SlideShare ist ein Scribd-Unternehmen logo

アプリケーションデリバリーのバリューチェイン

Riotaro OKADA
Riotaro OKADA

脆弱性検査に加え、CI(継続的インテグレーション)によるソフトウェア品質の「変数」を見るアプローチが普及してきました。しかし、可視化された問題は開発に活かされているでしょうか。アプリケーションの価値に貢献するには何が必要でしょうか。現状の問題をとりあげながら、解決への必須要件を考えます。

Ingenieurwesen
1 von 28
Downloaden Sie, um offline zu lesen
Application Security Briefing & Discussion 2016 アプリケーション・デリバリーの バリュー・チェイン Asterisk Research, Inc Riotaro OKADA Enabling Security ©2016 Asterisk Research, Inc. 1
Riotaro OKADA Riotaro OKADA  Executive Researcher  CISA, MBA •  ビジネス・ブレークスルー大学非常勤講師「教養としてのサイバーセキュリティ」 •  政府調達担当向けサイバー演習 CYDER 委員(総務省) •  セキュリティキャンプ インストラクタ (経済産業省、IPA) •  マレーシア政府セキュリティイニシアチブ インストラクタ (外務省、JICA, 2015年) https://jp.linkedin.com/ in/riotaro @okdt
“If you can’t measure it, you can’t manage it“ 「測定できないものは管理できない」 W. Edwards Deming Enabling Security ©2016 Asterisk Research, Inc. 3
Let’s go visible Enabling Security ©2016 Asterisk Research, Inc. 4 0 20 40 60 80 100 設計 構築 検証 運用 1 6.5 15 100
QCD のいずれにも深刻な問題 1)  Quality: テストの手段も効果も理解しにくい •  脆弱性などの問題が指摘されるが、開発サイドからは改善の方法がわからない 2)  Cost: コストが高額 •  攻撃は縦横無尽なのにプロ・ツールの多くはプロジェクト課金、コード課金、機能課金 3)  Delivery: 深刻な人材不足 •  デリバリーができない Enabling Security ©2016 Asterisk Research, Inc. 5 「意味がわからない」のは、リテラシーが低いからだけではないのではないか。
アプリケーションセキュリティ実施の強い動機 | Enabling Security | ©Asterisk Research, Inc. 6 Drivers for AppSec Programs Response Percent コンプライアンス、内部監査、調査レポートの率直な指摘 71.5% 漏洩時の経済的打撃に対するリスクベースの意識 69.6% 顧客への「当然の品質」としての魅力提示 39.9% セキュリティ・インシデントの指摘 36.7% 業界の予算、ROI、TCO比較による 33.5% Couching security as a direct “enablement” for new applications 30.4% Other 1.3% 出典:SANS Institute (2015)
“It is wrong to suppose that if you can’t measure it, you can’t manage it“ 「測定できないものしか管理できないってのは、違うと思うよ」 W. Edwards Deming Enabling Security ©2016 Asterisk Research, Inc. 7
Assessment・Scoring •  開発チーム・プロセスアセスメント BSIMM, OpenSAMM, CIS Critical Controls •  ロードマップ策定支援 •  リサーチ(DD, 市場調査, 実態調査) •  アドバイザリ Governance, Risk, Compliance •  MetricSteram GRC •  内部監査支援 •  サードパーティ・ベンダー評価 •  ITデューデリジェンス Enabling Security “測定できるもの x 測定できないもの” Asterisk Research サービスラインナップ Enabling Security ©2016 Asterisk Research, Inc. 8 Training & Education •  技術者 「CodeZine Academy     ビルトインセキュリティブートキャンプ」 •  Eラーニング “AspectSecurity E-Learning” “Cigital CodiScope CBT” •  BBT大学 教養としてのサイバーセキュリティ」 •  ビジネスパーソン:サイバーセキュリティ・スキル •  ヤングリーダー「Security Initiative Training Secure Development •  開発品質向上支援 •  ツールの選定・導入支援 •  セキュアコーディング: SecureAssist •  QA:3D Security Testing •  スマホアプリ:SONY Secure Coding Checker
