明日話せるセキュリティネタ会 #5

EPISODE #5 アプリケーション セキュリティ ― 3テーマで広く浅く ― 2026-06-28 (日) 20:30〜 Quatrex × かーでぃ #明日話せるセキュリティネタ会

今日のテーマ 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 2026-06-28 | Quatrex × かーでぃ 本日の内容は Quatrex の独断と偏見と妄想でお送りします。 業務上知り得た情報は含みません。資格・標準の解釈は所属組織の見解とは無関係です。 01 02 03 脆弱性の地図 OWASP Top 10 と ASVS を 8カテゴリに圧縮してみた OSS で自前検証 専門診断は時間と金がかかる OSSで先回りできる範囲を表に Mythos 時代の脆弱性洪水 Claude Mythos が世界を変えた 追いつかない側の処方箋 MAP OSS FLOOD 60分・3テーマ・広く浅く。深掘りは次回以降の宿題に。 2

脆弱性、数も種類も多すぎ 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 1,400+ CWE (脆弱性の パターン分類) 48,448 2025年 1年間で 公開された CVE 全部やろうとすると詰む REALITY 守備範囲が広すぎる 用語が乱立してる 流行り廃りもある そして新規CVEは毎日100件降ってくる 2026-06-28 | Quatrex × かーでぃ 10+ OWASP ファミリー (Top10/ASVS/SAMM/…) ∞ 独自実装ミスの バリエーション だから「地図」がいる MAP カテゴリで覚えて、症状で当てる カテゴリ = 守る場所 (アプリの構造) 症状 = 攻撃名 (相手の手口) 両方そろえば穴が見つかる 「OWASP Top 10 全部覚える」より、8カテゴリの地図を1枚持ち歩くほうが楽。 3

明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 2026-06-28 | Quatrex × かーでぃ アプリ脆弱性の地図 PART 1 A MAP OF APP-LAYER VULNS 4

OWASP って何? 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 正体 NPO Open Worldwide Application Security Project 世界の有志が ボランティアで運営する 非営利団体 アプリセキュリティの 世界共通言語を作っている 代表プロジェクト PROJECTS Top 10 — 流行りの脆弱性 TOP10 ASVS — 検証標準 14カテゴリ SAMM — 組織成熟度モデル Cheat Sheets — 実装ガイド集 ZAP — OSS DAST ツール API Top 10 — API 専用 LLM Top 10 — AI アプリ専用 2026-06-28 | Quatrex × かーでぃ 現場での扱われ方 DE-FACTO 国内外の業界デファクト 提案書・契約書・診断レポー ト 全部に出てくる 「OWASP に準拠」が 受発注の共通語に 知らないと話が進まない 毎回 OWASP の正式名称を忘れるけど、今回はちゃんと書いた。 5

OWASP Top 10 は便利、でも "症状リスト" 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 2026-06-28 | Quatrex × かーでぃ Top 10 = 症状リスト ASVS = 予防カテゴリ 僕の考えた最強の地図 「いま流行ってる失敗 TOP 10」 として読むには優秀 ただし並列に10個並ぶので、 網羅性をチェックしにくい A01 / A02 / A03 … は 重要度順 ≠ 分類 14カテゴリで「どこに気を配る か」を 構造化した検証標準 設計・実装・運用すべてを カバーする粒度 ただし14個は多い → 現場で 覚えるには重い ASVS の14カテゴリを 8カテゴリに圧縮 「アプリのどこで守るか」が 1枚で見える地図にする OWASP Top 10 の項目とも 1対1で対応する SYMPTOM PREVENTIVE QUATREX Top 10 で症状を覚え、ASVS / 8カテゴリで漏れをチェックする — の二刀流。 6

8カテゴリ × 攻撃名 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 2026-06-28 | Quatrex × かーでぃ # カテゴリ 代表的な攻撃 / 失敗 OWASP Top 10 ASVS 1 2 3 4 5 6 7 8 入力検証 認証 認可・アクセス制御 セッション管理 データ保護・暗号 設定・構成 依存・サプライチェーン ロギング・ロジック SQLi / XSS / コマンドインジェクション / SSRF パスワードスプレー / クレデンシャルスタッフィング / AITM IDOR / BOLA / BFLA / 権限昇格 CSRF / セッション固定 / ハイジャック 平文保存 / 弱い暗号 / TLS不備 / 鍵漏洩 デフォルト設定 / ヘッダ不備 / 公開バケット 既知CVE / typosquatting / polyfill.io汚染 ログ不在 / 監視不在 / ロジック悪用 A03 A07 A01 A07 A02 A05 A06 A09 A04 V5 V2 V4 V3 V6 V8 V9 V14 V10 V7 V11 攻撃名を聞いたら「何番のカテゴリ?」を即答できれば、もう一人前。 7

明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 2026-06-28 | Quatrex × かーでぃ OSS で自前検証 PART 2 SHIFT-LEFT WITHOUT THE INVOICE 8

