SlideShare ist ein Scribd-Unternehmen logo
1 von 15
Downloaden Sie, um offline zu lesen
 
	
  
脆弱性は元から断たなきゃダメ!	
SecureAssist	
  IDE	
  Plugin	
  and	
  Enterprise	
  Portal	
  	
  Introduc6on	
  
	
  
	
  
ASTERISK	
  RESEARCH,	
  INC.	
  
株式会社アスタリスク・リサーチ	
  
Cigital社チャネルパートナー	
  
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
1
SecureAssist	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
2	
プラグイン	
 レビュー対象のファイル・タイプ	
 IDE(統合開発環境)	
Java	
  
	
JEE	
  /	
  JSP	
  /	
  XML	
  /	
  FTL	
  /	
  ProperOes	
  	
  
	
  
PHP	
Eclipse	
  
RAD	
  
MyEclips	
  
SpringSource	
  Tool	
  SuiteTM	
  IDE	
.NET	
  
	
  
C#	
  /	
  VB.NET	
  /	
  ASPX	
 MicrosoB	
  Visual	
  Studio	
	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  はVisual	
  Studio、Eclipseのプラグインとして提供されます。 	
  
	
  
開発者はいつでも手元でコードレビューをさせることができるので、脆弱性のもと
になるプログラムコードをビルド前に見つけ、修正・確認することができます。	
	
  
まるで、一流のプログラミングセキュリティ・コーチを開発者ひとりひと
りの横に配置するような、効率・効果の高いソリューションです。	
サポートしている技術	
ジミニー・クリケット
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
3	
リアルタイムコードレビュー・リスクレベル・ガイダンス	
解説・ガイダンスや	
  
サンプルコード	
  
脆弱性とコードの対応による	
  
リスクレベルの可視化	
  
IDEプラグインによる	
  
リアルタイムな	
  
コードレビュー	
  
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
4	
入力値バリデーションならびに	
  
出力値のエンコードを徹底	
セキュアでないデータの取り扱い
による問題を回避	
正しいコーディング手法の	
  
導入・徹底	
Cross-­‐Site	
  Scrip6ng*	
  
>	
  Output	
  Sent	
  to	
  Browser	
  
>	
  Output	
  Data	
  in	
  Web	
  Page	
  
>	
  DOM	
  Object	
  
>	
  HTTP	
  Header	
  ManipulaOon	
  
>	
  GET	
  Requests	
  
>	
  HTML	
  Comments	
  in	
  JSP	
  or	
  PHP	
  File	
  
>	
  Hidden	
  Field	
  
>	
  Data	
  Usage	
  from	
  HTTP	
  Request	
  
>	
  Output	
  Encoding	
  Set	
  to	
  False	
  
	
  
SQL	
  Injec6on*	
  
>	
  Dangerous	
  Method	
  Calls	
  
>	
  Database	
  Query	
  ManipulaOon	
  
>	
  Untrusted	
  Data	
  Source	
  for	
  Query	
  
>	
  Dynamic	
  Database	
  Query	
  
	
  
Path	
  Manipula6on*	
  
>	
  UnsaniOzed	
  Data	
  Usage	
  
>	
  Directory	
  Call	
  with	
  Dynamic	
  Inputs	
  
	
  
Denial	
  of	
  Service	
  AJack	
  
>	
  Hanging	
  JRE	
  
>	
  Dynamic	
  Web	
  Page	
  Content	
  
>	
  Processing	
  SensiOve	
  Data	
  
>	
  Race	
  CondiOon	
  
>	
  Struts	
  Config	
  
>	
  XML	
  A_acks	
  
	
  
File	
  Input/Output	
  
>	
  Exposed	
  Buffers	
  
>	
  Temporary	
  Files	
  in	
  Shared	
  Directories	
  
	
  
Other	
  Unvalidated	
  User	
  Input*	
  
>	
  LDAP	
  InjecOon*	
  
>	
  Xpath	
  InjecOon*	
  
>	
  Command	
  InjecOon*	
  
>	
  Remote	
  Code	
  ExecuOon	
  
>	
  Javax	
  Persistence	
  Security	
Insecure	
  Data	
  Storage	
  
>	
  Insecure	
  File	
  Modes	
  
>	
  No	
  Access	
  Control*	
  
>	
  User	
  CredenOals	
  Stored*	
  
>	
  Hardcoded	
  Password*	
  
>	
  Access	
  to	
  Cache	
  
>	
  HTTP	
  Auth	
  CredenOals	
  Stored*	
  
	
  
