4 Enemies of DevSecOps 2016

Riotaro OKADA
Riotaro OKADAresearcher em Asterisk Research, Inc. / OWASP / Hardening Project / BBT Univ
4 enemies of DevSecOps 岡田良太郎 riotaro@owasp.org
「リスクが許容値を下回るのが 情報セキュリティのコンセプト」
Faculty of Business Breakthrough (BBT) 「教養としてのサイバーセキュリティ」
企業は何を守るべきなのか アプリケーションセキュリティ アプリケーション、データ、業務を 守るもの ネットワークセキュリティ サーバ、ネットワーク設備、 データベースサーバを守るもの
ビジネス環境は騒ぎ始めている “2013年、監査した96% に1つ以上の深刻な脆弱性” - Cenzic Vulnerability Report 2014 報告されたセキュリティ問題の95% はアプリケーション - NIST グローバルでは…コンプライアンス・規制・業界の動き – “データ”を安全に • PCI DSS, HIPAA, SOX, California Security Breach Information Act (SB-1386)
Case: HTTP, HTTPS
DevSecOps = DevOps + Sec ビジネス要件 カイハツ 運用 セキュリティ ウォーター フォール アジャイル DevOps DevSecOps !
DevSecOps 4 factors • ネットワーク セキュリティ • 脆弱性対応 • オープンソース ソフトウェア • コンプライアンス 「カエサルの死」(ヴィンチェンツォ・カムッチーニ)
ネットワーク・セキュリティ ブルータス、お前もか
セキュリティ支出の90%は、わずか10%の 攻撃にしか対応していない Sources: Gartner, OWASP Network Server Web Applications % of Attacks % of Dollars 90% セキュリティ攻撃 セキュリティ支出 75% 25% 10% 攻撃の75% はアプリケー ションレイヤー。 80%以上の ウェブサイトは 脆弱性を抱え ている インターネットのア プリケーションの安 全性に気を配って いない。 ネットワーク予算が ITの大半に費やさ れている。
Network security or Application Security L7 =$
CSC-1 許可された機器と無許可の機器の資産一覧 CSC-2 許可されたソフトウェアと無許可のソフトウェアの資産一覧 CSC-3 モバイル装置、ラップトップ、ワークステーション、サーバでの、 ハードウェアおよびソフトウェアのためのセキュアな構成 CSC-4 継続的な脆弱性診断と改善 CSC-5 管理者権限のコントロールされた使用 CSC-6 セキュリティ監査ログの保守、モニタリング、および分析 CSC-7 メールとウェブブラウザの保護 CSC-8 マルウェアの防御 CSC-9 ネットワークポート、プロトコル、サービスの制限とコントロール CSC-10 データ復旧能力 20 Critical Security Controls for Effective Cyber Defense – Version 6より | https://www.sans.org/critical-security-controls 12
Report NRI Secure Information Security Report 2015
Report NRI Secure Information Security Report 2015
オープンソース・ソフトウェア ブルータス、お前もか!
自作アプリケーションとOSS
自作アプリケーションと パッケージ, クラウドサービス, OSS, 3rd party
https://downloads.cloudsecurityalliance.org/whitepapers/Security_Guidance_for_Early_Adopters_of_the_Internet_of_Things.pdf
IoT Open Source “Heat Map” http://www.rtcmagazine.com/articles/view/105734
Error 混入率 “Industry avg: 1-25 errors per 1000 lines” “Microsoft: after 10-20 testing, 0.5 error per 1000 lines” - S. McConnell CODE COMPLETE 第2版
Error 混入率 Lines of code • WordPress: 423,759 • PHP: 3,617,916 • Apache: 1,832,007 • Linux: 18,963,973
1. 利用状況把握、2. 自動更新テスト、3. アップデート http://codezine.jp/article/detail/9608?p=4 OWASP Dependency Check
1. 利用状況把握、2. 自動更新テスト、3. アップデート http://qiita.com/sadayuki-matsuno/items/0bb8bb1689425bb9a21c Vuls
脆弱性対応 ブルータス、お前もか?
©2016 Asterisk Research, Inc.25 ー 一般教養としてのセキュリティで今、いちばん情報が足りない分野はなんでしょうか? 設計・開発段階からセキュリティの機能を組み込む「セキュアプログラミング」だろう。… すべてのプログラマーがセキュアプログラミングを常識として知っているべきだと思うが、 残念ながらセキュアプログラミングを学ぶための情報は限られている。 山口 英 奈良先端科学技術大学院大学教授, JPCERT/CC設立者, 内閣官房初代情報セキュリティ補佐官 http://itpro.nikkeibp.co.jp/atcl/interview/14/262522/090700192/?ST=management&P=4
脆弱性類型の複雑さ •TOTAL CVE IDs: 79475 (2016/12) http://cve.mitre.org •http://cwe.mitre.org •SNS, Cloud, Bigdata, IoT, マイナンバー…
OWASP Top 10 容易 x 甚大な影響を及ぼす脆弱性。 27 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング (XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
OWASP Top 10 2010-> 2013
大人気 OWASP Top 10 ©2016 Asterisk Research, Inc.29 出典:SANS Institute (2015)
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
