特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同ワーキンググループである 「脆弱性診断士スキルマッププロジェクト (代表 上野宣)」では、脆弱性診断を行う個人の技術的な能力を具体的にすべく、脆弱性診断を行う技術者(以下、脆弱性診断士)のスキルマップと学習の指針となるシラバス、脆弱性診断を行うためのガイドライン、Webアプリケーションを安全に構築するために必要な要件定義書などを整備しています。
本ワーキンググループに関心のある方は Project leader: Sen UENO まで
- 脆弱性診断士倫理綱領
- Webシステム/Webアプリケーションセキュリティ要件書
- ペネトレーションテストについて
- 脆弱性情報開示のためのチートシート
- アジャイル開発におけるセキュリティ | パターン・ランゲージ
- Webアプリケーション脆弱性診断ガイドライン
- GraphQL 脆弱性診断ガイドライン
- 細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント
- 脆弱性トリアージガイドライン作成の手引き
- ASM導入検討を進めるためのガイダンス(基礎編)
- 脆弱性診断士スキルマップ&シラバス
脆弱性診断士スキルマッププロジェクトでは「脆弱性診断士倫理綱領」を制定し、脆弱性診断士の行動規範を示すこととしました。
Webシステム/Webアプリケーションセキュリティ要件書(以下、本ドキュメント)は、安全なWebアプリケーションの開発に必要なセキュリティ要件書です。発注者、開発者、テスト実施者、セキュリティ専門家、消費者が活用することで、以下のことを達成することを目的としています。
- 開発会社・開発者に安全なWebシステム/Webアプリケーションを開発してもらうこと
- 開発会社と発注者の瑕疵担保契約の責任分解点を明確にすること
- 要求仕様やRFP(提案依頼書)として利用し、要件定義書に組み込むことができるセキュリティ要件として活用していただくこと
コンピュータシステムに対して実施するセキュリティテストの1つとして「脆弱性診断」がよく知られています。「脆弱性診断」は本プロジェクトでも紹介しているような脆弱性を発見するためのセキュリティテストの手法です。
一方で最近は「ペネトレーションテスト」を採用する組織や、ペネトレーションテストサービスを提供する事業者(テストベンダー)が増えてきました。 ただ、現状では「ペネトレーションテスト」という名称に共通認識がなく、テストベンダーによっては「脆弱性診断」のことを「ペネトレーションテスト」と呼んでいることもあり、テストを採用する組織が目的に合ったサービスを見分けることが難しくなっています。
本ドキュメントは「ペネトレーションテスト」の位置づけを明確にし、セキュリティテストを活用する組織が実施目的に合うサービスを選択できることを目的としています。
本ドキュメントはVulnerability Disclosure - OWASP Cheat Sheet Seriesの日本語訳です。
セキュリティ研究者と組織の両方に脆弱性の公開プロセスに関するガイダンスを提供することを目的としています。
本ドキュメントは『アジャイル開発においてセキュリティをどのように担保するか』のヒントを過去の成功事例などを基にパターン・ランゲージを使って解説したものです。
ウォーターフォール開発では、要件定義のフェーズではセキュリティ要件があり、それに沿ったセキュアな設計や実装が行われ、脆弱性診断を行ってからリリースされます。しかし、アジャイル開発ではそれらのフェーズが明確でないこともあり、セキュリティを如何に担保するかということが疎かになることもあります。 本ドキュメントを活用して頂くことで、アジャイル開発のどの段階でどういった取り組みをすることでセキュリティを担保できるかといったヒントを得ることができます。
Webアプリケーションの脆弱性診断は、自動診断ツールを使った脆弱性診断だけでは十分な診断結果が得られないと本プロジェクトでは考えており、そのため手動診断補助ツールを使った手動診断を併用することが望ましいとしています。しかし、手動診断は脆弱性診断士の経験やスキルによる診断能力の差違があります。そこで本プロジェクトでは、最低限必要な診断項目や手順を定義することで、一定レベルの手動診断による脆弱性診断を行うことができる「Webアプリケーション脆弱性診断ガイドライン」(以下、本ガイドライン)を作成し公開します。
