Suche senden
Hochladen
Security issue201312
•
2 gefällt mir
•
1,375 views
Riotaro OKADA
Folgen
Technologie
Diashow-Anzeige
Melden
Teilen
Diashow-Anzeige
Melden
Teilen
1 von 42
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
Riotaro OKADA
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Riotaro OKADA
minikura API がもたらした“予想外”な価値・課題
minikura API がもたらした“予想外”な価値・課題
minikura
minikura 式 開発&チームビルディング〜クリエイター思考のシステム開発プロセス〜
minikura 式 開発&チームビルディング〜クリエイター思考のシステム開発プロセス〜
minikura
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Riotaro OKADA
The concept of mini hardening
The concept of mini hardening
Masahiro Tabata
20190620 multicloud share
20190620 multicloud share
Mai Nagahisa
Empfohlen
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
Riotaro OKADA
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Riotaro OKADA
minikura API がもたらした“予想外”な価値・課題
minikura API がもたらした“予想外”な価値・課題
minikura
minikura 式 開発&チームビルディング〜クリエイター思考のシステム開発プロセス〜
minikura 式 開発&チームビルディング〜クリエイター思考のシステム開発プロセス〜
minikura
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Riotaro OKADA
The concept of mini hardening
The concept of mini hardening
Masahiro Tabata
20190620 multicloud share
20190620 multicloud share
Mai Nagahisa
第15回cloudstackユーザー会
第15回cloudstackユーザー会
samemoon
20161119 java one-feedback_osaka
20161119 java one-feedback_osaka
Takashi Ito
Developer Summit_20140214
Developer Summit_20140214
samemoon
Scala: Mobile Backend on AWS
Scala: Mobile Backend on AWS
cmaraiyusuke
IoT プラットフォーム「SORACOM」 20151202版
IoT プラットフォーム「SORACOM」 20151202版
SORACOM,INC
OSC2013 Tokyo Spring OpenStack Overview
OSC2013 Tokyo Spring OpenStack Overview
irix_jp
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
オラクルエンジニア通信
地方のユーザとクラウド
地方のユーザとクラウド
Taku Harako
AWS Black Belt Online Seminar 2017 AWS Summit Tokyo 2017 まとめ
AWS Black Belt Online Seminar 2017 AWS Summit Tokyo 2017 まとめ
Amazon Web Services Japan
アドテクを支える技術 〜1日40億リクエストを捌くには〜
アドテクを支える技術 〜1日40億リクエストを捌くには〜
MicroAd, Inc.(Engineer)
OpenWhisk Serverless への期待
OpenWhisk Serverless への期待
Hideaki Tokida
しばちょう先生が語る!オラクルデータベースの進化の歴史と最新技術動向#1
しばちょう先生が語る!オラクルデータベースの進化の歴史と最新技術動向#1
オラクルエンジニア通信
GoldenGateテクニカルセミナー1「市場のトレンドと最新事例のご紹介」(2016/5/11)
GoldenGateテクニカルセミナー1「市場のトレンドと最新事例のご紹介」(2016/5/11)
オラクルエンジニア通信
【OCP Summit 2016】ユースケースで解説、オラクルクラウドによるアプリケーション性能とログ分析
【OCP Summit 2016】ユースケースで解説、オラクルクラウドによるアプリケーション性能とログ分析
オラクルエンジニア通信
20191015 beyondstudy oracle_nagahisa
20191015 beyondstudy oracle_nagahisa
beyond Co., Ltd.
OSSではじめるオープン・スタンダードのクラウド @201304
OSSではじめるオープン・スタンダードのクラウド @201304
Shinichiro Arai
Windowストアアプリ コントラクトとライフサイクル
Windowストアアプリ コントラクトとライフサイクル
Hiroyuki Mori
20161111 java one2016-feedback
20161111 java one2016-feedback
Takashi Ito
[DevSumi2019]Cloud Native アプリケーションに最適!Oracle Cloud Infrastructureの魅力!
[DevSumi2019]Cloud Native アプリケーションに最適!Oracle Cloud Infrastructureの魅力!
