セキュリティ標準 – yohgaki's blog

Computer, Development, Programming, Secure Coding

7PK – APIの乱用とは？

1月 23, 2019 7PK, セキュアコーディング概念, セキュリティ標準投稿者 yohgaki

7PKとは「Seven pernicious kingdoms: a taxonomy of software security errors」の略でソフトウェアセキュリティ領域の分類の一つです。CWEのビューのCWE-700としても利用されています。CWE-700となっているので、ISO 27000などのセキュリティ標準で要求される「セキュアコーディング」の基礎知識として知っておくべき分類方法／概念です。

入力バリデーションの次に重要な領域である「APIの乱用／誤用」を紹介します。

※ 入力バリデーションが第一番目である理由は、入力データの妥当性が保証されていなとプログラムは絶対に正しく動作しないからです。不正な入力で動作しているように見えても、誤った出鱈目な結果を返しているだけです。プログラムが脆弱性なく正しく動作する為には入力バリデーションが欠かせません。

Development, Programming, Secure Coding

7PK – セキュリティソフトウェア ≠ ソフトウェアセキュリティ

1月 21, 2019 7PK, セキュアコーディング概念, セキュリティ標準投稿者 yohgaki

CWE-700としても知られる7PK（7つの悪質な領域／王国）のIEEE Explorerの論文解説では、「セキュリティ機能（Security features）」はソフトウェアセキュリティではない、としています。

Software security isn’t security software. All the magic crypto fairy dust in the world won’t make your code secure, but it’s also true that you can drop the ball when it comes to essential security features.
ソフトウェアセキュリティはセキュリティソフトウェアではない。全ての魔法のような暗号などはあなたのソフトウェアを魔法の様に安全にはしない、不可欠なセキュリティ機能の場合では削除／省略することが不可能であることは事実だが。

暗号を例に「HTTPSがソフトウェアをセキュアにはしない」としています。これは暗号だけには留まりません。

※ 7PKとはソフトウェアセキュリティ全体を包括する7つの脆弱性分類を定義する論文です。実際には7つの領域＋1つ（環境）を定義しています。

Development, PHP Security, Programming, Secure Coding

開発者必修の7PKとは？

1月 7, 2019 7PK, セキュアコーディング論理, セキュリティ標準, 入力バリデーション投稿者 yohgaki

7PKという用語を聞いた事がある開発者も多いと思います。7PKは業界標準のソフトウェアセキュリティ分類です。まだの方はこれを機会に是非覚えてください。CERT Top 10 Secure Coding Practicesと同じく開発者全員に必修の用語と概念と言えます。何故なら、CERT Top 10 Secure Coding Practicesも7PKも知らないのならISO 27000(ISMS)、NIST SP800-171に対応するアプリケーションは作れないからです。

※ 7PKやCERTセキュアコーディング原則を知らなくても、セキュアなソフトウェアを作ることも可能かも知れません。しかし、それはかなり遠回りになるでしょう。

Development, PHP Security, Programming, Secure Coding

MITREがCWEを大幅更新〜セキュアコーディング対応を強化〜

1月 6, 2019 セキュアコーディング技術, セキュアコーディング論理, セキュリティ標準, 入力バリデーション, 未検証入力投稿者 yohgaki

CWEはセキュアなソフトウェア開発を行う開発者にとっては欠かせない情報源です。2019年1月3日にCWE (Common Weakness Enumeration – 共通脆弱性タイプ） 3.2が公開されました。大幅更新と言える内容になっています。

この更新を一言で言うと「セキュアコーディング対応の強化」でしょう。

Development, PHP Security, Programming, Secure Coding

CWE-20は知られているか？〜開発者必修のNo.1脆弱性のハズが知られていない〜

12月 21, 2018 セキュアコーディング, セキュリティ標準, 入力バリデーション, 未検証入力投稿者 yohgaki

CWE-20とは何か？と聞かれて即答できる開発者は多くないと思います。そもそもCWEとは何か？もあまり知られていないかも知れません。

実はCWE-20 不適切な入力バリデーション はソフトウェアセキュリティで最も重要な脆弱性とされています、CWEのみでなく情報セキュリティ標準的に情報セキュリティ関連法的にも。

※ CWE: Common Weakness Enumeration (共通脆弱性タイプ)

CWEは脆弱性識別子のCVEで有名なMITRE（米国でのIPAの様な組織）が管理するソフトウエア脆弱性パターンを列挙したドキュメント／データベースです。日本語名の通り、よくある共通のソフトウェア脆弱性を集めた物がCWEです。

Computer, Database, Development, PHP Security, Secure Coding

IPAは基礎的誤りを明示し、正しい原則を開発者に啓蒙すべき – その2

12月 12, 2018 SQLインジェクション, セキュアコーディング, セキュリティ標準, 入力バリデーション, 出力対策投稿者 yohgaki

IPAは”旧セキュアプログラミング講座は更新しない”とWebサイトに記載していましたが、次のブログで「IPAは旧セキュアプログラミングガイドの基礎的誤りを明示し、正しい原則を開発者に啓蒙すべき」と指摘したところ修正されたので第二弾です。