Sensi6ve	
  Informa6on	
  Leakage	
  
>	
  Dynamic	
  Web	
  Page	
  Content	
  
>	
  System	
  InformaOon	
  Leak	
  
>	
  Exposure	
  of	
  AuthenOcaOon	
  Objects	
  
>	
  Use	
  of	
  printStack	
  Trace	
  
>	
  ExcepOon	
  Handling	
  
>	
  Autocomplete	
  Sebng	
  
>	
  External	
  Storage	
  Used	
  
>	
  Screen	
  View	
  Captured	
  
>	
  Web	
  Page	
  Saved	
  to	
  Device	
  
>	
  HTML	
  Form	
  Data	
  
>	
  Insecure	
  ConfiguraOon	
  in	
  Manifest	
  
	
  
Weak	
  Cryptography*	
  
>	
  Security	
  Features	
  
>	
  Weak	
  Cryptographic	
  Hash	
  
>	
  Weak	
  EncrypOon	
  
>	
  Outdated	
  Cipher	
  
>	
  Weak	
  Algorithm	
  
>	
  Secure	
  Number	
  RandomizaOon	
  
>	
  Insufficient	
  Key	
  Size	
  
>	
  Inadequate	
  RSA	
  Padding	
  
	
  
Trust	
  Boundary	
  Viola6ons	
  
>	
  User	
  Supplied	
  Data	
  to	
  Beans	
  
>	
  Calls	
  AffecOng	
  CURL	
  Requests	
  
>	
  Untrusted	
  Data	
  Source	
  
>	
  UnsaniOzed	
  String	
  
>	
  InjecOon	
  in	
  Email	
  
>	
  Points	
  of	
  Interest	
  
>	
  Entry	
  Point	
  ViolaOon	
  
>	
  Socket	
  ConnecOon	
  Timeout	
  
>	
  Socket	
  Stream	
  Timeout	
  
	
  
Unvalidated	
  Redirects	
  &	
  Forwards	
  
>	
  URL	
  RedirecOon*	
  
>	
  User	
  RedirecOon*	
  
Thread	
  APIs	
  
>	
  Call	
  to	
  NoOfy()	
  
>	
  InvocaOon	
  of	
  Thread.stop()	
  
>	
  InvocaOon	
  of	
  Thread.run()	
  
	
  
Struts	
  Misconfigura6on	
  
>	
  XML	
  InjecOon	
  
>	
  XML	
  DTD	
  A_ack	
  
>	
  Missing/Duplicate	
  Form	
  Bean*	
  
>	
  Missing	
  Forward	
  Name	
  A_ribute*	
  
>	
  Missing	
  Path/Type	
  A_ribute*	
  
>	
  Unnecessary	
  A_ribute	
  
>	
  Required	
  Input	
  A_ribute	
  
>	
  Invalid	
  ExcepOon	
  Scope	
  
>	
  Missing	
  Form-­‐Property	
  Type	
  
>	
  Dangerous	
  RelaOve	
  Path	
  
>	
  AcOon	
  Not	
  Validated	
  
	
  
Configura6on	
  
>	
  ASP.NET	
  ConfiguraOon*	
  
>	
  PHP	
  ConfiguraOon*	
  
>	
  Environment	
  Variable	
  Value	
  
>	
  Session	
  Timeout	
  ConfiguraOon*	
  
>	
  Session	
  InacOve	
  Interval*	
  
>	
  ImplementaOon	
  Time	
  Logic	
  Flaws	
  
>	
  Call	
  to	
  ReadLine	
  
>	
  Race	
  CondiOon	
  
>	
  Hidden	
  Field	
  
	
  
Improper	
  Error	
  Handling	
  
>	
  Unspecified	
  Error	
  Page	
  
>	
  JSP	
  Defines	
  Error	
  Page	
  
>	
  JSONRPC	
  Security	
  
	
  
Log	
  Handling	
  
>	
  UnsaniOzed	
  Data	
  Wri_en	
  to	
  Logs	
  
>	
  Private	
  User	
  Data	
  Logged	
  
	
  
Cookie	
  Security*	
  
>Overly	
  Broad	
  Paths	
  
>	
  Insufficient	
  Transport	
  Layer	
  ProtecOon	
  
>	
  Session	
  Management	
  
	
  
