OWASP Japan
OWASP Japanチャプターのホームページへようこそ。
OWASP - Open Web Application Security Project とは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。The OWASP Foundationは、NPO団体として全世界のOWASPの活動を支えています。
OWASP Japanチャプターは、首都圏のみならず、国内全域における、チャプター設立支援や、特にチャプターのない地域での普及啓発など全国でのセキュリティ啓発活動を行なっています。また、全国でお使いになれる成果物、すなわち各種翻訳プロジェクトなど、グローバルのOWASPコミュニティと連携しています。成果物は、政府・行政機関、教育機関、企業・団体などで活用いただいています。OWASP Japanには、どの地域にお住まいの方もご参加いただけます。
OWASP Japanに参加するには
- OWASP Japanが主催・参画するイベントに、どうぞご参加ください。
- twitter, facebookなどのSNSにもOWASP Japanアカウントがあります。
- ローカルチャプターミーティングとして、3ヶ月程度の頻度でOWASP Night/Dayや関連イベントを開催しています。
- 講演者派遣要請: 広くオープンな場での講演要請などに応じています(現在はリモートでの講演に応じる形となります)。
会員制度 / チャプタースポンサーシップ
OWASPの各Projectやチャプターの活動はリーダーを含めすべて無報酬のボランティアにより成り立っています。これらはメンバーシップ会費やチャプターサポーターによるスポンサーなどのコントリビューションによって賄われています。
会員制度 OWASP.orgの、Membershipのページをご覧ください。
- 個人: 年間50ドル(グローバル)、500ドル(ライフタイム)
- owasp.org メールアドレス付与
- 会員限定のニュース配信
- OWASPの組織の投票への参加
- ローカルミーティングへの優先入場を提供することもあります。
日本のローカル・スポンサー
- OWASP Japan チャプター支援として一口2000ドルのご寄付を受け付けています。これは、OWASP Foundationを通してスポンサーします。
- ご関心のある方はリーダーまでお問い合わせください。
アカデミックサポーター制度 大学・教育機関
- これには費用はかかりませんが、大学での授業への活用を推進することなどによる連携となります。
- ご関心のある方はリーダーまでお問い合わせください。
イベント
OWASP Japanチャプターが主催/共催/協力するイベントを記載しています。
[NEW] WASNight 2021 Kick-off! (OWASP Night x WASForum = WASNight)
- 2021-01-15 (maybe)
- 18:30-20:00 OWASP Session
- MC: 岡田良太郎・根岸征史
- BUILDERS’: いまさら聞けないApache Guacamole 安田真悟(NICT)
- BREAKERS’: 攻撃しながら考えるKubernetesセキュリティ 藤井秀行
- OWASP Chapter leaders!
- DEFENDERS’ TALK: 昨今のリスク情勢を理解する - そしてIRが涙して喜ぶこの実践ベスト3とは 中津留勇(セキュアワークス)・根岸征史(IIJ)・岡田良太郎
- Hardening Session!!
- registration doorkeeper.jp
- registration meetup.com
スピーカー募集(常時)
アプリケーション、システムのセキュリティ開発・運用にかかわる、経験、リサーチなどの話を共有するスピーチをしていただける方、短いスピーチでも歓迎です。もしスピーカーになることにご関心のある方、またそのような方をご存知の方は、お気軽に riotaro at owasp.org までお知らせください。モバイル、API、クラウド、開発運用、アジャイルでのセキュリティ実装なども歓迎です。
If you are willing to give a speech to share your experiences, research, or other stories related to the security development and operation of applications and systems, even a short speech is welcome. If you are interested in becoming a speaker, or know someone who is, please feel free to let us know at riotaro at owasp.org. Mobile, APIs, Clouds, DevOps, agile security implementation, etc. are also welcome.
終了したイベント / Closed Event
Hardening 2020 H3DX (OWASP Japan supported Hardening Project)
- 2020-11-13,14
- Application form
Deep Digital Dependence Conference(OWASP Japan supported Hardening Project)
- 2020-09-04, 05
- registration
OWASP Chapters All Day - 世界をぐるっとリレープレゼン!(日本は日曜午前11時)
- 2020-06-07
- 場所: Online Youtube Live
- Program:
- Implementing CSIRT Based on Frameworks and Maturity Model/フレームワークと成熟度モデルに基づいたCSIRTの実装 伊藤彰嗣(@springmoon6)
- How Our PSIRT Evolved/私たちのPSIRTはいかにして進化してきたか 大塚由里子(サイボウズ)
- From OWASP Japan 岡田良太郎・上野宣(OWASP Japan) registration
オワスプナイト2020/02
- 2020-02-05
- 場所; Security Days内会場 D1-11
- Program:
- Web媒介型サイバー攻撃の観測プロジェクト WarpDrive 中嶋淳 (セキュアブレイン)
- ReDoS 再訪: ReDoS とサイドチャネル攻撃によるデータリーク手法の検討 米内 貴志 (Flatt Security)
- OWASP Project Updates 岡田良太郎・上野宣(OWASP Japan) registration
