OWASP Japan

OWASP Japanチャプターのホームページへようこそ。

OWASP - Open Web Application Security Project とは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。The OWASP Foundationは、NPO団体として全世界のOWASPの活動を支えています。

OWASP Japanチャプターは、首都圏のみならず、国内全域における、チャプター設立支援や、特にチャプターのない地域での普及啓発など全国でのセキュリティ啓発活動を行なっています。また、全国でお使いになれる成果物、すなわち各種翻訳プロジェクトなど、グローバルのOWASPコミュニティと連携しています。成果物は、政府・行政機関、教育機関、企業・団体などで活用いただいています。OWASP Japanには、どの地域にお住まいの方もご参加いただけます。

OWASP Japanに参加するには

  • OWASPが主催・参画するイベントに参加。3ヶ月程度の頻度でOWASP Night/Dayや関連イベントを開催しています。
  • SNS: twitter, facebookなどのSNSにもOWASP Japanアカウントがありますのでぜひからんでください。
  • 翻訳/日本語編集OWASPドキュメント日本語化作業Githubレポジトリ に参加。プルリクをお願いします。
  • 発信: 誰でも初めてのスピーチというものがあります。ぜひ経験を共有!イベントページ
  • 裏方: コミュニティ運営、イベント運営ボランティア。宣伝活動を他のイベントで行うこともあります。
  • わいわい: OWASP Slack、またOWASP Japan Slackへご参加いただいてお声がけくださればうれしいです。(招待しますのでメールアドレスをお教えください)

そして、NPO OWASP Foundationの会員制度

OWASPの各Projectやチャプターの活動はリーダーを含めすべて無報酬のボランティアにより成り立っています。これらはメンバーシップ会費やチャプターサポーターによるスポンサーなどのコントリビューションによって賄われています。

会員制度 OWASP.orgの、Membership

日本のローカル・スポンサーシップ

  • OWASP Japan チャプター支援として一口2000ドルのご寄付を受け付けています。これは、OWASP Foundationを通してスポンサーします。
  • ご関心のある方はリーダーまでお問い合わせください。

アカデミックサポーター制度 大学・教育機関

  • これには費用はかかりませんが、大学での授業への活用を推進することなどによる連携となります。
  • ご関心のある方はご相談ください。

イベント

OWASP Japanチャプターが主催/共催/協力するイベントを記載しています。

スピーカー募集(常時)

アプリケーション、システムのセキュリティ開発・運用にかかわる、経験、リサーチなどの話を共有するスピーチをしていただける方、短いスピーチでも歓迎です。もしスピーカーになることにご関心のある方、またそのような方をご存知の方は、お気軽に riotaro at owasp.org までお知らせください。モバイル、API、クラウド、開発運用、アジャイルでのセキュリティ実装なども歓迎です。

If you are willing to give a speech to share your experiences, research, or other stories related to the security development and operation of applications and systems, even a short speech is welcome. If you are interested in becoming a speaker, or know someone who is, please feel free to let us know at riotaro at owasp.org. Mobile, APIs, Clouds, DevOps, agile security implementation, etc. are also welcome.

OWASP FUKUSHIMA (Privacy x Security by Designを考える)

終了したイベント / Closed Event

WASNight 2021 Kick-off! (OWASP Night x WASForum = WASNight)

  • 2021-01-15
  • 18:30-20:00 OWASP Session
    • MC: 岡田良太郎・根岸征史
    • BUILDERS’: いまさら聞けないApache Guacamole 安田真悟(NICT)
    • BREAKERS’: 攻撃しながら考えるKubernetesセキュリティ 藤井秀行
    • OWASP Chapter leaders!
    • DEFENDERS’ TALK: 昨今のリスク情勢を理解する - そしてIRが涙して喜ぶこの実践ベスト3とは 中津留勇(セキュアワークス)・根岸征史(IIJ)・岡田良太郎
    • Hardening Session!!
  • registration doorkeeper.jp
  • registration meetup.com