Resource	
  Handling	
  
>	
  File	
  Input	
  Output	
  
>	
  Hibernate	
  Security	
  
>	
  Resource	
  Not	
  Closed	
  in	
  Finally	
  Block	
  
*2013	
  OWASP	
  Top	
  10の関連項目	
SecureAssistにより、主な脆弱性攻撃によるリスクを80%減少させることが可能になります。	
  
OWASP	
  Top	
  10	
  important	
  risksやCWE	
  Top	
  25に対応
開発チームはコードに自信が持てるようになります	
  
重要な問題を発見・修正そして学習する好循環を加速します。	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
5	
1.	
  Find	
  vulnerabiliOes	
  early	
  
 セキュリティ問題を潜在させない問題発見手法	
  
	
  
2.	
  Educate	
  to	
  fix	
  &	
  prevent	
  them	
  
 セキュリティ欠陥を未然に防ぎ、学習効果向上	
	
  
3.	
  Improved	
  quality	
  throughout	
  SDLC	
  
 開発ライフサイクルを改善し、ソフトウェア品質向上	
	
  
チーム統合機能:	
  
IDE	
  Plugin	
  and	
  Enterprise	
  Portal	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
6	
SecureAssist	
  
Enterprise	
  Portal	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE	
IDE(統合開発環境)Pluginの機能	
・Work	
  Faster 	
   	
  ・Work	
  Smarter 	
   	
  ・Keep	
  security	
  in	
  mind	
  
 より早く	
   	
   	
   	
   より効率良く	
   	
   	
   セキュリティを常に意識	
・Ac6onable	
  intelligence	
  
 利活用可能な統計情報	
  
・Simplify	
  updates	
  
 アップデートの簡略化	
  
・Manage	
  users	
  
 ユーザーの管理	
  
・Deliver	
  Review	
  RuleSet	
  
 独自ルールセットの配布	
  
・Deliver	
  Code	
  Guideline	
  
 ガイドドキュメントの配布	
  
Enterprise	
  Portal管理画面	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
7	
•  プロジェクトやユーザーごとの
統計情報、可視化、および 
レポートの出力	
  
•  チーム独自のガイドラインの
設定、リアルタイム反映	
  
•  ユーザーの管理とプラグイン
のライセンス配布	
チーム全体のセキュアコーディング状況を集約する機能
リリース直前に脆弱性を見つかって大量修正・・・	
  
セキュリティ品質の確保でお悩みですか?	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
8	
リリース前修正!リリース後の
問題指摘!	
  
 脆弱性対策のための手法も	
  
 予算も時間もない!	
  
	
  
   ホントに面倒くさい (T_T)	
  
セキュア開発の段階をエンパワーする	
  
開発者のためのSecureAssist	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
9	
Planning	
  &	
  
Requirements	
Design	
  &	
  
Architecture	
Development	
 TesOng	
 ProducOon	
 Maintenance	
SAST	
  静的解析	
 DAST	
  動的解析	
要因の
85%	
システム脆弱性の85%は	
  
開発段階に起因	
  
•  IDEでコードレビュー	
  
•  チーム統合機能	
  
•  コストパフォーマンス	
開発レビュー	
 MOINTORING	
ライフサイクル設計・教育
脆弱性は元から断たなきゃダメ!
システム脆弱性の85%は開発段階に起因します。	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
10	
ソフトウェア開発におけるセキュリティ対応は、開発プロセスの後
工程になればなるほどリスクが高く、手戻りの時間もコストも高く
つきます。	
開発チームがソースコードにもっともかか
わっているタイミングで問題の原因を取り
除くことが必要であり、対策の効率は飛躍
的に向上します。	
解決策:	
  
開発者全員が自分で使える
Reviewツール。	
  5X	
10X	
30X	
Coding	
 Integra6on/
component	
  
tes6ng	
System	
  
tes6ng	
Produc6on	
85%	
15X	
当段階で発生した脆弱性(%)	
当段階で発見された脆弱性(%)	
当段階での脆弱性修正コスト
SecureAssist	
  開発元	
  
米Cigital社のご紹介 cigital.com	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
11	
	
  
•  世界最大級の、ソフトウェアセキュリティに特化した	
  
コンサルティング・サービス提供会社	
  
•  1992年に創業	
  
•  世界で最初の、静的コード解析の商用ツールを開発、	
  
主要な静的解析ツールに採用されている。	
  
	
  