テスト (DAST) 直す 隠す無視・ あきらめ テスト (SAST) 開発サイドの悩み アプリケーションセキュリティスキ ルとツールの不足 予算配分管理の欠如 デリバリー再優先 セキュリティチームの悩み 全アプリケーション資産の把握がで きていない 開発、セキュリティ、事業部のサ イロ化によるコミュニケーションコ スト増 脆弱性修正すると動かなくなるこ とへの恐れ 出典:SANS Institute (2015) Q. “Top Challenges for Builders and Defenders ” ? 間際のテストではオワコン
クルマ 33
脆弱性検査 ? |©Asterisk Research, Inc.34 フェーズ Percent 企画・要件定義フェーズ 53.4% 設計フェーズ 16.5% 開発中 14.6% コードのチェックイン 4.9% リリース前 8.7% Other 1.9% 出典:SANS Institute (2015)
「事前の策」 OWASP Proactive Controls 1.開発段階の早期に、繰り返しセキュリティ検証する 2.クエリーのパラメータ化 3.エンコード処理 4.全ての入力値を検証する 5.アイデンティティと認証 6.アクセス制御の実装 7.データの保護 8.ロギングと侵入検知 9.セキュリティフレームワークやライブラリの活用 10.エラー処理と例外処理 35
5. アイデンティティと認証管理の実装 多要素認証 トークン認証 パスワードの保管はどこに? リカバリー方式の実装 セッションの生成と破棄 重要な処理を行う場合には、再認証 パスワードのハッシュ化 https://www.reddit.com/r/funny/comments/1m628n/th ty/
7:データの保護 通信経路のデータは暗号化する データを保存する際の暗号化 保存先を変更する場合にも、 データが保護されるようにする モバイルアプリケーション:端末に安 全にデータを保存する
9.セキュリティフレームワークやライブラリの活用 Spring Apache Shiro Django Security Flask Security 攻撃されやすい ”フレームワーク”もある
原因 → 結果 正しい設計とコーディング → 脆弱性根絶。 39 OWASP Top 10 1:インジェクショ ン 2:認証とセッショ ン管理の不備 3:クロスサイトス クリプティング 4:安全でないオ ブジェクト直接参 照 5:セキュリティ設 定のミス 6:機密データの 露出 7:機能レベルの アクセス制御の 欠落 8:クロスサイトリ クエストフォー ジェリ 9:既知の脆弱性 を持つコンポーネ ントの使用 10:未検証のリダ イレクトとフォ ワード ProactiveControls 1: クエリのパラメータ化 ✔ 2: エンコード処理 ✔ ✔ 3: 入力値検証 ✔ ✔ ✔ 4: 適切なアクセス制御 ✔ ✔ 5: アイデンティティ及び認証制御 ✔ 6: データ及びプライバシー保護 ✔ 7: ロギング、エラーハンドリング、侵入検知 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 8: フレームワークとセキュリティライブラリ の活用 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 9: セキュリティ要件の考慮 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 10: セキュリティ設計 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
Proactive vs Reactive Proactive 予防 脆弱性を悪用されないよう にあらかじめ対策 • 脅威査定による防御計画 • 実装の強化 • 異常の早期発見の仕組み の導入 Reactive 治療 脆弱性を悪用されてからの 事後対応 • システム修正、実装改善 • システムの回復 • 可用性の維持あるいは遮 断
“Build Security In” ステージゲートと対策のマッピング セキュリティ 要件 リスクベース テストプラン コード 検査 ペネトレーション テストビルド 品質分析 セキュリティ 運用 vulnerability 1.開発の早い段階に、繰り返しセキュリティ検証 2.クエリーのパラメータ化 3.エンコード処理 4.全ての入力値を検証する 5.アイデンティティと認証 6.アクセス制御の実装 7.データの保護 8.ロギングと侵入検知 9.セキュリティフレームワークやライブラリの活用 10.エラー処理と例外処理 41
Proximity Advertising https://downloads.cloudsecurityalliance.org/whitepapers/Security_Guidance_for_Early_Adopters_of_the_Internet_of_Things.pdf
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project • アタックサーフィスの概説 • 脅威エージェント • 攻撃の経路(アタックベクター) • セキュリティの弱点 • 技術面のインパクト • ビジネス面のインパクト • 脆弱性の例 • 攻撃の例 • この問題を避けるガイダンス • OWASP、他のリソース・参照情報 • 製造者、開発者、消費者それぞれ が考慮すべきことのリスト I1 安全でないウェブインターフェース I2 欠陥のある認証・認可機構 I3 安全でないネットワークサービス I4 通信路の暗号化の欠如 I5 プライバシー I6 安全でないクラウドインターフェース I7 弱いモバイルインターフェース I8 設定の不備 I9 ソフトウェア・ファームウェアの問題 I10 物理的な問題 OWASP Internet of Things Top 10 もっとも甚大なIoTセキュリティへのアタックサーフィス
Security Touch points アプリケーションが適切な安全性を 持っているかを保証できるよう各段階で働く 犯罪 ケース セキュリティ 要件 脅威 分析 リスクベース テストプラン コード 検査 ペネトレーション テスト ビルド 品質分析 セキュリティ 運用 テスター構築担当 運用担当者ビジネス担当オーナー
コンプライアンス
アプリケーションセキュリティ実施の強い動機 46 Drivers for AppSec Programs Response Percent コンプライアンス、内部監査、調査レポートの率直な指摘 71.5% 漏洩時の経済的打撃に対するリスクベースの意識 69.6% 顧客への「当然の品質」としての魅力提示 39.9% セキュリティ・インシデントの指摘 36.7% 業界の予算、ROI、TCO比較による 33.5% Couching security as a direct “enablement” for new applications 30.4% Other 1.3% 出典:SANS Institute (2015)