Hardening 2020 H3DX (OWASP Japan supported Hardening Project)

Deep Digital Dependence Conference(OWASP Japan supported Hardening Project)

OWASP Chapters All Day - 世界をぐるっとリレープレゼン!(日本は日曜午前11時)

  • 2020-06-07
  • 場所: Online Youtube Live
  • Program:
    • Implementing CSIRT Based on Frameworks and Maturity Model/フレームワークと成熟度モデルに基づいたCSIRTの実装 伊藤彰嗣(@springmoon6)
    • How Our PSIRT Evolved/私たちのPSIRTはいかにして進化してきたか 大塚由里子(サイボウズ)
    • From OWASP Japan 岡田良太郎・上野宣(OWASP Japan) registration

オワスプナイト2020/02

  • 2020-02-05
  • 場所; Security Days内会場 D1-11
  • Program:
  • Web媒介型サイバー攻撃の観測プロジェクト WarpDrive 中嶋淳 (セキュアブレイン)
  • ReDoS 再訪: ReDoS とサイドチャネル攻撃によるデータリーク手法の検討 米内 貴志 (Flatt Security)
  • OWASP Project Updates 岡田良太郎・上野宣(OWASP Japan) registration

past infos were listed on the old OWASP wiki


脆弱性診断士スキルマッププロジェクト

特定非営利活動法人日本ネットワークセキュリティ協会日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同ワーキンググループである 「脆弱性診断士スキルマッププロジェクト (代表 上野宣)」では、脆弱性診断を行う個人の技術的な能力を具体的にすべく、脆弱性診断を行う技術者(以下、脆弱性診断士)のスキルマップと学習の指針となるシラバス、脆弱性診断を行うためのガイドライン、Webアプリケーションを安全に構築するために必要な要件定義書などを整備しています。

本ワーキンググループに関心のある方は Project leader: Sen UENO まで


Webシステム/Webアプリケーションセキュリティ要件書

Webシステム/Webアプリケーションセキュリティ要件書(以下、本ドキュメント)は、安全なWebアプリケーションの開発に必要なセキュリティ要件書です。発注者、開発者、テスト実施者、セキュリティ専門家、消費者が活用することで、以下のことを達成することを目的としています。

  • 開発会社・開発者に安全なWebシステム/Webアプリケーションを開発してもらうこと
  • 開発会社と発注者の瑕疵担保契約の責任分解点を明確にすること
  • 要求仕様やRFP(提案依頼書)として利用し、要件定義書に組み込むことができるセキュリティ要件として活用していただくこと

本ドキュメントがカバーする範囲

本ドキュメントではWebシステム/Webアプリケーションに関して一般的に盛り込むべきだと考えられるセキュリティ要件について記載しています。また、開発言語やフレームワークなどに依存することなくご利用いただけます。ただし、ネットワークやホストレベル、運用などに関するセキュリティ要件については記載していません。

対象とするWebシステム/Webアプリケーションは、インターネット・イントラネット問わず公開するシステムで、特定多数または不特定多数のユーザーが利用するシステムを想定しています。この中でも特に認証を必要とするシステムが、本ドキュメントの主なターゲットとなっています。

本ドキュメントは、セキュリティ要件としての利用しやすさを優先して記載しているため、一般的であろうというシステムを想定し、例外の記載を少なくしたセキュリティ要件となっています。そのため具体的な数値や対策を指定していることもありますが、要件定義書に記載する内容は開発者と折衝してください。

Download

Ver.3.1 (2021年3月リリース版)


ペネトレーションテストについて

コンピュータシステムに対して実施するセキュリティテストの1つとして「脆弱性診断」がよく知られています。「脆弱性診断」は本プロジェクトでも紹介しているような脆弱性を発見するためのセキュリティテストの手法です。

一方で最近は「ペネトレーションテスト」を採用する組織や、ペネトレーションテストサービスを提供する事業者(テストベンダー)が増えてきました。 ただ、現状では「ペネトレーションテスト」という名称に共通認識がなく、テストベンダーによっては「脆弱性診断」のことを「ペネトレーションテスト」と呼んでいることもあり、テストを採用する組織が目的に合ったサービスを見分けることが難しくなっています。

