徳丸さんの話のTsudaり。

HID @shidho

徳丸さんが自己紹介している。

HID @shidho

時代の最先端をいっていたらしい。

HID @shidho

事前に文面を書いておかない、デフォルトの状態では発注者のほうに脆弱性の責任があるらしい。

HID @shidho

どういう風に文面を書くか。「安全なWebサイトの作り方」などなど既存の文書に準拠、とするとか?

HID @shidho

漠然としたものでは難しいし、用語を列挙した場合質の維持が難しい。具体的対策で書けば開発が難しくなる(=コスト増)の可能性がある。あとは検収方法指定で考えるか。

HID @shidho

「Web健康診断」の使用、はどうだろうか。

HID @shidho

提案は、基本はベンダーに提案させる。それでセキュアにできる根拠をつけさせる。納品物にセキュリティ検査結果を添付してもらう。さらに、一部検査については発注側も実施して確かめる。

HID @shidho

結局、機密情報なのか公開情報なのかくらいしか情報には差がない。

HID @shidho

「情報システムの構築等における用件およびセキュリティ機能の検討に関する解説書」

HID @shidho

「アンチウィルス製品を入れろといわれても、OSによってはそんな製品ないんだけど」

HID @shidho

重要なのは、何が重要なのか、ではなく、どう扱うか。どう対策するかへのアプローチが効果的。

HID @shidho

いくつかの対策を列挙して、使わない場合のリスクを考え、代替コントロールを考えるか、そのリスクを許容するかを考える。

HID @shidho

脆弱性対策は、開発標準で。ただし契約上の問題は別。

HID @shidho

日系SYSTEMS2009年8月号に寄稿

HID @shidho

セキュリティ機能とセキュリティバグは分けて考える。開発標準を整備し、メンバーへの教育を徹底する。レビューとテストはコスト要因だが、計画的に行うようリソースを確保する。

HID @shidho

「安全なWebサイトの作り方 改訂第3版」「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」

HID @shidho

開発標準は、薄くしないと読んでくれないよ。

HID @shidho

方式設計では、具体的なコードレベルに落とす。「特殊文字をエスケープする」じゃあ、知らない人は実装できない。

HID @shidho

セキュリティ要件:増やせば増やすほどコスト増。セキュリティバグ; 標準作成と教育、テストがコスト増の要因。

HID @shidho

開発標準や教育は使い回せる。しっかり作って使い回そう。あとの残りはテスト。

HID @shidho

セキュリティテスト。開発工程ではソースコードレビューやソースコードチェッカー。「Web健康診断仕様」。

HID @shidho

lasdec

HID @shidho

burp suiteでデモ中

HID @shidho

テストをコスト削減するには:　全部を専門家に頼まない。やっていないことに対するテストはしない。

HID @shidho

OSコマンドインジェクションやパストラバーサル、SQLインジェクションはソースコード検査でやる。(SQLインジェクションは開発標準に工夫がいる)