※ 2018年3月に指摘し、少なくとも秋頃には修正されていました。因みに現在セキュアプログラミング講座はCERTのセキュアコーディング習慣（原則）に則った科学的／エンジニアリング的に妥当な解説になっています。

IPAは基礎的誤りを明示し、正しい原則を開発者に啓蒙すべき

第一弾では「入力処理セキュリティ対策の解説が出力処理のセキュリティ対策の解説になっており、出鱈目である」と指摘しました。修正後のページは改善はされていますが、まだ入力処理と出力処理のセキュリティ対策とを一緒に説明している点はダメなままです。入力対策と出力対策は実施する場所が異ります。分けて説明すべきでしょう。CERT Top 10 Secure Coding PracticesもCWE/SANS Top 25 Monster MitigationもOWASP Secure Coding Quick Reference Guideも分けています。全て1番目が入力対策でが、IPAの旧セキュアプログラミング講座では入力対策の重要性が理解らないでしょう。

”入力対策”の解説としていた項目が”出力対策”の解説になっていたモノを無理矢理”入力・注入対策”にした、といった事情もあると思います。

しかし、なぜCERTがセキュアコーディング原則の第一番目としている入力対策が独立した項目ではないのでしょうか？OWASP TOP 10:2017を策定する際に「ほぼ全てのWebアプリが十分な入力対策を行っていない」と指摘されています。この現状に異論はないと思います。入力対策の不備がWebアプリにとって大きなリスクとなっています。これは今に始まったことではなく、昔からですが。入力対策解説の不備は第三弾としてブログを書くかも知れません。

今回はSQLインジェクション対策の問題点を指摘します。

Computer, Development, PHP Security, Programming, Secure Coding, Security

危険なコードを書くメカニズム

10月 22, 2018 アンチプラクティス, セキュアコーディング技術, セキュアコーディング論理, セキュリティ構造, セキュリティ標準, ベストプラクティス, リスク分析, リスク管理投稿者 yohgaki

世の中のソフトウェアには危険なコードが埋もれています。これがセキュリティ問題の原因になっています。なぜ危険なアプリケーションが書かれるのか？その仕組みを理解すると、対策が可能です。

Computer, PHP Security, Secure Coding, Security

セキュリティ対策の目的

10月 20, 2018 Secure Coding, セキュリティ標準, リスク分析, リスク管理投稿者 yohgaki

何度か同じテーマで書いているのですが改めて簡単にまとめます。

適切な「目的」でなかったり、間違った「目的」を設定してしまうと目的を達成が困難になります。目的の設定／定義は重要です。

Computer, Database, Development, PHP Security, Programming, Secure Coding, Security

リスク分析とリスク対応をしよう

10月 16, 2018 セキュアコーディング, セキュリティ標準, ゼロトラスト, フェイルセーフ, フェイルファースト, ベストプラクティス, リスク分析, リスク管理, 入力バリデーション, 出力対策, 未検証入力投稿者 yohgaki

情報セキュリティ対策 ≒ リスクの分析、対応と管理、としても構わないくらい情報セキュリティ対策にとってリスク分析は重要です。体系的にまとめられたセキュリティ対策ガイドラインなら、どれを見ても記載されています。

情報システムは「モノ」（物と人）、「ネットワーク」、「ソフトウェア」で出来ています。それぞれリスクを分析、対応、管理する必要があります。

当然、ソフトウェアのリスク分析も重要です。しかし、多くの場合は「脆弱性対策」という形でリスク分析をせずにいきなり対応する、といったショートカットが開発現場で日常的に行われています。目の前にある問題に直ぐ対応しなければならない！といった場合も多いので仕方ない側面もあります。

しかし、問題は開発工程の早い段階で対応すればするほど、少ないコストで対応できます。システム開発に関わる人なら誰でも認識している事です。できる限り早い段階で早く問題に対応する、は情報システム開発の要求仕様のみでなく、セキュリティ要求仕様にも当てはまります。

※ このブログの説明はWebシステムを前提にしています。STRIDE、DREAD、リスクマトリックスなどのリスク分析手法はISO 31000等を参照してください。このブログでは単純なアタックツリー形のリスク分析を紹介しています。

Computer, Development, PHP Security, Secure Coding, Security

究極のセキュリティ要求事項とは？

10月 14, 2018 セキュリティ標準, ゼロトラスト, フェイルセーフ, フェイルファースト, ベストプラクティス, リスク分析, リスク管理, 未検証入力投稿者 yohgaki

前のブログでリスク分析について書きました。リスク分析方法を書く前にセキュリティ要求について書きます。ISO 27000では6つのセキュリティ要素が情報セキュリティに必要であるとしています。