•  ソフトウェアセキュリティ業界のオピニオンリーダー	
  
	
  
•  OWASP	
  Global	
  Supporter	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
Cigital社のソリューションを活用している企業	
•  Fortune	
  500も含む大手企業270社以上	
•  金融機関の上位10社の内9社	
•  米国銀行の上位20銀行の内16銀行	
•  ソフトウェアセキュリティ会社の上位3社	
•  保険会社の上位3社	
•  米国最大のゲーム会社	
•  テクノロジー会社の上位10社の内5社	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
12
Cigital社のCTO	
  
Gary	
  McGraw氏	
Gary	
  McGraw,	
  Ph.D.(ゲイリー・マグロー)	
  
-­‐  Cigital,	
  Inc. CTO	
  
•  セキュアな開発の方法論の第一人者	
•  “Building	
  Secure	
  SoBware	
  and	
  SoBware	
  Security”	
  
(邦題:Building	
  Secure	
  Soqwareーソフトウェアセキュリティについて開発者が知っているべ
きこと)などの著者	
  
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
13	
「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー
としてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現す
る市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに
長い期間目指してきたものです。」 -­‐	
  Gary	
  McGraw,	
  Cigital,	
  Inc.	
  CTO	
  
Cigitalとアスタリスク・リサーチのパートナーシップを発表
(2015/4/30)	
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
14
Thanks	
  	
•  導入のご相談、お見積もり、試用期間	
  30日のフル機能検証
は無料です。	
  
•  活用手段はさまざま	
  
–  開発会社様へのご提供	
  
–  コンサルティングとのコラボレーション	
  
–  セキュア開発ソリューションへの組み込み	
  
–  教育ツールとしてのご活用	
  
|	
  Enabling	
  Security	
  for	
  Developers	
  |	
  	
©2015	
  Asterisk	
  Research,	
  Inc.	
15	
Cigital社チャネルパートナー	
  
アスタリスク・リサーチ	
  
	
  アプリケーションセキュリティ・チームをよろしくお願いします。

Weitere ähnliche Inhalte

Ähnlich wie SecureAssist Introduction

Java/Androidセキュアコーディング
Java/AndroidセキュアコーディングJava/Androidセキュアコーディング
Java/AndroidセキュアコーディングMasaki Kubo
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーYasuo Ohgaki
 
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜Citrix Systems Japan
 
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践真吾 吉田
 
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践de:code 2017
 
[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見Yosuke HASEGAWA
 
企業におけるSpring@日本springユーザー会20090624
企業におけるSpring@日本springユーザー会20090624企業におけるSpring@日本springユーザー会20090624
企業におけるSpring@日本springユーザー会20090624Yusuke Suzuki
 
Spring Security 5.0 解剖速報
Spring Security 5.0 解剖速報Spring Security 5.0 解剖速報
Spring Security 5.0 解剖速報Takuya Iwatsuka
 
Use JWT access-token on Grails REST API
Use JWT access-token on Grails REST APIUse JWT access-token on Grails REST API
Use JWT access-token on Grails REST APIUehara Junji
 
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介Hiroyuki Wada
 
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Yusuke Kodama
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方オラクルエンジニア通信
 
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...David Buck
 
20200516 selenium-meetup-winappdriver
20200516 selenium-meetup-winappdriver20200516 selenium-meetup-winappdriver
20200516 selenium-meetup-winappdriverHiroko Tamagawa
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014Takashi Yahata
 
NET 開発者のための Azure Service Fabric と、 Azure Container Service - 何が違うねん? -
NET 開発者のための Azure Service Fabric と、 Azure Container Service - 何が違うねん? -NET 開発者のための Azure Service Fabric と、 Azure Container Service - 何が違うねん? -
NET 開発者のための Azure Service Fabric と、 Azure Container Service - 何が違うねん? -Daiyu Hatakeyama
 
SORACOM Bootcamp Rec12 | SORACOM Inventory
SORACOM Bootcamp Rec12 | SORACOM InventorySORACOM Bootcamp Rec12 | SORACOM Inventory
SORACOM Bootcamp Rec12 | SORACOM InventorySORACOM,INC
 
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践日本マイクロソフト株式会社
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 

Ähnlich wie SecureAssist Introduction (20)

