Webアプリケーション セキュリティ対策は 難しい?
http://webappsec.sakura.ne.jp/modules/wfdownloads/singlefile.php?cid=3&lid=9
セキュメロの資料を公開した。まあ、ツッコミはいろいろあると思いますが、受けます
セキュリティ教育と安全なWebサイト開発方法論 〜効果的なセキュリティ教育実施と安全なWebサイト開発の方法を探る〜
http://www.mbsd.jp/event/detail125-desc.html
に行ってきたので、簡単なメモ
楽天のインターネットセキュリティの取り組み
- 楽天におけるインターネットセキュリティの考え方
- 取り組み
- 組織
- 開発プロセス
- セキュリティ教育を実施した後、要件定義→セキュリティレビュー→開発→QA→監査
- PDCAサイクルを回している
- セキュリティ教育を徹底している
- 開発エンジニア全員に教育している
- 案件によって、設計段階でレビューする
- 前工程(要件定義、設計)で仕様上の問題をつぶしている
- 外部委託する際にはセキュリティ要件を必ず入れている
- さすがにどんなものかは教えてくれない
- QAを現場でツールを使って行っている
- 最後にツールで漏れるものについては専門家がチェックしている
- 運用
- 楽天の特徴
- 専門家が対策(開発標準?)を効率化している
- 特別なことをやっているわけではない
- 当たり前のことを当たり前に高いレベルでやっている
- プロアクティブ・セキュリティSDL
- 監査した結果、問題があればプロセス(手順、作業(実装?)、要件)改善を行っている
- 前工程で対策のメリット
- SDLの考え
- 自社開発のため、セキュリティ教育の効果は高い
- 前工程で対策しても、安全確認は手を抜けない
- QA,監査は重要と考えている
- 本質的にアプローチしていくことが重要
- WAFは使わない
- コードを直す方が安い
- 障害ポイントが増える
- WAFは使わない
- プロセス改善を繰り返すことで、セキュアなプロダクト開発を成長させる
- セキュリティ教育がSDLの基本
→再監査費用が2割減(多分余分な修正コストも)
Webサイトセキュリティの最新事情 2009
よく覚えてないwというか会社に置いてきた資料にメモってたw
- 繰り返し検査することで、発見される脆弱性も減ってくる
- 教育を行っている組織では脆弱性も少ない
- 検査して一番発見される脆弱性はXSS、SQLインジェクションはそれほど多くない
ディスカッション
感想
SDLを導入するのに抵抗がなかったことというのが大きいと思う(あ、メモってないw)。経営者だけでなく開発者一人一人にセキュリティ対策が必要という意識が最初からあったのは普通の企業じゃ無理だろうな。開発者にめんどくさい、難しいと思われたら、どんなすばらしい開発規約を作っても、守られないだろうし。
他の会社じゃこうはうまくいかないだろう。多くの開発者にはやはり、セキュリティ対策は難しい、めんどくさいという感じだろうし・・・
後は、「根本的な対策」という言葉が何度も出てきたなぁ。いろいろ脆弱性はあるけど、根本的なことは同じだからねぇ。
しかし、セキュリティに苦手意識がある人をどうすりゃいいかが、今後の問題だろうなぁ。