他業界のビルド・イン・セキュリティ例: PCI DSSコンプライアンス 47 PCI DSS 3.0要件(引用) 要件6 安全性の高いシステム とアプリケーションを開 発し、保守する 要件6は、現在および変化し続ける脆弱性、および安全なコード化ガイドラインを反 映させるため要件が追加・更新されています。開発環境、開発者トレーニングに関 する要件が更新されています。また、コーディング実践に関する要件が追加されて います。 要件 11: セキュリティシステムお よびプロセスを定期的 にテストする。 要件11では、発展型要件、追加のガイダンス、明確化と多角的に要件が発展して います。特に、脆弱性テストには期間(四半期ごと)のみならず、訂正内容を検証 するための繰り返しテストの要件についても明確化されました。 要件12 すべての担当者の情 報セキュリティに対応 するポリシーを維持す る。 要件12では、2.0に引き続き、担当者教育の重要性が強調されています。入社時、 また年ごとに行うよう規定されています。
他業界のビルド・イン・セキュリティ例: HIPAA コンプライアンス + HITECH法 48 HIPAA Privacy Rule Security Rule Breach Notification Rule Patient Safety Rule https://www.ibm.com/developerworks/jp/cloud/library/cl-hipaa/ http://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html
「セキュリティ・バイ・デザイン」 2015/9/4 サイバーセキュリティ戦略 閣議決定 49
サイバーセキュリティ経営ガイドライン …
4 Enemies of DevSecOps 2016
The biggest barrier is… ©2015 Asterisk Research, Inc.52 RMS Titanic departing Southampton on April 10, 1912. (Photo: Creative Commons)
|©2015 Asterisk Research, Inc.53 NISTIR-8151 Dramatically Reducing Software Vulnerabilities Report to the White House Office of Science and Technology Policy Dramatic Estimates of software vulnerabilities are up to 25 errors per 1000 lines of code. These approaches have been selected for the possibility of getting to 2.5 errors per 10000 lines of code. 3. Measures and Metrics 指標の使用を奨励します。 プロセスを継続的に改善するこのアプローチは、 最高水準の成熟度モデルにあります。 メトリックを使用すると脆弱性は大幅に軽減します。
DevSecOps Metric 1. P = 開発プロセス 2. S = ソフトウェアの検証と分析 3. E = 復元力のある実行環境 Aは保証の価値、 pはプロセスの知識から得られる保証 sは静的および動的分析からの保証 eは厳密な実行環境から得られる保証 A = f(p, s, e) |©2015 Asterisk Research, Inc.54
OWASP SAMM ソフトウェアセキュリティ保証成熟度モデル ソフトウェアセキュリティ保証成熟度モデル http://www.opensamm.org |©2015 Asterisk Research, Inc.55 グローバルのOWASP コミュニティが策定 ・ 日本語訳は経済産業省のプロジェクトで翻訳
SAMM 4カテゴリ・12アクティビティに、成熟度別のベス トプラクティスを定義し、それをアセッサが評価すること により定量化  合計77チェック項目で開発体制の成熟度を評価し、開発の組織の全体像及び特徴を把握  開発アクティビティのガバナンスに関するコアな知識の深化  バランスのよいチームビルディング / 教育 / 運用システムの介入 必要な部分の特定 ©2015 Asterisk Research, Inc.56 ソフトウェア開発 ガバナンス 構築 検証 デプロイ OpenSAMMの特徴 ビジネス機能と各フェーズでのセキュリティ対策: 戦略&指標 ポリシー&コンプライアンス 教育&指導 脅威の査定 セキュリティー要件 セキュアなアーキテクチャ 設計レビュー コードレビュー セキュリティテスト 脆弱性管理 環境の堅牢化 運用体制の セキュリティ対応
SAMM v1.1 |©2015 Asterisk Research, Inc.57
ガバナンス・構築・検証・配備の4カテゴリ 12アクティビティのスコアカードによる可視化 |©2015 Asterisk Research, Inc.58 計画ベンチマーク スコアカード
SO WHAT
DevSecOps 4 factors • ネットワーク セキュリティ • 脆弱性対応 • オープンソース ソフトウェア • コンプライアンス 「カエサルの死」(ヴィンチェンツォ・カムッチーニ)
セキュリティは ITの 総合格闘技 © MMA
62 HARDENING PROJECT 2015/10 動画サイトで閲覧可能: http://www.nikkei.com/article/DGXMZO 92573760X01C15A0000000/
最近、日本語でました https://downloads.cloudsecurityalliance.org/whitepapers/Security_Guidance_for_Early_Adopters_of_the_Internet_of_Things.pdf * OWASP IoT Top 10を参照している
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project • アタックサーフィスの概説 • 脅威エージェント • 攻撃の経路(アタックベクター) • セキュリティの弱点 • 技術面のインパクト • ビジネス面のインパクト • 脆弱性の例 • 攻撃の例 • この問題を避けるガイダンス • OWASP、他のリソース・参照情報 • 製造者、開発者、消費者それぞれ が考慮すべきことのリスト I1 安全でないウェブインターフェース I2 欠陥のある認証・認可機構 I3 安全でないネットワークサービス I4 通信路の暗号化の欠如 I5 プライバシー I6 安全でないクラウドインターフェース I7 弱いモバイルインターフェース I8 設定の不備 I9 ソフトウェア・ファームウェアの問題 I10 物理的な問題 OWASP Internet of Things Top 10 もっとも甚大なIoTセキュリティへのアタックサーフィス
Producer / faculty
社会価値 • 協調領域 • 競争領域 • あたらしい コンセンサス 連携 • 新しいリスク • 従来手法の見直し • 解決策 個別の 問題 • 問題対応? • 事前対策?
Be the enabler! Folks!
OWASP Japan Chapter Lead
1 de 68

