SlideShare ist ein Scribd-Unternehmen logo

デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策

Developers Summit
Developers Summit

近年、標的型攻撃によるサイトの改ざんや情報漏洩の被害が後を絶ちません。典型的な攻撃としてSQLインジェクションやクロスサイトスクリプティング(XSS)があげられますが、多くの企業で対策を施しているにもかかわらず、いまだに発生件数は増加傾向にあるようです。根本的な原因は何なのでしょうか?本セッションでは、ソフトウェア脆弱性の根本原因を洗い出すとともに、その解決策となる開発段階でのセキュリティ対策技術についてご紹介します。

Technologie
1 von 31
Downloaden Sie, um offline zu lesen
Developers Summit 増加するセキュリティ脆弱性の解決策 開発者がセキュリティに意識をもつために 15-A-6 安竹 由起夫 #devsumiA コベリティ日本支社 Developers Summit 2013 Action !
典型的なテスト UI テスト パフォーマンス 機能テスト セキュリティ 未テストコード 2
典型的なテスト UI テスト パフォーマンス 機能テスト セキュリティ 未テストコード 3
静的解析によるシミュレーション コールグラフ+条件分岐 UI テスト パフォーマンス 機能テスト 全パス セキュリティ 全自動 シュミレーション 未テストコード 4
これまでは、コード品質から攻めてきてたんです。 コード品質を高めれば、 約6割の脆弱性は防ぐことができる 5 © 2011 Forrester Research, Inc. Reproduction Prohibited
 Javaセキュアコーディングガイド(CERT/Oracle) – https://www.jpcert.or.jp/java-rules/  C言語全般のセキュアコーディングガイド – ISO IEC - JTC1/SC22/WG14-C – http://www.open-std.org/jtc1/sc22/wg14/  Android アプリのセキュアコーディングガイド – http://www.jssec.org/news/20121119_securecoding.html  PCI DSS – アカウントデータ保護に関するコンプライアンス 6 © 2011 Forrester Research, Inc. Reproduction Prohibited
Developers Summit まだまだ足りないようです Developers Summit 2013 Action !
現在のWebアプリケーション開発における セキュリティ対策は 未だ経験的が浅発展途上であり、 多くの側面が欠如している状態 8 © 2011 Forrester Research, Inc. Reproduction Prohibited
Forrester レポート: Web アプリケーションでは、 いまだにセキュリティ問題にコストがかけられている “2011年に、あなたの組織でセキュリティ インシデントの対応にかかった、おおよそのコストは?”* 10億円以上 1% 5億円~10億円 1% 18% 1億円~5億円 6% このアンケートでは、 153社中 28社が 5千万円~1億円 10% 5千万円以上の 1千万~5千万円 24% 損害を被っている 1千万円以下 29% わからない 28% Base: 153 North American and European development and information security managers who have experienced a breach Source: a©commissioned study conducted by Forrester Consulting on behalf of Coverity, June, 2012 9 2011 Forrester Research, Inc. Reproduction Prohibited
Forrester レポート:基本的な問題が上位を占めている “ どのようなセキュリティ問題が組織にもっともインパクトを与えていると考えていますか?” 41% 37% 36% デフォルトアカウントの 運用環境の パスワード設定 コンフィギュレーシ インジェクション ョンミス Base: 240 North American and European development and information security managers Source: a commissioned study conducted by Forrester Consulting on behalf of Coverity, June, 2012 10 © 2011 Forrester Research, Inc. Reproduction Prohibited
11 © 2011 Forrester Research, Inc. Reproduction Prohibited
12 © 2011 Forrester Research, Inc. Reproduction Prohibited
13 © 2011 Forrester Research, Inc. Reproduction Prohibited
Developers Summit イライラしない Developers Summit 2013 Action !
Forrester レポート:基本的な問題が上位を占めている “ どのようなセキュリティ問題が組織にもっともインパクトを与えていると考えていますか?” 41% 37% 36% デフォルトアカウントの 運用環境の パスワード設定 コンフィギュレーシ インジェクション ョンミス Base: 240 North American and European development and information security managers Source: a commissioned study conducted by Forrester Consulting on behalf of Coverity, June, 2012 15 © 2011 Forrester Research, Inc. Reproduction Prohibited