Confidentiality – 機密性
Integrity – 完全性
Availability – 可用性
Reliability – 信頼性
Authenticity – 真正性
Non-repudiation – 否認防止 (Accountability – 責任追跡性）

これらが基礎的な情報セキュリティの要求事項になります。以上です。

※ 2014年の改訂でセキュリティのCIAに信頼性、真正性、否認防止を加えたモノが情報セキュリティに必要な要素と定義されています。ISO 13335（古い情報セキュリティ標準）で定義していた要素に戻った形になりました。

これで終わってしまうと何の事なのか？究極の要求事項とは何なのか？となると思います。もう少し説明します。究極の要求事項を知って適用するだけ、でも大きな違いが生まれると思います。

Computer, Secure Coding, Security

データ検証をしない仕様には「脆弱性名」を付けた方が良いのでは？ – 未検証入力

9月 28, 2018 セキュアコーディング, セキュリティ標準, 未検証入力投稿者 yohgaki

危険な脆弱性であっても名前を付けないとなかなか認知してもらえない、といったことがよくあります。「データ検証をしないアプリ仕様」は危険で脆弱な仕様ですが、基本的な対策を実装しない危険性はあまり認知されてないと思います。例えば、とんでもないGDPR制裁金を支払うといったリスクが高くなります。

名前が必要なのかも知れません。

実は新しく考えなくても既にOWASPが名前を付けています。

Unvalidated Input （未検証入力）

OWASP TOP 10 A1:2004 Unvalidated Inputとして第一番目の脆弱性として挙げています。

2007年版から消えていますが、これはセキュアコーディングとの兼ね合いで省略したのだと思われます。「2007年版から消えているので脆弱性ではなくなったのだ」とする自分勝手な解釈の解説を目にしたことがありますが、その2007年版には「リストから消したが変わらず重要な対策で、本年度版の脆弱性対策の手法としても記載」とする解説が書かれています。

OWASPに対して失礼な誤解 – 入力バリデーションは重要なセキュリティ対策

標準的なセキュリティ対策の概念では「入力データ検証は非常に重要な脆弱性対策」です。

Computer, Development, PHP Security, Programming, Secure Coding, Security

なぜWebセキュリティはここまでダメなのか？

9月 14, 2018 セキュアコーディング, セキュリティ標準, フェイルセーフ, フェイルファースト, リスク管理, 入力バリデーション, 出力対策, 未検証入力投稿者 yohgaki

インターネット上に16億件の企業ユーザーのメールアドレスとパスワードが公開されている、とニュースになっています。ほとんどの漏洩元はこれらの企業ではなく、他の一般公開されているWebサービスなどのアカウント情報漏洩※だと考えられています。

この事例から、非常に多くのWebサービスが情報漏洩を伴うセキュリティ問題を抱えているにも関わらず、気がつくことさえも出来ていないという現状があると考えるべきでしょう。（もしくは気付いていても公開していない）

侵入されたことを検知／対応する技術の導入も重要ですが、ここではなぜWebセキュリティはここまでダメになっているのか？を考えます。

※ 情報漏洩にはベネッセのケースのように内部の人による持ち出しも含まれていますが、外部の攻撃者が盗んだ情報も少なくないと考えるべきでしょう。

Computer, Development, Programming, Security

OWASP TOP 10のセキュリティ対策

9月 7, 2018 セキュリティ標準, 入力バリデーション, 出力対策投稿者 yohgaki

できれば全体をよく読む方が良いのですが、まとめとして対策を一覧できるようブログにしました。引用は2017年版 OWASP TOP 10からです。

Computer, Development, PHP Security, Programming, Secure Coding

攻撃可能面（アタックサーフェス）の管理 – セキュリティの基本

8月 5, 2018 セキュアコーディング技術, セキュアコーディング論理, セキュリティ構造, セキュリティ標準, フェイルセーフ, ベストプラクティス, リスク分析, リスク管理投稿者 yohgaki

Attack Surface （攻撃可能面=攻撃可能な箇所）の管理はセキュリティ対策の基本中の基本です。あまりに基本すぎてあまり語られていないように思います。

攻撃可能面を管理するには先ず攻撃可能な箇所がどこにあるのか分析（＝リスク分析）します。その上でできる限り攻撃可能な箇所を削減（＝リスク削減）します。攻撃可能面の分析と管理とはリスク分析と管理です。セキュリティ対策そのものと言える、基本的な管理です。

Attack Surface (攻撃可能面)

The attack surface of a software environment is the sum of the different points (the “attack vectors“) where an unauthorized user (the “attacker”) can try to enter data to or extract data from an environment.^[1]^[2] Keeping the attack surface as small as possible is a basic security measure.
出典：Wikipedia

日本語訳すると以下のようになります。

ソフトウェア環境における攻撃可能面は不正なユーザー（攻撃者）がデータを攻撃対象に入力または取り出し可能な様々箇所（アタックベクター）の集合である。攻撃可能面を可能な限り小さくするのは基本的なセキュリティ対策である。

タグ: セキュリティ標準