Java/Androidセキュアコーディング
Java/AndroidセキュアコーディングJava/Androidセキュアコーディング
Java/Androidセキュアコーディング
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャー
 
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
 
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践
サーバー管理よ、サヨウナラ。サーバーレス アーキテクチャの意義と実践
 
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践
[AC11] サーバー管理よ、サヨウナラ。サーバーレスアーキテクチャの意義と実践
 
[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見
 
企業におけるSpring@日本springユーザー会20090624
企業におけるSpring@日本springユーザー会20090624企業におけるSpring@日本springユーザー会20090624
企業におけるSpring@日本springユーザー会20090624
 
Spring Security 5.0 解剖速報
Spring Security 5.0 解剖速報Spring Security 5.0 解剖速報
Spring Security 5.0 解剖速報
 
Use JWT access-token on Grails REST API
Use JWT access-token on Grails REST APIUse JWT access-token on Grails REST API
Use JWT access-token on Grails REST API
 
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介
 
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
 
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
 
20200516 selenium-meetup-winappdriver
20200516 selenium-meetup-winappdriver20200516 selenium-meetup-winappdriver
20200516 selenium-meetup-winappdriver
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
 
NET 開発者のための Azure Service Fabric と、 Azure Container Service - 何が違うねん? -
NET 開発者のための Azure Service Fabric と、 Azure Container Service - 何が違うねん? -NET 開発者のための Azure Service Fabric と、 Azure Container Service - 何が違うねん? -
NET 開発者のための Azure Service Fabric と、 Azure Container Service - 何が違うねん? -
 
Mvc conf session_5_isami
Mvc conf session_5_isamiMvc conf session_5_isami
Mvc conf session_5_isami
 
SORACOM Bootcamp Rec12 | SORACOM Inventory
SORACOM Bootcamp Rec12 | SORACOM InventorySORACOM Bootcamp Rec12 | SORACOM Inventory
SORACOM Bootcamp Rec12 | SORACOM Inventory
 
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
 

Mehr von Asterisk Research, Inc.

SecureAssist Enterprise Portal アップグレードガイド
SecureAssist Enterprise Portal アップグレードガイドSecureAssist Enterprise Portal アップグレードガイド
SecureAssist Enterprise Portal アップグレードガイドAsterisk Research, Inc.
 
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)Asterisk Research, Inc.
 
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)Asterisk Research, Inc.
 
SecureAssist Rulepack Configurator 利用ガイド
SecureAssist Rulepack Configurator 利用ガイドSecureAssist Rulepack Configurator 利用ガイド
SecureAssist Rulepack Configurator 利用ガイドAsterisk Research, Inc.
 
SecureAssist Enterprise Portal APIガイド
SecureAssist Enterprise Portal APIガイドSecureAssist Enterprise Portal APIガイド
SecureAssist Enterprise Portal APIガイドAsterisk Research, Inc.
 
SecureAssist IntelliJ Plug-in 導入ガイド
SecureAssist IntelliJ Plug-in 導入ガイドSecureAssist IntelliJ Plug-in 導入ガイド
SecureAssist IntelliJ Plug-in 導入ガイドAsterisk Research, Inc.
 
SecureAssist Enterprise Portal 導入ガイド
SecureAssist Enterprise Portal 導入ガイドSecureAssist Enterprise Portal 導入ガイド
SecureAssist Enterprise Portal 導入ガイドAsterisk Research, Inc.
 
SecureAssist Visual Studio Package 導入ガイド
SecureAssist Visual Studio Package 導入ガイドSecureAssist Visual Studio Package 導入ガイド
SecureAssist Visual Studio Package 導入ガイドAsterisk Research, Inc.
 
SecureAssist Eclipse Plug-in 導入ガイド
SecureAssist Eclipse Plug-in 導入ガイドSecureAssist Eclipse Plug-in 導入ガイド
SecureAssist Eclipse Plug-in 導入ガイドAsterisk Research, Inc.
 