4 Enemies of DevSecOps 2016

Tecnologia

「経営課題としてのITセキュリティ DevSecOpsに立ち塞がる4つの問題」 日本セキュリティ・マネージメント学会 (JSSM 30th 記念事業)にともなう講演会で用いたスライドです。 スピーカー:岡田良太郎 OWASP Japan WASForum Hardening Project Hackademy 株式会社アスタリスク・リサーチ

Riotaro OKADA
Riotaro OKADAresearcher em Asterisk Research, Inc. / OWASP / Hardening Project / BBT Univ

Recomendados

SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう por
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
1.8K visualizações37 slides
セキュア開発の<s>3つの</s>敵 por
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
1K visualizações71 slides
アプリケーションデリバリーのバリューチェイン por
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
1.2K visualizações28 slides
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略 por
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略Riotaro OKADA
5.2K visualizações27 slides
IoT Security を実現する3つの視点とShift Left por
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftRiotaro OKADA
3K visualizações51 slides
「教養としてのサイバーセキュリティ」講座 por
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
1.5K visualizações19 slides

Mais conteúdo relacionado

Mais procurados

セキュリティスキルをゲットする、たった3つの方法 por
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
2.6K visualizações14 slides
超高速開発を実現するチームに必要なセキュリティとは por
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
281 visualizações30 slides
OWASP ASVS Project review 2.0 and 3.0 por
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
3.8K visualizações28 slides
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~ por
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~Riotaro OKADA
1.1K visualizações37 slides
Privacy by Design with OWASP por
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
226 visualizações27 slides
アプリケーションのシフトレフトを実践するには por
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
880 visualizações47 slides

Mais procurados(20)

セキュリティスキルをゲットする、たった3つの方法 por Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA2.6K visualizações
超高速開発を実現するチームに必要なセキュリティとは por Riotaro OKADA
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA281 visualizações
OWASP ASVS Project review 2.0 and 3.0 por Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA3.8K visualizações
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~ por Riotaro OKADA
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA1.1K visualizações
Privacy by Design with OWASP por Riotaro OKADA
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA226 visualizações
アプリケーションのシフトレフトを実践するには por Riotaro OKADA
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA880 visualizações
企業のデジタル変革とサイバーリスク por Riotaro OKADA
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA989 visualizações
CISOが、適切にセキュリティ機能とレベルを決めるには por Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA792 visualizações
Owasp evening : Privacy x Design with OWASP por Riotaro OKADA
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA544 visualizações
Owasp Project を使ってみた por Akitsugu Ito
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito13.1K visualizações
DXとセキュリティ / IPA Digital Symposium 2021 por Riotaro OKADA
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA476 visualizações
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 - por Cybozucommunity
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity1.4K visualizações
オワスプナイト20150115 dependency check por Hiroaki Kuramochi
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi2.3K visualizações
20210716 Security Audit of Salesforce & Other Measures por Typhon 666
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666939 visualizações
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op... por Typhon 666
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
Typhon 6663.4K visualizações
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて por Typhon 666
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 6662.3K visualizações
OWASP_Top_10_2017_A3機微な情報の露出 por oshiro_seiya
OWASP_Top_10_2017_A3機微な情報の露出OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
oshiro_seiya391 visualizações
クラウドセキュリティ基礎 #seccamp por Masahiro NAKAYAMA
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA25.4K visualizações
OWASPの歩き方(How to walk_the_owasp) por Sen Ueno
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno2.5K visualizações
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales- por Typhon 666
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 6661.6K visualizações