オラクルエンジニア通信
OpenStackの普及でどう変わる?クラウド時代の次の一手 - ミラクル・リナックス様セミナー 『OpenStack の普及でどう変わる?クラウド時代...
OpenStackの普及でどう変わる?クラウド時代の次の一手 - ミラクル・リナックス様セミナー 『OpenStack の普及でどう変わる?クラウド時代...
VirtualTech Japan Inc.
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Riotaro OKADA
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
Weitere ähnliche Inhalte
Ähnlich wie Security issue201312
第15回cloudstackユーザー会
第15回cloudstackユーザー会
samemoon
20161119 java one-feedback_osaka
20161119 java one-feedback_osaka
Takashi Ito
Developer Summit_20140214
Developer Summit_20140214
samemoon
Scala: Mobile Backend on AWS
Scala: Mobile Backend on AWS
cmaraiyusuke
IoT プラットフォーム「SORACOM」 20151202版
IoT プラットフォーム「SORACOM」 20151202版
SORACOM,INC
OSC2013 Tokyo Spring OpenStack Overview
OSC2013 Tokyo Spring OpenStack Overview
irix_jp
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
オラクルエンジニア通信
地方のユーザとクラウド
地方のユーザとクラウド
Taku Harako
AWS Black Belt Online Seminar 2017 AWS Summit Tokyo 2017 まとめ
AWS Black Belt Online Seminar 2017 AWS Summit Tokyo 2017 まとめ
Amazon Web Services Japan
アドテクを支える技術 〜1日40億リクエストを捌くには〜
アドテクを支える技術 〜1日40億リクエストを捌くには〜
MicroAd, Inc.(Engineer)
OpenWhisk Serverless への期待
OpenWhisk Serverless への期待
Hideaki Tokida
しばちょう先生が語る!オラクルデータベースの進化の歴史と最新技術動向#1
しばちょう先生が語る!オラクルデータベースの進化の歴史と最新技術動向#1
オラクルエンジニア通信
GoldenGateテクニカルセミナー1「市場のトレンドと最新事例のご紹介」(2016/5/11)
GoldenGateテクニカルセミナー1「市場のトレンドと最新事例のご紹介」(2016/5/11)
オラクルエンジニア通信
【OCP Summit 2016】ユースケースで解説、オラクルクラウドによるアプリケーション性能とログ分析
【OCP Summit 2016】ユースケースで解説、オラクルクラウドによるアプリケーション性能とログ分析
オラクルエンジニア通信
20191015 beyondstudy oracle_nagahisa
20191015 beyondstudy oracle_nagahisa
beyond Co., Ltd.
OSSではじめるオープン・スタンダードのクラウド @201304
OSSではじめるオープン・スタンダードのクラウド @201304
Shinichiro Arai
Windowストアアプリ コントラクトとライフサイクル
Windowストアアプリ コントラクトとライフサイクル
Hiroyuki Mori
20161111 java one2016-feedback
20161111 java one2016-feedback
Takashi Ito
[DevSumi2019]Cloud Native アプリケーションに最適!Oracle Cloud Infrastructureの魅力!
[DevSumi2019]Cloud Native アプリケーションに最適!Oracle Cloud Infrastructureの魅力!
オラクルエンジニア通信
OpenStackの普及でどう変わる?クラウド時代の次の一手 - ミラクル・リナックス様セミナー 『OpenStack の普及でどう変わる?クラウド時代...
OpenStackの普及でどう変わる?クラウド時代の次の一手 - ミラクル・リナックス様セミナー 『OpenStack の普及でどう変わる?クラウド時代...
VirtualTech Japan Inc.