企業幹部が最も注力したい セキュリティ対策とは Enabling Security ©2016 Asterisk Research, Inc. 9 1位 2位 3位 4位 5位 44.4% 従業員のセキュリティ教育 33.1% 27.5% 25.7% 23.5% 標的型攻撃に対するセキュリティ対策 スマートデバイス利用時のセキュリティ対策・ ルール整備 クラウドサービス利用時のセキュリティ対策・ ルール整備 事業継続計画IT-BCPの策定と改善 出典:野村総合研究所調べ
一般インターネットユーザ vs セキュリティエキスパート Enabling Security ©2016 Asterisk Research, Inc. 10http://googlejapan.blogspot.jp/2016/02/blog-post.html (エキスパート: 7%) (一般ユーザ: 2%)42% 35%
必要なのは、セキュリティ関係者じゃない人が 「サイバーセキュリティ・スキル」を身につけることではないか? Enabling Security ©2016 Asterisk Research, Inc. 11 「ビジネスパーソンに必須の7つのスキル」で、 「漠然とした不安」から「はっきりわかるリスク対策」への変化を。 https://asteriskresearch.com/7-cybersecurity-skills/ 2/24開講分、絶賛受講申込受付中>> http://cybersecurity-skills01.peatix.com/
Enabling Security ©2016 Asterisk Research, Inc. 12 UNIT SKILLS 1 サイバースペースで起きていることを把握する •  Cyberspaceとは何か、サイバーリスクとは何か •  業界特有の問題 •  サイバー犯罪、サイバー事件、キーパーソン 2 個人へのダメージを受けない力を身につける •  経済的ダメージ、社会的ダメージ、自分の職責へのダ メージ •  「99%のビジネスパーソンが知らなかった秘策」 3 ビジネスへの影響の実態と対策を把握し、協力する •  企業・団体にとってのサイバー攻撃の影響 •  「企業のビジネス保護のためのセキュリティ20施策」 4 セキュリテイ原則と、 それに対する攻撃者の視点や動機がわかる •  CIAトライアドと攻撃と、ダメージ軽減の対策と対応の 関係 5 サービスづくり・調達のポイントを見極める •  ビルト・イン・セキュリティ: ウェブ、アプリ、クラウ ドそしてIoT 6 情報化社会を支える仕組みと役割・コンプライアンスの ポイントをつかむ •  サイバーセキュリティに関する法律・ガイドライン •  業界・地域・目的別の連携活動、国際的な取り組み •  企業、担当者、コミュニティの連携 7 ビジネスイネーブラーとして「セキュリティ・スキル」 を活用する •  ビジネスイネーブラーのセキュリティ •  セキュリティイニシアティブが「サイバーセキュリ ティ・スキル」を着々とアップデートしていく方法 必要なのは、セキュリティ関係者じゃない人が 「サイバーセキュリティ・スキル」を身につけることではないか?
Enabling Security ©2016 Asterisk Research, Inc. 13 ー 一般教養としてのセキュリティで今、いちばん情報が足りない分野はなんでしょうか?  設計・開発段階からセキュリティの機能を組み込む「セキュアプログラミング」 だろう。… すべてのプログラマーがセキュアプログラミングを常識として知っているべきだと 思うが、残念ながらセキュアプログラミングを学ぶための情報は限られている。 山口 英 奈良先端科学技術大学院大学教授, JPCERT/CC設立者, 内閣官房初代情報セキュリティ補佐官 http://itpro.nikkeibp.co.jp/atcl/interview/14/262522/090700192/?ST=management&P=4
Quality, Cost, Delivery? テスト (DAST) 直す 隠す 無視・ あきらめ テスト (SAST) 開発サイドの悩み アプリケーションセキュリティ スキルとツールの不足 予算配分管理の欠如 デリバリー再優先 セキュリティチームの悩み 全アプリケーション資産の把握が できていない 開発、セキュリティ、事業部の サイロ化によるコミュニケー ションコスト増 脆弱性修正すると動かなくなる ことへの恐れ 出典:SANS Institute (2015) Q. “Top Challenges for Builders and Defenders ” ?
クルマ
セキュリティ計画配分は | Enabling Security | ©Asterisk Research, Inc. 17 フェーズ Percent 企画・要件定義フェーズ 53.4% 設計フェーズ 16.5% 開発中 14.6% コードのチェックイン 4.9% リリース前 8.7% Other 1.9% 出典:SANS Institute (2015)
OWASP Top 10 Enabling Security ©2016 Asterisk Research, Inc. 18 出典:SANS Institute (2015)
OWASP Top 10 容易 x 甚大な影響を及ぼす脆弱性。 Enabling Security ©2016 Asterisk Research, Inc. 19 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング (XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
「事前の策」 OWASP Proactive Controls 1.  クエリのパラメータ化 2.  エンコード処理 3.  入力値検証 4.  適切なアクセス制御 5.  アイデンティティ及び認証制御 6.  データ及びプライバシー保護 7.  ロギング、エラーハンドリング、侵入検知 8.  フレームワークとセキュリティライブラリの活用 9.  セキュリティ要件の考慮 10.  セキュリティ設計 16/02/05 ©2015 Asterisk Research, Inc. 20
