LoginSignup
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@rbrf7321(rbrf 7321)

CASA Tier2 セルフアセスメントをクリアした話

Last updated at Posted at 2023-06-08

背景

GoolgeAPIを使用するには、CASA Requirementsをクリアする必要がある。

弊社SaaSではGoolgeAPIを使用している為、毎年Googleの指定する認証をクリアしてきた。
2022年の10月15日からTier制度になったらしく、今回が初めてのセルフチェック。
加えて、認証期限まで1か月ほどのスケジュールで実施することになったので、かなりタイト。

ちなみに、私はIPAのセキュリティスペシャリスト資格を保有していますが、セキュリティアセスメントは初めて行う、名ばかりスペシャリストです。ネットワーク系の問題は試験にもたくさん出てましたが、ソフトウェア系はほとんど試験に出なかったので、初耳なことばかりで非常に勉強になりました。

CASA Frameworkとは

  • Tier2はセルフアセスメント
  • Tier3は指定の第三者機関によるアセスメント
  • Tier3が一番厳しい審査

CASA Requirements
https://lookerstudio.google.com/u/0/reporting/757d8fab-9682-4b74-9acc-58efb5e3081c/page/p_ana6axxq4c?s=s409T062qEA

CASA Tier2 のセルフアセスメントについて記載します

  • セルフアセスメントには2種類ある
    https://circleci.com/ja/blog/sast-vs-dast-when-to-use-them/
  • 目的が違うため、本来は両方行うべきだが、どちらかだけでもCASAの審査は通る。
  • fluid attacksはソースコードチェックの為、Githubとの連携が必要。
  • OWASP ZAPは稼働中のアプリ調査となる為、他の準備は不要。
  • 最終的にはCI/CDに組み込んでスキャンを自動化することが目標。
  • 今回は準備の手間の少ないOWASP ZAPを使用した。

OWASP ZAP の事前準備

  • OWASP ZAPのインストール
  • OWASP ZAPの使い方

    • OWASP ZAPを起動する
      2023-06-08_08h50_18.png

    • セッションの保持方法
      2023-06-08_08h50_44.png

    • OWASP ZAPのオプション設定
      2023-06-08_09h58_18.png
      2023-06-08_09h58_56.png

    • Firefoxのプロキシ設定
      2023-06-08_09h59_40.png
      2023-06-08_10h03_54.png
      2023-06-08_10h04_38.png

OWASP ZAPの使い方詳細

  • モードを標準モードにする
    2023-06-08_09h50_47.png

    • ブラウザマーク(Firefox)を押してブラウザを起動する
      2023-06-08_09h51_12.png

    • 検査対象のURLを入力します
      ※絶対に他社サイトを攻撃しないように!
      2023-06-08_09h51_48.png

    • 以下の画面が表示されるので、「Continue to your target」をクリック
      2023-06-08_09h54_29.png

    • OWASP ZAPに戻ると、「サイト」にURLが表示されるようになります。

    • モードをプロテクトモードに変更します。
      2023-06-08_10h13_57.png

    • 対象のURLを右クリックし、「コンテキストに含める」にします。

      • 既にコンテキストに設定を入れている場合は既存のものを選択してください。
        2023-06-08_10h16_30.png

    • 画面左上の◎ボタンをクリックすることで、コンテキストに含めたサイトだけが検査対象となります。
      2023-06-08_10h20_33.png

    • プロテクトモードであること、検査対象が限定されていることを確認してから「攻撃」-「動的スキャン」を実行します。
      2023-06-08_10h22_50.png

    • 検査が終わったら、レポートを作成します。別のURLが検査対象に入った場合でも、レポートする範囲をスコープで絞ることが可能です。
      2023-06-08_10h23_31.png
      2023-06-08_10h24_30.png

    • 「Templete」からXMLを選択して「Generate Report」を実行します。
      2023-06-08_10h25_49.png

以上が基本的な使い方の流れとなります。

OWASP ZAPの使い方で困ったところ、悩んだ点

  • 思うように結果をコントロールできない

    • プロテクトモードで対象を絞っていても他社サイトにも診断に行くところが不可解だった
    • 結果として、コンテキストに登録することとプロテクトモードにするだけではダメで、画面左上の◎ボタンを有効にすることが必要だった。プロテクトモードにしているのだから連動して欲しいところ。
      2023-06-08_10h20_33.png

  • 自社サイトに限定した後も、googletagmanagerが、CWE-829 Cross-Domain JavaScript Source File Inclusion にひっかかってしまう。

    • これは自社での対処方法が見つからず。
    • しかし、認証機関からは脆弱性が検出されない完全なレポートでないと認証できないとのこと。
    • 最終的にXMLファイルをテキスト編集して提出 → 認証完了となった。

最期にもやもやが残りましたが、次回以降に向けたノウハウを習得できました。
どなたかのお役に立てば幸いです。

3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?