Ähnlich wie Security issue201312
(20)
第15回cloudstackユーザー会
第15回cloudstackユーザー会
20161119 java one-feedback_osaka
20161119 java one-feedback_osaka
Developer Summit_20140214
Developer Summit_20140214
Scala: Mobile Backend on AWS
Scala: Mobile Backend on AWS
IoT プラットフォーム「SORACOM」 20151202版
IoT プラットフォーム「SORACOM」 20151202版
OSC2013 Tokyo Spring OpenStack Overview
OSC2013 Tokyo Spring OpenStack Overview
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
地方のユーザとクラウド
地方のユーザとクラウド
AWS Black Belt Online Seminar 2017 AWS Summit Tokyo 2017 まとめ
AWS Black Belt Online Seminar 2017 AWS Summit Tokyo 2017 まとめ
アドテクを支える技術 〜1日40億リクエストを捌くには〜
アドテクを支える技術 〜1日40億リクエストを捌くには〜
OpenWhisk Serverless への期待
OpenWhisk Serverless への期待
しばちょう先生が語る!オラクルデータベースの進化の歴史と最新技術動向#1
しばちょう先生が語る!オラクルデータベースの進化の歴史と最新技術動向#1
GoldenGateテクニカルセミナー1「市場のトレンドと最新事例のご紹介」(2016/5/11)
GoldenGateテクニカルセミナー1「市場のトレンドと最新事例のご紹介」(2016/5/11)
【OCP Summit 2016】ユースケースで解説、オラクルクラウドによるアプリケーション性能とログ分析
【OCP Summit 2016】ユースケースで解説、オラクルクラウドによるアプリケーション性能とログ分析
20191015 beyondstudy oracle_nagahisa
20191015 beyondstudy oracle_nagahisa
OSSではじめるオープン・スタンダードのクラウド @201304
OSSではじめるオープン・スタンダードのクラウド @201304
Windowストアアプリ コントラクトとライフサイクル
Windowストアアプリ コントラクトとライフサイクル
20161111 java one2016-feedback
20161111 java one2016-feedback
[DevSumi2019]Cloud Native アプリケーションに最適!Oracle Cloud Infrastructureの魅力!
[DevSumi2019]Cloud Native アプリケーションに最適!Oracle Cloud Infrastructureの魅力!
OpenStackの普及でどう変わる?クラウド時代の次の一手 - ミラクル・リナックス様セミナー 『OpenStack の普及でどう変わる?クラウド時代...
OpenStackの普及でどう変わる?クラウド時代の次の一手 - ミラクル・リナックス様セミナー 『OpenStack の普及でどう変わる?クラウド時代...
Mehr von Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Riotaro OKADA
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
もしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたなら
Riotaro OKADA
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
Riotaro OKADA
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
Mehr von Riotaro OKADA
(20)
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
もしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたなら
Privacy by Design with OWASP
Privacy by Design with OWASP
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
The Shift Left Path and OWASP
The Shift Left Path and OWASP
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Kürzlich hochgeladen
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Kürzlich hochgeladen
(11)
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Security issue201312
1.
2013/12/6 大阪セミナー 「いまWebディレクターが知っておくべき、" Webサイトセキュリティ対策のキホン!」 安全・確実に稼働するウェブサイトのための秘策 ~ウェブセキュリティ技術の活用の鍵を探る~ OWASP
Japan Chapter Leader 岡田 良太郎 riotaro.okada@owasp.org 2013© Riotaro OKADA
2.
2013© Riotaro OKADA
3.
BCP=resilienceの向上 平時(100%) 復旧時間 72時間 ダメージ 死の72時間か
黄金の72時間か 有事 2013© Riotaro OKADA
4.
1. Cloud computing
WEBサイトは雲の上に • 責任管理境界はますますあいまいに – クラウドサービス • プラットフォームAmazon EC2/S3 etc • ストレージ • サービスプロビジョニング • API – マッシュアップ:他社のウェブAPIに依存する機能 • 他社のAPIに依存 – Web on Web on Web on ….Google • XML(RSS)データによる連動 2013© Riotaro OKADA
5.
2. Crowd 群衆の自由が大きくなる •
ユーザの期待レベルが高まる – インターネットに大事な情報が 置かれるようになった • デジタルデータ • オンラインバンキング – インターネットがホビーからライ フラインに変化した • 決済サービス、電子マネー • 携帯とPCの境界線もあいま いに 2013© Riotaro OKADA
6.
3. ユーザの手元にあるものが激動 http://gs.statcounter.com/#mobile_browser-JP-daily-20080701-20090715-bar 2013© Riotaro
OKADA
7.
