戦後沖縄における「花ブロック」の変成戦後沖縄における「花ブロック」の変成 24 49 ることを挙げ、1950年代にカリフォルニアやフロリダ、ハワイなどで普及したスクリーンブロック
シフトレフト戦略と沖縄県
-
Upload
riotaro-okada -
Category
Business
-
view
6 -
download
0
Transcript of シフトレフト戦略と沖縄県
![Page 1: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/1.jpg)
シフトレフト戦略と沖縄県OWASP Japan Lead
Hardening Projectオーガナイザ株式会社アスタリスク・リサーチ
岡田良太郎
[email protected] ©AsteriskResearch,Inc. 1
![Page 2: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/2.jpg)
EnablingSecurity ©AsteriskResearch,Inc. 2
産経新聞平成29年3月14日生活面2週間で5千ダウンロード超と、このジャンルの本としては記録的な数字を示した。
検索:NO MORE 情報漏えい
![Page 3: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/3.jpg)
OWASPJapanChapterLeadmission:ソフトウェアセキュリティについて
意思決定をする人のために役立つ十分な情報を提供すること
![Page 4: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/4.jpg)
![Page 5: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/5.jpg)
• OWASP NAGOYA 2017 設立予定
• OWASPFUKUSHIMA2016金子正人・山寺純• OWASPOKINAWA淵上真一・又吉伸穂
• OWASPSENDAI 2015 小笠貴晴・佐藤ようすけ
• OWASPKYUSHU2015 服部祐一・花田智洋• OWASPKANSAI2014長谷川陽介・斉藤太一・三木剛• OWASPJAPAN2011 岡田良太郎・上野宣
⽇本のチャプター (地域の集まり)
![Page 6: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/6.jpg)
OWASP Top 10 グローバルで⼤⼈気
©2016AsteriskResearch,Inc. 6
出典:SANSInstitute (2015)
![Page 7: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/7.jpg)
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project
• アタックサーフィスの概説• 脅威エージェント• 攻撃の経路(アタックベクター)• セキュリティの弱点• 技術面のインパクト• ビジネス面のインパクト• 脆弱性の例• 攻撃の例• この問題を避けるガイダンス• OWASP、他のリソース・参照情報• 製造者、開発者、消費者それぞれが考慮すべきことのリスト
I1 安全でないウェブインターフェースI2 欠陥のある認証・認可機構I3 安全でないネットワークサービスI4 通信路の暗号化の欠如I5 プライバシーI6 安全でないクラウドインターフェースI7 弱いモバイルインターフェースI8 設定の不備I9 ソフトウェア・ファームウェアの問題I10物理的な問題
OWASP Internet of Things Project
![Page 8: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/8.jpg)
OWASP OpenSAMM77項⽬で開発運⽤チームの強度を調べる
©2015AsteriskResearch,Inc.8
ソフトウェア開発
ガバナンス 構築 検証 デプロイ
戦略&指標
ポリシー&コンプライアンス
教育&指導
脅威の査定
セキュリティー要件
セキュアなアーキテクチャ
設計レビュー
コードレビュー
セキュリティテスト
脆弱性管理
環境の堅牢化
運用体制の
セキュリティ対応
ep s
![Page 9: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/9.jpg)
Before
EnablingSecurity ©AsteriskResearch,Inc. 9
![Page 10: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/10.jpg)
After
EnablingSecurity ©2015AsteriskResearch,Inc. 10
![Page 11: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/11.jpg)
脅威 vs 対策
% of Attacks
90%
データ侵害の原因
95%
5%
報告されたセキュリティ侵害の原因の95%はアプリケーション層
検査した95%以上のサイトは深刻な脆弱性を抱えている
NIST
アプリケーションのセキュリティ確保に気を配っていない。
セキュリティ関連支出の大半がネットワークに費やされている。
Network
Applications% of Dollars
セキュリティ支出
10%
90%
![Page 12: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/12.jpg)
脆弱性テスト
直す 隠す無視・あきらめ
出典:SANSInstitute (2015)Q.“TopChallengesforBuildersandDefenders”
アプリケーションセキュリティ?「出荷前のテストはやっています」
![Page 13: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/13.jpg)
69%EnablingSecurity ©AsteriskResearch,Inc. 13
![Page 14: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/14.jpg)
32⽇EnablingSecurity ©AsteriskResearch,Inc. 14
![Page 15: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/15.jpg)
5000万円〜3億円
EnablingSecurity ©AsteriskResearch,Inc. 15
![Page 16: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/16.jpg)
“Internet of Things”
![Page 17: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/17.jpg)
⼩さなデバイス細かなネットワーク
多くのAPI積もるデータ
![Page 18: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/18.jpg)
98% or 68%EnablingSecurity ©AsteriskResearch,Inc. 18
![Page 19: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/19.jpg)
EnablingSecurity ©AsteriskResearch,Inc. 19
「全国最下位です」
http://gan-info.pref.aomori.jp/public/index.php/ct05/a51.html
![Page 20: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/20.jpg)
EnablingSecurity ©AsteriskResearch,Inc. 20
・向き合うキャンペーン・がん検診・がん登録・がん対策推進企業連携協定の締結企業・診療連携
![Page 21: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/21.jpg)
シフトレフト!