本ガイドラインは「脆弱性診断士」における「脆弱性診断士(Webアプリケーション)」区分における「Silver」ランクで要求される内容としています。
特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)「新技術に対する診断手法分科会」によって『GraphQL 脆弱性診断ガイドライン』を公開しました。
特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)「新技術に対する診断手法分科会」によって『GraphQL 脆弱性診断ガイドライン』を公開しました。 本ドキュメントは、クロスサイトスクリプティングやSQL Injectionなどの著名な脆弱性をあえてスコープから外し、TOCTOUやクラウドサービスにおける誤った実装・設定不備など、メンバーが思い思いの脆弱性について記載したドキュメントとなります。
本ドキュメントは「組織が脆弱性に適切に対応することを目的として、脆弱性診断を実施した際に提供された報告書に記載された脆弱性対応の優先順位付け(トリアージ)を行うために、その組織に適したトリアージガイドラインを作成するための手引き」です。
本ドキュメントは、「ASMを活用したい組織やその担当者が、関連する用語や活用方法を理解し、目的に沿ったサービスを選定することや、既存のドキュメント(様々な組織が作成したドキュメント)を読み解く上で助けとなる情報の提供」を目的としています。本プロジェクトに関して質問や要望、改善すべき点等ございましたら、リンク先GitHubのIssueにてご連絡いただけますと幸いです。
スキルマップとシラバスの作成を下記の方針に基づいて行っています。
- 脆弱性診断業務に必要な技術的な能力を対象とする
- マネージメントスキルやコミュニケーションスキルは対象外とする
- 脆弱性診断士に必要なスキルを明確化する
- 特定の脆弱性診断ツールや環境に依存しないようにする
- 現在必要だと考えられる技術水準を基に作成する
- 脆弱性診断士が持つべきスキルの指標とするものであり、各社が提供する脆弱性診断サービスの品質については対象外とする
脆弱性診断士のランクを定義するにあたっては、脆弱性診断業務に従事する者が全員知っておくべき技能( Silver ランク)と、単独で診断業務を行うために必要な技能( Gold ランク)を定義した2つのランクに分けています。
Gold ランクの者から指導を受けた上で診断サービスを提供する、もしくは、自社向けに脆弱性診断を実施するための必要スキルとして設定しています。
- 対象者像
- 自社のWebアプリケーション/システムの脆弱性診断(受入れ検査)を行う方
- 脆弱性診断業務の従事を目指す方(学生など)
- 業務と役割
- Goldランクの者の指示の下、脆弱性診断を行う
- 自社ITシステムの脆弱性診断を行う
- 期待する技術水準
- ITシステムを診断する上で(最低限)必要な技術や知識を保有
業務としての脆弱性診断サービスを提供するチームにおいて、最低限1名以上メンバーに加えるべきスキルとして設定しています。
- 対象者像
- Webアプリケーション/システムの脆弱性診断(受入れ検査)を行う方
- 脆弱性診断をサービスとして提供する業務に従事する方
- 業務と役割
- 脆弱性診断業務を管理し、診断方針の決定、作業指示の実施、診断結果の精査および評価を行うことができる
- 脆弱性診断の報告書を作成し、技術的な説明ができる
- 期待する技術水準
- 脆弱性診断サービスを提供するのに必要十分な技術や知識を保有
Webアプリケーション/Webシステムに対する脆弱性診断を行う者が対象です。対象者像としては、Webアプリケーション/Webシステムの脆弱性診断を必要とする者、Webアプリケーション/Webシステムの開発者、運用者を想定しています。
システムのプラットフォーム部分に対する脆弱性診断を行う者が対象です。対象者像としては、システムのプラットフォーム部分の脆弱性診断を必要とする者、システムのプラットフォームの構築者、運用者を想定しています。