dimeizaのブログ

興味のある技術(IoT/VR/Smart Speaker)とか、資格試験の話とか、日常で出会ったTechな話について書いています。

Developer's Summit 2016 【18-E-1】DevOps時代に明日から活かせるセキュリティ対策術 聴講メモ

Developers Summit セミナー聴講メモ

講演資料

https://speakerdeck.com/owaspjapan/devopsshi-dai-niming-ri-karahuo-kaseru-sekiyuriteidui-ce-shu-number-devsumi20160218

概要

 OWASPに参加しているセキュリティエンジニアが、セキュリティに関する誤解を解きながら、どのようにセキュリティに取り組むべきかを、OWASPの活動と成果物を示しながら説明する。

スピーカー

OWASPの中田さん。

本業はセキュリティエンジニアからコンサルタント

OWASPの運営メンバー。PRを担当している。

詳細

OWASP

  • Open Web Application Security Project
  • Webアプリケーションセキュリティに関する非営利コミュニティ。
  • 日本では4つのチャプターがある
    • 3ヶ月に一度勉強会しているらしい
      • 場所によって勉強内容は異なる
    • 日本独自の成果物を作成している

デブサミで発表する理由

  • セキュリティと他部門のコラボレーションを実現したい
  • 昔ある企業のセキュリティ部門に努めていた。
    • 情報システム部門が作ったシステムのセキュリティを検証する仕事。
      • が、情報システムから送られてきたシステムは脆弱性だらけ。
      • システムが出来てから脆弱性を指摘するのは非効率だ。
  • カンファレンスで、セキュリティにどう取り組めばいいのかがわからない、という質問をよく受けていた。

2つの勘違い

  1. セキュリティ対策は『難しい』

    • なぜセキュリティ対策は難しいと考えられがちなのか。
      • 作成者は立場、フェーズごとに考慮すべき事項が異なる。
      • OSI参照モデルの全層に関する理解が必要になる。
        • 実態が見えないサイバー空間という脅威もある。
    • 一方で、攻撃者は意識が甘いシステムを狙う。
      • ちょっとした対策や意識向上でも効果がある。
        • 研究レベルの対策は難しいが、システム実装レベルの対策はさほど難しくない。
      • 逆に、ものすごく硬いシステムを作るとかえって狙われやすい。
      • 地味なセキュリティ対策が重要。

  2. セキュリティ対策は『後回しにして良い』

    • 何故セキュリティ対策は後回しにされがちなのか?
      • セキュリティ対策は機能ではなく品質要素。
      • 実装が任意。
      • ユーザ満足に直結しない。
      • コスト、時間がかかる。
    • が、『セキュリティ対策は当然と判断された判例』がある。
      • SQLインジェクション攻撃による個人情報漏洩事件。
        • 仕様書にセキュリティ要件がなかった。
        • 発注側がSQLインジェクション対策不足を重過失として受注側に損害賠償請求したが、
        • 受注側からのセキュリティ向上提案を取り入れなかった点について過失相殺が認定
      • 発注側もセキュリティ対策を知らないといけない。
        • 予めセキュリティを必須のものとして考慮しなければならず、後回しにしてはならない。

いつ対策するのか?

  • 設計、開発工程でセキュリティ対策するのが最も効果が高い。
    • 80%の脆弱性バグが発生するから。
  • 設計、開発工程でセキュリティ対策するのが最も安い。
    • 93%のコスト抑制効果があるから。
  • セキュリティ対策のカギを握るのはセキュリティエンジニアではなく、プログラマ、アーキテクト、プロダクトマネージャ。

どうすればいいのか?

  • OWASPの成果物からはじめてみては?

Top 10 Web脆弱性

  • OWASP最高の成果物。
  • 10の脆弱性と、それを作り込まないようにする対処法が記載されている。
  • 公的機関の基準になることも。
  • 攻撃シナリオが書かれているのが特徴。
  • A9(既知の脆弱性を持つコンポーネントの使用)の対策には簡単に取り組める
    • グーグル調査結果によると、セキュリティエキスパートが推奨する対策は『ソフトウェアのアップデート』1

Cheat Sheet Series

  • 設計、開発時のリファレンスに。
  • 設計、開発、運用、保守の知識と対策。
  • 48のチートシートCodeZineの解説を読むと分かりやすくなると思う。
  • 概要の日本語版を公開中。
  • JPCERT CCがチートシートの翻訳を調達中(そのうち日本語版が出る)。

Proactive Controls

  • Web開発時に考慮したいセキュリティ技術を紹介。
  • 最近2016年版がリリース
  • 日本語翻訳中でまもなく公開
  • 2016以前は優先度が低かった、要件定義、設計工程でのセキュリティ要件の考慮が重視されている
  • OWASPTop10やCheat Sheetとの対応関係がある。

OWASP ASVS

  • セキュリティの取り組みで、自分たちができていることとできていないことを把握する。
  • 2015年末に最新版がリリース。
  • どのレベルに有りたいかを設定したうえで、レベルに対応した要件をチェックしていく。
  • インシデントに即応する時、前もってできていることを事前に把握していることが何より重要。
  • 効果が高いのはV1とV9。
  • こっちもJPCERTの方で翻訳中。

OWASP ZAP

IoT Top 10

  • OWASP Top10と同形式でIoTの脆弱性と対応策を示している。
  • IOTにおいてもWebセキュリティの知識は不可欠。
  • Codezineにも関連記事がある。

まとめ

  • 成果物を是非活用してもらいたい。
  • 成果物の使用、勉強会参加、プロジェクトに貢献できる機会もあるので、OWASPにも参加して欲しい。
  • 2/27にオワスプデイがあるので参加してね。

  1. 情報セキュリティスペシャリスト試験の模範解答パターンの一つでもあります。