セキュリティテストツール導入の検討

リリース遅延などを考慮すると、開発初期からセキュリティ診断が必要。

セキュリティ診断ツールに求められること

  • 導入の簡易さ
  • 運用の簡易さ
  • 効果的なセキュリティ診断
  • 既存サイクルへの簡易な組み込み


OWASP

Open Web Application Security Projectの略。ウェブセキュリティの発展に貢献するオープンコミュニティ。日本でも非営利団体「OWASP Japan」が立ち上がり、共同研究を行っている。

  • 非営利コミュニティ
  • 3ヶ月に1度勉強会 オワスプナイト
  • 日本語化が頻繁に行われている

OWASPは、開発工程でのセキュリティ対策を講じることを強く薦める。テスト工程や運用・保守でセキュリティ対策を講じるよりも、開発工程でセキュリティ対策したほうが93%の抑制が行える。


OWASPによるセキュリティ対策

OWASP Top 10

  • インジェクション
  • セッション管理の不備
  • XSS
  • 安全でないオブジェクト直接参照
  • セキュリティ設定のミス
  • 機密データの露出
  • 機能レベルアクセス制御の欠落
  • クロスサイトリクエストフォージュリ
  • 基地の脆弱性を持つコンポーネントの使用
  • 未検討のリダイレクトとフォーワード


OWASP ASVSは、最新のセキュリティ要件が知れる、使える

https://www.owasp.org/images/5/58/OWASP_ASVS_Version_2.pdf

OWASP ZAPは、実行ボタン1つで簡易なウェブ脆弱性テストが行えるソフト

http://www.lancork.net/2013/08/find-vulnerability-owasp-zap/


その他無料ツール

VADDY


PHPカンファレンス 2015より