Destaque

DDoS対処の戦術と戦略 por
DDoS対処の戦術と戦略DDoS対処の戦術と戦略
DDoS対処の戦術と戦略Tomohiro Nakashima
6.4K visualizações40 slides
三角関数の加法定理はなぜ難しいのか por
三角関数の加法定理はなぜ難しいのか三角関数の加法定理はなぜ難しいのか
三角関数の加法定理はなぜ難しいのか鉄次 尾形
1.1K visualizações70 slides
営業に教えるソーシャルハッキングのリスク por
営業に教えるソーシャルハッキングのリスク営業に教えるソーシャルハッキングのリスク
営業に教えるソーシャルハッキングのリスク歩 奥山
1.2K visualizações15 slides
早田㈱5 s活動事例商工会議所講演会2012.10.15 por
早田㈱5 s活動事例商工会議所講演会2012.10.15早田㈱5 s活動事例商工会議所講演会2012.10.15
早田㈱5 s活動事例商工会議所講演会2012.10.15早田株式会社
3.6K visualizações96 slides
穏やかにファイルを削除する por
穏やかにファイルを削除する穏やかにファイルを削除する
穏やかにファイルを削除する鉄次 尾形
7K visualizações34 slides
OWASP AppSec USA 2015, San Francisco por
OWASP AppSec USA 2015, San FranciscoOWASP AppSec USA 2015, San Francisco
OWASP AppSec USA 2015, San FranciscoClare Nelson, CISSP, CIPP-E
2K visualizações52 slides

Destaque(20)

DDoS対処の戦術と戦略 por Tomohiro Nakashima
DDoS対処の戦術と戦略DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
Tomohiro Nakashima6.4K visualizações
三角関数の加法定理はなぜ難しいのか por 鉄次 尾形
三角関数の加法定理はなぜ難しいのか三角関数の加法定理はなぜ難しいのか
三角関数の加法定理はなぜ難しいのか
鉄次 尾形1.1K visualizações
営業に教えるソーシャルハッキングのリスク por 歩 奥山
営業に教えるソーシャルハッキングのリスク営業に教えるソーシャルハッキングのリスク
営業に教えるソーシャルハッキングのリスク
歩 奥山1.2K visualizações
早田㈱5 s活動事例商工会議所講演会2012.10.15 por 早田株式会社
早田㈱5 s活動事例商工会議所講演会2012.10.15早田㈱5 s活動事例商工会議所講演会2012.10.15
早田㈱5 s活動事例商工会議所講演会2012.10.15
早田株式会社3.6K visualizações
穏やかにファイルを削除する por 鉄次 尾形
穏やかにファイルを削除する穏やかにファイルを削除する
穏やかにファイルを削除する
鉄次 尾形7K visualizações
OWASP AppSec USA 2015, San Francisco por Clare Nelson, CISSP, CIPP-E
OWASP AppSec USA 2015, San FranciscoOWASP AppSec USA 2015, San Francisco
OWASP AppSec USA 2015, San Francisco
Clare Nelson, CISSP, CIPP-E2K visualizações
X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~ por Masato Kinugawa
X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~
X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~
Masato Kinugawa21.1K visualizações
脆弱性スキャナVulsを使ってDevSecOpsを実践! por Takayuki Ushida
脆弱性スキャナVulsを使ってDevSecOpsを実践!脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida4.1K visualizações
サイバー考古学@ささみ 2017.2.20 por Masahiro Tabata
サイバー考古学@ささみ 2017.2.20サイバー考古学@ささみ 2017.2.20
サイバー考古学@ささみ 2017.2.20
Masahiro Tabata5K visualizações
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料) por Asterisk Research, Inc.
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Asterisk Research, Inc.1.3K visualizações
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分) por Riotaro OKADA
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Riotaro OKADA2.1K visualizações
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido) por JPCERT Coordination Center
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center3.1K visualizações
An Assessment of Nicotine Levels on Office Surfaces Before and After Use of E... por Fontem Ventures
An Assessment of Nicotine Levels on Office Surfaces Before and After Use of E...An Assessment of Nicotine Levels on Office Surfaces Before and After Use of E...
An Assessment of Nicotine Levels on Office Surfaces Before and After Use of E...
Fontem Ventures354 visualizações
Cybozu Tech Conference 2016 バグの調べ方 por MITSUNARI Shigeo
Cybozu Tech Conference 2016 バグの調べ方Cybozu Tech Conference 2016 バグの調べ方
Cybozu Tech Conference 2016 バグの調べ方
MITSUNARI Shigeo4.9K visualizações
Hack proof your drupal site- DrupalCamp Hyderabad por Naveen Valecha
Hack proof your drupal site- DrupalCamp HyderabadHack proof your drupal site- DrupalCamp Hyderabad
Hack proof your drupal site- DrupalCamp Hyderabad
Naveen Valecha596 visualizações
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014 por Amazon Web Services
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014
Amazon Web Services6.3K visualizações
Tronshow2016 公共交通オープンデータサミット「IT×公共交通の可能性IT×公共交通の可能性」 por Masaki Ito
Tronshow2016 公共交通オープンデータサミット「IT×公共交通の可能性IT×公共交通の可能性」Tronshow2016 公共交通オープンデータサミット「IT×公共交通の可能性IT×公共交通の可能性」
Tronshow2016 公共交通オープンデータサミット「IT×公共交通の可能性IT×公共交通の可能性」
Masaki Ito1.3K visualizações
MySQLやSSDとかの話 その後 por Takanori Sejima
MySQLやSSDとかの話 その後MySQLやSSDとかの話 その後
MySQLやSSDとかの話 その後
Takanori Sejima6K visualizações
最近のBurp Suiteについて調べてみた por zaki4649
最近のBurp Suiteについて調べてみた最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki464910K visualizações
クラウドセキュリティ基礎 por Masahiro NAKAYAMA
クラウドセキュリティ基礎クラウドセキュリティ基礎
クラウドセキュリティ基礎
Masahiro NAKAYAMA7.7K visualizações