0
20
40
60
80
100
設計 構築 検証 運用
1 6.5 15
対応コスト 100
©AsteriskResearch,Inc. 21
SHIFTLEFT
原因85
![Page 22: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/22.jpg)
事前の策:OWASP Proactive Controls
EnablingSecurity ©2016AsteriskResearch,Inc. 22
OWASP Top 10 Proactive Controls 20161: 早期に、繰り返しセキュリティを検証する2: クエリーのパラメータ化3: データのエンコーディング4: すべての⼊⼒値を検証する5: アイデンティティと認証管理の実装6: 適切なアクセス制御の実装7: データの保護8: ロギングと侵⼊検知の実装9: セキュリティフレームワークやライブラリの活⽤10: エラー処理と例外処理
⽇本語もありますhttps://www.owasp.org/images/a/a8/OWASPTop10ProactiveControls2016-Japanese.pdf
![Page 23: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/23.jpg)
1000:1
![Page 24: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/24.jpg)
システムコードの90%
![Page 25: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/25.jpg)
• WordPress:423,759• PHP: 3,617,916• Apache:1,832,007• Linux:18,963,973
![Page 26: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/26.jpg)
2017年「いかにアプリを構築し、実装するか、新たな議論が巻き起こる」
• 11thingswethinkwillhappeninbusinesstechnologyin2017
• “Anewdebateinhowtobuildandshipapplications.”
BusinessInsider誌,Jan.2,2017
![Page 27: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/27.jpg)
DevSecOps = 開発 x セキュリティ x 運⽤
ビジネス要件
カイハツ
運用
セキュリティ
ウォーターフォール
アジャイル DevOps DevSecOps
!
![Page 28: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/28.jpg)
予防的開発 x 繰り返し検証 x 連携運⽤
Ops
Sec
Dev
EnablingSecurity ©AsteriskResearch,Inc. 28
1. 予防的開発:
リスクとポリシーガイドラインと教育適した材料選び
2. 繰り返し検証:
⾃動ツールの活⽤最短時間で問題認識検証結果の統合と共有
3. デプロイ・運⽤:
確実なアップデート正常と異常の⾒極め開発へのフィードバック
![Page 29: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/29.jpg)
SUMMARY
![Page 30: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/30.jpg)
1. ハイブリッド
![Page 31: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/31.jpg)
2. セキュリティバイデザイン
![Page 32: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/32.jpg)
3. セキュリティは総⼒戦
![Page 33: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/33.jpg)
売上EnablingSecurity ©AsteriskResearch,Inc. 33
![Page 34: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/34.jpg)
成⻑EnablingSecurity ©AsteriskResearch,Inc. 34
![Page 35: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/35.jpg)
成⻑ >売上EnablingSecurity ©AsteriskResearch,Inc. 35
![Page 36: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/36.jpg)
5〜8万円/⼈EnablingSecurity ©AsteriskResearch,Inc. 36
![Page 37: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/37.jpg)
EnablingSecurity ©AsteriskResearch,Inc. 37
IT= I x T
![Page 38: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/38.jpg)
重点分野
![Page 39: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/39.jpg)
39
Hardening Project2015/10
動画サイトで閲覧可能:http://www.nikkei.com/article/DGXMZO92573760X01C15A0000000/
次は6⽉23,24⽇http://wasforum/jp
![Page 40: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/40.jpg)
40
琉球朝日放送で密着取材:ハッカーから情報守るハードニングプロジェクトとは
http://www.qab.co.jp/news/2016110484925.html
2016年11月4日18時45分放送
次は6⽉23,24⽇http://wasforum/jp
![Page 41: シフトレフト戦略と沖縄県](https://reader031.fdocuments.net/reader031/viewer/2022030307/58e49b8e1a28abf5428b5115/html5/thumbnails/41.jpg)
SHIFTLEFT
着実なものづくりでITイニシアチブを