2017/12/1 Checkmarx Security Conference Tokyo 2017での講演資料 (公開版)  「成長するサービスのセキュリティを実現する３つの視点とシフトレフト」 by 岡田良太郎 Riotaro OKADA

1. The Shift left path
成長するサービスのセキュリティを実現する３つの視点とシフトレフト

2. 岡⽥良太郎
OWASP JAPAN 代表
アスタリスク・リサーチ
代表取締役
シフトレフト
エヴァンジェリスト
@okdt

3. Enabling Security ©Asterisk Research, Inc. 3http://www.lefigaro.fr/secteur/high-tech/2017/01/30/32001-20170130ARTFIG00169-un-virus-informatique-paralyse-un-hotel-de-luxe-en-autriche.php

4. CSIRT数は増加。
http://itpro.nikkeibp.co.jp/atclact/active/16/092700102/092700001/
2017年、243
“可燃物”を放置したまま
消防団を結成？

5. 3 enemies
• “セキュリティ投資”
• OSS
• 脆弱性対応
「カエサルの死」（ヴィンチェンツォ・カムッチーニ）

6. アプリケーション
プレゼンテーション
セッション
トランスポート
ネットワーク
データリンク
物理層

7. アプリ
バックエンド
Web service
Apple / Google / Amazon

8. ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア

9. 問題はどこで起きているのか

10. ソフトウェア

11. セキュリティ投資はリスクに見合っているか
% of Attacks
90%
脅威
95%
92%
脆弱性報告の92％
はアプリケーション
95%アプリケーション
に深刻な脆弱性
NIST
教育、テスト、ツールに
は費やされていない
セキュリティ関連支出
の大半がネットワーク
、箱物、パッケージに消
費されている
Network
Applications
% of Dollars
対策
10%
90%

12. Report
NRI Secure Information Security Report 2015

13. Report
NRI Secure Information Security Report 2015

14. 2017年「いかにアプリを構築し、実装するか、
新たな議論が巻き起こる」
• 11 things we think will happen in
business technology in 2017
• “A new debate in how to
build and ship applications.”
Business Insider誌, Jan. 2, 2017

15. 3 enemies
• 脆弱性対応
• OSS
• セキュリティ投資
「カエサルの死」（ヴィンチェンツォ・カムッチーニ）

16. 自作アプリケーションとサードパーティ

17. ©2015 Asterisk Research, Inc. 17
2016/11 リリース
NISTIR-8151
Dramatically Reducing
Software Vulnerabilities
Report to the White House Office of Science
and Technology Policy
Dramatic
業界平均 1-25 errors per 1000 lines of code.
これを 2.5 errors per 10000 lines of code
にできるプロセスとメソドロジをリサーチ

18. Lines of code
• WordPress: 423,759
• PHP: 3,617,916
• Apache: 1,832,007
• Linux: 18,963,973

19. 「OSSを使いこなす」とは
1. 組織のソフトウェア資産目録の作成
2. 新しく発見された脆弱性およびセキュリティ・パッチの識別
3. 優先的なパッチの適用
4. 組織に特有のパッチ・データベースの作成
5. パッチ・テスト
6. パッチおよび脆弱情報の配布
7. ネットワークおよびホスト脆弱性スキャン
によるパッチ適用の確認
8. 脆弱性データベースを利用したシステム管理の
トレーニング
9. パッチの自動適用
+ 10. 適切なOSSモジュールの選択
IPA「オープンソース・ソフトウェアの セキュリティ確保に関する調査報告書」part4

20. OSS利用のポイント
• 要件定義の段階でシステム・セキュリティの優先順位を決定する。
• 設計チームは利用可能な適切なOSSリストを持ち、そこから安全につくりや
すい・継続的にメンテしやすいコンポーネントリストを実装チームに提供す
る。
• 実装チームは、外部モジュールの利用を独断しない。ただし、いつでも相
談できる。
• 運用チームは、OSSセキュリティ脆弱性をアプリケーションのログから管理
し、開発・設計チームへのフィードバックはどれほどあるか
©Asterisk Research, Inc. 20

21. NISTIR 8151 said
• Aはソフトウェアセキュリティ保証の価値：
• p = 開発プロセス
• s = セキュリティテスト
• e = 実行環境
•A = f（p, s, e）
21

22. 3 enemies
• セキュリティ投資
• OSS
• 脆弱性対応
「カエサルの死」（ヴィンチェンツォ・カムッチーニ）

23. 「教養として、セキュアプログラミングが一番足りない」
23http://itpro.nikkeibp.co.jp/atcl/interview/14/262522/090700192/
奈良先端科学技術大学院大学 山口英教授

24. Web Interfaceに主眼のある脆弱性ガイド
OWASP Top 10
©2016 Asterisk Research, Inc. 24
出典：SANS Institute (2015)

25. テスト(DAST)
直す 隠す無視・
あきらめ
テスト(SAST)
開発サイドの悩み
アプリケーションセキュリティスキ
ルとツールの不足
予算配分管理の欠如
デリバリー再優先
セキュリティチームの悩み
全アプリケーション資産の把握がで
きていない
開発、セキュリティ、事業部のサ
イロ化によるコミュニケーションコ
スト増
脆弱性修正すると動かなくなるこ
とへの恐れ
出典：SANS Institute (2015)
Q. “Top Challenges for Builders and Defenders ”
?
「リリース間際のセキュリティテストは実施しています！」
しかも高額。

