Comments
Description
Transcript
【体験学習ツールで学ぶ】 Webアプリの脆弱性対策
【体験学習ツールで学ぶ】 Webアプリの脆弱性対策 ~「AppGoat」で攻撃・対策の体験を~ 独立行政法人情報処理推進機構 (IPA) 技術本部 セキュリティセンター 2016年5月11日 目次 1. 脆弱性とは 近年の脆弱性の話題や種類について 2. AppGoatとは AppGoatの機能や利用イメージについて Copyright © 2016 独立行政法人情報処理推進機構 2 脆弱性とは 脆弱性ってなんだろう…? Copyright © 2016 独立行政法人情報処理推進機構 3 最近、 脆弱性という言葉を耳にしませんか? •昨年、Adobe Flash Playerのゼロデイの脆弱性が多数公開さ れ、話題になりました。他にも・・・ ○△セキュリティ ニュース 新聞から Copyright © 2016 独立行政法人情報処理推進機構 ウェブニュースから 4 脆弱性とは・・・ •OSやソフトウェアのセキュリティ上の欠陥 •家に例えると、 自宅に穴が開いている状態 •穴(脆弱性)があると・・・ 侵入者(攻撃者)によって家(PC・サーバ) に容易に入られてしまう状態となります Copyright © 2016 独立行政法人情報処理推進機構 5 脆弱性を取り巻く脅威・危険性 ~情報セキュリティ10大脅威2016~ 2015年において社会的影響が大きかったセキュリティ上の脅威について、 1位から10位に順位付けして解説した資料。 • 【3位】ランサムウェアを使った詐欺・恐喝 ・脆弱性を悪用してPC内のファイルを暗号化 • 【6位】ウェブサイトの改ざん ・脆弱性を悪用して改ざん • 【10位】脆弱性公開に伴う公知となる脆弱性の悪用増加 ・公開された脆弱性情報を基に攻撃 Copyright © 2016 独立行政法人情報処理推進機構 6 脆弱性の種別 ~ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート~ 脆弱性関連情報の取り扱いに関する活動や、届けられた脆弱性 の傾向について記載したレポート。 IPA・JPCERT/CC:ソフトウェア等の脆弱性関連情報に関する 届出状況[2016年第1四半期(1月~3月)] Copyright © 2016 独立行政法人情報処理推進機構 7 クロスサイト・スクリプティング(XSS)とは? XSSとは、スクリプトをサイトに送り込み、スクリプトを含む HTMLを出力し、ブラウザ上で実行させる攻撃 「開発者」が作り込みやすい脆弱性 Copyright © 2016 独立行政法人情報処理推進機構 8 SQLインジェクションとは? SQLとは、データベースを操作する為の問合せ言語 SQL Injection = SQLの注入 SQLインジェクションとは、外部から意図しないSQLを注入し、 不正にデータベースを操作する攻撃 「攻撃者」に狙われやすい脆弱性 Copyright © 2016 独立行政法人情報処理推進機構 9 まとめ(脆弱性とは) •脆弱性を放置すると自組織に重大な被害が 発生する危険性大。 「彼を知り己を知れば百戦殆うからず」 •脆弱性(彼)の仕組みを理解することで適切 な対応を行うことができるようになる。 Copyright © 2016 独立行政法人情報処理推進機構 10 AppGoatとは AppGoatの機能、 利用イメージを紹介します。 Copyright © 2016 独立行政法人情報処理推進機構 11 脆弱性体験学習ツールAppGoat 脆弱性の発見方法、対策について実習形式で体系的に学べる 開発者やシステム管理者向けの学習ツール 解説を読み、理解を深めながら学習を進めていく。 演習はヒントを見ながら進め、脆弱性の影響を体験。 補強したい学習テーマに絞って学習を進めていく。 ヒントなしで演習に挑戦。 総合演習に挑戦。 演習用ウェブアプリケーションの中から脆弱性を発見。 Copyright © 2016 独立行政法人情報処理推進機構 12 脆弱性体験学習ツールAppGoat •学習できる脆弱性 – ウェブアプリケーションに作り込まれやすい脆弱性 を中心としたテーマを用意 Copyright © 2016 独立行政法人情報処理推進機構 13 脆弱性体験学習ツールAppGoat •STEP.1 攻撃者の立場で脆弱性を悪用 •STEP.2 開発者の立場で脆弱性を対策 STEP.1 Copyright © 2016 独立行政法人情報処理推進機構 STEP.2 14 脆弱性体験学習ツールAppGoat •学習したい脆弱性を選択 一覧から学習したい 脆弱性を選択 Copyright © 2016 独立行政法人情報処理推進機構 15 脆弱性体験学習ツールAppGoat •脆弱性の概要を学習 STEP.1 図や文章で脆弱性の 概要を学習 Copyright © 2016 独立行政法人情報処理推進機構 16 脆弱性体験学習ツールAppGoat •攻撃者の立場で脆弱性を悪用 STEP.1 演習用のウェブ アプリケーション スクリプトタグ を投稿 Copyright © 2016 独立行政法人情報処理推進機構 17 脆弱性体験学習ツールAppGoat •攻撃による影響を学習 STEP.1 具体的な影響を学習 Copyright © 2016 独立行政法人情報処理推進機構 18 脆弱性体験学習ツールAppGoat •STEP.1 攻撃者の立場で脆弱性を攻撃 •STEP.2 開発者の立場で脆弱性を対策 STEP.1 Copyright © 2016 独立行政法人情報処理推進機構 STEP.2 19 脆弱性体験学習ツールAppGoat •対策方法を学習 STEP.2 図や文章で脆弱性の 対策方法を学習 Copyright © 2016 独立行政法人情報処理推進機構 20 脆弱性体験学習ツールAppGoat •開発者の立場で脆弱性を修正 STEP.2 ソースコード(PHP)を 実際に修正 Copyright © 2016 独立行政法人情報処理推進機構 21 脆弱性体験学習ツールAppGoat •解答例および修正例を確認 STEP.2 解答例を確認 Copyright © 2016 独立行政法人情報処理推進機構 22 脆弱性体験学習ツールAppGoat •自宅・学校・企業において脆弱性対策の 学習に活用ください。 スキルアップのための 自己学習に Copyright © 2016 独立行政法人情報処理推進機構 集合教育の講師 による脆弱性の実演 23 脆弱性体験学習ツールAppGoat https://www.ipa.go.jp/security/vuln/appgoat/ 詳しくは Copyright © 2016 独立行政法人情報処理推進機構 IPA AppGoat 検索 24 参考 IPAの情報セキュリティ試験の ご案内 Copyright © 2016 独立行政法人情報処理推進機構 25 新試験はじまる! 情報セキュリティマネジメント試験 情報セキュリティの基礎知識から管理能力まで、 組織の情報セキュリティ確保に貢献し、脅威から 継続的に組織を守るための基本的スキルを認定する試験 ◆受験をお勧めする方◆ ・個人情報を扱う全ての方 ・業務部門・管理部門で 情報管理を担当する全ての方 ◆28年度秋期試験実施時期◆ 初回応募者 約2万3千人!! Copyright © 2016 独立行政法人情報処理推進機構 ・実施日 2016年10月16日(日) ・申込受付 2016年7月11日(月)から 26 ITパスポート公式キャラクター 上峰亜衣(うえみねあい) 【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html 「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です。 27