Similar a 4 Enemies of DevSecOps 2016

Standardization of Healthcare Cloud Security and Crowdsourcing por
Standardization of Healthcare Cloud Security and Crowdsourcing Standardization of Healthcare Cloud Security and Crowdsourcing
Standardization of Healthcare Cloud Security and Crowdsourcing Eiji Sasahara, Ph.D., MBA 笹原英司
1K visualizações16 slides
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ por
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイクラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイEiji Sasahara, Ph.D., MBA 笹原英司
827 visualizações38 slides
米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説 por
米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説
米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説Eiji Sasahara, Ph.D., MBA 笹原英司
380 visualizações28 slides
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント por
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントRiotaro OKADA
11 visualizações33 slides
情報漏洩リスクに備えるサイバーセキュリティ por
情報漏洩リスクに備えるサイバーセキュリティ情報漏洩リスクに備えるサイバーセキュリティ
情報漏洩リスクに備えるサイバーセキュリティEiji Sasahara, Ph.D., MBA 笹原英司
844 visualizações24 slides
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル por
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
894 visualizações40 slides

Similar a 4 Enemies of DevSecOps 2016(20)

Standardization of Healthcare Cloud Security and Crowdsourcing por Eiji Sasahara, Ph.D., MBA 笹原英司
Standardization of Healthcare Cloud Security and Crowdsourcing Standardization of Healthcare Cloud Security and Crowdsourcing
Standardization of Healthcare Cloud Security and Crowdsourcing
Eiji Sasahara, Ph.D., MBA 笹原英司1K visualizações
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ por Eiji Sasahara, Ph.D., MBA 笹原英司
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイクラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
Eiji Sasahara, Ph.D., MBA 笹原英司827 visualizações
米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説 por Eiji Sasahara, Ph.D., MBA 笹原英司
米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説
米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説
Eiji Sasahara, Ph.D., MBA 笹原英司380 visualizações
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント por Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
Riotaro OKADA11 visualizações
情報漏洩リスクに備えるサイバーセキュリティ por Eiji Sasahara, Ph.D., MBA 笹原英司
情報漏洩リスクに備えるサイバーセキュリティ情報漏洩リスクに備えるサイバーセキュリティ
情報漏洩リスクに備えるサイバーセキュリティ
Eiji Sasahara, Ph.D., MBA 笹原英司844 visualizações
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル por シスコシステムズ合同会社
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社894 visualizações
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW... por Amazon Web Services Japan
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
Amazon Web Services Japan1.7K visualizações
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査 por Hironori Washizaki
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
Hironori Washizaki2.1K visualizações
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査 por Hironori Washizaki
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
Hironori Washizaki3.6K visualizações
20180224 azure securitycenter por Masakazu Kishima
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
Masakazu Kishima161 visualizações
クラウドセキュリティの価値と機会 por Hayato Kiriyama
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
Hayato Kiriyama485 visualizações
Bc threat intelligence_rev2.1 por Takayoshi Takaoka
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1
Takayoshi Takaoka296 visualizações
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】 por Tomoyoshi Amano
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
Tomoyoshi Amano2.9K visualizações
なぜ今、セキュリティ人材の育成が叫ばれているのか por グローバルセキュリティエキスパート株式会社(GSX)
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
グローバルセキュリティエキスパート株式会社(GSX)149 visualizações
【日商USA】webinar 2023.5.12 RSAカンファレンス2023 フィードバック por NISSHO USA
【日商USA】webinar 2023.5.12 RSAカンファレンス2023 フィードバック【日商USA】webinar 2023.5.12 RSAカンファレンス2023 フィードバック
【日商USA】webinar 2023.5.12 RSAカンファレンス2023 フィードバック
NISSHO USA227 visualizações
SWEBOKにみるソフトウェアエンジニアリングの全体、および、 つながる時代のソフトウェアモデリング&品質 por Hironori Washizaki
SWEBOKにみるソフトウェアエンジニアリングの全体、および、 つながる時代のソフトウェアモデリング&品質 SWEBOKにみるソフトウェアエンジニアリングの全体、および、 つながる時代のソフトウェアモデリング&品質
SWEBOKにみるソフトウェアエンジニアリングの全体、および、 つながる時代のソフトウェアモデリング&品質
Hironori Washizaki5.7K visualizações
デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏) por Developers Summit
デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)
デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)
Developers Summit2.6K visualizações
20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf por EiichiMuraoka2
20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf
20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf
EiichiMuraoka2189 visualizações
医療機器サイバーセキュリティにおけるOWASPとCSAの連携 por Eiji Sasahara, Ph.D., MBA 笹原英司
医療機器サイバーセキュリティにおけるOWASPとCSAの連携医療機器サイバーセキュリティにおけるOWASPとCSAの連携
医療機器サイバーセキュリティにおけるOWASPとCSAの連携
Eiji Sasahara, Ph.D., MBA 笹原英司740 visualizações
セキュリティ管理 入門セミナ por Masaaki Nabeshima
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
Masaaki Nabeshima1K visualizações