26. 本当に重点を置くべきところはリリース直前ではない
| Enabling Security | ©Asterisk Research, Inc. 26
フェーズ Percent
企画・要件定義フェーズ 53.4%
設計フェーズ 16.5%
開発中 14.6%
コードのチェックイン 4.9%
リリース前 8.7%
Other 1.9%
出典：SANS Institute (2015)

27. 負のバリューチェイン
楽観的で
薄めの
現状認識
牧歌的な
要件
正常機能
偏重の
設計
無頓着な
コード
ありえない
ぜい弱な
システム
攻撃成立
=インシデン
ト
ビジネスイ
ンパクト

28. 負のバリューチェインは
シフトレフトチェインで断ち切れる
楽観的で
薄めの
現状認識
牧歌的な
要件
正常機能
偏重の
設計
無頓着な
コード
ありえない
ぜい弱な
システム
攻撃成立
=インシデン
ト
ビジネスイ
ンパクト
SHIFT LEFTSHIFT LEFTSHIFT LEFT
教育
侵害ケース
リスクプロ
ファイリング
脅威分析
セキュリティ
アーキテク
チャ
開発時コー
ドレビュー
静的解析
SAST
動的解析
DAST
RASP/
Red Teaming

29. システムのセキュリティ問題
原因の85%は構築。
©Asterisk Research, Inc. 29
0
10
20
30
40
50
60
70
80
90
100
設計 構築 検証 運用
1 6.5
15
対応コスト 100
SHIFT LEFT

30. 自動車の場合: 「何をどのように作るか」が重要
プレス 溶接 塗装 組立 検査
開発 生産技術 生産

31. OWASP Top 10のアンサードキュメント：
OWASP Proactive Controls – “事前のリスク制御”
Enabling Security ©2016 Asterisk Research, Inc. 31
1: 早期に、繰り返しセキュリティを検証する
2: クエリーのパラメータ化
3: データのエンコーディング
4: すべての⼊⼒値を検証する
5: アイデンティティと認証管理の実装
6: 適切なアクセス制御の実装
7: データの保護
8: ロギングと侵⼊検知の実装
9: セキュリティフレームワークやライブラリの活⽤
10: エラー処理と例外処理

32. 原因と結果の対応を見れば効果は歴然としている。
正しい構築手法とプロセス → 複数の脆弱性を激減させる。大半が設計・コーディングの方式。
©2016 Asterisk Research, Inc. 32
OWASP Top 10
1:インジェクション
2:認証とセッション
管理の不備
3:クロスサイトスク
リプティング
4:安全でないオブ
ジェクト直接参照
5:セキュリティ設定
のミス
6:機密データの露出
7:機能レベルのアク
セス制御の⽋落
8:クロスサイトリク
エストフォージェリ
9:既知の脆弱性を持
つコンポーネントの使
⽤
10:未検証のリダイレ
クトとフォワード
ProactiveControls
1: 早期に、繰り返しセキュリティを検証する ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
2: クエリーのパラメータ化 ✔
3: データのエンコーディング ✔ ✔
4: すべての⼊⼒値を検証する ✔ ✔ ✔
5: アイデンティティと認証管理の実装 ✔
6: 適切なアクセス制御の実装 ✔ ✔
7: データの保護 ✔
8: ロギングと侵⼊検知の実装 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
9: セキュリティフレームワークやライブラリの活⽤ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
10: エラー処理と例外処理 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
OWASP Top 10 x Proactive Controls
MAPPING

33. 「ムラ」の問題
• 均質に開発しにくい

34. ムラをなくす Enterprise Security API

35. 設計段階でできることは実装に貢献する
©Asterisk Research, Inc. 35
0
10
20
30
40
50
60
70
80
90
100
設計 構築 検証 運用
1 6.5
15
対応コスト 100
SHIFT LEFT
SHIFT LEFT

36. IEEE ソフトウェア設計における欠陥トップ１０を避ける方法
ソフトウェアのセキュリティ設計における欠陥を、いかに
して回避するか記述したドキュメント
1. 信頼
2. 認証メカニズム
3. 認証と認可
4. データと制御命令の分離
5. すべてのデータの明示的検証
6. 暗号化
7. 機密データ識別と取り扱い
8. ユーザ
9. 外部コンポーネントの統合とアタックサーフィス
10. オブジェクトやアクタの将来的変化
https://cybersecurity.ieee.org/blog/2015/11/13/avoiding-the-top-10-security-flaws/
Security-JAWS 36

37. “SHIFT LEFT TESTING”
https://en.wikipedia.org/wiki/Shift_left_testing

38. “SHIFT LEFT TESTING” - DevOps
https://en.wikipedia.org/wiki/Shift_left_testing
コードレビュー
ピアレビュー+自動化
テスト自動化
何時間もかかるSASTテスト？
デリバリー自動化
CI/CD とイシュートラッカー

