10周年のSPコンテンツ!

2013/02/15 デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策 #devsumiA

Developers Summit 2013 Action! http://event.shoeisha.jp/detail/1/ <講演概要> 近年、標的型攻撃によるサイトの改ざんや情報漏洩の被害が後を絶ちません。典型的な攻撃としてSQLインジェクションやクロスサイトスクリプティング(XSS)があげられますが、多くの企業で対策を施しているにもかかわらず、いまだに発生件数は増加傾向にあるようです。根本的な原因は何なのでしょうか?本セッションでは、ソフトウェア脆弱性の根本原因を洗い出すとともに、その解決策となる開発段階でのセキュリティ対策技術についてご紹介します。 続きを読む
devsumia devsumi
0
Developers Summit @devsumi
デブサミ2013のお申し込みは終了しました。ありがとうございます。登録したセッションは変更画面から確認頂けます。 明日8日金曜15:00に、参加証メールを一斉送信しますので、お手数ですが、当日は印刷して御持ち下さい! #devsumi
Developers Summit @devsumi
そうそう、個人スポンサー様のマグカップが届きました♪ 当日のお楽しみで…!! #devsumi
鎌玉 大 @kamatamadai
#devsumiA 【15-A-6】増加するセキュリティ脆弱性の解決策 コベリティの安竹さん
鎌玉 大 @kamatamadai
#devsumiA コベリティではソースの静的解析をやっています
鎌玉 大 @kamatamadai
#devsumiA コード品質を高めれば、約6割の脆弱性は防ぐことができます
小泉勝志郎 @koi_zoom1
#devsumi #devsumiA 安竹さんの「増加するセキュリティ脆弱性の解決策」なう!
鎌玉 大 @kamatamadai
#devsumiA Javaセキュアコーディングガイド(CERT/Oracle),C言語全般のセキュアコーディングガイド(ISO)、Andoroidアプリのコーディングガイド(JSSEC)、PCI DSS/アカウントデータ保護に関するコンプアライアンス(元々、カード会社のもの)
鎌玉 大 @kamatamadai
#devsumiA 静的解析のツールを出しているが、コード品質だけでは賄えない部分もある
鎌玉 大 @kamatamadai
#devsumiA Webのセキュリティ対策は、コードの静的解析じゃ足りないと思われる
小泉勝志郎 @koi_zoom1
#devsumiA #devsumi 安竹さん:いまのWebアプリケーション開発のセキュリティ対策はまだ経験的に浅く発展途上である
鎌玉 大 @kamatamadai
#devsumiA Webaアプリケーションでは未だにセキュリティ問題にコストが掛けられている>要求通り動いているのに、悪意を持った人が問題を起こす
鎌玉 大 @kamatamadai
#devsumiA 基本的な問題が上位を占めている。41%がデフォルトアカウントのパスワード設定を変更していない
小泉勝志郎 @koi_zoom1
#devsumiA #devsumi 安竹さん:今多く上がっているセキュリティ問題。正直クスッと来てしまうものも。1位はデフォルトアカウントのパスワード設定ミス。2位は設定ミス
小泉勝志郎 @koi_zoom1
#devsumiA #devsumi 安竹さん:セキュリティ向上のための「手書き文字を読ませる。数式を解かせる」は正直見ているとイラっといてしまうw
鎌玉 大 @kamatamadai
#devsumiA 37%が運用環境(WAFなど)の設定ミス、36%がインジェクション(SQL,コマンド)
小泉勝志郎 @koi_zoom1
#devsumiA #devsumi 安竹さん:SQLもXSSも悪意のあるデータが来ることによって起きる
鎌玉 大 @kamatamadai
#devsumiA 本当の仕様を考えているときに、(セキュリティ対策を)そこまで考えられない
鎌玉 大 @kamatamadai
#devsumiA 侵入テストを開発チームでやっている人>いない。だいたい外部業者に頼みますよね。大手で5社ぐらいあります
鎌玉 大 @kamatamadai
#devsumiA 開発者とセキュリティチームは視点が違う。
鎌玉 大 @kamatamadai
#devsumiA 開発者はそこまで考えられない。だから、セキュリティ監査は高くなる。イライラしますよね。Action!は「イライラする」です
小泉勝志郎 @koi_zoom1
#devsumiA #devsumi 安竹さん:何故セキュリティ脆弱性は回避しづらいのか?開発者とセキュリティチームは視点が違う
鎌玉 大 @kamatamadai
#devsumiA 汚染データの入口と出口をチェックする。フレームワークを知らないとデータの経路が分からない。経路が分かれば、ホワイトボックスファザーとサニタイズをする
残りを読む(4)

コメント

コメントがまだありません。感想を最初に伝えてみませんか?

ログインして広告を非表示にする
ログインして広告を非表示にする