原因をどうにかする「事前の策」 OWASP Proactive Controls 2016 1.  Verify for Security Early and Often 2.  Parameterize Queries 3.  Encode Data 4.  Validate All Inputs 5.  Implement Identity and Authentication Controls 6.  Implement Appropriate Access Controls 7.  Protect Data 8.  Implement Logging and Intrusion Detection 9.  Leverage Security Frameworks and Libraries 10.  Error and Exception Handling 16/02/05 ©2015 Asterisk Research, Inc. 21 2016年1月リリース 日本語版もやってます 1.開発段階の早期に、繰り返しセキュリティ検証する 2.クエリーのパラメータ化 3.エンコード処理 4.全ての入力値を検証する 5.アイデンティティと認証 6.アクセス制御の実装 7.データの保護 8.ロギングと侵入検知 9.セキュリティフレームワークやライブラリの活用 10.エラー処理と例外処理
原因 → 結果 正しい設計とコーディング → 脆弱性根絶。 16/02/05 ©2015 Asterisk Research, Inc. 22 OWASP Top 10 1:インジェク ション 2:認証とセッ ション管理の不 備 3:クロスサイト スクリプティン グ 4:安全でないオ ブジェクト直接 参照 5:セキュリティ 設定のミス 6:機密データの 露出 7:機能レベルの アクセス制御の 欠落 8:クロスサイト リクエスト フォージェリ 9:既知の脆弱性 を持つコンポー ネントの使用 10:未検証のリ ダイレクトと フォワード ProactiveControls 1: クエリのパラメータ化 ✔ 2: エンコード処理 ✔ ✔ 3: 入力値検証 ✔ ✔ ✔ 4: 適切なアクセス制御 ✔ ✔ 5: アイデンティティ及び認証制御 ✔ 6: データ及びプライバシー保護 ✔ 7: ロギング、エラーハンドリング、侵 入検知 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 8: フレームワークとセキュリティライ ブラリの活用 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 9: セキュリティ要件の考慮 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 10: セキュリティ設計 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
©2016 Asterisk Research, Inc. “Build Security In” ステージゲートと対策のマッピング 犯罪 ケース セキュリティ 要件 脅威 分析 リスクベース テストプラン コード 検査 ペネトレーション テスト ビルド 品質分析 セキュリティ 運用 vulnerability 1.開発の早い段階に、繰り返しセキュリティ検証 2.クエリーのパラメータ化 3.エンコード処理 4.全ての入力値を検証する 5.アイデンティティと認証 6.アクセス制御の実装 7.データの保護 8.ロギングと侵入検知 9.セキュリティフレームワークやライブラリの活用 10.エラー処理と例外処理
Enabling Security ©2016 Asterisk Research, Inc. 24 出典:SANS Institute (2015)
Built-In Security Boot Camp (CodeZine Academy Edition) で、もう少し詳しく学べます Enabling Security ©2016 Asterisk Research, Inc. 26 “明日の開発リーダーを育てる学校” CodeZine Academy Built-In Security Boot Camp http://event.shoeisha.jp/cza/20160307 http://event.shoeisha.jp/cza/201603073/7, 8開講分、絶賛受講申込受付中
Built-In Security Boot Camp (CodeZine Academy Edition) DAY1 脆弱性とその対応:脆弱性のあるコードとその修正 DAY2 プロアクティブな手法:脆弱性の発生を防ぐコーディングとプロセス Enabling Security ©2016 Asterisk Research, Inc. 27 UNIT SKILLS 1 サイバーセキュリティ情勢とビルトイン・セキュリティの意義 (PCI DSS要件) 2 ソフトウェアの脆弱性、脅威と対策 - OWASP Top 10/CWE/SANS TOP 25 より 3 脆弱性修正ハンズオン (サンプルコードによる実習) 4 ワークショップ: ソフトウェアセキュリティ問題の情報収集とアクション 5 脆弱性の発生を防ぐ設計・コーディング (Proactive Controls) 6 脆弱性の発生を防ぐプロセス、ガイドライン (PCI DSS、ASVS、SDL) 7 ワークショップ:セキュア設計・開発のチームへの導入 8 ソフトウェア開発ライフサイクルにかかわる情報収集とアクション(BSIMM、OpenSAMM) http://event.shoeisha.jp/cza/201603073/7, 8開講分、絶賛受講申込受付中
Enabling Security 28 ありがとうございます