SQL インジェクション(SQLi)とは? 汚染データ W eb ブ ラ ウザ W eb ア プ リ ケーシ ョ ン 内 メ ール 暗証番号 2 . 汚染データ かど う かを チ ェ ッ ク し て いない場合、 処理 が進み、 データ ベース の検索 や更新のSQL文が汚染データ と と も に形づく ら れる 。 1 . 悪意ある ユーザが、 開発者の 意図し て いないデータ ( =SQL) select カ ード 番号 from 顧客情報 を わざ と 入力(※)する 。 where メ ール = ‘ 例: メ ールと し て 以下を 入力: sa@coverity.com’ OR ‘1’=’1 ’ AND 暗証番号=‘1234’ s a @ c o v e r ity .c o m ’ OR ‘1’='1 顧客情報データ ベース メ ール カ ード 番号 ※通常はフ ォ ーム入力など を 行わず、 暗証番号 3 . 本来はメ ールと 暗証番号 http://sample.com/list?mail=’ OR ’1′=’1 sa@ co v... 1012 8 9 0 3 ... の組合せが必要だが、 条件文 yu k io @ ... 4649 6 7 6 9 ... など で、 直接サーバにアク セスする sju n g @ ... 8015 8 9 0 3 ... にO R が埋め込ま れたため、 sn ish i@ ... 0721 6 9 6 9 ... 暗証番号が合致し な く て も 顧 客情報が参照可能に。
クロスサイトスクリプティング(XSS)と は? 1 . 悪意ある ユーザが、 不正な ス ク リ プ ト を 含むU R Lを メ ールで 送信 2 . 信頼し ている サイ ト だと 勘違い し 、 不正な スク リ プ ト を 脆弱性の W eb ア プ リ ケーシ ョ ン 内 ある サイ ト に送信。 暗証番号 を 入力 3 . 不正なス ク リ プ ト を チェ ッ ク し し て 下さ い ていな い場合、 それを 実行する OK 脆弱性のある W eb ア プ リ ケーシ ョ ン ページ を 生成し てし ま う 。 暗証番号 ※他にも脆弱性のあるサイトに攻撃させ 4 . 信頼し て いる サイ ト のつも り るなど、複数の手口があります。 が、 実はスク リ プ ト によ っ て、 他 の場所に情報を 送信。
Developers Summit イライラしない Developers Summit 2013 Action !
ソフトウェア開発プロジェクト自体にも セキュリティの対処を遅らせる問題が 存在している
なぜセキュリティ脆弱性は回避しづらいのか セキュリティ不具合のテストは開発の後工程で行われる コード コード コード 開発の 変更 #1 変更 #2 変更 #3 完了 開発サイクル 品質の確認 品質の確認 品質の確認 品質 + セキュリティ の確認 出荷遅延、脆弱性検出が見逃されるリスクの増加 20 © 2011 Forrester Research, Inc. Reproduction Prohibited
開発者とセキュリティチームは視点が違う “なぜ、Web セキュリティの問題が 早期に発見さず、また修正されていない と思いますか?” セキュリティ監査 開発者  #1: 時間的なプレッシャー  #1: 開発者がセキュリティに対して非協力的  #2: セキュリティ脆弱性を発見するツールや技術  #2: 時間的なプレッシャー がない 21 © 2011 Forrester Research, Inc. Reproduction Prohibited
Developers Summit イライラしない Developers Summit 2013 Action !
開発プロセス全体で 継続的なセキュリティテストを コード コード コード 開発の 変更 #1 変更 #2 変更 #3 完了 開発サイクル 品質 + 品質 + 品質 + 品質 + セキュリティ セキュリティ セキュリティ セキュリティ の確認 の確認 の確認 の確認 23 © 2011 Forrester Research, Inc. Reproduction Prohibited
Coverity Development Testing Platform 解析 | 修正 | 統制 解析パッケージ SDLC 統合 Policy Manager サードパーティ Dynamic メトリクス Analysis IDE Coverity Connect コード カバレッジ Architecture Analysis テスト Quality Security Test 実行 解析結果統合 Advisor Advisor Advisor ビルド/ 継続的統合 FindBugs™ | FxCop バグ トラッキング SCM 解析結果統合 ツールキット Coverity SAVE™ ALM 連携 HP | IBM Static Analysis Verification Engine 商用コード | オープンソースコード 24
Coverity Security Advisor (Java) • Security Advisor は Webアプリケーション内の • 汚染データ(Tainted Data = 悪意あるデータ)の 入り口と経路、および到達点を突き止め、 • 悪意あるデータがコード内でチェックされている かを確認し、 • 脆弱性が存在する場合は、修正方法を提示する
SQLi, CMDi, XSS を解決する 3つの機能 現サポートフレームワーク 高速、全パス解析を (Java7対応) 行う高精度静的解析 Spring MVC 2.x, 3.x エンジン Java EE JDBC, Spring JDBC Hibernate, JPA JSP 汚染データが利用され 汚染データの入り口 るコンテキストで必要 (Source)、その経路と となるエスケーパや修 到達点(Sink)を異種フ 正方法を提示 Source から汚染データ レームワーク間を超え を注入、Sink到達まで て確認 にデータチェックや、サ ニタイズさるかを確認
フレームワークアナライザ HTTP リクエスト フレームワークを Web アプリケーション 理解しなければ、 Data 汚染データの Access 入口、経路、到達点 Model Controller を知ることができない View Resolver View 現サポートフレームワーク (Java7対応) Spring MVC 2.x, 3.x Java EE Model View Technology View JDBC, Spring JDBC Hibernate, JPA JSP HTTP レスポンス
ホワイトボックスファザーとサニタイズ a b c d … < > & “ ‘ 発見した汚染データの侵入経路に 汚染データを投入し、 無害化されているかを 自動的に確認する htmlEncode() &lt; &gt; &amp; &quot; &#x27; a b c d … コベリティが開発したエスケーパーをオープンソースに: https://github.com/coverity/coverity-security-library/tree/gh-pages 28
的確なルート情報と修正方法の提示 入り 口 (so u rce) 経路 サニタ イ ズすべき 箇所 修正方法の提示
Developers Summit 少しでも、コードに自信が持てるように。 Developers Summit 2013 Action !
Developers Summit 意識することから始めよう MY RECOMMEND NEXT ACTION! • セキュリティに関連するインシデントがある? • セキュアコーディングガイドがある? • ペネトレーションテストが実施されている? • 発見された脆弱性を修正できる情報があ る? • セキュリティについて以前より意識しよう Developers Summit 2013 Action !