Mehr von Asterisk Research, Inc. (10)

SecureAssist Enterprise Portal アップグレードガイド
SecureAssist Enterprise Portal アップグレードガイドSecureAssist Enterprise Portal アップグレードガイド
SecureAssist Enterprise Portal アップグレードガイド
 
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
 
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
 
SecureAssist Rulepack Configurator 利用ガイド
SecureAssist Rulepack Configurator 利用ガイドSecureAssist Rulepack Configurator 利用ガイド
SecureAssist Rulepack Configurator 利用ガイド
 
Cigital 3D Security Testing
Cigital 3D Security TestingCigital 3D Security Testing
Cigital 3D Security Testing
 
SecureAssist Enterprise Portal APIガイド
SecureAssist Enterprise Portal APIガイドSecureAssist Enterprise Portal APIガイド
SecureAssist Enterprise Portal APIガイド
 
SecureAssist IntelliJ Plug-in 導入ガイド
SecureAssist IntelliJ Plug-in 導入ガイドSecureAssist IntelliJ Plug-in 導入ガイド
SecureAssist IntelliJ Plug-in 導入ガイド
 
SecureAssist Enterprise Portal 導入ガイド
SecureAssist Enterprise Portal 導入ガイドSecureAssist Enterprise Portal 導入ガイド
SecureAssist Enterprise Portal 導入ガイド
 
SecureAssist Visual Studio Package 導入ガイド
SecureAssist Visual Studio Package 導入ガイドSecureAssist Visual Studio Package 導入ガイド
SecureAssist Visual Studio Package 導入ガイド
 
SecureAssist Eclipse Plug-in 導入ガイド
SecureAssist Eclipse Plug-in 導入ガイドSecureAssist Eclipse Plug-in 導入ガイド
SecureAssist Eclipse Plug-in 導入ガイド
 

Kürzlich hochgeladen

IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)ssuser539845
 
20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdfAyachika Kitazaki
 
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor 2024 01 Virtual_Counselor
2024 01 Virtual_Counselor arts yokohama
 
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~arts yokohama
 
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見Shumpei Kishi
 
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-LoopへTetsuya Nihonmatsu
 
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfTaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfMatsushita Laboratory
 
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法ssuser370dd7
 
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦Sadao Tokuyama
 

Kürzlich hochgeladen (12)

IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
 
20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf
 
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor 2024 01 Virtual_Counselor
2024 01 Virtual_Counselor
 
2024 04 minnanoito
2024 04 minnanoito2024 04 minnanoito
2024 04 minnanoito
 
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
 
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
 
What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?
 
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
 
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfTaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
 
