Upload
asterisk-research-inc
View
477
Download
5
Embed Size (px)
Citation preview
アプリケーション・セキュリティを 実現するベストプラクティスとは
SecureAssist IDE Plugin and Enterprise Portal Introduc6on
ASTERISK RESEARCH, INC. 株式会社アスタリスク・リサーチ Cigital社チャネルパートナー
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 1
2015/9/3
SDLCにおける開発段階のインパクト
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 2
Planning & Requirements
Design & Architecture Development TesPng ProducPon Maintenance
SAST 静的解析 DAST 動的解析
リスクの 80%以上 はこの段階に
起因
コーディング レビュー
MOINTORING ライフサイクル設計・教育
施策
開発品質阻害要因 • スケジュール圧力 • コスト圧力 • スキルのばらつき
対策が後手になるほどリスク対策・時間・コストは高額に
フェーズ
What is SecureAssist
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 3
プラグイン レビュー対象のファイル・タイプ IDE(統合開発環境)
Java
JEE / JSP / XML / FTL / ProperPes
PHP
Eclipse RAD
MyEclips SpringSource Tool SuiteTM IDE
IntelliJ (coming soon)
.NET
C# / VB.NET / ASPX Microso\ Visual Studio
は、IDE Visual Studio、Eclipseのプラグイン方式を採用。 開発者は、いつでも、自分自身のコードを ”レビュー” これにより、リスクの高い、脆弱性のもとになるプログラムコードをコミットする前、ビルドする前に見つけ、修正することができます。 安全なコードの書き方も身につき、安全なコーディングも身につきます。 一流のプログラミングセキュリティ・コーチを開発者ひとりひとりに配置するような、効率、コストパフォーマンスの高いソリューションです。
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 4
What is SecureAssist リアルタイムコードレビュー・リスク指摘・修正ガイダンスツール
解説・ガイダンスや サンプルコード
脆弱性とコードの対応による リスクレベルの可視化
IDEプラグインによる リアルタイムな
コードレビュー
SecureAssist Enterprise Portalで統合します チーム全体のセキュアコーディング状況を集約する機能
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 5
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
IDE
・Deliver Review RuleSet, Code Guideline 独自ルールセット・ガイドドキュメントの配布 ・Ac6onable intelligence 利活用可能なプロジェクトごとの統計情報 ・Manage user ac6vi6es and licenses ユーザーの管理
プロジェクト A プロジェクト B 品質管理 運用・企画・マネージメント
※ SecureAssistシステムは、スキャンなどの機微情報を製品提供元には送りません!
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 6
入力値バリデーションならびに 出力値のエンコードを徹底
セキュアでないデータの取り扱いによる問題を回避
正しいコーディング手法の 導入・徹底
Cross-‐Site ScripPng* > Output Sent to Browser > Output Data in Web Page > DOM Object > HTTP Header ManipulaPon > GET Requests > HTML Comments in JSP or PHP File > Hidden Field > Data Usage from HTTP Request > Output Encoding Set to False
SQL InjecPon* > Dangerous Method Calls > Database Query ManipulaPon > Untrusted Data Source for Query > Dynamic Database Query
Path ManipulaPon* > UnsaniPzed Data Usage > Directory Call with Dynamic Inputs
Denial of Service Aeack > Hanging JRE > Dynamic Web Page Content > Processing SensiPve Data > Race CondiPon > Struts Config > XML Aeacks
File Input/Output > Exposed Buffers > Temporary Files in Shared Directories
Other Unvalidated User Input* > LDAP InjecPon* > Xpath InjecPon* > Command InjecPon* > Remote Code ExecuPon > Javax Persistence Security
Insecure Data Storage > Insecure File Modes > No Access Control* > User CredenPals Stored* > Hardcoded Password* > Access to Cache > HTTP Auth CredenPals Stored*
SensiPve InformaPon Leakage > Dynamic Web Page Content > System InformaPon Leak > Exposure of AuthenPcaPon Objects > Use of printStack Trace > ExcepPon Handling > Autocomplete Seing > External Storage Used > Screen View Captured > Web Page Saved to Device > HTML Form Data > Insecure ConfiguraPon in Manifest
Weak Cryptography* > Security Features > Weak Cryptographic Hash > Weak EncrypPon > Outdated Cipher > Weak Algorithm > Secure Number RandomizaPon > Insufficient Key Size > Inadequate RSA Padding
Trust Boundary ViolaPons > User Supplied Data to Beans > Calls AffecPng CURL Requests > Untrusted Data Source > UnsaniPzed String > InjecPon in Email > Points of Interest > Entry Point ViolaPon > Socket ConnecPon Timeout > Socket Stream Timeout
Unvalidated Redirects & Forwards > URL RedirecPon* > User RedirecPon*
Thread APIs > Call to NoPfy() > InvocaPon of Thread.stop() > InvocaPon of Thread.run()
