Enviar pesquisa
Carregar
超高速開発を実現するチームに必要なセキュリティとは
•
0 gostou
•
283 visualizações
Riotaro OKADA
Seguir
超高速開発を実現するチームに必要なセキュリティとは 株式会社アスタリスク・リサーチ エグゼクティブリサーチャ 岡田良太郎
Leia menos
Leia mais
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 30
Baixar agora
Baixar para ler offline
Recomendados
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
Recomendados
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
Typhon 666
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
Typhon 666
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
アトラシアン株式会社
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
Mais conteúdo relacionado
Mais procurados
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
Typhon 666
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
Typhon 666
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
Mais procurados
(20)
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Owasp Project を使ってみた
Owasp Project を使ってみた
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Semelhante a 超高速開発を実現するチームに必要なセキュリティとは
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
アトラシアン株式会社
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
株式会社スカイアーチネットワークス
[Preview] MySQL session at Open Source Conference 2014 .Enterprise Osaka
[Preview] MySQL session at Open Source Conference 2014 .Enterprise Osaka
Ryusuke Kajiyama
Serverless Application Security on AWS
Serverless Application Security on AWS
Amazon Web Services Japan
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
Hayato Kiriyama
クロスプラットフォーム開発を可能にするMonaca
クロスプラットフォーム開発を可能にするMonaca
Monaca
AWS WAF Security Automation
AWS WAF Security Automation
Hayato Kiriyama
reinvent2019_standby_kitahara_20191029
reinvent2019_standby_kitahara_20191029
Masato Kitahara
【LTセッション】Brainwave 使ってみた_DEEP LEARNING LAB
【LTセッション】Brainwave 使ってみた_DEEP LEARNING LAB
Deep Learning Lab(ディープラーニング・ラボ)
OWASP Top 10 2017 RC1について
OWASP Top 10 2017 RC1について
Daiki Ichinose
20161111 java one2016-feedback
20161111 java one2016-feedback
Takashi Ito
OWASP Top 10 超初級編
OWASP Top 10 超初級編
AkitadaOmagari
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
oshiro_seiya
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
schoowebcampus
Oracle APEXユーザー会の紹介
Oracle APEXユーザー会の紹介
Nakakoshi Yuji
OWASP Projects
OWASP Projects
Takanori Nakanowatari
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめ
Trainocate Japan, Ltd.
OpenWhisk Serverless への期待
OpenWhisk Serverless への期待
Hideaki Tokida
Semelhante a 超高速開発を実現するチームに必要なセキュリティとは
(20)
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
[Preview] MySQL session at Open Source Conference 2014 .Enterprise Osaka
[Preview] MySQL session at Open Source Conference 2014 .Enterprise Osaka
Serverless Application Security on AWS
Serverless Application Security on AWS
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
クロスプラットフォーム開発を可能にするMonaca
クロスプラットフォーム開発を可能にするMonaca
AWS WAF Security Automation
AWS WAF Security Automation
reinvent2019_standby_kitahara_20191029
reinvent2019_standby_kitahara_20191029
【LTセッション】Brainwave 使ってみた_DEEP LEARNING LAB
【LTセッション】Brainwave 使ってみた_DEEP LEARNING LAB
OWASP Top 10 2017 RC1について
OWASP Top 10 2017 RC1について
20161111 java one2016-feedback
20161111 java one2016-feedback
OWASP Top 10 超初級編
OWASP Top 10 超初級編
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
Oracle APEXユーザー会の紹介
Oracle APEXユーザー会の紹介
OWASP Projects
OWASP Projects
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめ
OpenWhisk Serverless への期待
OpenWhisk Serverless への期待
Mais de Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Riotaro OKADA
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
もしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたなら
Riotaro OKADA
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
Riotaro OKADA
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
Riotaro OKADA
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Riotaro OKADA
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
Riotaro OKADA
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Riotaro OKADA
Security issue201312
Security issue201312
Riotaro OKADA
iSPP 仙台シンポジウム
iSPP 仙台シンポジウム
Riotaro OKADA
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYO
Riotaro OKADA
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickup
Riotaro OKADA
Mais de Riotaro OKADA
(12)
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
もしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたなら
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Security issue201312
Security issue201312
iSPP 仙台シンポジウム
iSPP 仙台シンポジウム
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYO
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickup
Último
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
iPride Co., Ltd.