Empfohlen

経営者・マネージャーが知るべき情報セキュリティ
経営者・マネージャーが知るべき情報セキュリティ経営者・マネージャーが知るべき情報セキュリティ
経営者・マネージャーが知るべき情報セキュリティYasuo Ohgaki
 
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?Yasuo Ohgaki
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーYasuo Ohgaki
 
アプリ開発者に大きな影響 2017年版OWASP TOP 10
アプリ開発者に大きな影響 2017年版OWASP TOP 10 アプリ開発者に大きな影響 2017年版OWASP TOP 10
アプリ開発者に大きな影響 2017年版OWASP TOP 10 Yasuo Ohgaki
 
情報セキュリティ講習会2016
情報セキュリティ講習会2016情報セキュリティ講習会2016
情報セキュリティ講習会2016Naoki Kato
 
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)Hiroshi Tokumaru
 
Ia20120118 nishimura
Ia20120118 nishimuraIa20120118 nishimura
Ia20120118 nishimuraKeisuke Ishibashi
 
SQLインジェクション総”習”編
SQLインジェクション総”習”編SQLインジェクション総”習”編
SQLインジェクション総”習”編Yasuo Ohgaki
 

Empfohlen

経営者・マネージャーが知るべき情報セキュリティ
経営者・マネージャーが知るべき情報セキュリティ経営者・マネージャーが知るべき情報セキュリティ
経営者・マネージャーが知るべき情報セキュリティYasuo Ohgaki
 
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?Yasuo Ohgaki
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーYasuo Ohgaki
 
アプリ開発者に大きな影響 2017年版OWASP TOP 10
アプリ開発者に大きな影響 2017年版OWASP TOP 10 アプリ開発者に大きな影響 2017年版OWASP TOP 10
アプリ開発者に大きな影響 2017年版OWASP TOP 10 Yasuo Ohgaki
 
情報セキュリティ講習会2016
情報セキュリティ講習会2016情報セキュリティ講習会2016
情報セキュリティ講習会2016Naoki Kato
 
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)Hiroshi Tokumaru
 
Ia20120118 nishimura
Ia20120118 nishimuraIa20120118 nishimura
Ia20120118 nishimuraKeisuke Ishibashi
 
SQLインジェクション総”習”編
SQLインジェクション総”習”編SQLインジェクション総”習”編
SQLインジェクション総”習”編Yasuo Ohgaki
 
Weblogic installation in linux
Weblogic installation in linuxWeblogic installation in linux
Weblogic installation in linuxRavi Kumar Lanke
 
デブサミ2013【15-D-4】Opsから挑むDevOps
デブサミ2013【15-D-4】Opsから挑むDevOpsデブサミ2013【15-D-4】Opsから挑むDevOps
デブサミ2013【15-D-4】Opsから挑むDevOpsDevelopers Summit
 
Netflix
NetflixNetflix
NetflixMcgill University
 
Texas Navigator Workflows Webinar
Texas Navigator Workflows WebinarTexas Navigator Workflows Webinar
Texas Navigator Workflows WebinarSue Bennett
 
