SlideShare ist ein Scribd-Unternehmen logo

Webアプリのセキュリティ 20170824

Als PPTX, PDF herunterladen
M
Masakazu Ikeda

Vaddy ミートアップ Vol.7

Internet
1 von 20
2017.8.24 ikepyon WEBアプリのセキュリティは 何から手を付ければいいのか ?(仮)
本日の話 2 開発 運用 開発 運用 開発 要件定義 設計 コーディ ング テスト フレームワーク、ライブラリなどのバージョン管理
 開発工程のコーディングまでにアプリ特有の脆弱性は生まれる  要件定義  クレジットカードのセキュリティコードの保存  設計  アクセス権の不備  コーディング  SQLインジェクション  XSS  ディレクトリトラバーサル アプリの脆弱性 3
そもそもアプリの脆弱性とは?  想定外の動作をするバグのうちセキュリティ上の問題を引 き起こすもの  機密性、完全性、可用性を脅かすもの 4
7 0 3 0 56% 11% 3% 15% 2%2%11% クロスサイト・スクリプティング SQLインジェクション ディレクトリ・トラバーサル DNS情報の設定不備 ファイルの誤った公開 HTTPSの不適切な利用 その他 6 5 3 5 38% 12%7%4%4% 10% 7% 4%3%11% 任意のスクリプト実行 任意のコマンドの実行 任意のコードの実行 任意のファイルへのアクセス データベースの不正操作 情報の漏洩 なりすまし サービス不能 アクセス制限の回避 その他 コーディングバグ どんな脆弱性が多いのか? 届出累計の脆弱性がもたらす影響別割合 Webサイトの届出累計の脆弱性の種類別割合 5 IPA ソフトウェア等の脆弱性関連情報に関する届出状況[2017 年第 2 四半期(4 月~6 月)]より引用 コーディングバグ
WEBアプリの脆弱性  コーディングバグによる脆弱性が最も多い  全体の約7割  脆弱性を減らすにはまずコーディング時点での脆弱性を減 らすことが効果的 6
アプリのセキュリティ対策の難しさ  一定レベル以上の安全性をすべてのコ ードで保つ必要がある  致命的なバグがコードになければよ い  安全なコードを書くこと自体は難し くない  コーディングバグによる脆弱性の 少ない安全なコードを書くには特 別な知識は不要 7
コーディングでの脆弱性を減らすには?  安全なコーディング方法の教育  セキュリティコードレビュー  動的な脆弱性診断 8
安全なコーディング方法の教育  メリット  脆弱性のあるコードを書きにくくなる  発見された脆弱性を直せる  デメリット  即効性がない  ケアレスミスによる脆弱性を防げない  既に存在するコード、フレームワークなどの脆弱性を対応す ることは難しい 9
セキュリティコードレビュー  メリット コーディングが終われば脆弱性を発見、直すことができるため、 手戻りが少ない 脆弱性のあるコードをピンポイントで発見できる 網羅的に脆弱性を発見できる  デメリット 実施するにはセキュリティの知識、コードを読む能力が必要 コードレビューを実施するには工数がかかる 発見した脆弱性が実際に攻撃に利用できるとは限らない コードレビューを実施していない場合開発フローを変える必要が ある 10
動的な脆弱性診断  メリット  攻撃可能な脆弱性を発見できる  開発フローに導入しやすい  デメリット  セキュリティの知識が必要  開発の終盤に実施するため、脆弱性が発見された場合の手戻 りが大きい  コードの修正箇所が具体的にわからない 11
安全なアプリを作るには何からやれば? 1. 教育は必須  これを実施しないと脆弱性の直し方もわからない  場当たり的な対策となり、完全に修正できないことも 2. 動的な脆弱性診断は最も手軽に開発フローに入れられる  結合テストで実施することを考慮するとよい  すべての脆弱性を発見できないことに注意 3. セキュリティコードレビューは可能なら実施  開発者の技術レベルが不十分だと確認すべき点が多く、工数 が大幅にかかる 12
安全なアプリを作るには?(教育編)  コーディングの基礎をしっかり学び、実践する  適切なバリデーション、適切なエスケープ  なるべく単純化  仕様に問題がなければ、仕様どおりにしか動かないコード を書けばよい  仕様通りにバリデーションを行い、外部への出力を行う 際、適切なエスケープを行うことで脆弱性を減らせる 13
安全なアプリを作るには?(教育編)  セキュアコーディングは多くの場合にセキュリティを意識 しなくても脆弱性の少ないコードを書くための方法  セキュアコーディングで常に脆弱性をなくせるものでは ない  フレームワーク、ライブラリには安全なアプリを作るため の機能が存在するので、うまく活用する 14
安全なアプリを作るには?(脆弱性診断編)  診断パターンは脆弱性診断士ガイドラインが使用できる https://www.owasp.org/index.php/Pentester_Skillmap_Projec t_JP  全機能を網羅的に診断を実施する  脆弱性診断を実施していない箇所に脆弱性がある場合も ある 15
安全なアプリを作るには?(脆弱性診断編)  簡単に発見できる(自動化ツールで発見できる)脆弱性を発見 、修正する  発見することが難しい脆弱性は攻撃者も発見しづらい  発見しづらい脆弱性を見つけることに時間をかけるより、網 羅的に簡単に発見できる脆弱性がないことを確認することが 重要  網羅的に手動で診断を行うことは結構大変なので、自動化ツー ルを活用する  自動化ツールを使用する場合、設定が重要 16
安全なアプリを作るには?(脆弱性診断編)  脆弱性として使用できなくても脆弱性っぽいものを発見する ことは難しくない  「’」「<」などを全てのパラメーター、Cookieに入れてみ る  単体テスト、結合テストのテストデータにこれらを含む データを入れてテストすることがいいかも?  おかしな動作をするところを修正するだけでも大幅に脆弱 性を減らすことができる 17
安全なアプリを作るには?(コーディングレビュー編)  入力(ソース)から脆弱性を引き起こす出力(シンク)ま でのデータフローを追う  シンクに問題を起こすデータが渡されるかを確認する シンクの例  SQLを引数とするメソッド・関数  レスポンスに出力するメソッド・関数 など 18
安全なアプリを作るには?(コーディングレビュー編)  ソースコード診断ツールもあるので利用することも検討?  脆弱性が検出されすぎるので精査が重要  開発者の技術レベルが高いと検出される脆弱性のほとんど は脆弱性ではない  開発者の技術レベルが低いと検出される脆弱性が多すぎ、 精査の工数がかかりすぎる  フレームワークを使用していると脆弱性が検出できない場合 もある 19
まとめ  何はともあれ教育を実施する  次に導入しやすい動的な脆弱性診断を実施する  テストデータをちょっと変えて、「O'reilly」や「Tully's」 にするだけでSQLインジェクションが見つかるかも?  脆弱性の少ないコードが書けるようになったら、工数削減 のためにコードレビューを実施する 20