39. NISTIR 8151 said
• Aはソフトウェアセキュリティ保証の価値：
• p = 開発プロセス
• s = セキュリティテスト
• e = 実行環境
•A = f（p, s, e）
39

40. OWASP SAMM
ソフトウェアセキュリティ保証成熟度モデル
©2015 Asterisk Research, Inc. 40
グローバルのOWASP コミュニティが策定 ・ 日本語訳は経済産業省のプロジェクトで翻訳
レベル1 アドホック
レベル2 方針化
レベル3 組織的取り組み
X
「ガバナンス」
「実装」
「検証」
「デプロイ」

41. まさに A = f（p, s, e）
©2015 Asterisk Research, Inc.41
ソフトウェア開発
ガバナンス 構築 検証 デプロイ
戦略＆指標
ポリシー＆コンプライアンス
教育＆指導
脅威の査定
セキュリティー要件
セキュアなアーキテクチャ
設計レビュー
コードレビュー
セキュリティテスト
脆弱性管理
環境の堅牢化
運用体制の
セキュリティ対応
ep s

42. Case
©Asterisk Research, Inc. 42
s
e
p

43. Build your strategy!
43
s
e
p

44. SHIFT LEFT KPI
• 運用管理チームは脆弱性やアプリケーションのログを管理し、
開発・設計チームへのフィードバックを提供しよう
• 実装チームは、どうすればセキュアなのかを確信できる方法を構築しよう。
それをすぐに手早く検証できる手段を整備しよう
• 設計チームは、つくりやすい・メンテしやすい・壊されにくいコンポーネントや、
アーキテクチャの選択、攻撃面の認識、リスクベーステスト計画を。
• 要件定義の段階でセキュリティ品質・施策の優先順位を決定しているか。
コンプライアンスの影響はどこにあるか。
• 開発・運用イニシアチブとして、情報・教育・ツールを備えよう。そして、更新しよう。
44

45. SHIFT LEFT

46. 46Enabling Security©Asterisk Research, Inc.
98% or 68%
がん患者の生存率比較

47. 47Enabling Security©Asterisk Research, Inc.
青森県の平均寿命は、男女ともに全国最下位です
がんによる死亡率が高いことが、平均寿命に大きく
影響しています。
http://gan-info.pref.aomori.jp/public/index.php/ct05/a51.html

48. 改
善
率
→
死亡率→

49. 49Enabling Security©Asterisk Research, Inc.
・向き合うキャンペーン
・がん検診
・がん登録
・がん対策推進企業連携
協定の締結企業
・診療連携

50. Who is OWASP?

51. OWASP NAGOYA 2017 坂梨 功典、村井 剛
OWASP NATORI 2017 佐藤 将太
OWASP FUKUSHIMA 2016 金子正人・山寺純
OWASP OKINAWA 2016 淵上真一・又吉伸穂
OWASP SENDAI 2015 小笠貴晴・佐藤ようすけ
OWASP KYUSHU 2015 服部 祐一・花田智洋
OWASP KANSAI 2014 長谷川陽介・三木剛
OWASP JAPAN 2011 岡田良太郎・上野宣
OWASP Community in Japan

52. Hardening Project
IPA セキュリティ１０大脅威, JPCERT/CC,
総務省サイバー演習CYDER, SECON,
沖縄サイバーセキュリティネットワーク, Security Camp,
IoT x Healthcare Hackathon

53. 16Years of community service

54. 25Academic Supporters

55. 68Paid Corporate Memberships

56. 93Active Projects

57. 129+Government & Industry Citations!
IoTのセキュリティ設計
IoTのセキュリティガイド
IoTシステムにおける脅威分析と
対策検討の実施例
IoTセキュリティの根幹を⽀える
暗号技術
OWASP IoT Projectを詳述！

58. 276Active Chapters

59. 55,000+participants mailing lists

60. 2,005,000owasp.org page views (per month)

61. 2017.9.30 #OWASP #OWT2017JP

63. Security is
everyone’s
responsibility

64. SHIFT LEFT
「30秒の確認と3時間のやり直し、
どっちがいい？」
＠某社ベテラン技術者

65. SHIFT LEFT
「 過ちを気に病むことはない。
ただ認めて、次への糧とすればいい。
それが、大人の特権だ」
@フル・フロンタル

66. 「セキュリティ被害で平均30日も業務が止まるんだって。
今日終わるアップデート、やっとこっか😘✨」
#シフトレフト
#月例セキュリティアップデートの日
#シフトレフト
タグ
絶賛啓発中
@kazuhach

67. SHIFT LEFT
「仕入れと仕込みを学ぶことが大事ってことだ」
@築地の板前

68. SHIFT LEFT
#シフトレフト
あなたにとっては？

69. SHIFT LEFT
#シフトレフト

70. みなさんの
シフトレフト
をここに!

71. 71
JOIN OWASP

72. OWASP Japan