﾟДﾟ)y─┛~~ 私の勉強会はアルコールおｋです！ eLV セキュリティシリーズ#2

eLV セキュリティシリーズ#2 名前（ハンドル）柴雑種（@zash_shibainu）名前（本名）柴田諭史仕事（現在）フリーランス・エンジニア -
インフラ - セキュリティ職歴 2003～2006：プログラマ（デスマ多し…） 2006～2017：インフラエンジニア　　　　　　（基幹系、オンプレ多し） 2017～2018：セキュリティエンジニア（派遣） 2018～：フリーランス

eLV セキュリティシリーズ#2 あと週2ぐらいなら働ける

アプリ開発者インフラネットワークセキュリティその他 eLV セキュリティシリーズ#2

eLV セキュリティシリーズ#2

前回、eLV勉強会にてOWASP Top 10をテーマに代表的なWeb脆弱性を体験して頂きました。 SQLi,OSCMDi,XSS それ以外にも、OWASPの成果物でProactive Controlsというものがあります。アプリケーション開発者が、予め念頭に置いておくべき10 の項目をまとめたもの
eLV セキュリティシリーズ#2 https://drive.google.com/file/d/0B2_ziyIoPpCNXzhJRkdrcEx4Q1U/view

eLV セキュリティシリーズ#2 https://www.owasp.org/index.php/Japan Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティ
です。

今はProactive Controlsについて詳しく話はしません！ゲームの中で、Proactive Controlsについて学んでいきましょう！ eLV セキュリティシリーズ#2 1.早期に繰り返しセキュリティを検証する 6.適切なアクセス制御の実装 2.クエリーのパラメータ化
7.データの保護 3.データのエンコーディング 8.ロギングと侵入検知の実装 4.すべての入力値を検証する 9.セキュリティフレームワークやライブラリの活用 5.アイデンティティと認証管理の実装 10.エラー処理と例外処理

元々は16世紀インド発祥のスゴロク（子供向けゲーム）詳しくはWikiPediaで！善行を積めばハシゴを使ってゴールに近づき、悪行を積めばヘビに呑み込まれてゴールから遠ざかる。 eLV セキュリティシリーズ#2 https://ja.wikipedia.org/wiki/蛇と梯子

OWASPのゲームですので、以下のように読み替えます善行：脆弱性に対して、予め対策ができている ⇒Proactive Controls Top 10 悪行：脆弱性に対して、対策を講じずに悪用された ⇒脆弱性Top 10 eLV
セキュリティシリーズ#2

遊び方はほぼスゴロクと一緒で、サイコロを振ってコマを進めますが、止まったコマがヘビの頭のコマ：シッポへワープ（戻る）ハシゴの下段のコマ：上段へワープ（進む） eLV セキュリティシリーズ#2

オリジナルのヘビとハシゴとの差異（ローカルルール）本家は他のプレイヤーと同じコマに止まった場合、背中に乗れますが、今回は無しでいきます。自分の力だけでゴールを目指しましょう！ゴール丁度の目が出なくても、ゴールとします！ヘビ/ハシゴコマに止まった場合のペナルティ（ご褒美） OWASP Top 10およびProactive Controlsの内容を確認して
ください。何の脆弱性に引っかかってしまったか/何の対策が打てていたか？ eLV セキュリティシリーズ#2

ゲーム盤に記載されている脆弱性（Ax）、Proactive Control（Cx）は、それぞれ最新版の適用とします。それぞれのリリース年が異なるため…順位だけ参照脆弱性Top10：2017年版 Proactive Controls：2016年版 eLV セキュリティシリーズ#2

アンケには是非ご協力お願いします！m(_ _)m タイミング合えば、OWASP PRチームにてLT（フィードバック）してきます！ ⇒やるしかないんだ…(｀・ω・´) eLV セキュリティシリーズ#2 https://owaspprteam.connpass.com/

大体21:00目途に終了しますので、それまでにゴールを目指しましょう！ eLV セキュリティシリーズ#2

【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf

【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf

zash_shibainu

More Decks by zash_shibainu

Featured

Transcript

0：自己紹介 1：今日の目的 2：Snakes&Ladders説明 3：Let's Play(Beer Bash!!) 4：まとめ eLV セキュリティシリーズ#2

eLV セキュリティシリーズ#2 名前（ハンドル）柴雑種（@zash_shibainu）名前（本名）柴田諭史仕事（現在）フリーランス・エンジニア -

eLV セキュリティシリーズ#2 あと週2ぐらいなら働ける

アプリ開発者インフラネットワークセキュリティその他 eLV セキュリティシリーズ#2

eLV セキュリティシリーズ#2

eLV セキュリティシリーズ#2

OWASPのゲームですので、以下のように読み替えます善行：脆弱性に対して、予め対策ができている ⇒Proactive Controls Top 10 悪行：脆弱性に対して、対策を講じずに悪用された ⇒脆弱性Top 10 eLV

遊び方はほぼスゴロクと一緒で、サイコロを振ってコマを進めますが、止まったコマがヘビの頭のコマ：シッポへワープ（戻る）ハシゴの下段のコマ：上段へワープ（進む） eLV セキュリティシリーズ#2

ゲーム盤に記載されている脆弱性（Ax）、Proactive Control（Cx）は、それぞれ最新版の適用とします。それぞれのリリース年が異なるため…順位だけ参照脆弱性Top10：2017年版 Proactive Controls：2016年版 eLV セキュリティシリーズ#2

eLV セキュリティシリーズ#2

アンケには是非ご協力お願いします！m(_ _)m タイミング合えば、OWASP PRチームにてLT（フィードバック）してきます！ ⇒やるしかないんだ…(｀・ω・´) eLV セキュリティシリーズ#2 https://owaspprteam.connpass.com/

大体21:00目途に終了しますので、それまでにゴールを目指しましょう！ eLV セキュリティシリーズ#2