Trailheadモジュール「Application Security Engineer Responsibilities」覚え書き
本記事は、Trailheadモジュール「Application Security Engineer Responsibilities」の覚え書き、気づきの整理です。
アプリケーションセキュリティエンジニアの責務の話。 どうやってアプリケーションを保護するかが記載されています。
Use a Secure Development Lifecycle
- アプリケーションセキュリティエンジニアは開発サイクルのどのステップでも重要な役割を担う。
- 2つの顕著な簡単に悪用可能なアプリケーションセキュリティリスク:インジェクションとクロスサイトスクリプティング(XSS)
- XSSに対する脆弱性は、すべてのアプリケーションの3分の2で発見されたと推定されている。
Properly Configure Components
- セキュリティの誤設定:オペレーティングシステム、コーディングフレームワーク、ライブラリ、アプリケーションの安全な設定、パッチ適用、アップグレードの失敗が含まれる。
- アプリケーションセキュリティエンジニアの仕事:開発チームと協力してアプリケーションコンポーネントの設定を調整し、適切かつ安全に機能させること。
Secure Applications with Authentication and Access Controls
- アプリケーションセキュリティエンジニアの役割:アプリケーションの承認、ログイン、ユーザーのアクセス許可の管理
- 認証の破損:攻撃者がアカウントへの不正アクセスを取得しシステムを侵害したとき
- アクセス制御の破損:攻撃者は権限のある機能を使用してレコードにアクセス、変更、削除する他の人のアカウントを表示または編集したり、管理者として行動する
- クレデンシャルスタッフィング攻撃:インターネット上に流出したIDとパスワードの組み合わせを使って、他のWebサイトへのログインを自動的に試みる攻撃手法のこと
Protect Sensitive Application Data from Exposure
- アプリケーションセキュリティエンジニアの役割:データ共有のセキュリティ保護(電子メールの送信など)、秘密の保護(パスワードなど)、暗号化ストレージの保護(サーバー上のデータなど)
- 暗号化の実装はサーバのストレージレベルで実施。
- 機密データの漏洩を心配する必要がある。
Detect Application Intrusions
- ロギング:
- アプリケーションセキュリティエンジニアの役割:ログと監視をインシデント対応機能と統合して、アナリストが異常な活動を発見した場合に組織が迅速に対応できるようにする。
- アプリケーションセキュリティエンジニアの役割:敵対的なテストを使用して、サイバー脅威活動に耐えるアプリケーションの能力を評価する
- 敵対的テスト(Adversarial Testing)のタイプ:侵入テスト(組織内の別のセキュリティ専門家グループまたは第三者が実行)とバグ報償金?
アプリケーションセキュリティエンジニア、いろいろ役割があって大変ですね〜(他人事