Ad Wars 2010 Questions
Ad Wars 2010 QuestionsAd Wars 2010 Questions
Ad Wars 2010 QuestionsKyle Rohde
 
Laura Young Bost: "What If: Permissions Issues When Moving Book to E-Book"--A...
Laura Young Bost: "What If: Permissions Issues When Moving Book to E-Book"--A...Laura Young Bost: "What If: Permissions Issues When Moving Book to E-Book"--A...
Laura Young Bost: "What If: Permissions Issues When Moving Book to E-Book"--A...Krista Coulson
 
Deloitte - Assistive Ict Workshop Presentation
Deloitte - Assistive Ict Workshop PresentationDeloitte - Assistive Ict Workshop Presentation
Deloitte - Assistive Ict Workshop Presentationsvdpeijl
 
Edward jones
Edward jonesEdward jones
Edward jonesCRittle
 
Duurzaam Inkopen - Rijksgebouwendienst
Duurzaam Inkopen - RijksgebouwendienstDuurzaam Inkopen - Rijksgebouwendienst
Duurzaam Inkopen - RijksgebouwendienstNetherlands Enterprise Agency (RVO.nl)
 
Azbox
AzboxAzbox
AzboxTELE-satellite ara
 
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)Developers Summit
 
Infomil als informatiepunt over het Activiteitenbesluit
Infomil als informatiepunt over het ActiviteitenbesluitInfomil als informatiepunt over het Activiteitenbesluit
Infomil als informatiepunt over het ActiviteitenbesluitNetherlands Enterprise Agency (RVO.nl)
 
Ekonomisten Konpetentzia Profesionalak Detektatzeko Azterlana
Ekonomisten Konpetentzia Profesionalak Detektatzeko AzterlanaEkonomisten Konpetentzia Profesionalak Detektatzeko Azterlana
Ekonomisten Konpetentzia Profesionalak Detektatzeko Azterlanaekonomistak
 
Presentation1
Presentation1Presentation1
Presentation1Collaborative Processes LLC
 
SMM учебник 2 (Промсвязьбанк)
SMM учебник 2 (Промсвязьбанк)SMM учебник 2 (Промсвязьбанк)
SMM учебник 2 (Промсвязьбанк)Segrey Nikishov - @n_grey
 
Spaun optical
Spaun opticalSpaun optical
Spaun opticalTELE-satellite ara
 
Netup
NetupNetup
NetupTELE-satellite ara
 
Windows と leopard
Windows と leopardWindows と leopard
Windows と leopardMasaya Sawada
 
Why Use Technology?
Why Use Technology?Why Use Technology?
Why Use Technology?Stephen Hernon
 
Duurzaam Inkopen
Duurzaam InkopenDuurzaam Inkopen
Duurzaam InkopenNetherlands Enterprise Agency (RVO.nl)
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 

Weitere ähnliche Inhalte

Andere mochten auch

Weblogic installation in linux
Weblogic installation in linuxWeblogic installation in linux
Weblogic installation in linuxRavi Kumar Lanke
 
デブサミ2013【15-D-4】Opsから挑むDevOps
デブサミ2013【15-D-4】Opsから挑むDevOpsデブサミ2013【15-D-4】Opsから挑むDevOps
デブサミ2013【15-D-4】Opsから挑むDevOpsDevelopers Summit
 
Texas Navigator Workflows Webinar
Texas Navigator Workflows WebinarTexas Navigator Workflows Webinar
Texas Navigator Workflows WebinarSue Bennett
 
Ad Wars 2010 Questions
Ad Wars 2010 QuestionsAd Wars 2010 Questions
Ad Wars 2010 QuestionsKyle Rohde
 
Laura Young Bost: "What If: Permissions Issues When Moving Book to E-Book"--A...
Laura Young Bost: "What If: Permissions Issues When Moving Book to E-Book"--A...Laura Young Bost: "What If: Permissions Issues When Moving Book to E-Book"--A...
Laura Young Bost: "What If: Permissions Issues When Moving Book to E-Book"--A...Krista Coulson
 
Deloitte - Assistive Ict Workshop Presentation
Deloitte - Assistive Ict Workshop PresentationDeloitte - Assistive Ict Workshop Presentation
Deloitte - Assistive Ict Workshop Presentationsvdpeijl
 
