SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

デブサミ・デブスト

講座

書籍

新着記事一覧を見る

連載記事

人気記事の執筆者

CodeZine編集部

渡部 拓也

岩瀬 義昌

笹田 仁

リルオッサ
イベント
イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

講演資料・動画まとめページ

Developers X Summit 2024 講演資料まとめ

Developers Summit 2024 KANSAI 講演関連資料まとめ

Developers Summit 2024 Summer 講演資料まとめ

Developers Boost 2024 講演資料まとめ

Developers Summit 2024 講演資料まとめ

Developers CAREER Boost 2023 講演資料・動画まとめ

CodeZine BOOKS(コードジン・ブックス)は、CodeZineの連載からカットアップした、開発現場の課題解決に役立つ書籍シリーズです。

書籍に関する記事を見る

OWASP Nightイベントレポート

OWASP Night 第19回イベントレポート:「セキュリティ要件と実装、どこまでやれば十分か」

OWASP Night 19th@サイボウズ


  • X ポスト
  • このエントリーをはてなブックマークに追加

 OWASP JapanはOWASP Nightというカジュアルなミーティングを3か月に一度の頻度で開催しており、10月19日に日本橋のサイボウズ社で19回目のOWASP Nightが開催されました。本記事では、OWASP Nightで発表があった4つのスピーチのレポートを通じて、OWASP Nightの魅力をお伝えいたします。

  • X ポスト
  • このエントリーをはてなブックマークに追加

はじめに

 先日の記事ではOWASPコミュニティ史上最高の成果物である、重要なインパクトのある10の脆弱性についてまとめた、「OWASP Top10」をご紹介いたしました。OWASPコミュニティは、OWASP Top10に代表されるような、「Webを確かなものに」することに役立つドキュメントを数多く発表しています。加えてOWASPコミュニティの魅力として欠かせないのは、OWASPの各チャプターで開催されているミーティングです。日本でも、これらのドキュメントに関する情報提供や、Webアプリケーションセキュリティに関する最新のトレンドを共有する場としてOWASP Nightというカジュアルなミーティングを2、3か月に1度のペースで、さまざまな企業さまから会場をご提供いただき開催してきました。

 直近では、10月19日に、OWASP Japan発足以来19回目のOWASP Nightを日本橋のサイボウズ社で開催しました。なお、当日の様子はYouTubeからもご確認いただけます。

OWASP Night 19thプログラム

 OWASP Night 19thのプログラムは以下のとおりで、4つのスピーチが提供されました。

OWASP Night 19thでの発表内容
順番 発表タイトル 発表者 所属
1. 要件定義書プロジェクト近況報告 上野 宣 OWASP Japan Chapter Leader
2. OWASP Global AppSec USA 2015報告 中野渡 敬教 OWASP Japan Advisory Board
3. IETFとOSSと私 菅野 哲 PKI48
4. OWASPプロジェクトを使ってみた 伊藤 彰嗣 サイボウズ

 OWASPコミュニティのドキュメントに関するスピーチにはじまり、OWASPコミュニティの国際カンファレンスのご紹介、標準化団体における活動の共有や、企業におけるOWASPコミュニティの成果物の活用事例の共有など、多岐ジャンルにわたるミーティングとなりました。また、クロージングセッションにおいて、Chapter Leaderの岡田さんからThe OWASP Foundationの年次報告書について紹介がありました。

 本記事では、今回のミーティングでのそれぞれのスピーチの内容について、ご紹介したいと思います。

図1:会場の様子。おしゃれなセミナールームをご提供いただきました。
図1:会場の様子。おしゃれなセミナールームをご提供いただきました。

Webアプリケーションセキュリティ要件書プロジェクト近況報告

発表概要

 上野さんからは、ミーティング当日にリリースされた「Webシステム/Webアプリケーションセキュリティ要件書 2.0」について紹介いただきました。なお、本要件書が公開されたことは、いくつかのWebメディアにおいても報道されていました。

図2:上野さんよりWebシステム/Webアプリケーションセキュリティ要件書をご紹介いただきました。
図2:上野さんよりWebシステム/Webアプリケーションセキュリティ要件書をご紹介いただきました。