Empfohlen

セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
 

Empfohlen

セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
 
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
oshiro_seiya
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
 
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断研究会
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
 
早田㈱5 s活動事例商工会議所講演会2012.10.15
早田㈱5 s活動事例商工会議所講演会2012.10.15早田㈱5 s活動事例商工会議所講演会2012.10.15
早田㈱5 s活動事例商工会議所講演会2012.10.15
早田株式会社
 
OWASP AppSec USA 2015, San Francisco
OWASP AppSec USA 2015, San FranciscoOWASP AppSec USA 2015, San Francisco
OWASP AppSec USA 2015, San Francisco
Clare Nelson, CISSP, CIPP-E
 

Weitere ähnliche Inhalte

Was ist angesagt?

「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
 

Was ist angesagt? (20)

「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみた
 
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
 
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 

Andere mochten auch

Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Asterisk Research, Inc.
 
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
Amazon Web Services
 
(SEC402) Enterprise Cloud Security via DevSecOps 2.0
(SEC402) Enterprise Cloud Security via DevSecOps 2.0(SEC402) Enterprise Cloud Security via DevSecOps 2.0
(SEC402) Enterprise Cloud Security via DevSecOps 2.0
Amazon Web Services
 

Andere mochten auch (9)

早田㈱5 s活動事例商工会議所講演会2012.10.15
早田㈱5 s活動事例商工会議所講演会2012.10.15早田㈱5 s活動事例商工会議所講演会2012.10.15
早田㈱5 s活動事例商工会議所講演会2012.10.15
 
OWASP AppSec USA 2015, San Francisco
OWASP AppSec USA 2015, San FranciscoOWASP AppSec USA 2015, San Francisco
OWASP AppSec USA 2015, San Francisco
 
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
 
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
 
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014
 
DevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to SecurityDevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to Security
 