past infos were listed on the old OWASP wiki
脆弱性診断士スキルマッププロジェクト
特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同ワーキンググループである 「脆弱性診断士スキルマッププロジェクト (代表 上野宣)」では、脆弱性診断を行う個人の技術的な能力を具体的にすべく、脆弱性診断を行う技術者(以下、脆弱性診断士)のスキルマップと学習の指針となるシラバス、脆弱性診断を行うためのガイドライン、Webアプリケーションを安全に構築するために必要な要件定義書などを整備しています。
本ワーキンググループに関心のある方は Project leader: Sen UENO まで
ペネトレーションテストについて
コンピュータシステムに対して実施するセキュリティテストの1つとして「脆弱性診断」がよく知られています。「脆弱性診断」は本プロジェクトでも紹介しているような脆弱性を発見するためのセキュリティテストの手法です。
一方で最近は「ペネトレーションテスト」を採用する組織や、ペネトレーションテストサービスを提供する事業者(テストベンダー)が増えてきました。 ただ、現状では「ペネトレーションテスト」という名称に共通認識がなく、テストベンダーによっては「脆弱性診断」のことを「ペネトレーションテスト」と呼んでいることもあり、テストを採用する組織が目的に合ったサービスを見分けることが難しくなっています。
本ドキュメントは「ペネトレーションテスト」の位置づけを明確にし、セキュリティテストを活用する組織が実施目的に合うサービスを選択できることを目的としています。
Webシステム/Webアプリケーションセキュリティ要件書
本ワーキンググループが公開する『Webシステム/Webアプリケーションセキュリティ要件書 』ドキュメントは、Webシステム/Webアプリケーションに関して一般的に盛り込むべきと考えられるセキュリティ要件について記載しています。また、開発言語やフレームワークなどに依存することなくご利用いただけます。ただし、ネットワークやホストレベル、運用などに関するセキュリティ要件については記載していません。
Ver.3.0からはチェックリストとして活用しやすい「Webシステム/Webアプリケーションセキュリティ要件書チェックリスト」も公開しています。
Download
2019年1月15日リリース版
- Webシステム/Webアプリケーションセキュリティ要件書 Ver.3.0(GitHub)
- Webシステム/Webアプリケーションセキュリティ要件書(WORD版)
- Webシステム/Webアプリケーションセキュリティ要件書(PDF版)
- Webシステム/Webアプリケーションセキュリティ要件書チェックリスト(EXCEL版)
- Webシステム/Webアプリケーションセキュリティ要件書チェックリスト(PDF版)
Webアプリケーション脆弱性診断ガイドライン
Webアプリケーションの脆弱性診断は、自動診断ツールを使った脆弱性診断だけでは十分な診断結果が得られないと本プロジェクトでは考えており、そのため手動診断補助ツールを使った手動診断を併用することが望ましいとしています。しかし、手動診断は脆弱性診断士の経験やスキルによる診断能力の差違があります。そこで本プロジェクトでは、最低限必要な診断項目や手順を定義することで、一定レベルの手動診断による脆弱性診断を行うことができる「Webアプリケーション脆弱性診断ガイドライン」(以下、本ガイドライン)を作成し公開します。
本ガイドラインは「脆弱性診断士」における「脆弱性診断士(Webアプリケーション)」区分における「Silver」ランクで要求される内容としています。
Download
2018年5月18日リリース版
- Webアプリケーション脆弱性診断ガイドライン(EXCEL版)
- Webアプリケーション脆弱性診断ガイドライン(PDF版)
- Webアプリケーション脆弱性診断ガイドラインについて
- Webアプリケーション脆弱性診断ガイドライン利用のためのドキュメント
- ガイドラインを使いこなすためのリンク集
脆弱性診断士スキルマップ&シラバス
作成方針
スキルマップとシラバスの作成を下記の方針に基づいて行っています。
- 脆弱性診断業務に必要な技術的な能力を対象とする
- マネージメントスキルやコミュニケーションスキルは対象外とする
- 脆弱性診断士に必要なスキルを明確化する
- 特定の脆弱性診断ツールや環境に依存しないようにする
- 現在必要だと考えられる技術水準を基に作成する
- 脆弱性診断士が持つべきスキルの指標とするものであり、各社が提供する脆弱性診断サービスの品質については対象外とする
「脆弱性診断士」ランク
脆弱性診断士のランクを定義するにあたっては、脆弱性診断業務に従事する者が全員知っておくべき技能( Silver ランク)と、単独で診断業務を行うために必要な技能( Gold ランク)を定義した2つのランクに分けています。
Silver ランク
Gold ランクの者から指導を受けた上で診断サービスを提供する、もしくは、自社向けに脆弱性診断を実施するための必要スキルとして設定しています。
- 対象者像
- 自社のWebアプリケーション/システムの脆弱性診断(受入れ検査)を行う方
- 脆弱性診断業務の従事を目指す方(学生など)
- 業務と役割
- Goldランクの者の指示の下、脆弱性診断を行う
- 自社ITシステムの脆弱性診断を行う
- 期待する技術水準
- ITシステムを診断する上で(最低限)必要な技術や知識を保有
Gold ランク
業務としての脆弱性診断サービスを提供するチームにおいて、最低限1名以上メンバーに加えるべきスキルとして設定しています。
- 対象者像
- Webアプリケーション/システムの脆弱性診断(受入れ検査)を行う方
- 脆弱性診断をサービスとして提供する業務に従事する方
- 業務と役割
- 脆弱性診断業務を管理し、診断方針の決定、作業指示の実施、診断結果の精査および評価を行うことができる
- 脆弱性診断の報告書を作成し、技術的な説明ができる
- 期待する技術水準
- 脆弱性診断サービスを提供するのに必要十分な技術や知識を保有
脆弱性診断士(Webアプリケーション)スキルマップ&シラバス
Webアプリケーション/Webシステムに対する脆弱性診断を行う者が対象です。対象者像としては、Webアプリケーション/Webシステムの脆弱性診断を必要とする者、Webアプリケーション/Webシステムの開発者、運用者を想定しています。
Download
2018年5月18日リリース版
脆弱性診断士(プラットフォーム)スキルマップ&シラバス
システムのプラットフォーム部分に対する脆弱性診断を行う者が対象です。対象者像としては、システムのプラットフォーム部分の脆弱性診断を必要とする者、システムのプラットフォームの構築者、運用者を想定しています。