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
 
2024 03 CTEA
2024 03 CTEA2024 03 CTEA
2024 03 CTEA
 
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
 

SecureAssist Introduction

  • 1.     脆弱性は元から断たなきゃダメ! SecureAssist  IDE  Plugin  and  Enterprise  Portal    Introduc6on       ASTERISK  RESEARCH,  INC.   株式会社アスタリスク・リサーチ   Cigital社チャネルパートナー   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 1
  • 2. SecureAssist |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 2 プラグイン レビュー対象のファイル・タイプ IDE(統合開発環境) Java   JEE  /  JSP  /  XML  /  FTL  /  ProperOes       PHP Eclipse   RAD   MyEclips   SpringSource  Tool  SuiteTM  IDE .NET     C#  /  VB.NET  /  ASPX MicrosoB  Visual  Studio                                          はVisual  Studio、Eclipseのプラグインとして提供されます。     開発者はいつでも手元でコードレビューをさせることができるので、脆弱性のもと になるプログラムコードをビルド前に見つけ、修正・確認することができます。   まるで、一流のプログラミングセキュリティ・コーチを開発者ひとりひと りの横に配置するような、効率・効果の高いソリューションです。 サポートしている技術 ジミニー・クリケット
  • 3. |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 3 リアルタイムコードレビュー・リスクレベル・ガイダンス 解説・ガイダンスや   サンプルコード   脆弱性とコードの対応による   リスクレベルの可視化   IDEプラグインによる   リアルタイムな   コードレビュー  
  • 4. |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 4 入力値バリデーションならびに   出力値のエンコードを徹底 セキュアでないデータの取り扱い による問題を回避 正しいコーディング手法の   導入・徹底 Cross-­‐Site  Scrip6ng*   >  Output  Sent  to  Browser   >  Output  Data  in  Web  Page   >  DOM  Object   >  HTTP  Header  ManipulaOon   >  GET  Requests   >  HTML  Comments  in  JSP  or  PHP  File   >  Hidden  Field   >  Data  Usage  from  HTTP  Request   >  Output  Encoding  Set  to  False     SQL  Injec6on*   >  Dangerous  Method  Calls   >  Database  Query  ManipulaOon   >  Untrusted  Data  Source  for  Query   >  Dynamic  Database  Query     Path  Manipula6on*   >  UnsaniOzed  Data  Usage   >  Directory  Call  with  Dynamic  Inputs     Denial  of  Service  AJack   >  Hanging  JRE   >  Dynamic  Web  Page  Content   >  Processing  SensiOve  Data   >  Race  CondiOon   >  Struts  Config   >  XML  A_acks     File  Input/Output   >  Exposed  Buffers   >  Temporary  Files  in  Shared  Directories     Other  Unvalidated  User  Input*   >  LDAP  InjecOon*   >  Xpath  InjecOon*   >  Command  InjecOon*   >  Remote  Code  ExecuOon   >  Javax  Persistence  Security Insecure  Data  Storage   >  Insecure  File  Modes   >  No  Access  Control*   >  User  CredenOals  Stored*   >  Hardcoded  Password*   >  Access  to  Cache   >  HTTP  Auth  CredenOals  Stored*     Sensi6ve  Informa6on  Leakage   >  Dynamic  Web  Page  Content   >  System  InformaOon  Leak   >  Exposure  of  AuthenOcaOon  Objects   >  Use  of  printStack  Trace   >  ExcepOon  Handling   >  Autocomplete  Sebng   >  External  Storage  Used   >  Screen  View  Captured   >  Web  Page  Saved  to  Device   >  HTML  Form  Data   >  Insecure  ConfiguraOon  in  Manifest     Weak  Cryptography*   >  Security  Features   >  Weak  Cryptographic  Hash   >  Weak  EncrypOon   >  Outdated  Cipher   >  Weak  Algorithm   >  Secure  Number  RandomizaOon   >  Insufficient  Key  Size   >  Inadequate  RSA  Padding     Trust  Boundary  Viola6ons   >  User  Supplied  Data  to  Beans   >  Calls  AffecOng  CURL  Requests   >  Untrusted  Data  Source   >  UnsaniOzed  String   >  InjecOon  in  Email   >  Points  of  Interest   >  Entry  Point  ViolaOon   >  Socket  ConnecOon  Timeout   >  Socket  Stream  Timeout     Unvalidated  Redirects  &  Forwards   >  URL  RedirecOon*   >  User  RedirecOon*   Thread  APIs   >  Call  to  NoOfy()   >  InvocaOon  of  Thread.stop()   >  InvocaOon  of  Thread.run()     Struts  Misconfigura6on   >  XML  InjecOon   >  XML  DTD  A_ack   >  Missing/Duplicate  Form  Bean*   >  Missing  Forward  Name  A_ribute*   >  Missing  Path/Type  A_ribute*   >  Unnecessary  A_ribute   >  Required  Input  A_ribute   >  Invalid  ExcepOon  Scope   >  Missing  Form-­‐Property  Type   >  Dangerous  RelaOve  Path   >  AcOon  Not  Validated     Configura6on   >  ASP.NET  ConfiguraOon*   >  PHP  ConfiguraOon*   >  Environment  Variable  Value   >  Session  Timeout  