Edward jones
Edward jonesEdward jones
Edward jonesCRittle
 
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)Developers Summit
 
Ekonomisten Konpetentzia Profesionalak Detektatzeko Azterlana
Ekonomisten Konpetentzia Profesionalak Detektatzeko AzterlanaEkonomisten Konpetentzia Profesionalak Detektatzeko Azterlana
Ekonomisten Konpetentzia Profesionalak Detektatzeko Azterlanaekonomistak
 
SMM учебник 2 (Промсвязьбанк)
SMM учебник 2 (Промсвязьбанк)SMM учебник 2 (Промсвязьбанк)
SMM учебник 2 (Промсвязьбанк)Segrey Nikishov - @n_grey
 

Andere mochten auch (20)

Weblogic installation in linux
Weblogic installation in linuxWeblogic installation in linux
Weblogic installation in linux
 
デブサミ2013【15-D-4】Opsから挑むDevOps
デブサミ2013【15-D-4】Opsから挑むDevOpsデブサミ2013【15-D-4】Opsから挑むDevOps
デブサミ2013【15-D-4】Opsから挑むDevOps
 
Netflix
NetflixNetflix
Netflix
 
Texas Navigator Workflows Webinar
Texas Navigator Workflows WebinarTexas Navigator Workflows Webinar
Texas Navigator Workflows Webinar
 
Ad Wars 2010 Questions
Ad Wars 2010 QuestionsAd Wars 2010 Questions
Ad Wars 2010 Questions
 
Laura Young Bost: "What If: Permissions Issues When Moving Book to E-Book"--A...
Laura Young Bost: "What If: Permissions Issues When Moving Book to E-Book"--A...Laura Young Bost: "What If: Permissions Issues When Moving Book to E-Book"--A...
Laura Young Bost: "What If: Permissions Issues When Moving Book to E-Book"--A...
 
Deloitte - Assistive Ict Workshop Presentation
Deloitte - Assistive Ict Workshop PresentationDeloitte - Assistive Ict Workshop Presentation
Deloitte - Assistive Ict Workshop Presentation
 
Edward jones
Edward jonesEdward jones
Edward jones
 
Duurzaam Inkopen - Rijksgebouwendienst
Duurzaam Inkopen - RijksgebouwendienstDuurzaam Inkopen - Rijksgebouwendienst
Duurzaam Inkopen - Rijksgebouwendienst
 
Azbox
AzboxAzbox
Azbox
 
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
 
Infomil als informatiepunt over het Activiteitenbesluit
Infomil als informatiepunt over het ActiviteitenbesluitInfomil als informatiepunt over het Activiteitenbesluit
Infomil als informatiepunt over het Activiteitenbesluit
 
Ekonomisten Konpetentzia Profesionalak Detektatzeko Azterlana
Ekonomisten Konpetentzia Profesionalak Detektatzeko AzterlanaEkonomisten Konpetentzia Profesionalak Detektatzeko Azterlana
Ekonomisten Konpetentzia Profesionalak Detektatzeko Azterlana
 
Presentation1
Presentation1Presentation1
Presentation1
 
SMM учебник 2 (Промсвязьбанк)
SMM учебник 2 (Промсвязьбанк)SMM учебник 2 (Промсвязьбанк)
SMM учебник 2 (Промсвязьбанк)
 
Spaun optical
Spaun opticalSpaun optical
Spaun optical
 
Netup
NetupNetup
Netup
 
Windows と leopard
Windows と leopardWindows と leopard
Windows と leopard
 
Why Use Technology?
Why Use Technology?Why Use Technology?
Why Use Technology?
 
Duurzaam Inkopen
Duurzaam InkopenDuurzaam Inkopen
Duurzaam Inkopen
 

Ähnlich wie デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策

今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010Hiroshi Tokumaru
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)kumo2010
 
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則Hiroshi Tokumaru
 
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-Yoshio SAKAI
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenterMasakazu Kishima
 
Enterpriseでもモバイル開発
Enterpriseでもモバイル開発Enterpriseでもモバイル開発
Enterpriseでもモバイル開発Mitch Okamoto
 
クラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスククラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスクLumin Hacker
 
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたAmazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたcluclu_land
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)Shinobu Yasuda
 
Security days 2015
Security days 2015Security days 2015
Security days 2015Manabu Kondo
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:schoowebcampus
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxmkoda
 
Oracle Cloud Infrastructure セキュリティの取り組み [2021年8月版]
Oracle Cloud Infrastructure セキュリティの取り組み [2021年8月版]Oracle Cloud Infrastructure セキュリティの取り組み [2021年8月版]
Oracle Cloud Infrastructure セキュリティの取り組み [2021年8月版]オラクルエンジニア通信
 
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチクラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチNetApp Japan
 

Ähnlich wie デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策 (20)