Webシステム/Webアプリケーションセキュリティ要件書とは

 Webアプリケーションのセキュリティ要件は、アプリケーションごとに共通している点が多いことに着目して作られたものです。発注者、開発者、テスト実施者、セキュリティ専門家、消費者など幅広い立場の方にご活用いただくために、2009年に本要件書の1.0版がリリースされました。

 今回は大規模に改訂することを目的としてOWASP Japan内においてワーキンググループを発足、約1年の検討期間を経て2.0版に改訂し、有識者のレビューなどを経てこのたびの公開に至りました。

 この要件書には、Webシステム/Webアプリケーションにおいて一般的に盛り込むべきと考えられるセキュリティ要件について記載されており、開発言語やフレームワークに特に依存することなく活用できるよう考慮されています。ただし、ネットワークやホストレベル、運用に関するセキュリティ要件については本要件書のスコープには入っていません。

セキュリティ要件仕様項目

 本要件書では、大項目として以下の10の要求仕様項目が定められており、全部で37の小項目が定められています。なお要求仕様は、必須要件とあると望ましい要件に分けて記載されています。

  1. 認証
  2. 認可(アクセス制御)
  3. セッション管理
  4. パラメータ
  5. 出力処理
  6. HTTPS
  7. cookie
  8. 画面設計
  9. その他
  10. 提出物

改訂に伴う変更点

 1.0版からの大きな変更点として、特にパスワードに関する仕様への追加や変更が行われるなど、昨今のWebセキュリティの状況を踏まえたものに改訂されました。以下に例を示します。

  • 登録可能なパスワード文字列の長さの要件を最低8文字以上にすること、また登録可能なパスワード文字列の長さを127文字以上にすること。パスワードに使用可能な文字として大小英字、数字、記号が利用可能であること。
  • CSRF対策を、再認証を主な対策としないような記載に変更。
  • CSSを動的に生成しないこと。
  • SSL2.0/3.0を無効にすること。
  • cookieのHttpOnly属性を必須に変更、Domain属性を指定しないこと。
  • クリックジャッキング対策としてレスポンスヘッダーにX-Frame-Optionsを指定すること。
  • 管理者がアカウントの有効・無効を設定できること。
  • 重要な処理が行われたらログを記録すること。

 上野さんは、「本要件書はOWASPの成果物に関するライセンス標準にのっとり、クリエイティブコモンズライセンスが適用されており、自由に、商用でも利用できます。また、原文をGithubで公開したので、さらにご意見をお寄せいただきたいです」と本スポーチを締めくくりました。今後、最近リリースされたASVS3.0(後述)との対応や、他のOWASPプロジェクトとの連携が期待されます。

会員登録無料すると、続きをお読みいただけます

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

次のページ
OWASP Global AppSec USA 2015報告

NEXT

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
OWASP Nightイベントレポート連載記事一覧
この記事の著者

仲田 翔一(OWASP Japan)(ナカタ ショウイチ)

OWASP Japan Promotion Team Leaderであり、開発者とセキュリティに携わる者の間にある溝を埋めるための活動に尽力している。本業では主にITやセキュリティを中心としたコンサルティング業務に携わる。OWASPコミュニティとの関わりは、セキュリティエンジニア時代のOWASP勉強...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/9056 2015/12/07 19:15

