Menu

Subscribe

OWT2017(沖縄サテライト)に参加してきた

#owasp #security

OWASP World Training Tour 2017 - owasp.orgに参加してきました。
参加といっても沖縄のサテライト会場でです。
配信チームの皆さま、そしてOWASP沖縄のリーダーさん取りまとめありがとうございます。

OWASP World Tourとは?

公式からの引用ですが

アプリケーションセキュリティのアプローチには、あらゆる側面が含まれています。その問題の解決には、人、プロセス、および技術の視点で取り組むことが必要です。こうしたコンセプトを推進する一環として、OWASPは、SDLC全体にセキュリティを組み込むことを希望する開発者のための基本的なAppSecトレーニングを提供します。

OWASPさんは、世界中で利用されているソフトウェアに関わるセキュリティ品質を改善することにコミットしていて、
私もたまに提供されている資料を眺めたりとお世話になってます。

朝から18:30までと長丁場でした。

スピーカーさんたちの資料もOWASPのSpeekerDeckに全部上がってました.

Opening

  • OWASP Project Overview for Developers - 上野宣

OWASPさんで提供しているTool, Docについてざらっと紹介.
最近, 上野さんの本買って読んでます.

Training Session 1

  • OWASP TOP 10を用いた脆弱性対応 - 安藤崇周

OWASP TOP10, Proactive Controlsの説明から.
OWASP TOP10は見たことあるけど, Proactive Controlsまでは見たことなかった.
対応表が載っててどれがどれに対応しているのかが分かりやすかった.
あとは、セキュリティ機能をゼロから開発していくのは時間の無駄だし,
自分だけでやっちゃうと設計・実装ミスは必ず発生するので,
あるものを利用してそこにコミットを切っていくのが大事なのは理解できた.

脆弱性の対応と一口に言っても
どこまでを要件として盛り込むか, どう設計するか, コーディングからテスト,脆弱性検査まで
どうやっていくかは案件の規模や扱う情報に応じて異なるのでその辺は臨機応変に.

要件書も結構参考になるので、ここももう一度見よう

Session 2

  • 最小権限の具体的な実現方法 - 長山哲也

最小権限の重要性と難しさについてでした。
ビジネスとの結びつきも強く,機能仕様に関する脆弱性なのでツールで見つけにくい,見つけても修正しにくい.
このユーザーはこの機能にアクセスできていいかとかは設計段階で決めておかないとあとあと不幸になるのでできるだけ決めれるようにしたり,
アクセス制御機能のコードが散らばると厄介なので、を共通メソッドにして必ずここを利用するようにするとか.
「コードから権限表を生成できるようになると検査がしやすくなるし、ここはビジネスロジック分かってないと脆弱性診断員でも難しいからあると良い」って考え方は良いと思ったのだけれど、 Model, Controller, Viewで権限によって分岐が入ることもあるので表生成も結構力が入りそうな感じがしてる.
やっぱり表生成に関してはあまり無い発想だったのか, 他の参加者もツールを探しているようでした.

Session 3

  • 開発者・運用担当者に向けた、OWASP ZAPを用いた脆弱性診断手法 - 亀田勇歩

ZAPエヴァンジェリストさんでした.
Bad StoreをFree版のBurp Store使ってスキャンかけたりとかはしたことはあったのだけれど,ZAPもそのうち利用してみようと思う.
診断としての考え方は一緒だと思うけど, こっちも利用できるようになると診断の幅が広がりそう.
ZAPはJenkinsで連携している事例もあるので, CIでのテストと一緒に回して利用するのも良いかも.

Session 4

  • OWASP BWAを用いた学生および職員向けトレーニング - 松浦知史

BWA(Broken Web Application)を利用してトレーニング環境として提供したお話.
やっぱり座学だけだと実践的なところが身につかないので、演習をしていくのは大事.
演習シナリオを作成して, シナリオを分解してヒントを出せる形までに落とし込むのが大事.
受講者のレベルに応じてヒントの出し方も考慮するはずなので, 提供者の力量も試されそう.
私も12月頃に演習環境を提供する予定があるので,
シナリオ作成のポリシーや問題の出し方,粒度など, このセッションは僕にとってすごく貴重なお話でした.

Session 5

  • 開発プロジェクトの現状を把握するOWASP SAMMの活用 - 伊藤 彰嗣

OWASP SAMMをプロジェクトに適用して, セキュリティ品質が担保されているかどうかを可視化するお話.
SAMMはあくまでドキュメントなので大きなプロジェクトでも小さなプロジェクトでも回し方をどうするかは自分たち次第.
ただこれを本気でやろうと思ったら会社専任のセキュリティエンジニアにならないと難しいだろうなとも感じた.

Closing

  • The shift left path - 岡田良太郎

4枚目のスライド見て苦笑いしてた…^^;
Hardening 2017 Fesも参加したいなと考えてはいるものの,
いろいろ予定かぶってて難しいので今回は応募パス…
次回こそは…

長丁場で濃いお話が多く, そして得るものも多く有意義でした.
もっと資料読んで, 業務に活かせるものをどんどん取り入れていきたいですね.

そういえば, リンクのサムネを生成するスクリプトがこのブログに無かったので,
SpeakerDeck用ですが, 作成してみました.
おしま。