徳丸さんの話のTsudaり。

第2回東北セキュリティ勉強会 「セキュア開発プロセスとウェブ健康診断仕様の応用」 ハッシュコンサルティング 徳丸 浩さん
東北 セキュリティ 勉強会
1
HID @shidho
徳丸さんが自己紹介している。
HID @shidho
時代の最先端をいっていたらしい。
HID @shidho
事前に文面を書いておかない、デフォルトの状態では発注者のほうに脆弱性の責任があるらしい。
HID @shidho
どういう風に文面を書くか。「安全なWebサイトの作り方」などなど既存の文書に準拠、とするとか?
HID @shidho
漠然としたものでは難しいし、用語を列挙した場合質の維持が難しい。具体的対策で書けば開発が難しくなる(=コスト増)の可能性がある。あとは検収方法指定で考えるか。
HID @shidho
「Web健康診断」の使用、はどうだろうか。
HID @shidho
提案は、基本はベンダーに提案させる。それでセキュアにできる根拠をつけさせる。納品物にセキュリティ検査結果を添付してもらう。さらに、一部検査については発注側も実施して確かめる。
HID @shidho
結局、機密情報なのか公開情報なのかくらいしか情報には差がない。
HID @shidho
「情報システムの構築等における用件およびセキュリティ機能の検討に関する解説書」
HID @shidho
「アンチウィルス製品を入れろといわれても、OSによってはそんな製品ないんだけど」
HID @shidho
重要なのは、何が重要なのか、ではなく、どう扱うか。どう対策するかへのアプローチが効果的。
HID @shidho
いくつかの対策を列挙して、使わない場合のリスクを考え、代替コントロールを考えるか、そのリスクを許容するかを考える。
HID @shidho
脆弱性対策は、開発標準で。ただし契約上の問題は別。
HID @shidho
日系SYSTEMS2009年8月号に寄稿
HID @shidho
セキュリティ機能とセキュリティバグは分けて考える。開発標準を整備し、メンバーへの教育を徹底する。レビューとテストはコスト要因だが、計画的に行うようリソースを確保する。
HID @shidho
「安全なWebサイトの作り方 改訂第3版」「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」
HID @shidho
開発標準は、薄くしないと読んでくれないよ。
HID @shidho
方式設計では、具体的なコードレベルに落とす。「特殊文字をエスケープする」じゃあ、知らない人は実装できない。
HID @shidho
セキュリティ要件:増やせば増やすほどコスト増。セキュリティバグ; 標準作成と教育、テストがコスト増の要因。
HID @shidho
開発標準や教育は使い回せる。しっかり作って使い回そう。あとの残りはテスト。
HID @shidho
セキュリティテスト。開発工程ではソースコードレビューやソースコードチェッカー。「Web健康診断仕様」。
HID @shidho
テストをコスト削減するには: 全部を専門家に頼まない。やっていないことに対するテストはしない。
HID @shidho
OSコマンドインジェクションやパストラバーサル、SQLインジェクションはソースコード検査でやる。(SQLインジェクションは開発標準に工夫がいる)

コメント

HID @shidho 2009年11月16日
この講演に関する資料は、 http://www.hash-c.co.jp/archive/phpconf2009.html と同じものです。
ログインして広告を非表示にする
ログインして広告を非表示にする