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
 
(SEC402) Enterprise Cloud Security via DevSecOps 2.0
(SEC402) Enterprise Cloud Security via DevSecOps 2.0(SEC402) Enterprise Cloud Security via DevSecOps 2.0
(SEC402) Enterprise Cloud Security via DevSecOps 2.0
 

Ähnlich wie アプリケーションデリバリーのバリューチェイン

ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
Yasuo Ohgaki
 
Kyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jpKyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jp
PacSecJP
 
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
オラクルエンジニア通信
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
オラクルエンジニア通信
 

Ähnlich wie アプリケーションデリバリーのバリューチェイン (20)

クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
 
OWASP Top 10 2017 RC1について
OWASP Top 10 2017 RC1についてOWASP Top 10 2017 RC1について
OWASP Top 10 2017 RC1について
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
 
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
 
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
 
20160717 csc sec_bd
20160717 csc sec_bd20160717 csc sec_bd
20160717 csc sec_bd
 
Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid Platform
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
 
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
 
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
 
ツールを用いた脆弱性リスクの管理・低減
ツールを用いた脆弱性リスクの管理・低減ツールを用いた脆弱性リスクの管理・低減
ツールを用いた脆弱性リスクの管理・低減
 
SWEBOKにみるソフトウェアエンジニアリングの全体、および、 つながる時代のソフトウェアモデリング&品質
SWEBOKにみるソフトウェアエンジニアリングの全体、および、 つながる時代のソフトウェアモデリング&品質 SWEBOKにみるソフトウェアエンジニアリングの全体、および、 つながる時代のソフトウェアモデリング&品質
SWEBOKにみるソフトウェアエンジニアリングの全体、および、 つながる時代のソフトウェアモデリング&品質
 
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
 
Kyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jpKyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jp
 
AWSでのセキュリティ運用 ~ IAM,VPCその他
AWSでのセキュリティ運用 ~ IAM,VPCその他AWSでのセキュリティ運用 ~ IAM,VPCその他
AWSでのセキュリティ運用 ~ IAM,VPCその他
 
Pycon mini20190511 pub
Pycon mini20190511 pubPycon mini20190511 pub
Pycon mini20190511 pub
 
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
 

Mehr von Riotaro OKADA

Security issue201312
Security issue201312Security issue201312
Security issue201312
Riotaro OKADA
 

Mehr von Riotaro OKADA (9)

もしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたならもしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたなら
 
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
 
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
 
Security issue201312
Security issue201312Security issue201312
Security issue201312
 
iSPP 仙台シンポジウム
iSPP 仙台シンポジウムiSPP 仙台シンポジウム
iSPP 仙台シンポジウム
 
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYOIntroducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYO
 
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickupCrowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickup
 