Empfohlen

Cloud securiy boot camp for zero trust
Cloud securiy boot camp for zero trustCloud securiy boot camp for zero trust
Cloud securiy boot camp for zero trustHiroyuki Komachi
 
Sec002 office 365_で実現する一歩
Sec002 office 365_で実現する一歩Sec002 office 365_で実現する一歩
Sec002 office 365_で実現する一歩Tech Summit 2016
 
Css2013 api distance
Css2013 api distanceCss2013 api distance
Css2013 api distanceInfo_SecureBrain
 
Sec004 cloud first、_mobile_first_におけるid
Sec004 cloud first、_mobile_first_におけるidSec004 cloud first、_mobile_first_におけるid
Sec004 cloud first、_mobile_first_におけるidTech Summit 2016
 
Webアプリケーション脆弱性診断のご紹介_コンピューターサイエンス株式会社
Webアプリケーション脆弱性診断のご紹介_コンピューターサイエンス株式会社Webアプリケーション脆弱性診断のご紹介_コンピューターサイエンス株式会社
Webアプリケーション脆弱性診断のご紹介_コンピューターサイエンス株式会社ComputerScienceCoLtd
 
Blind sql injection jwmoon
Blind sql injection jwmoonBlind sql injection jwmoon
Blind sql injection jwmoonted0201
 
[SC06] Windows と Azure、2つの Information Protection をディープに解説!
[SC06] Windows と Azure、2つの Information Protection をディープに解説![SC06] Windows と Azure、2つの Information Protection をディープに解説!
[SC06] Windows と Azure、2つの Information Protection をディープに解説!de:code 2017
 
Sec007 条件付きアクセス
Sec007 条件付きアクセスSec007 条件付きアクセス
Sec007 条件付きアクセスTech Summit 2016
 

Empfohlen

Cloud securiy boot camp for zero trust
Cloud securiy boot camp for zero trustCloud securiy boot camp for zero trust
Cloud securiy boot camp for zero trustHiroyuki Komachi
 
Sec002 office 365_で実現する一歩
Sec002 office 365_で実現する一歩Sec002 office 365_で実現する一歩
Sec002 office 365_で実現する一歩Tech Summit 2016
 
Css2013 api distance
Css2013 api distanceCss2013 api distance
Css2013 api distanceInfo_SecureBrain
 
Sec004 cloud first、_mobile_first_におけるid
Sec004 cloud first、_mobile_first_におけるidSec004 cloud first、_mobile_first_におけるid
Sec004 cloud first、_mobile_first_におけるidTech Summit 2016
 
Webアプリケーション脆弱性診断のご紹介_コンピューターサイエンス株式会社
Webアプリケーション脆弱性診断のご紹介_コンピューターサイエンス株式会社Webアプリケーション脆弱性診断のご紹介_コンピューターサイエンス株式会社
Webアプリケーション脆弱性診断のご紹介_コンピューターサイエンス株式会社ComputerScienceCoLtd
 
Blind sql injection jwmoon
Blind sql injection jwmoonBlind sql injection jwmoon
Blind sql injection jwmoonted0201
 
[SC06] Windows と Azure、2つの Information Protection をディープに解説!
[SC06] Windows と Azure、2つの Information Protection をディープに解説![SC06] Windows と Azure、2つの Information Protection をディープに解説!
[SC06] Windows と Azure、2つの Information Protection をディープに解説!de:code 2017
 
