リリース遅延などを考慮すると、開発初期からセキュリティ診断が必要。
セキュリティ診断ツールに求められること
- 導入の簡易さ
- 運用の簡易さ
- 効果的なセキュリティ診断
- 既存サイクルへの簡易な組み込み
OWASP
Open Web Application Security Projectの略。ウェブセキュリティの発展に貢献するオープンコミュニティ。日本でも非営利団体「OWASP Japan」が立ち上がり、共同研究を行っている。
- 非営利コミュニティ
- 3ヶ月に1度勉強会 オワスプナイト
- 日本語化が頻繁に行われている
OWASPは、開発工程でのセキュリティ対策を講じることを強く薦める。テスト工程や運用・保守でセキュリティ対策を講じるよりも、開発工程でセキュリティ対策したほうが93%の抑制が行える。
OWASPによるセキュリティ対策
OWASP Top 10
- インジェクション
- セッション管理の不備
- XSS
- 安全でないオブジェクト直接参照
- セキュリティ設定のミス
- 機密データの露出
- 機能レベルアクセス制御の欠落
- クロスサイトリクエストフォージュリ
- 基地の脆弱性を持つコンポーネントの使用
- 未検討のリダイレクトとフォーワード
OWASP ASVSは、最新のセキュリティ要件が知れる、使える
https://www.owasp.org/images/5/58/OWASP_ASVS_Version_2.pdf
OWASP ZAPは、実行ボタン1つで簡易なウェブ脆弱性テストが行えるソフト
http://www.lancork.net/2013/08/find-vulnerability-owasp-zap/