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
Shota Ito
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
danielhu54
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
osamut
プレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツール
sugiuralab
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
iPride Co., Ltd.
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
Atomu Hidaka
プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価
sugiuralab
Último
(8)
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
プレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツール
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価
超高速開発を実現するチームに必要なセキュリティとは
1.
超⾼速開発を実現する チームに必要な セキュリティとは 株式会社アスタリスク・リサーチ エグゼクティブリサーチャ 岡⽥ 良太郎 support@rsrch.jp "シフトレフト"でセキュアなビジネスを実現 © Asterisk
Research, Inc.
2.
株式会社アスタリスク・リサーチ 岡⽥良太郎 岡⽥ 良太郎 代表・エグゼクティブリサーチャ
CISA, MBA riotaro@rsrch.jp 活動 - activities - WASForum Hardening Project オーガナイザ 衛る技術を顕彰する、8時間耐久ビジネス堅牢化技術競技プロジェクト - OWASP (Open Web Application Security Project) 世界最⼤のアプリケーションセキュリティ推進団体 ・OWASP Japan チャプターリーダ ・OWASP Top 10 翻訳チームリーダ ・OWASP Foundation “Best Chapter Leader”, “Best Community Supporter” 受賞(2014) - Hackademy(ハッキングと防御) 「ハッキングと防御」コース - ビジネスブレークスルー⼤学(学⻑ ⼤前研⼀) 「教養としてのサイバーセキュリティ」コース担当講師 - 独⽴⾏政法⼈ IPA 情報セキュリティ10⼤脅威選考委員 - 総務省 サイバーセキュリティ演習 CYDER 推進委員 © Asterisk Research, Inc. 2 創業2006年。企業の事業成⻑に貢献するセキュリティ実践を推進。
3.
“シフトレフト” ⽀援サービスラインナップ アスタリスク・リサーチは、御社のセキュリティ対策の「シフトレフト」を効率よく実現するために、3つの取り組みがあります。 © Asterisk
Research, Inc. 3 Professional Tools 実践段階のQCDを⾼める道具 ・トレーニング ・Eラーニング ・開発環境向けツール(CI/CD) ・トレーニングイベントデザイン ・リスクプロファイルトレーニング ・脅威分析トレーニング Advisory Service 経営陣の⾼速な意思決定を実現するアドバイザリ ・PSIRT/CSIRT Advisory ・DevOps Transformation ・セキュリティ・スコアカード分析 ・エグゼクティブ向けブリーフィング ・CISO, CTO, CROハンズオン Security Test Managed Service セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis ・コンポーネント分析 SCA ・ソースコード分析 SAST ・システム脆弱性テスト DAST ・プラットフォームテスト NST
4.
主なお客様・参画プロジェクト © Asterisk Research,
Inc. 4 ご活⽤いただいてきたお客様 参画・⽀援プロジェクト
5.
セキュリティ版家庭の医学でました 「もはや経験のあるベテランの勘で経営 判断できる状況ではなく、持てる限りの データを活用し、迅速に判断し、アクショ ンを取らなければなりません」 「一方で、未成熟な技術に甘んじなけれ ばならない側面もあります」 「そこで、DXを進める上での前提は」 主軸を成す鍵を示す13の章と21のコラム さらに理解を深める8つの付章 全400ページ、11名の執筆陣による、2018年刊に次ぐ大幅改訂新版。 "シフトレフト"でセキュアなビジネスを実現
6.
期待︓「ノーコード・ローコードは超⾼速︕」 • ノウハウ︓DXの促進。「ありもの活⽤」の魅⼒ • コスト削減︓⾼額になりがちな開発⼯期・⼯数の⼤幅な削減の期待。 •
業務︓ビジネス要件への対応の⽴ち上がりが早い期待がある • 変⾰︓データとプロセスの⾒直しにつながり、新しいアプローチの期待 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 6
7.