Sec007 条件付きアクセス
Sec007 条件付きアクセスSec007 条件付きアクセス
Sec007 条件付きアクセスTech Summit 2016
 
Sec001 その office_365_の使い方で
Sec001 その office_365_の使い方でSec001 その office_365_の使い方で
Sec001 その office_365_の使い方でTech Summit 2016
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認Tech Summit 2016
 
RubyでDSL
RubyでDSLRubyでDSL
RubyでDSLYukimitsu Izawa
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
Webプラットフォームのセキュリティ
WebプラットフォームのセキュリティWebプラットフォームのセキュリティ
WebプラットフォームのセキュリティMuneaki Nishimura
 
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」Sen Ueno
 
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101TokujiAkamine
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ彰 村地
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動シスコシステムズ合同会社
 
Sec009 これがハイブリッ
Sec009 これがハイブリッSec009 これがハイブリッ
Sec009 これがハイブリッTech Summit 2016
 
System Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろうSystem Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろう彰 村地
 
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す 包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す Elasticsearch
 
Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)pinenet
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)Sen Ueno
 
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)Sen Ueno
 
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjpsonickun
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会Hayato Kiriyama
 

Weitere ähnliche Inhalte

Was ist angesagt?

Sec001 その office_365_の使い方で
Sec001 その office_365_の使い方でSec001 その office_365_の使い方で
Sec001 その office_365_の使い方でTech Summit 2016
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認Tech Summit 2016
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
Webプラットフォームのセキュリティ
WebプラットフォームのセキュリティWebプラットフォームのセキュリティ
WebプラットフォームのセキュリティMuneaki Nishimura
 
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」Sen Ueno
 
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101TokujiAkamine
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ彰 村地
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動シスコシステムズ合同会社
 
Sec009 これがハイブリッ
Sec009 これがハイブリッSec009 これがハイブリッ
Sec009 これがハイブリッTech Summit 2016
 
System Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろうSystem Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろう彰 村地
 
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す 包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す Elasticsearch
 
Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)pinenet
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)Sen Ueno
 
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)Sen Ueno
 
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjpsonickun
 

Was ist angesagt? (20)

Sec001 その office_365_の使い方で
Sec001 その office_365_の使い方でSec001 その office_365_の使い方で
Sec001 その office_365_の使い方で
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認
 
RubyでDSL
RubyでDSLRubyでDSL
RubyでDSL
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
 
Webプラットフォームのセキュリティ
WebプラットフォームのセキュリティWebプラットフォームのセキュリティ
Webプラットフォームのセキュリティ
 
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」
 
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
 
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
 
Sec009 これがハイブリッ
Sec009 これがハイブリッSec009 これがハイブリッ
Sec009 これがハイブリッ
 
System Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろうSystem Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろう
 
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す 包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
 
Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
 
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
 
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
 

Ähnlich wie Webアプリのセキュリティ 20170824

今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会Hayato Kiriyama
 
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティーhakoika-itwg
 
Webアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオンWebアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオンYuichi Hattori
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenterMasakazu Kishima
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)Shinobu Yasuda
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~Hiroshi Tokumaru
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例de:code 2017
 
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたAmazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたcluclu_land
 
20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf
20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf
20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdfEiichiMuraoka2
 
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Yurika Kakiuchi
 
Microsoft Azure 概要 (2015 年 4 月版)
Microsoft Azure 概要 (2015 年 4 月版)Microsoft Azure 概要 (2015 年 4 月版)
Microsoft Azure 概要 (2015 年 4 月版)Osamu Monoe
 
Azure Cosmos DB + App Serviceの良い関係
Azure Cosmos DB + App Serviceの良い関係Azure Cosmos DB + App Serviceの良い関係
Azure Cosmos DB + App Serviceの良い関係Kazuyuki Miyake
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?Yasuo Ohgaki
 
5 moriya security-seminar2005_05
5 moriya security-seminar2005_055 moriya security-seminar2005_05
5 moriya security-seminar2005_05Eiichi Moriya
 

Ähnlich wie Webアプリのセキュリティ 20170824 (20)

今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
 
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
 
[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003
 
Webアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオンWebアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオン
 
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
 
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたAmazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
 
20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf
20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf
20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf
 
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
 
Microsoft Azure 概要 (2015 年 4 月版)
Microsoft Azure 概要 (2015 年 4 月版)Microsoft Azure 概要 (2015 年 4 月版)
Microsoft Azure 概要 (2015 年 4 月版)
 
Azure Cosmos DB + App Serviceの良い関係
Azure Cosmos DB + App Serviceの良い関係Azure Cosmos DB + App Serviceの良い関係
Azure Cosmos DB + App Serviceの良い関係
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
 
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
 
5 moriya security-seminar2005_05
5 moriya security-seminar2005_055 moriya security-seminar2005_05
5 moriya security-seminar2005_05
 
Kspin20121201 kobayashi
Kspin20121201 kobayashiKspin20121201 kobayashi
Kspin20121201 kobayashi
 

Webアプリのセキュリティ 20170824