アプリケーションデリバリーのバリューチェイン

  • 1. Application Security Briefing & Discussion 2016 アプリケーション・デリバリーの バリュー・チェイン Asterisk Research, Inc Riotaro OKADA Enabling Security ©2016 Asterisk Research, Inc. 1
  • 2. Riotaro OKADA Riotaro OKADA  Executive Researcher  CISA, MBA •  ビジネス・ブレークスルー大学非常勤講師「教養としてのサイバーセキュリティ」 •  政府調達担当向けサイバー演習 CYDER 委員(総務省) •  セキュリティキャンプ インストラクタ (経済産業省、IPA) •  マレーシア政府セキュリティイニシアチブ インストラクタ (外務省、JICA, 2015年) https://jp.linkedin.com/ in/riotaro @okdt
  • 3. “If you can’t measure it, you can’t manage it“ 「測定できないものは管理できない」 W. Edwards Deming Enabling Security ©2016 Asterisk Research, Inc. 3
  • 4. Let’s go visible Enabling Security ©2016 Asterisk Research, Inc. 4 0 20 40 60 80 100 設計 構築 検証 運用 1 6.5 15 100
  • 5. QCD のいずれにも深刻な問題 1)  Quality: テストの手段も効果も理解しにくい •  脆弱性などの問題が指摘されるが、開発サイドからは改善の方法がわからない 2)  Cost: コストが高額 •  攻撃は縦横無尽なのにプロ・ツールの多くはプロジェクト課金、コード課金、機能課金 3)  Delivery: 深刻な人材不足 •  デリバリーができない Enabling Security ©2016 Asterisk Research, Inc. 5 「意味がわからない」のは、リテラシーが低いからだけではないのではないか。
  • 6. アプリケーションセキュリティ実施の強い動機 | Enabling Security | ©Asterisk Research, Inc. 6 Drivers for AppSec Programs Response Percent コンプライアンス、内部監査、調査レポートの率直な指摘 71.5% 漏洩時の経済的打撃に対するリスクベースの意識 69.6% 顧客への「当然の品質」としての魅力提示 39.9% セキュリティ・インシデントの指摘 36.7% 業界の予算、ROI、TCO比較による 33.5% Couching security as a direct “enablement” for new applications 30.4% Other 1.3% 出典:SANS Institute (2015)
  • 7. “It is wrong to suppose that if you can’t measure it, you can’t manage it“ 「測定できないものしか管理できないってのは、違うと思うよ」 W. Edwards Deming Enabling Security ©2016 Asterisk Research, Inc. 7
  • 8. Assessment・Scoring •  開発チーム・プロセスアセスメント BSIMM, OpenSAMM, CIS Critical Controls •  ロードマップ策定支援 •  リサーチ(DD, 市場調査, 実態調査) •  アドバイザリ Governance, Risk, Compliance •  MetricSteram GRC •  内部監査支援 •  サードパーティ・ベンダー評価 •  ITデューデリジェンス Enabling Security “測定できるもの x 測定できないもの” Asterisk Research サービスラインナップ Enabling Security ©2016 Asterisk Research, Inc. 8 Training & Education •  技術者 「CodeZine Academy     ビルトインセキュリティブートキャンプ」 •  Eラーニング “AspectSecurity E-Learning” “Cigital CodiScope CBT” •  BBT大学 教養としてのサイバーセキュリティ」 •  ビジネスパーソン:サイバーセキュリティ・スキル •  ヤングリーダー「Security Initiative Training Secure Development •  開発品質向上支援 •  ツールの選定・導入支援 •  セキュアコーディング: SecureAssist •  QA:3D Security Testing •  スマホアプリ:SONY Secure Coding Checker
  • 9. 企業幹部が最も注力したい セキュリティ対策とは Enabling Security ©2016 Asterisk Research, Inc. 9 1位 2位 3位 4位 5位 44.4% 従業員のセキュリティ教育 33.1% 27.5% 25.7% 23.5% 標的型攻撃に対するセキュリティ対策 スマートデバイス利用時のセキュリティ対策・ ルール整備 クラウドサービス利用時のセキュリティ対策・ ルール整備 事業継続計画IT-BCPの策定と改善 出典:野村総合研究所調べ
