Introduction

細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント #

始めに #

本書は、ISOG-J WG1の新技術に対する診断手法分科会によってまとめられたさまざまな技術に関する脆弱性診断手法ドキュメントです。

クロスサイトスクリプティングやSQL Injectionなどの著名な脆弱性は診断手法や対策なども浸透し、日本語で読める良質なドキュメントが複数あります。

本ドキュメントでは、これらの脆弱性ではなく、一般に診断が困難であったり特有の確認方法が必要となるような脆弱性についてターゲットを絞って記載しています。 脆弱性診断員はもとより開発者の方々も、本ドキュメントを参考に、自身のアプリケーションに脆弱性が紛れ込んでいないか確認していただければ幸いです。

執筆者一覧 (敬称略、順不同) #

  • 三井物産セキュアディレクション株式会社 廣田 一貴
  • 三井物産セキュアディレクション株式会社 山本 健太
  • 三井物産セキュアディレクション株式会社 洲崎 俊
  • 株式会社セキュアスカイ・テクノロジー 岩間 湧
  • 株式会社セキュアスカイ・テクノロジー 秋本 悠一朗
  • 株式会社セキュアスカイ・テクノロジー 中野 智夫
  • LINE株式会社 林 義徳
  • サイボウズ株式会社 大塚 純平
  • 富士通株式会社 下川 善久
  • 株式会社Flatt Security 齋藤 徳秀

本プロジェクトに関わる組織について #

NPO日本ネットワークセキュリティ協会(JNSA)について #

NPO日本ネットワークセキュリティ協会は、ネットワーク・セキュリティ製品を提供しているベンダー、システムインテグレータ、インターネットプロバイダ等ネットワークセキュリティシステムに携わるベンダーが結集し、ネットワーク社会の情報セキュリティレベルの維持・向上および日本における情報セキュリティ意識の啓発に努めるとともに、最新の情報セキュリティ技術および情報セキュリティへの脅威に関する情報提供等を行うことで、情報化社会へ貢献することを目的としています。

http://www.jnsa.org/

日本セキュリティオペレーション事業者協議会(ISOG-J)について #

日本セキュリティオペレーション事業者協議会(Information Security Operation providers Group Japan 略称: ISOG-J)は、セキュリティオペレーション技術向上、オペレータ人材育成および関係する組織・団体間の連携を推進することによって、セキュリティオペレーションサービスの普及とサービスレベルの向上を促し、安全で安心して利用できるIT環境実現に寄与することを目的として設立されました。

http://isog-j.org/

NewTech WGについて #

本書はISOG-J WG1 の新技術に対する診断手法分科会によって執筆されました。 本グループでは、比較的新しい技術に関して調査・研究しています。

XSSやSQLインジェクション等の脆弱性はすでに診断ツールが対応しているものの、たとえばGraphQLやWASM等に固有の脆弱性については、まだ各社内で確立されたツールや手法がない技術もあります。 これらの領域に関して、一般的に普及している技術について調査し、必要があればツールそのものを実装することで、診断手法を確立・ドキュメント化します。

分野によっては、こういった領域に関して親和性の高い学生も交えて、産学連携して進める予定です。

本プロジェクトに関するお問い合わせ先 #

本プロジェクトに関して質問や要望、改善すべき点や感想等ございましたら、本GitHubのIssueにてご連絡いただけますと幸いです。