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    ITエンジニア本大賞2025、投票締切直前! みんなで選んだ歴代の大賞本を振り返って一挙紹介 NEW
  2. 2
    「Svelte」でコンポーネントの表示・更新時に処理を実行できるライフサイクル関数の利用 NEW
  3. 3
    週5出社になった場合に約半数のITエンジニアは「転職する」と回答、ITエンジニア向け転職サービス「LAPRAS」が調査
  4. 4
    脱落者が出がちな社内イベントを継続させるには? ITエンジニアが技術力で支える健康推進プロジェクトに学ぶ NEW
  5. 5
    エンジニアの成長をブーストさせる! 2025年に向けて注目したいコミュニティ──技術・マネジメント・プロダクト開発まで
  6. 6
    2024年12月に開催される注目のITエンジニア向けカンファレンス5選
  7. 7
    日本在住の英語を話すソフトウェア開発者、年収の中央値は950万円に NEW
  8. 8
    生成AI×社内データで生産性はここまで上がる! 活用方法の分類と実現のポイントをデプロイ王子が解説 NEW
  9. 9
    【エンジニアのためのドキュメントライティング術】最低限知っておきたい、ドキュメントの重要性と書きはじめる前の準備
  10. 10
    クレディセゾンのDXを支えるバイモーダル戦略とは? 要となるコミュニケーション手法と共に解説 NEW
  1. 1
    VSCodeをドキュメント作成に活用――テキストエディタ、Markdownエディタの設定と拡張機能を解説
  2. 2
    Python 3.13の新機能、対話型インタプリタの機能強化や高速化などを解説
  3. 3
    高パフォーマンスなコードを書くために不可欠の知識、『なっとく! 並行処理プログラミング』発売
  4. 4
    今後生成AIとどう向き合うべきなのか? 現場のエンジニアと研究者が最新研究事例から語り合う
  5. 5
    Vue.js3.4~3.5の新機能をまとめて紹介! 新しいAPIやSSRの改善
  6. 6
    なぜバックエンド開発にRustを使うのか? その魅力はパフォーマンス、安全性、生産性の高さ
  7. 7
    2024年12月に開催される注目のITエンジニア向けカンファレンス5選
  8. 8
    PHPパッケージ管理ツール「Composer」の処理の仕組みを見てみよう!
  9. 9
    フリーランスエンジニアに求められる能力とは? ギークスが調査レポートを発表
  10. 10
    GitHub Copilotを使用して作成されたコード、機能性、可読性、信頼性、保守性、簡潔さが向上していることが明らかに

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    ITエンジニア本大賞2025、投票締切直前! みんなで選んだ歴代の大賞本を振り返って一挙紹介 NEW
  2. 2
    「Svelte」でコンポーネントの表示・更新時に処理を実行できるライフサイクル関数の利用 NEW
  3. 3
    週5出社になった場合に約半数のITエンジニアは「転職する」と回答、ITエンジニア向け転職サービス「LAPRAS」が調査
  4. 4
    脱落者が出がちな社内イベントを継続させるには? ITエンジニアが技術力で支える健康推進プロジェクトに学ぶ NEW
  5. 5
    エンジニアの成長をブーストさせる! 2025年に向けて注目したいコミュニティ──技術・マネジメント・プロダクト開発まで
  6. 6
    2024年12月に開催される注目のITエンジニア向けカンファレンス5選
  7. 7
    日本在住の英語を話すソフトウェア開発者、年収の中央値は950万円に NEW
  8. 8
    生成AI×社内データで生産性はここまで上がる! 活用方法の分類と実現のポイントをデプロイ王子が解説 NEW
  9. 9
    【エンジニアのためのドキュメントライティング術】最低限知っておきたい、ドキュメントの重要性と書きはじめる前の準備
  10. 10
    クレディセゾンのDXを支えるバイモーダル戦略とは? 要となるコミュニケーション手法と共に解説 NEW
  1. 1
    VSCodeをドキュメント作成に活用――テキストエディタ、Markdownエディタの設定と拡張機能を解説
  2. 2
    Python 3.13の新機能、対話型インタプリタの機能強化や高速化などを解説
  3. 3
    高パフォーマンスなコードを書くために不可欠の知識、『なっとく! 並行処理プログラミング』発売
  4. 4
    今後生成AIとどう向き合うべきなのか? 現場のエンジニアと研究者が最新研究事例から語り合う
  5. 5
    Vue.js3.4~3.5の新機能をまとめて紹介! 新しいAPIやSSRの改善
  6. 6
    なぜバックエンド開発にRustを使うのか? その魅力はパフォーマンス、安全性、生産性の高さ
  7. 7
    2024年12月に開催される注目のITエンジニア向けカンファレンス5選
  8. 8
    PHPパッケージ管理ツール「Composer」の処理の仕組みを見てみよう!
  9. 9
    フリーランスエンジニアに求められる能力とは? ギークスが調査レポートを発表
  10. 10
    GitHub Copilotを使用して作成されたコード、機能性、可読性、信頼性、保守性、簡潔さが向上していることが明らかに