ConfiguraOon*   >  Session  InacOve  Interval*   >  ImplementaOon  Time  Logic  Flaws   >  Call  to  ReadLine   >  Race  CondiOon   >  Hidden  Field     Improper  Error  Handling   >  Unspecified  Error  Page   >  JSP  Defines  Error  Page   >  JSONRPC  Security     Log  Handling   >  UnsaniOzed  Data  Wri_en  to  Logs   >  Private  User  Data  Logged     Cookie  Security*   >Overly  Broad  Paths   >  Insufficient  Transport  Layer  ProtecOon   >  Session  Management     Resource  Handling   >  File  Input  Output   >  Hibernate  Security   >  Resource  Not  Closed  in  Finally  Block   *2013  OWASP  Top  10の関連項目 SecureAssistにより、主な脆弱性攻撃によるリスクを80%減少させることが可能になります。   OWASP  Top  10  important  risksやCWE  Top  25に対応
  • 5. 開発チームはコードに自信が持てるようになります   重要な問題を発見・修正そして学習する好循環を加速します。 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 5 1.  Find  vulnerabiliOes  early    セキュリティ問題を潜在させない問題発見手法     2.  Educate  to  fix  &  prevent  them    セキュリティ欠陥を未然に防ぎ、学習効果向上   3.  Improved  quality  throughout  SDLC    開発ライフサイクルを改善し、ソフトウェア品質向上  
  • 6. チーム統合機能:   IDE  Plugin  and  Enterprise  Portal |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 6 SecureAssist   Enterprise  Portal IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE(統合開発環境)Pluginの機能 ・Work  Faster    ・Work  Smarter    ・Keep  security  in  mind    より早く         より効率良く       セキュリティを常に意識 ・Ac6onable  intelligence    利活用可能な統計情報   ・Simplify  updates    アップデートの簡略化   ・Manage  users    ユーザーの管理   ・Deliver  Review  RuleSet    独自ルールセットの配布   ・Deliver  Code  Guideline    ガイドドキュメントの配布  
  • 7. Enterprise  Portal管理画面 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 7 •  プロジェクトやユーザーごとの 統計情報、可視化、および  レポートの出力   •  チーム独自のガイドラインの 設定、リアルタイム反映   •  ユーザーの管理とプラグイン のライセンス配布 チーム全体のセキュアコーディング状況を集約する機能
  • 8. リリース直前に脆弱性を見つかって大量修正・・・   セキュリティ品質の確保でお悩みですか? |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 8 リリース前修正!リリース後の 問題指摘!    脆弱性対策のための手法も    予算も時間もない!        ホントに面倒くさい (T_T)  
  • 9. セキュア開発の段階をエンパワーする   開発者のためのSecureAssist |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 9 Planning  &   Requirements Design  &   Architecture Development TesOng ProducOon Maintenance SAST  静的解析 DAST  動的解析 要因の 85% システム脆弱性の85%は   開発段階に起因   •  IDEでコードレビュー   •  チーム統合機能   •  コストパフォーマンス 開発レビュー MOINTORING ライフサイクル設計・教育
  • 10. 脆弱性は元から断たなきゃダメ! システム脆弱性の85%は開発段階に起因します。 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 10 ソフトウェア開発におけるセキュリティ対応は、開発プロセスの後 工程になればなるほどリスクが高く、手戻りの時間もコストも高く つきます。 開発チームがソースコードにもっともかか わっているタイミングで問題の原因を取り 除くことが必要であり、対策の効率は飛躍 的に向上します。 解決策:   開発者全員が自分で使える Reviewツール。  5X 10X 30X Coding Integra6on/ component   tes6ng System   tes6ng Produc6on 85% 15X 当段階で発生した脆弱性(%) 当段階で発見された脆弱性(%) 当段階での脆弱性修正コスト
  • 11. SecureAssist  開発元   米Cigital社のご紹介 cigital.com |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 11   •  世界最大級の、ソフトウェアセキュリティに特化した   コンサルティング・サービス提供会社   •  1992年に創業   •  世界で最初の、静的コード解析の商用ツールを開発、   主要な静的解析ツールに採用されている。     •  ソフトウェアセキュリティ業界のオピニオンリーダー     •  OWASP  Global  Supporter                    
  • 12. Cigital社のソリューションを活用している企業 •  Fortune  500も含む大手企業270社以上 •  金融機関の上位10社の内9社 •  米国銀行の上位20銀行の内16銀行 •  ソフトウェアセキュリティ会社の上位3社 •  保険会社の上位3社 •  米国最大のゲーム会社 •  テクノロジー会社の上位10社の内5社 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 12
  • 13. Cigital社のCTO   Gary  McGraw氏 Gary  McGraw,  Ph.D.(ゲイリー・マグロー)   -­‐  Cigital,  Inc. CTO   •  セキュアな開発の方法論の第一人者 •  “Building  Secure  SoBware  and  SoBware  Security”   (邦題:Building  Secure  Soqwareーソフトウェアセキュリティについて開発者が知っているべ きこと)などの著者   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 13 「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー としてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現す る市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに 長い期間目指してきたものです。」 -­‐  Gary  McGraw,  Cigital,  Inc.  CTO  
  • 15. Thanks   •  導入のご相談、お見積もり、試用期間  30日のフル機能検証 は無料です。   •  活用手段はさまざま   –  開発会社様へのご提供   –  コンサルティングとのコラボレーション   –  セキュア開発ソリューションへの組み込み   –  教育ツールとしてのご活用   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 15 Cigital社チャネルパートナー   アスタリスク・リサーチ    アプリケーションセキュリティ・チームをよろしくお願いします。