  • 10. 一般インターネットユーザ vs セキュリティエキスパート Enabling Security ©2016 Asterisk Research, Inc. 10http://googlejapan.blogspot.jp/2016/02/blog-post.html (エキスパート: 7%) (一般ユーザ: 2%)42% 35%
  • 11. 必要なのは、セキュリティ関係者じゃない人が 「サイバーセキュリティ・スキル」を身につけることではないか? Enabling Security ©2016 Asterisk Research, Inc. 11 「ビジネスパーソンに必須の7つのスキル」で、 「漠然とした不安」から「はっきりわかるリスク対策」への変化を。 https://asteriskresearch.com/7-cybersecurity-skills/ 2/24開講分、絶賛受講申込受付中>> http://cybersecurity-skills01.peatix.com/
  • 12. Enabling Security ©2016 Asterisk Research, Inc. 12 UNIT SKILLS 1 サイバースペースで起きていることを把握する •  Cyberspaceとは何か、サイバーリスクとは何か •  業界特有の問題 •  サイバー犯罪、サイバー事件、キーパーソン 2 個人へのダメージを受けない力を身につける •  経済的ダメージ、社会的ダメージ、自分の職責へのダ メージ •  「99%のビジネスパーソンが知らなかった秘策」 3 ビジネスへの影響の実態と対策を把握し、協力する •  企業・団体にとってのサイバー攻撃の影響 •  「企業のビジネス保護のためのセキュリティ20施策」 4 セキュリテイ原則と、 それに対する攻撃者の視点や動機がわかる •  CIAトライアドと攻撃と、ダメージ軽減の対策と対応の 関係 5 サービスづくり・調達のポイントを見極める •  ビルト・イン・セキュリティ: ウェブ、アプリ、クラウ ドそしてIoT 6 情報化社会を支える仕組みと役割・コンプライアンスの ポイントをつかむ •  サイバーセキュリティに関する法律・ガイドライン •  業界・地域・目的別の連携活動、国際的な取り組み •  企業、担当者、コミュニティの連携 7 ビジネスイネーブラーとして「セキュリティ・スキル」 を活用する •  ビジネスイネーブラーのセキュリティ •  セキュリティイニシアティブが「サイバーセキュリ ティ・スキル」を着々とアップデートしていく方法 必要なのは、セキュリティ関係者じゃない人が 「サイバーセキュリティ・スキル」を身につけることではないか?
  • 13. Enabling Security ©2016 Asterisk Research, Inc. 13 ー 一般教養としてのセキュリティで今、いちばん情報が足りない分野はなんでしょうか?  設計・開発段階からセキュリティの機能を組み込む「セキュアプログラミング」 だろう。… すべてのプログラマーがセキュアプログラミングを常識として知っているべきだと 思うが、残念ながらセキュアプログラミングを学ぶための情報は限られている。 山口 英 奈良先端科学技術大学院大学教授, JPCERT/CC設立者, 内閣官房初代情報セキュリティ補佐官 http://itpro.nikkeibp.co.jp/atcl/interview/14/262522/090700192/?ST=management&P=4
  • 15.
  • 17. セキュリティ計画配分は | Enabling Security | ©Asterisk Research, Inc. 17 フェーズ Percent 企画・要件定義フェーズ 53.4% 設計フェーズ 16.5% 開発中 14.6% コードのチェックイン 4.9% リリース前 8.7% Other 1.9% 出典:SANS Institute (2015)
  • 18. OWASP Top 10 Enabling Security ©2016 Asterisk Research, Inc. 18 出典:SANS Institute (2015)
  • 19. OWASP Top 10 容易 x 甚大な影響を及ぼす脆弱性。 Enabling Security ©2016 Asterisk Research, Inc. 19 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング (XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
  • 20. 「事前の策」 OWASP Proactive Controls 1.  クエリのパラメータ化 2.  エンコード処理 3.  入力値検証 4.  適切なアクセス制御 5.  アイデンティティ及び認証制御 6.  データ及びプライバシー保護 7.  ロギング、エラーハンドリング、侵入検知 8.  フレームワークとセキュリティライブラリの活用 9.  セキュリティ要件の考慮 10.  セキュリティ設計 16/02/05 ©2015 Asterisk Research, Inc. 20