今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
 
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
 
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
 
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
 
Enterpriseでもモバイル開発
Enterpriseでもモバイル開発Enterpriseでもモバイル開発
Enterpriseでもモバイル開発
 
Zero trust
Zero trustZero trust
Zero trust
 
クラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスククラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスク
 
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたAmazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
 
Security days 2015
Security days 2015Security days 2015
Security days 2015
 
TechTarget新サービス
TechTarget新サービスTechTarget新サービス
TechTarget新サービス
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
 
Oracle Cloud Infrastructure セキュリティの取り組み [2021年8月版]
Oracle Cloud Infrastructure セキュリティの取り組み [2021年8月版]Oracle Cloud Infrastructure セキュリティの取り組み [2021年8月版]
Oracle Cloud Infrastructure セキュリティの取り組み [2021年8月版]
 
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチクラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
 

Mehr von Developers Summit

【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」
【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」
【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」Developers Summit
 
【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~Developers Summit
 
【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~Developers Summit
 
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみるDevelopers Summit
 
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。Developers Summit
 
【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦
【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦
【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦Developers Summit
 
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツールDevelopers Summit
 
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツールDevelopers Summit
 
【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)
【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)
【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)Developers Summit
 
【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~
【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~
【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~Developers Summit
 
【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えします
【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えします【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えします
【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えしますDevelopers Summit
 
【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流
【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流
【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流Developers Summit
 
【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~
【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~
【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~Developers Summit
 
【15-A-1】ドラゴンクエストXを支える失敗事例
【15-A-1】ドラゴンクエストXを支える失敗事例【15-A-1】ドラゴンクエストXを支える失敗事例
【15-A-1】ドラゴンクエストXを支える失敗事例Developers Summit
 
【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~
【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~
【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~Developers Summit
 
【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜
【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜
【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜Developers Summit
 
【B-5】モダンな開発を実現するツールチェーンのご紹介
【B-5】モダンな開発を実現するツールチェーンのご紹介【B-5】モダンな開発を実現するツールチェーンのご紹介
【B-5】モダンな開発を実現するツールチェーンのご紹介Developers Summit
 
【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習
【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習
【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習Developers Summit
 
【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道
【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道
【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道Developers Summit
 
【B-2】AI時代におけるエンジニアの生存戦略
【B-2】AI時代におけるエンジニアの生存戦略【B-2】AI時代におけるエンジニアの生存戦略
【B-2】AI時代におけるエンジニアの生存戦略Developers Summit
 

Mehr von Developers Summit (20)

【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」
【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」
【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」
 
【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
 
【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
 
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
 
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
 
【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦
【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦
【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦
 
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
 
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
 
【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)
【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)
【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)
 
【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~
【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~
【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~
 
【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えします
【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えします【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えします
【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えします
 
【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流
【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流
【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流
 
【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~
【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~
【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~
 
【15-A-1】ドラゴンクエストXを支える失敗事例
【15-A-1】ドラゴンクエストXを支える失敗事例【15-A-1】ドラゴンクエストXを支える失敗事例
【15-A-1】ドラゴンクエストXを支える失敗事例
 
【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~
【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~
【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~
 
【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜
【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜
【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜
 
【B-5】モダンな開発を実現するツールチェーンのご紹介
【B-5】モダンな開発を実現するツールチェーンのご紹介【B-5】モダンな開発を実現するツールチェーンのご紹介
【B-5】モダンな開発を実現するツールチェーンのご紹介
 
【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習
【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習
【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習
 
【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道
【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道
【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道
 
【B-2】AI時代におけるエンジニアの生存戦略
【B-2】AI時代におけるエンジニアの生存戦略【B-2】AI時代におけるエンジニアの生存戦略
【B-2】AI時代におけるエンジニアの生存戦略
 

Kürzlich hochgeladen

論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムsugiuralab
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 

Kürzlich hochgeladen (9)