「WEBサイトの単体がクラックされない程度のセキュリティ」の視点では不十分。 “WEB”エコシステムのセキュリティ(安全=機密、可用、完全)が重要 システム・技術要因 組織・社会的要因 ハードウェアまたはソフトウェアの停止、プログラミン グまたはシステムのエラー プラットフォームのバグ・脆弱性、機器故障、ソフト 事業者の脚光あるいは不祥事、社会的話題・被害、 業界全体で連動するブランドイメージの向上あるい は棄損 ウェアエラー、通信ネットワークの切断、停電、 異常加熱、 ブラウザのバグ、未対応のふるまい 想定外の言語文字、ふるまい 人的災害 参加者による炎上 オペレーションミス、希少な担当者の退職・失踪、 突然のデータ流入・大量アクセス(ブーム)への パニック ユーザは自分にとって「妥当」な サービスを刻々と取捨選択する 事業者は、インターネットの状況に サービスを適応させなければならない 自然現象 地震、洪水、荒天(雷鳴、ひょう、稲妻、放電、 雪、氷など)、竜巻、ハリケーン、火山の噴火、 自然火災 突然のアクセス急増 話題炎上、TV、2chなどによる注目、外国など非日常 的なアクセス元、社会的批判。 突然発表されるモバイルブラウザ、シェアの高い ブラウザのバグ。 犯罪的活動 犯罪的活動 爆破、爆発、火災、故意による物理的破壊、飛行 機の墜落、有害物質や毒物の流出、化学物質によ る汚染、テロリストの攻撃、諜報活動、暴動また は国内騒乱、ストライキ。 不満を抱く従業員、悪意のあるコード、テロリストに よる悪用、諜報活動、暴動または国内騒乱に起因する もの。 インターネットの「状況」はユーザの 利用シーン・動向にあわせて変化する インフラの問題 DNS root、KDDIなどネットワークの障害、 Google やAmazon
EC2の障害、Googleなど大手サ イトの停止、コンピュータウィルス蔓延 2013© Riotaro OKADA
8.
これからのエンジニアの命題: 個別の問題の解決にたいし、 いかにコラボレーションによって問題解決の効果を上げるか。 発生頻度は高い 個々の 問題 すでに解決されている 同種の問題について の情報・ノウハウ 問題の解決 チームの進歩 社会的な貢献 協力 value化 2013© Riotaro OKADA
9.
BCP コンセプトの進化 敏捷性 “Rapidity” 臨機性
“Resourcefulness” 有事に強い Disaster Resilience 冗長性“Redundancy” 堅牢性 “Robustness” 軽減/備え Mitigation Preparedness 神ワザ・人海戦術 “Act of God” 逐次対応 Adhoc Response 19xx’s 2000’s 2010’s 2013© Riotaro OKADA
10.
Your Code is
Part of Your Security Perimeter Billing! Human Resrcs! Directories! APPLICATION ATTACK! Web Services! Custom Developed Application Code! Legacy Systems! Databases! Application Layer! アプリケーションに多くの”入り口”! Web Server! Hardened OS! Firewall! Firewall! Network Layer! App Server! ネットワーク・レイヤーの防御(firewall, SSL, IDS, network hardening)! では、アプリレイヤーの攻撃を止めたり防御したりすることはできない。! 2013© Riotaro OKADA
11.
アプリケーションのリスクがへの 注目が、大きく高まっている 2013© Riotaro OKADA
12.
例:ウェブアプリケーション開発サイクルの例 企画 リニューアル 要件定義 設計 運用 開発 リリース テスト 環境構 築 2013© Riotaro OKADA
13.
(1)公開前にチェックすることでリスク を限定する方法 • パッチアプローチ – 設計に致命的な欠陥が ないこと、問題のあるコ ーディングに依存しない 機能設計であることが 前提。 –
「専門家」によるレビュ ー – ソフトウェアの対応は 表層的になりがち 企画 改善計画 要件 定義 設計 運用 開発 リリース テスト 環境構 築 2013© Riotaro OKADA
14.
(2)運用中のシステムを定期点検する ことで外部からの診断をする方法 • ブラックボックステスト (pen-test) – ソフトウェアと公開環境 の外部仕様を外部的に テストするため、表層的 に解決することが前提 –
ソフトウェアの対応は 表層的になりがち 企画 改善計画 要件 定義 設計 運用 開発 リリース テスト 環境構 築 2013© Riotaro OKADA
15.
