シフトレフト戦略と沖縄県

シフトレフト戦略と沖縄県OWASP Japan Lead

Hardening Projectオーガナイザ株式会社アスタリスク・リサーチ

岡田良太郎

[email protected] ©AsteriskResearch,Inc. 1

EnablingSecurity ©AsteriskResearch,Inc. 2

産経新聞平成29年3月14日生活面２週間で５千ダウンロード超と、このジャンルの本としては記録的な数字を示した。

検索：NO MORE 情報漏えい

OWASPJapanChapterLeadmission:ソフトウェアセキュリティについて

意思決定をする人のために役立つ十分な情報を提供すること

• OWASP NAGOYA 2017 設立予定

• OWASPFUKUSHIMA2016金子正人・山寺純• OWASPOKINAWA淵上真一・又吉伸穂

• OWASPSENDAI 2015 小笠貴晴・佐藤ようすけ

• OWASPKYUSHU2015 服部祐一・花田智洋• OWASPKANSAI2014長谷川陽介・斉藤太一・三木剛• OWASPJAPAN2011 岡田良太郎・上野宣

⽇本のチャプター (地域の集まり)

OWASP Top 10 グローバルで⼤⼈気

©2016AsteriskResearch,Inc. 6

出典：SANSInstitute (2015)

https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project

• アタックサーフィスの概説• 脅威エージェント• 攻撃の経路（アタックベクター）• セキュリティの弱点• 技術面のインパクト• ビジネス面のインパクト• 脆弱性の例• 攻撃の例• この問題を避けるガイダンス• OWASP、他のリソース・参照情報• 製造者、開発者、消費者それぞれが考慮すべきことのリスト

I1 安全でないウェブインターフェースI2 欠陥のある認証・認可機構I3 安全でないネットワークサービスI4 通信路の暗号化の欠如I5 プライバシーI6 安全でないクラウドインターフェースI7 弱いモバイルインターフェースI8 設定の不備I9 ソフトウェア・ファームウェアの問題I10物理的な問題

OWASP Internet of Things Project

OWASP OpenSAMM77項⽬で開発運⽤チームの強度を調べる

©2015AsteriskResearch,Inc.8

ソフトウェア開発

ガバナンス構築検証デプロイ

戦略＆指標

ポリシー＆コンプライアンス

教育＆指導

脅威の査定

セキュリティー要件

セキュアなアーキテクチャ

設計レビュー

コードレビュー

セキュリティテスト

脆弱性管理

環境の堅牢化

運用体制の

セキュリティ対応

ep s

Before


After

EnablingSecurity ©2015AsteriskResearch,Inc. 10

脅威 vs 対策

% of Attacks

90%

データ侵害の原因

95%

5%

報告されたセキュリティ侵害の原因の95％はアプリケーション層

検査した95％以上のサイトは深刻な脆弱性を抱えている

NIST

アプリケーションのセキュリティ確保に気を配っていない。

セキュリティ関連支出の大半がネットワークに費やされている。

Network

Applications% of Dollars

セキュリティ支出

10%

90%

脆弱性テスト

直す隠す無視・あきらめ

出典：SANSInstitute (2015)Q.“TopChallengesforBuildersandDefenders”

アプリケーションセキュリティ？「出荷前のテストはやっています」

69%EnablingSecurity ©AsteriskResearch,Inc. 13

32⽇EnablingSecurity ©AsteriskResearch,Inc. 14

5000万円〜3億円


“Internet of Things”

⼩さなデバイス細かなネットワーク

多くのAPI積もるデータ

98% or 68%EnablingSecurity ©AsteriskResearch,Inc. 18


「全国最下位です」

http://gan-info.pref.aomori.jp/public/index.php/ct05/a51.html


・向き合うキャンペーン・がん検診・がん登録・がん対策推進企業連携協定の締結企業・診療連携

シフトレフト！

0

20

40

60

80

100

設計構築検証運用

1 6.5 15

対応コスト 100

©AsteriskResearch,Inc. 21

SHIFTLEFT

原因85

事前の策：OWASP Proactive Controls

EnablingSecurity ©2016AsteriskResearch,Inc. 22

OWASP Top 10 Proactive Controls 20161: 早期に、繰り返しセキュリティを検証する2: クエリーのパラメータ化3: データのエンコーディング4: すべての⼊⼒値を検証する5: アイデンティティと認証管理の実装6: 適切なアクセス制御の実装7: データの保護8: ロギングと侵⼊検知の実装9: セキュリティフレームワークやライブラリの活⽤10: エラー処理と例外処理

⽇本語もありますhttps://www.owasp.org/images/a/a8/OWASPTop10ProactiveControls2016-Japanese.pdf

1000:1

システムコードの90％

• WordPress:423,759• PHP: 3,617,916• Apache:1,832,007• Linux:18,963,973

2017年「いかにアプリを構築し、実装するか、新たな議論が巻き起こる」

• 11thingswethinkwillhappeninbusinesstechnologyin2017

• “Anewdebateinhowtobuildandshipapplications.”

BusinessInsider誌,Jan.2,2017

DevSecOps = 開発 x セキュリティ x 運⽤

ビジネス要件

カイハツ

運用

セキュリティ

ウォーターフォール

アジャイル DevOps DevSecOps

!

予防的開発 x 繰り返し検証 x 連携運⽤

Ops

Sec

Dev


1. 予防的開発：

リスクとポリシーガイドラインと教育適した材料選び

2. 繰り返し検証：

⾃動ツールの活⽤最短時間で問題認識検証結果の統合と共有

3. デプロイ・運⽤：

確実なアップデート正常と異常の⾒極め開発へのフィードバック

SUMMARY

1. ハイブリッド

2. セキュリティバイデザイン

3. セキュリティは総⼒戦


IT= I x T

重点分野

39

Hardening Project2015/10

動画サイトで閲覧可能：http://www.nikkei.com/article/DGXMZO92573760X01C15A0000000/

次は6⽉23,24⽇http://wasforum/jp

40

琉球朝日放送で密着取材：ハッカーから情報守るハードニングプロジェクトとは

http://www.qab.co.jp/news/2016110484925.html

2016年11月4日18時45分放送

次は6⽉23,24⽇http://wasforum/jp

SHIFTLEFT

着実なものづくりでITイニシアチブを

シフトレフト戦略と沖縄県

Business

Transcript of シフトレフト戦略と沖縄県