Mais de Riotaro OKADA

今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜 por
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
230 visualizações49 slides
もしあなたが 「何歳まで生きたい?」と聞かれたなら por
もしあなたが 「何歳まで生きたい?」と聞かれたならもしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたならRiotaro OKADA
457 visualizações20 slides
2021年に来るカイハツトレンド予測、だと? por
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?Riotaro OKADA
450 visualizações18 slides
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - por
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - Riotaro OKADA
2.5K visualizações41 slides
シフトレフト戦略と沖縄県 por
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県Riotaro OKADA
926 visualizações41 slides
Hackademy サイバーセキュリティ教育プロジェクト por
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトRiotaro OKADA
582 visualizações1 slide

Mais de Riotaro OKADA(10)

今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜 por Riotaro OKADA
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA230 visualizações
もしあなたが 「何歳まで生きたい?」と聞かれたなら por Riotaro OKADA
もしあなたが 「何歳まで生きたい?」と聞かれたならもしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたなら
Riotaro OKADA457 visualizações
2021年に来るカイハツトレンド予測、だと? por Riotaro OKADA
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
Riotaro OKADA450 visualizações
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - por Riotaro OKADA
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
Riotaro OKADA2.5K visualizações
シフトレフト戦略と沖縄県 por Riotaro OKADA
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Riotaro OKADA926 visualizações
Hackademy サイバーセキュリティ教育プロジェクト por Riotaro OKADA
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
Riotaro OKADA582 visualizações
Security issue201312 por Riotaro OKADA
Security issue201312Security issue201312
Security issue201312
Riotaro OKADA1.4K visualizações
iSPP 仙台シンポジウム por Riotaro OKADA
iSPP 仙台シンポジウムiSPP 仙台シンポジウム
iSPP 仙台シンポジウム
Riotaro OKADA583 visualizações
Introducing AppSec APAC 2014 in TOKYO por Riotaro OKADA
Introducing AppSec APAC 2014 in TOKYOIntroducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYO
Riotaro OKADA3.1K visualizações
Crowdsourcing basic20090515-pickup por Riotaro OKADA
Crowdsourcing basic20090515-pickupCrowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickup
Riotaro OKADA591 visualizações

Último

速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料) por
速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料)速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料)
速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料)NTT DATA Technology & Innovation
18 visualizações38 slides
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20... por
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...NTT DATA Technology & Innovation
104 visualizações42 slides
定例会スライド_キャチs 公開用.pdf por
定例会スライド_キャチs 公開用.pdf定例会スライド_キャチs 公開用.pdf
定例会スライド_キャチs 公開用.pdfKeio Robotics Association
97 visualizações64 slides
さくらのひやおろし2023 por
さくらのひやおろし2023さくらのひやおろし2023
さくらのひやおろし2023法林浩之
94 visualizações58 slides
JJUG CCC.pptx por
JJUG CCC.pptxJJUG CCC.pptx
JJUG CCC.pptxKanta Sasaki
6 visualizações14 slides
IPsec VPNとSSL-VPNの違い por
IPsec VPNとSSL-VPNの違いIPsec VPNとSSL-VPNの違い
IPsec VPNとSSL-VPNの違い富士通クラウドテクノロジーズ株式会社
328 visualizações8 slides

Último(11)