(3)WAFなどのアプライアンスで「番 人」を設置する方法 • ゲートウェイ – すべてのアクセスをアプリケ ーションで判断しなくて良い 分、サーバのパフォーマンス はいくらか楽になる。 –
脆弱性の攻撃はすべてフィ ルタリングできる内容ではな い。 • 課題 – 開発成果物の品質を甘く見 てしまう可能性がある。 企画 改善計画 要件 定義 設計 運用 開発 公開 テスト 環境構築 – アプリケーションがWAFで動 かなくなったら、どうする? – クラウドなど仮想環境では? 2013© Riotaro OKADA
16.
(4)コーディングガイドラインで「お作 法」を厳格に規定する方法 • ルールブック方式 企画 – ルールブックの完全性、 標準化の妥当性が前提。 –
最新のものにメンテナン スする – 開発者の準拠状況をレ ビューする 改善計画 要件 定義 設計 運用 開発 公開 テスト 環境構築 2013© Riotaro OKADA
17.
(5)事後対応に徹する • ログやIDSで検知して から対応する方式 企画 改善計画 – 抜け漏れ、ログクラック には無策 –
監視アウトソースは実 質的には番人方式 – ソフトウェア価値は向上 しない 要件 定義 運用 設計 公開 開発 テスト 環境構築 2013© Riotaro OKADA
18.
WEBサイトのライフサイクル(SDL) DETECT PROTECT DETECT
LIFE CYCLE PROTECT DETECT PROTECT DETECT PROTECT 2013© Riotaro OKADA
19.
安全なウェブサイトのための コンセプトとメソドロジーは どうすれば見いだせるのか? PROTECT DETECT LIFE CYCLE x CODE TOOL DOCUMENTATION 2013© Riotaro
OKADA
20.
OWASP Top10 for
2013リリース Webアプリケーション脆弱性トップ10 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • A1 Injection • A2 Broken Authentication and Session Management • A3 Cross-Site Scripting (XSS) • A4 Insecure Direct Object References • A5 Security Misconfiguration • A6 Sensitive Data Exposure • A7 Missing Function Level Access Control • A8 Cross-Site Request Forgery (CSRF) • A9 Using Components with Known Vulnerabilities • A10 Unvalidated Redirects and Forwards PDFを見る-> 2013© Riotaro OKADA
21.
193+ Active Chapters 2013© Riotaro
OKADA
22.
113+ Active Projects 2013© Riotaro
OKADA
23.
OWASPの活動はさまざまな業種・業態の企業 に支えられています。 2013© Riotaro OKADA
24.
OWASPアカデミックサポーターは 安全なソフトウェア教育を推進しています。 2013© Riotaro OKADA
25.
日本語版アリ Development Guide •
セキュアWebアプリケーションのための設計・ 構築・運用ガイドライン – どの程度安全にするか? • セキュリティガイドライン、認証、セッション管理、アクセス 制御、イベントのログ監視、データ検証、よく起こる問題 (XSSなど)を防ぐ方法、プライバシーへの配慮、暗号技術 – 2010年版が最新、日本語版は2002年 2013© Riotaro OKADA
26.
Code Review Guide
• セキュリティコードレビュー • コードレビューのプロセスではなく、特定の脆弱 性に焦点を当てている – 脆弱なコードのサンプルなど • 言語別のベストプラクティス – Java, Classic ASP, PHP, C/C++, MySQL, Flash, AJAX, Web Services 2013© Riotaro OKADA
27.
Testing Guide •
Webサイト/アプリケーションのテストガイド、全 349ページ(Ver.3) • 各脆弱性、機能別のテスト方法 – Information Gathering, Configuration Management Testing, Authentication Testing, Session Management, Authorization Testing, Business logic testing, Data Validation Testing, DoS Testing, Web Services Testing, AJAX Testing 2013© Riotaro OKADA
28.
日本語版アリ 経営視点 組織的なセキュリティ成熟モデル • SAMM (Software
Assurance Maturity Model) “ソフトウェアセキュリティ保障成熟度モデル” • CISOトレーニングに活用 2013© Riotaro OKADA
29.