  • 21. 原因をどうにかする「事前の策」 OWASP Proactive Controls 2016 1.  Verify for Security Early and Often 2.  Parameterize Queries 3.  Encode Data 4.  Validate All Inputs 5.  Implement Identity and Authentication Controls 6.  Implement Appropriate Access Controls 7.  Protect Data 8.  Implement Logging and Intrusion Detection 9.  Leverage Security Frameworks and Libraries 10.  Error and Exception Handling 16/02/05 ©2015 Asterisk Research, Inc. 21 2016年1月リリース 日本語版もやってます 1.開発段階の早期に、繰り返しセキュリティ検証する 2.クエリーのパラメータ化 3.エンコード処理 4.全ての入力値を検証する 5.アイデンティティと認証 6.アクセス制御の実装 7.データの保護 8.ロギングと侵入検知 9.セキュリティフレームワークやライブラリの活用 10.エラー処理と例外処理
  • 22. 原因 → 結果 正しい設計とコーディング → 脆弱性根絶。 16/02/05 ©2015 Asterisk Research, Inc. 22 OWASP Top 10 1:インジェク ション 2:認証とセッ ション管理の不 備 3:クロスサイト スクリプティン グ 4:安全でないオ ブジェクト直接 参照 5:セキュリティ 設定のミス 6:機密データの 露出 7:機能レベルの アクセス制御の 欠落 8:クロスサイト リクエスト フォージェリ 9:既知の脆弱性 を持つコンポー ネントの使用 10:未検証のリ ダイレクトと フォワード ProactiveControls 1: クエリのパラメータ化 ✔ 2: エンコード処理 ✔ ✔ 3: 入力値検証 ✔ ✔ ✔ 4: 適切なアクセス制御 ✔ ✔ 5: アイデンティティ及び認証制御 ✔ 6: データ及びプライバシー保護 ✔ 7: ロギング、エラーハンドリング、侵 入検知 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 8: フレームワークとセキュリティライ ブラリの活用 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 9: セキュリティ要件の考慮 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 10: セキュリティ設計 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
  • 23. ©2016 Asterisk Research, Inc. “Build Security In” ステージゲートと対策のマッピング 犯罪 ケース セキュリティ 要件 脅威 分析 リスクベース テストプラン コード 検査 ペネトレーション テスト ビルド 品質分析 セキュリティ 運用 vulnerability 1.開発の早い段階に、繰り返しセキュリティ検証 2.クエリーのパラメータ化 3.エンコード処理 4.全ての入力値を検証する 5.アイデンティティと認証 6.アクセス制御の実装 7.データの保護 8.ロギングと侵入検知 9.セキュリティフレームワークやライブラリの活用 10.エラー処理と例外処理
  • 24. Enabling Security ©2016 Asterisk Research, Inc. 24 出典:SANS Institute (2015)
  • 25.
  • 26. Built-In Security Boot Camp (CodeZine Academy Edition) で、もう少し詳しく学べます Enabling Security ©2016 Asterisk Research, Inc. 26 “明日の開発リーダーを育てる学校” CodeZine Academy Built-In Security Boot Camp http://event.shoeisha.jp/cza/20160307 http://event.shoeisha.jp/cza/201603073/7, 8開講分、絶賛受講申込受付中
  • 27. Built-In Security Boot Camp (CodeZine Academy Edition) DAY1 脆弱性とその対応:脆弱性のあるコードとその修正 DAY2 プロアクティブな手法:脆弱性の発生を防ぐコーディングとプロセス Enabling Security ©2016 Asterisk Research, Inc. 27 UNIT SKILLS 1 サイバーセキュリティ情勢とビルトイン・セキュリティの意義 (PCI DSS要件) 2 ソフトウェアの脆弱性、脅威と対策 - OWASP Top 10/CWE/SANS TOP 25 より 3 脆弱性修正ハンズオン (サンプルコードによる実習) 4 ワークショップ: ソフトウェアセキュリティ問題の情報収集とアクション 5 脆弱性の発生を防ぐ設計・コーディング (Proactive Controls) 6 脆弱性の発生を防ぐプロセス、ガイドライン (PCI DSS、ASVS、SDL) 7 ワークショップ:セキュア設計・開発のチームへの導入 8 ソフトウェア開発ライフサイクルにかかわる情報収集とアクション(BSIMM、OpenSAMM) http://event.shoeisha.jp/cza/201603073/7, 8開講分、絶賛受講申込受付中