速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料) por NTT DATA Technology & Innovation
速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料)速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料)
速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料)
NTT DATA Technology & Innovation18 visualizações
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20... por NTT DATA Technology & Innovation
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...
NTT DATA Technology & Innovation104 visualizações
定例会スライド_キャチs 公開用.pdf por Keio Robotics Association
定例会スライド_キャチs 公開用.pdf定例会スライド_キャチs 公開用.pdf
定例会スライド_キャチs 公開用.pdf
Keio Robotics Association97 visualizações
さくらのひやおろし2023 por 法林浩之
さくらのひやおろし2023さくらのひやおろし2023
さくらのひやおろし2023
法林浩之94 visualizações
JJUG CCC.pptx por Kanta Sasaki
JJUG CCC.pptxJJUG CCC.pptx
JJUG CCC.pptx
Kanta Sasaki6 visualizações
IPsec VPNとSSL-VPNの違い por 富士通クラウドテクノロジーズ株式会社
IPsec VPNとSSL-VPNの違いIPsec VPNとSSL-VPNの違い
IPsec VPNとSSL-VPNの違い
富士通クラウドテクノロジーズ株式会社328 visualizações
SNMPセキュリティ超入門 por mkoda
SNMPセキュリティ超入門SNMPセキュリティ超入門
SNMPセキュリティ超入門
mkoda301 visualizações
Windows 11 information that can be used at the development site por Atomu Hidaka
Windows 11 information that can be used at the development siteWindows 11 information that can be used at the development site
Windows 11 information that can be used at the development site
Atomu Hidaka80 visualizações
The Things Stack説明資料 by The Things Industries por CRI Japan, Inc.
The Things Stack説明資料 by The Things IndustriesThe Things Stack説明資料 by The Things Industries
The Things Stack説明資料 by The Things Industries
CRI Japan, Inc.51 visualizações
SSH応用編_20231129.pdf por icebreaker4
SSH応用編_20231129.pdfSSH応用編_20231129.pdf
SSH応用編_20231129.pdf
icebreaker4287 visualizações
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向 por Hitachi, Ltd. OSS Solution Center.
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.41 visualizações

4 Enemies of DevSecOps 2016

Notas do Editor

  1. アプリケーションがビジネスに貢献する役割は増えています。 それぞれに問題が生じると、とたんにビジネスに影響が出ます。 いくつか例を挙げられますか? システムをささえる基盤を考えるとき、ネットワークセキュリティはOS、ネットワーク、サーバを守ります。 アプリケーションセキュリテイは、ビジネス機能に直結した機能とその運用に焦点をあてます。
  2. http://searchcio.techtarget.com/definition/California-Security-Breach-Information-Act
  3. ネットワークレイヤーHTTP 80, 443ポートを有効にするはず SSLですら、トンネルを提供するだけで、攻撃者のトラフィックを保護することにさえなる。
  4. ネットワークレイヤーHTTP 80, 443ポートを有効にするはず SSLですら、トンネルを提供するだけで、攻撃者のトラフィックを保護することにさえなる。
  5. 公開されているウェブサイトの把握ができていないって!
  6. Steve McConnell, “Code Complete,” 2nd Microsoft Press, 2004. ISBN: 0735619670 https://www.openhub.net/p/wordpress https://www.openhub.net/p/apache
  7. Steve McConnell, “Code Complete,” 2nd Microsoft Press, 2004. ISBN: 0735619670 https://www.openhub.net/p/wordpress https://www.openhub.net/p/apache
  8. 課題1 Mitre: マイターは脆弱性と危険性の1000以上のリストがある。
  9. (From the Open Web Application Security Project – www.owasp.org)
  10. HIPAA 違反には州政府レベルと連邦政府レベルの両方で、刑事処分や民事処罰が課せられます。しかもこれらの罰則は、HITECH 法でさらに厳しくなっています。連邦政府レベルでは、民事上の罰金として 1 年間最大 150 万ドルが課せられ、刑事処分については 10 年の懲役と、最大 25 万ドルの罰金が課せられることもあります。これとは別に、州政府による罰則もあります。
  11. About One hundred years ago, the “unsinkable” Titanic foundered after striking an iceberg off the coast of Newfoundland. More than 1,500 people died in what became one of the deadliest maritime accidents ever. Several factors contributed to this massive death toll, but perhaps the most critical was that there simply weren’t enough lifeboats. The ship carried 2,224 people, but fewer than half of them could squeeze into the boats. As we know, passengers who didn’t get a spot in one of those lifeboats quickly died in the freezing waters of the North Atlantic. What’s less well known is that the Titanic’s supply of lifeboats was in full compliance with the British marine regulations in force at time. The law required the ship to carry 16 lifeboats; the Titanic actually had 20 lifeboats. The ship’s owners did a good job of providing enough boats to address the regulatory risk of noncompliance. Unfortunately, meeting regulatory requirements did little to prevent the tragic loss of life. This is a case of misperception of risk.
  12. <mission: ソフトウェアセキュリティについて 意思決定をする人のために役立つ十分な情報を 提供すること> 技術者、ビジネスオーナ、ユーザ ソフトウェアに関する技術・セキュアプロセス 現状理解・普及啓発・適用推進 オープンソース・コミュニティベースで実現