全員全力で • 顧客 – OWASP
Top 10に示されるようなシンプルな問題はないウ ェブアプリケーションを要求すべし。 • 開発者 – 安全なコードを書くことに責任を持つべし。 • ソフトウェア開発企業・組織 – Top 10問題がないもののみを出荷することを保証すべし。 • 教育者 – 安全でないコードを使って教育するのを直ちにやめるべし。 • プロジェクトマネージャ – セキュリティ予算をネットワークとアプリケーションで配分し て確保すべし。 – パフォーマンスレビュー(負荷テスト)にセキュリティチェッ クのパートを加えるべし。 2013© Riotaro OKADA
30.
皆様にご提案 • オープンコラボレーションへのチャレンジ – まずは、ご自分で、そしてスタッフに。 –
わかりやすいきっかけをうまく活用 → 情報交換と協働の枠組みづくり • ネット配信のあるイベントにも注目 OWASP Japanもがんばります。 – 仙台-大阪-東京 同時ネット接続での開催も実現 2013© Riotaro OKADA
31.
OWASP Japan Local
Chapter 2013© Riotaro OKADA
32.
OWASP Japan Local
Chapter Meetings 2012 Consistent meeting attendance since 1st year of activities… 1st 2nd 4th 3rd Year End Party 2013© Riotaro OKADA
33.
OWASP Nights (Japan
Local Chapter Meetings) 2013 5th 6th 7th 8th 2013© Riotaro OKADA
34.
OWASP Japan Speakers 2013©
Riotaro OKADA
35.
Global AppSec North
America Nov. 2013 New York City, New York 2013© Riotaro OKADA
36.
なんと次は日本! 2013© Riotaro OKADA
37.
AppSec APAC 2014
in Tokyo ソラシティ・カンファレンスセンター ■Experience culture of Japan during sakura cherry blossom season ■Central location near Akihabara with reasonable hotels nearby ■Excellent networking opportunities with world-class professionals 2013© Riotaro OKADA
38.
Why Tokyo? Visit Tokyo,
central location near Akihabara Akihabara electronics town is the heart of Japan’s otaku sub-culture Reasonable hotels minutes away from Tokyo’s most interesting area Perfect time to visit Japan Not only does Tokyo have countless sightseeing spots, it has the world’s largest number of Michelin 3 star restaurants… and March is sakura cherry blossom season! Once in a lifetime opportunity! 2013© Riotaro OKADA
39.
Only in Tokyo Experience… Japanese
pop culture first hand while at the same time networking with OWASP Japan and security specialists from Japan and around the world! 2013© Riotaro OKADA
40.
2014/3/17-20, 初めて日本にてAppSec開催 40" 2013© Riotaro
OKADA
41.
Keynote Speakers 奈良先端科学技術大学院大学教授" 山口 英
" Suguru Yamaguchi" OWASP Top 10執筆者" デイブ・ウィッチャーズ" Dave Wichers " " " 奈良先端科学技術大学院大学 教授。元日本政府内閣官房情 報セキュリティ対策推進室情 報セキュリティ補佐官。" 2004年から2010年まで、日本 政府内閣官房情報セキュリテ ィ対策推進室(現内閣官房情 報セキュリティセンター)情 報セキュリティ補佐官に任命 され、内閣官房情報セキュリ ティセンター( NISC )の設 立に関わる政府の情報セキュ リティ基本計画の設計と実装 に携わった。 デイブ・ウィッチャーズ はアスペクトセキュリテ ィの共同創設者であり、 COOを務める。同社は、 アプリケーションセキュ リティサービスに特化し た専門企業である。彼は OWASPボードメンバーと しての長い貢献があり、 OWASP Top 10執筆者で ある。 " " AppSec Apacは、ウェブ・セキュリティについて、世界から日本に、また日本から世界に向けて、 業界の最新の動向をシェアし、技術実装のノウハウや知見について共有できる機会となります。 2013© Riotaro OKADA
42.
https://appsecapac.org スピーカー募集 12/15 早期登録 1月末日 スポンサーシップ #owaspjapan #appsecapac 2013© Riotaro
OKADA
Jetzt herunterladen