本ドキュメントは「ペネトレーションテスト」の位置づけを明確にし、セキュリティテストを活用する組織が実施目的に合うサービスを選択できることを目的としています。


Webアプリケーション脆弱性診断ガイドライン

Webアプリケーションの脆弱性診断は、自動診断ツールを使った脆弱性診断だけでは十分な診断結果が得られないと本プロジェクトでは考えており、そのため手動診断補助ツールを使った手動診断を併用することが望ましいとしています。しかし、手動診断は脆弱性診断士の経験やスキルによる診断能力の差違があります。そこで本プロジェクトでは、最低限必要な診断項目や手順を定義することで、一定レベルの手動診断による脆弱性診断を行うことができる「Webアプリケーション脆弱性診断ガイドライン」(以下、本ガイドライン)を作成し公開します。

本ガイドラインは「脆弱性診断士」における「脆弱性診断士(Webアプリケーション)」区分における「Silver」ランクで要求される内容としています。

Download

2018年5月18日リリース版


脆弱性診断士スキルマップ&シラバス

作成方針

スキルマップとシラバスの作成を下記の方針に基づいて行っています。

  • 脆弱性診断業務に必要な技術的な能力を対象とする
  • マネージメントスキルやコミュニケーションスキルは対象外とする
  • 脆弱性診断士に必要なスキルを明確化する
  • 特定の脆弱性診断ツールや環境に依存しないようにする
  • 現在必要だと考えられる技術水準を基に作成する
  • 脆弱性診断士が持つべきスキルの指標とするものであり、各社が提供する脆弱性診断サービスの品質については対象外とする

「脆弱性診断士」ランク

脆弱性診断士のランクを定義するにあたっては、脆弱性診断業務に従事する者が全員知っておくべき技能( Silver ランク)と、単独で診断業務を行うために必要な技能( Gold ランク)を定義した2つのランクに分けています。

Silver ランク

Gold ランクの者から指導を受けた上で診断サービスを提供する、もしくは、自社向けに脆弱性診断を実施するための必要スキルとして設定しています。

  • 対象者像
    • 自社のWebアプリケーション/システムの脆弱性診断(受入れ検査)を行う方
    • 脆弱性診断業務の従事を目指す方(学生など)
  • 業務と役割
    • Goldランクの者の指示の下、脆弱性診断を行う
    • 自社ITシステムの脆弱性診断を行う
  • 期待する技術水準
    • ITシステムを診断する上で(最低限)必要な技術や知識を保有

Gold ランク

業務としての脆弱性診断サービスを提供するチームにおいて、最低限1名以上メンバーに加えるべきスキルとして設定しています。

  • 対象者像
    • Webアプリケーション/システムの脆弱性診断(受入れ検査)を行う方
    • 脆弱性診断をサービスとして提供する業務に従事する方
  • 業務と役割
    • 脆弱性診断業務を管理し、診断方針の決定、作業指示の実施、診断結果の精査および評価を行うことができる
    • 脆弱性診断の報告書を作成し、技術的な説明ができる
  • 期待する技術水準
    • 脆弱性診断サービスを提供するのに必要十分な技術や知識を保有

脆弱性診断士(Webアプリケーション)スキルマップ&シラバス

Webアプリケーション/Webシステムに対する脆弱性診断を行う者が対象です。対象者像としては、Webアプリケーション/Webシステムの脆弱性診断を必要とする者、Webアプリケーション/Webシステムの開発者、運用者を想定しています。

Download

2018年5月18日リリース版

脆弱性診断士(プラットフォーム)スキルマップ&シラバス

システムのプラットフォーム部分に対する脆弱性診断を行う者が対象です。対象者像としては、システムのプラットフォーム部分の脆弱性診断を必要とする者、システムのプラットフォームの構築者、運用者を想定しています。

Download

2021年5月リリース版