専門の脆弱性診断 ― 便利だけど時間と金がかかる 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 専門診断のいいところ PRO 連鎖攻撃の発見 ビジネスロジック欠陥の指摘 第三者視点の信頼性 総合判定としての価値 専門診断の苦しいところ CON 契約から実施まで◯ヵ月 1回◯◯◯万円 指摘が出てから修正・再診で さらに◯週間 リリース直前に間に合わない 2026-06-28 | Quatrex × かーでぃ じゃあ、自前は? OSS OSSで6割カバーできる範囲が ある 既知CVE → SCA 典型脆弱性 → SAST/DAST 秘密漏れ → Secret Scan 低コスト・タイムリー・CIに 乗る 「専門診断の前に、OSSで潰せるものは潰しておく」 ─ という運用が広まってきた。 9

OSS セキュリティツール総覧 (アプリ層) 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 種別 SAST DAST SCA コンテナ / IaC シークレット検出 何を見るか ソースコード静的解析 実行中アプリに攻撃して検出 依存ライブラリの既知CVE Dockerfile・Terraform 設定 コミットに混入した秘密 2026-06-28 | Quatrex × かーでぃ OSS 定番 Semgrep / CodeQL / Bandit / ESLint security OWASP ZAP / Nuclei / Nikto Trivy / Grype+Syft / Dependency-Check / Dependabot Trivy / Checkov / tfsec / Hadolint GitLeaks / TruffleHog / detect-secrets 今回のスコープ 補足: インフラ層は別枠 アプリ層の脆弱性を狙うOSS コード・依存・実行アプリの 3視点をカバーするものに絞る ネットワークスキャン (Nmap)、 脆弱性スキャナ (OpenVAS)、 クラウド設定監査 (Prowler) などは 今日は外す (別回で扱う) SCOPE OUT OF SCOPE 10

僕の考えた最強の OSS 4本セット 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 2026-06-28 | Quatrex × かーでぃ Semgrep Trivy GitLeaks OWASP ZAP ソースコード静的解析 PRごとにコミット差 分を検査 OSSルールが豊富、 カスタムルールも書き やすい 依存CVE + IaC + Dockerfile を 1個でカバーする万能 選手 Aqua Security 製、 コンテナスキャンの定 番 コミットに紛れた 秘密情報の検出 pre-commit フック にも組める リーク事故の最終防衛 線 実行中アプリへの自動 攻撃 ステージング環境に週 次で baseline scan OWASP 公式の DAST 定番 SAST 低コスト 4本ぜんぶ OSS / 無料 SCA+IaC+CONTAINER SECRET タイムリー PR ごと / コミットごとに走る DAST CI に乗る 全部 GitHub Actions で動く 11

カバレッジ ― 8カテゴリ × OSS 4本 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ # 1 2 3 4 5 6 7a 7b 8 カテゴリ 入力検証 認証 認可 セッション データ保護 設定・構成 依存 (パッケージ管理) 依存 (HTML直書き / CDN) ロギング・ロジック 2026-06-28 | Quatrex × かーでぃ Semgrep Trivy GitLeaks ZAP 残り (専門診断領域) ◎ △ △ △ ◯ △ − − △ − − − − △ ◎ ◎ △ − − − − − ◎ − − − − ◎ ◯ △ ◎ ◯ ◯ − △ △ 連鎖型・難読化 復旧フロー悪用 BOLA網羅・ロール依存 設計欠陥 鍵運用・HSM 監査 本番固有設定 Reachability 判定 Retire.js 等で補完 ビジネスロジック OSS 4本で 6割カバー ― 認可・ロジック・運用監査の3つは専門診断で埋める。 12

明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 2026-06-28 | Quatrex × かーでぃ Mythos 時代の 脆弱性洪水 PART 3 WHEN AI FINDS BUGS FASTER THAN HUMANS PATCH 13

Claude Mythos ― AI が世界を変えた瞬間 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 2026-06-28 | Quatrex × かーでぃ 何者か 何をやったか 何が違うのか Anthropic の最新汎用AIモデル (2026年公開) セキュリティ専用じゃなく、 コーディング・推論能力の延長 で 脆弱性発見能力を獲得 全主要OS・全主要ブラウザに対 し 1万件超の未公開脆弱性を発見 OpenBSD の27年眠ってたバグ を 発見 (#3 で言ってたやつ) 個別では小粒な脆弱性を 3〜4個チェーンさせて 深刻な攻撃に組み上げる 従来のファジングが届かない 論理連鎖を AI が発見 MODEL 10,000+ CHAIN 「汎用AIが副産物として持った能力」 — 従来の脆弱性発見ツールとは別物。 14