論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 

デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策

  • 1. Developers Summit 増加するセキュリティ脆弱性の解決策 開発者がセキュリティに意識をもつために 15-A-6 安竹 由起夫 #devsumiA コベリティ日本支社 Developers Summit 2013 Action !
  • 2. 典型的なテスト UI テスト パフォーマンス 機能テスト セキュリティ 未テストコード 2
  • 3. 典型的なテスト UI テスト パフォーマンス 機能テスト セキュリティ 未テストコード 3
  • 4. 静的解析によるシミュレーション コールグラフ+条件分岐 UI テスト パフォーマンス 機能テスト 全パス セキュリティ 全自動 シュミレーション 未テストコード 4
  • 6.  Javaセキュアコーディングガイド(CERT/Oracle) – https://www.jpcert.or.jp/java-rules/  C言語全般のセキュアコーディングガイド – ISO IEC - JTC1/SC22/WG14-C – http://www.open-std.org/jtc1/sc22/wg14/  Android アプリのセキュアコーディングガイド – http://www.jssec.org/news/20121119_securecoding.html  PCI DSS – アカウントデータ保護に関するコンプライアンス 6 © 2011 Forrester Research, Inc. Reproduction Prohibited
  • 7. Developers Summit まだまだ足りないようです Developers Summit 2013 Action !
  • 9. Forrester レポート: Web アプリケーションでは、 いまだにセキュリティ問題にコストがかけられている “2011年に、あなたの組織でセキュリティ インシデントの対応にかかった、おおよそのコストは?”* 10億円以上 1% 5億円~10億円 1% 18% 1億円~5億円 6% このアンケートでは、 153社中 28社が 5千万円~1億円 10% 5千万円以上の 1千万~5千万円 24% 損害を被っている 1千万円以下 29% わからない 28% Base: 153 North American and European development and information security managers who have experienced a breach Source: a©commissioned study conducted by Forrester Consulting on behalf of Coverity, June, 2012 9 2011 Forrester Research, Inc. Reproduction Prohibited
  • 10. Forrester レポート:基本的な問題が上位を占めている “ どのようなセキュリティ問題が組織にもっともインパクトを与えていると考えていますか?” 41% 37% 36% デフォルトアカウントの 運用環境の パスワード設定 コンフィギュレーシ インジェクション ョンミス Base: 240 North American and European development and information security managers Source: a commissioned study conducted by Forrester Consulting on behalf of Coverity, June, 2012 10 © 2011 Forrester Research, Inc. Reproduction Prohibited
  • 11. 11 © 2011 Forrester Research, Inc. Reproduction Prohibited
  • 12. 12 © 2011 Forrester Research, Inc. Reproduction Prohibited
  • 13. 13 © 2011 Forrester Research, Inc. Reproduction Prohibited
  • 14. Developers Summit イライラしない Developers Summit 2013 Action !
  • 15. Forrester レポート:基本的な問題が上位を占めている “ どのようなセキュリティ問題が組織にもっともインパクトを与えていると考えていますか?” 41% 37% 36% デフォルトアカウントの 運用環境の パスワード設定 コンフィギュレーシ インジェクション ョンミス Base: 240 North American and European development and information security managers Source: a commissioned study conducted by Forrester Consulting on behalf of Coverity, June, 2012 15 © 2011 Forrester Research, Inc. Reproduction Prohibited
  • 16. SQL インジェクション(SQLi)とは? 汚染データ W eb ブ ラ ウザ W eb ア プ リ ケーシ ョ ン 内 メ ール 暗証番号 2 . 汚染データ かど う かを チ ェ ッ ク し て いない場合、 処理 が進み、 データ ベース の検索 や更新のSQL文が汚染データ と と も に形づく ら れる 。 1 . 悪意ある ユーザが、 開発者の 意図し て いないデータ ( =SQL) select カ ード 番号 from 顧客情報 を わざ と 入力(※)する 。 where メ ール = ‘ 例: メ ールと し て 以下を 入力: sa@coverity.com’ OR ‘1’=’1 ’ AND 暗証番号=‘1234’ s a @ c o v e r ity .c o m ’ OR ‘1’='1 顧客情報データ ベース メ ール カ ード 番号 ※通常はフ ォ ーム入力など を 行わず、 暗証番号 3 . 本来はメ ールと 暗証番号 http://sample.com/list?mail=’ OR ’1′=’1 sa@ co v... 1012 8 9 0 3 ... の組合せが必要だが、 条件文 yu k io @ ... 4649 6 7 6 9 ... など で、 直接サーバにアク セスする sju n g @ ... 8015 8 9 0 3 ... にO R が埋め込ま れたため、 sn ish i@ ... 0721 6 9 6 9 ... 暗証番号が合致し な く て も 顧 客情報が参照可能に。