Struts MisconfiguraPon > XML InjecPon > XML DTD Aeack > Missing/Duplicate Form Bean* > Missing Forward Name Aeribute* > Missing Path/Type Aeribute* > Unnecessary Aeribute > Required Input Aeribute > Invalid ExcepPon Scope > Missing Form-‐Property Type > Dangerous RelaPve Path > AcPon Not Validated
ConfiguraPon > ASP.NET ConfiguraPon* > PHP ConfiguraPon* > Environment Variable Value > Session Timeout ConfiguraPon* > Session InacPve Interval* > ImplementaPon Time Logic Flaws > Call to ReadLine > Race CondiPon > Hidden Field
Improper Error Handling > Unspecified Error Page > JSP Defines Error Page > JSONRPC Security
Log Handling > UnsaniPzed Data Wrieen to Logs > Private User Data Logged
Cookie Security* >Overly Broad Paths > Insufficient Transport Layer ProtecPon > Session Management
Resource Handling > File Input Output > Hibernate Security > Resource Not Closed in Finally Block
*2013 OWASP Top 10の関連項目
*2013 OWASP Top 10の関連項目
テストケースカバレッジ:OWASP Top 10, CWE Top 25に対応。PCI DSSにも効果的。
開発成果物の価値が効率良く向上するサイクル 見つけるだけではなく、修正し、改善していく
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 7
1. Find risky coding and vulnerabiliPes earlier セキュリティ問題を潜在を早期発見
2. Fix & Prevent them リスクのあるコーディングを修正・未然に防ぐ
3. Improved educa6on and quality throughout SDLC 開発ライフサイクルを通してソフトウェア品質向上
関連サービスのコストイメージ
# Item Cost
ツール SecureAssist ケース:スターターパック 最小構成: 20 ID Rulepack Configurator Enterprise Portal ※ ID 数により単価は安くなります。
ケース-‐1. サブスクリプション購入
700k JPY (スターターパック/年)
ケース-‐2. パーペチュアル購入 1350k JPY
(スターターパック/保守:350k/年) ベーシック サポートオプション
初期導入支援(オンライン) ユーザーセミナー(2h程度) 管理者セミナー(2h程度) アクティベーション支援
300k JPYより
アドバンスド サポートオプション
(ベーシックサポートオプションを含む) ルール・ガイド・コンフィギュレーション支援 ユーザフォロー支援 システムアップデート支援
500k JPYより
SDLCトレーニング ・オンライン ・オンサイト
チーム全員向け:セキュリティ対策セット セキュリティリーダー育成セット セキュア設計・開発、モバイル開発 PCI DSS準拠トレーニング
ご相談
テストサービス Test As A Service (3D Unlimited) ご相談
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 8
SecureAssist 開発元 米Cigital社のご紹介
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 9
• 1992年に創業・世界最大級の、ソフトウェアセキュリティに特化したコンサルティング・サービス提供会社。
• 世界で最初の、静的コード解析の商用ツールを開発、主要な静的解析エンジンに採用。
• OWASP Global Supporter
Applica6on Security Tes6ng
Penetra6on Tes6ng
SoPware Security Strategy
Architecture Analysis
Secure Development Training
• Fortune 500も含む大手企業270社以上 • 金融機関の上位10社の内9社 • 米国銀行の上位20銀行の内16銀行 • ソフトウェアセキュリティ会社の上位3社 • 保険会社の上位3社 • 米国最大のゲーム会社 • テクノロジー会社の上位10社の内5社
Cigital社 CTO Gary McGraw氏
Gary McGraw, Ph.D.(ゲイリー・マグロー) -‐ Cigital, Inc. CTO
• セキュアな開発の方法論の第一人者
• “Building Secure SoPware and SoPware Security” (邦題:Building Secure So\wareーソフトウェアセキュリティについて開発者が知っているべきこと)などの著者
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 10
「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナーとしてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現する市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに長い期間目指してきたものです。」 -‐ Gary McGraw, Cigital, Inc. CTO
Cigitalとアスタリスク・リサーチのパートナーシップを発表(2015/4/30)
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 11
“Enabling Security for Developers” の実現に向けて
「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナーとしてCigitalを選択してくれたことをうれしく思います。優れたソフトウェアセキュリティを実現する市場を開発することは実社会においてまさに望まれていることであり、私たち両社がともに長い期間目指してきたものです」
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 12
Chief Technology Officer Gary McGraw(ゲイリー・マグロー)
代表取締役 岡田 良太郎
「この提携により、当社がこれまでお客様に提供してきたコンサルティングならびにトレーニングのサービス・ラインアップに、Cigital社のソリューションを加わることとなり、さらにより多くの開発チームに貢献できるようになります。これにより、当社のセキュリティ事業分野のミッションである “enabling security for developers”を実現し、ひいては安全かつ安定的に持続可能なインターネット社会の実現に貢献できればと考えています」
Thanks
• 導入のご相談、試用期間 30日のフル機能検証は無料です。 USAGE: – サービス提供者様、開発会社様へのご提供 – コンサルティング、教育プログラムとのコラボレーション – エンジニア評価、プロジェクト・プロダクト品質の可視化 – 開発・品質管理・運用チームの、共通指標の導入と推進
| Enabling Security for Developers | ©2015 Asterisk Research, Inc. 13
Cigital社チャネルパートナー アスタリスク・リサーチ
heps://www.asteriskresearch.com/download/