Mythos のヤバいエピソード3つ 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 2026-06-28 | Quatrex × かーでぃ 01 サンドボックス脱出 02 Project Glasswing 03 米政府が再展開承認 内部安全テスト中、 早期バージョンが 管理サンドボックスを脱出 勝手にインターネット接続、 研究者にメールで「成功しまし た」と報告 依頼してないのに 一般公開せず、 選別された機関に限定配布 防御目的のみ・パートナー契約 必須 OSS や API 経由では使えない 配信前日!! 米国政府が Claude Mythos 5 の 重要インフラ機関への再展開を 正式承認 Anthropic が即座に アクセス復旧へ動いている ESCAPE CONTAINED 2026-06-27 非公開にした理由 (と言われているもの) ─ ① 攻撃者の手に渡れば 0day 製造機になる / ② サン ドボックス脱出の前例で制御困難 / ③ 重要インフラへの想定外の波及リスク 15

過去6年のCVE件数推移 ― 構造変化が見える 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 2026-06-28 | Quatrex × かーでぃ CVE 公開件数 (NVD ベース) 2020 ███████████ 18,323 2021 ████████████ 20,153 2022 ███████████████ 25,084 2023 █████████████████ 29,066 2024 ████████████████████████ 40,313 2025 ████████████████████████████ 48,448 2026 ████████████████████████████████ ~60,000 ← 見込み (Mythos効果含む) ↑ Mythos プレビュー公開 (2026/05) 以降、 OSS への波及が加速中 +10% 2020 → 2021 +39% 2023 → 2024 +20% 2024 → 2025 x3.3 2020 → 2026 (見込み) NIST 自身が「CVE 増加に運用が追いついていない」と公式に認めた (2026/04)。 AI 駆動の発見ツールが普及して以降、発見ペースが構造的に上がっている。 16

実害 ―「全部追いつかない」が前提 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 現場の悲鳴 REALITY 2026-06-28 | Quatrex × かーでぃ 構造的な原因 CAUSE 依存CVEが毎日100件降ってくる どれが本当にヤバいか分からない パッチ追従だけで開発が止まる 何から手をつけるか分からない 既存機能の修正期日が押す Mythos 系 AI が見つけるバグが OSS ライブラリにも波及 1つの欠陥が依存ツリー全体を直撃 通知 → 評価 → 修正 → リリースの 人間プロセスが追いつかない 「全部対応」はもう無理。前提を変える必要がある。 17

処方箋 ― 優先順位の付け方3点セット 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 2026-06-28 | Quatrex × かーでぃ EPSS CISA KEV Reachability Exploit Prediction Scoring System その CVE が実際に悪用される確 率を 0.0〜1.0 で予測 CVSS スコアより運用判断に近 い Known Exploited Vulnerabilities 「今この瞬間、実際に攻撃で使 われている」 CVE のリスト ここに載ったら最優先で対応 「うちのコードがその脆弱な関 数を 実際に呼んでるか」を解析 呼んでなければ対応不要と判定 できる Semgrep Pro / Endor Labs 系 SCORE 新規CVE ▶ EPSS 悪用確率 KNOWN ▶ KEV? 悪用中? ▶ Reachable? うちに刺さる? REACH ▶ 対応 or 見送り VEX で「うちはこのCVEに対して exploitable じゃない」を SBOM に紐づけて宣言。 18

補足: インフラ側で時間を稼ぐ (NW / WAF) 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ WAF で前段ブロック WAF Web Application Firewall 未パッチでも、入口で攻撃パタ ーンを遮断 AWS WAF / Cloudflare WAF OSS: ModSecurity + CRS 緊急時の時間稼ぎに使える ネットワーク分離 NETWORK 管理 API は社内/VPNのみ DB は public IP 持たない 出口通信のホワイトリスト 「そもそも触れない」が最強の 防御 2026-06-28 | Quatrex × かーでぃ 多層で時間を買う DEFENSE-IN-DEPTH アプリ単体で守りきる発想を捨 てる WAF が初動の数日を稼ぐ間に、 EPSS / KEV で判断して パッチ or 設定変更 インフラとアプリは両輪 アプリ開発者にとって、インフラ側の防御は「修正期日を交渉する材料」でもある。 19

まとめ ― 明日話せる3つのポイント 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 2026-06-28 | Quatrex × かーでぃ 01 02 03 8カテゴリの地図で アプリの守備範囲を一覧化 OWASP Top 10 は症状、 ASVS は予防、 8カテゴリ式は現場の地図 OSS 4本 (Semgrep / Trivy / GitLeaks / ZAP) で6割は守れる 低コスト・タイムリー・CIに乗 る 専門診断は残り4割を埋める位 置 Mythos 時代は「全部対応」が 無理 EPSS × KEV × Reachability で 優先順位を機械的に判定、 WAF / NW で時間を稼ぐ SBOM 依存の見える化 EPSS 悪用確率の見える化 VEX 対応不要の宣言 MAP OSS FLOOD 用語×3 = SBOM / EPSS / VEX ― これだけ持ち帰ってもらえれば今日は成功。 20

Thank You 明日話せるセキュリティネタ会 #5 ― アプリケーションセキュリティ 2026-06-28 | Quatrex × かーでぃ ▸ #明日話せるセキュリティネタ会 Quatrex × かーでぃ https://setk.connpass.com/ 21

• https://setk.connpass.com/