  • 17. クロスサイトスクリプティング(XSS)と は? 1 . 悪意ある ユーザが、 不正な ス ク リ プ ト を 含むU R Lを メ ールで 送信 2 . 信頼し ている サイ ト だと 勘違い し 、 不正な スク リ プ ト を 脆弱性の W eb ア プ リ ケーシ ョ ン 内 ある サイ ト に送信。 暗証番号 を 入力 3 . 不正なス ク リ プ ト を チェ ッ ク し し て 下さ い ていな い場合、 それを 実行する OK 脆弱性のある W eb ア プ リ ケーシ ョ ン ページ を 生成し てし ま う 。 暗証番号 ※他にも脆弱性のあるサイトに攻撃させ 4 . 信頼し て いる サイ ト のつも り るなど、複数の手口があります。 が、 実はスク リ プ ト によ っ て、 他 の場所に情報を 送信。
  • 18. Developers Summit イライラしない Developers Summit 2013 Action !
  • 20. なぜセキュリティ脆弱性は回避しづらいのか セキュリティ不具合のテストは開発の後工程で行われる コード コード コード 開発の 変更 #1 変更 #2 変更 #3 完了 開発サイクル 品質の確認 品質の確認 品質の確認 品質 + セキュリティ の確認 出荷遅延、脆弱性検出が見逃されるリスクの増加 20 © 2011 Forrester Research, Inc. Reproduction Prohibited
  • 21. 開発者とセキュリティチームは視点が違う “なぜ、Web セキュリティの問題が 早期に発見さず、また修正されていない と思いますか?” セキュリティ監査 開発者  #1: 時間的なプレッシャー  #1: 開発者がセキュリティに対して非協力的  #2: セキュリティ脆弱性を発見するツールや技術  #2: 時間的なプレッシャー がない 21 © 2011 Forrester Research, Inc. Reproduction Prohibited
  • 22. Developers Summit イライラしない Developers Summit 2013 Action !
  • 23. 開発プロセス全体で 継続的なセキュリティテストを コード コード コード 開発の 変更 #1 変更 #2 変更 #3 完了 開発サイクル 品質 + 品質 + 品質 + 品質 + セキュリティ セキュリティ セキュリティ セキュリティ の確認 の確認 の確認 の確認 23 © 2011 Forrester Research, Inc. Reproduction Prohibited
  • 24. Coverity Development Testing Platform 解析 | 修正 | 統制 解析パッケージ SDLC 統合 Policy Manager サードパーティ Dynamic メトリクス Analysis IDE Coverity Connect コード カバレッジ Architecture Analysis テスト Quality Security Test 実行 解析結果統合 Advisor Advisor Advisor ビルド/ 継続的統合 FindBugs™ | FxCop バグ トラッキング SCM 解析結果統合 ツールキット Coverity SAVE™ ALM 連携 HP | IBM Static Analysis Verification Engine 商用コード | オープンソースコード 24
  • 25. Coverity Security Advisor (Java) • Security Advisor は Webアプリケーション内の • 汚染データ(Tainted Data = 悪意あるデータ)の 入り口と経路、および到達点を突き止め、 • 悪意あるデータがコード内でチェックされている かを確認し、 • 脆弱性が存在する場合は、修正方法を提示する
  • 26. SQLi, CMDi, XSS を解決する 3つの機能 現サポートフレームワーク 高速、全パス解析を (Java7対応) 行う高精度静的解析 Spring MVC 2.x, 3.x エンジン Java EE JDBC, Spring JDBC Hibernate, JPA JSP 汚染データが利用され 汚染データの入り口 るコンテキストで必要 (Source)、その経路と となるエスケーパや修 到達点(Sink)を異種フ 正方法を提示 Source から汚染データ レームワーク間を超え を注入、Sink到達まで て確認 にデータチェックや、サ ニタイズさるかを確認
  • 27. フレームワークアナライザ HTTP リクエスト フレームワークを Web アプリケーション 理解しなければ、 Data 汚染データの Access 入口、経路、到達点 Model Controller を知ることができない View Resolver View 現サポートフレームワーク (Java7対応) Spring MVC 2.x, 3.x Java EE Model View Technology View JDBC, Spring JDBC Hibernate, JPA JSP HTTP レスポンス
  • 28. ホワイトボックスファザーとサニタイズ a b c d … < > & “ ‘ 発見した汚染データの侵入経路に 汚染データを投入し、 無害化されているかを 自動的に確認する htmlEncode() &lt; &gt; &amp; &quot; &#x27; a b c d … コベリティが開発したエスケーパーをオープンソースに: https://github.com/coverity/coverity-security-library/tree/gh-pages 28
  • 29. 的確なルート情報と修正方法の提示 入り 口 (so u rce) 経路 サニタ イ ズすべき 箇所 修正方法の提示
  • 31. Developers Summit 意識することから始めよう MY RECOMMEND NEXT ACTION! • セキュリティに関連するインシデントがある? • セキュアコーディングガイドがある? • ペネトレーションテストが実施されている? • 発見された脆弱性を修正できる情報があ る? • セキュリティについて以前より意識しよう Developers Summit 2013 Action !