“シフトレフト”でセキュアなビジネスを実現 © Asterisk Research,
Inc. 7
8.
チャット系 グループウェア オンライン会議系 社内SNS インストール型 総合 ナレッジ共有 日報 社内報 総合 ワークフロー 総合 エンジニア
コンサル マーケティング プラットフォーム型 Webサイト クラウドソーシング型 総合 クリエイティブ テスター・入力 翻訳・ライティング・編集 オンラインセミナー・イベント 人事 コミュニケーション 営業 周辺ツール ホワイトボード ノーコード iPaaS HP ECサイト フォーム ハード系 MA / CRMツール 名刺管理 メール 商談関連 フォームアタック D セールス支援 顧客管理 セールス セールス HR系 人事評価 エンゲージメント向上 エンゲージメント測定ツール 日程調整 デザイン 採用関連 人事関連 オンライン1on1 オンライン福利厚生 リモート人材活用 エージェント型 エンジニア 2021/02/08 現在 © Asterisk Research, Inc. そこで、何を実現するか
9.
“シフトレフト”でセキュアなビジネスを実現 © Asterisk Research,
Inc. 9 https://www.optiv.com/navigating-security-landscape-guide-technologies-and-providers セキュリティは誰の仕事︖
10.
OWASP API Security
Top 10 https://owasp.org/www-project-api-security/ “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 10 API1:2019 オブジェクト・レベル認可の欠陥 API2:2019 ユーザー認証の欠陥 API3:2019 過剰なデータ露出 API4:2019 リソースの不足とレートの制限 API5:2019 機能レベル認証の欠陥 API6:2019 マスアサインメント API7:2019 セキュリティの誤設定 API8:2019 インジェクション API9:2019 不適切な資産管理 API10:2019 ロギングとモニタリングの不備
11.
ゲスト︓Victor Keong /ビクター・キョンさん 元
Cisco Systems社のシニアCISO(最高情報セキュリティ責任者)アドバイザ 元 Deloitteのリスクアドバイザリーサービスパートナ(17年) 専門分野は、リモートワーカーのセキュリティ、デジタルトランスフォーメーションの推進、 急速なクラウドの導入、アジャイルコンピューティング、DevSecOps。 金融サービス業界、スタンダードチャータード銀行、シティバンク(アジア)、UOB、三菱 UFJ銀行(東京)、トヨタファイナンス、メイバンク、カシコン銀行、サイアムコマーシャル バンク、SGXなどを担当。 (ISC)2 のアメリカ諮問委員会にも任命されました。 2021年、AppSec企業 Checkmarx社 初のGlobal CISO Whisperer就任。 HBA (Ivey 1993) CISA, EMBA (Ivey 1999), CISSP.
12.
ゲスト︓Victorさんからの教訓 ü CISOは、「コード」のセキュリティをどうするかが最も大事。 赤ちゃんを扱う気持ちで対応するチームを助ける必要がある。 ü 実効性の高いセキュリティは、開発に寄り添ったものであってはじめてうま くいく。そこで修正できるのでセキュリティチームと対立しない。 ü
ローコードで進むプロジェクトの改善には、「ラストワンマイル(リリース 直前)のセキュリティテスト」ではなく、開発者に寄り添ったセキュリティ 支援にシフトレフトすべき。 HBA (Ivey 1993) CISA, EMBA (Ivey 1999), CISSP.
13.
ノーコード・ローコードの現実 ロックイン問題との 折り合い。 認証認可の設定、 ポリシー不足。 セキュリティレビュー 欠陥による設定の 欠陥、コードの欠陥 が散在。 Weakest Link。 ばらばらなサービ サーの実装レベル。 コントロールできな いパフォーマンスと コストバランス。 不透明なプライバ シーデータ保存、管 理。 コード管理がおろ そかに モニタリングと障 害対応の困難 “シフトレフト”でセキュアなビジネスを実現 © Asterisk
Research, Inc. 13 全体設計⼒
14.
OWASP API Top
10 https://owasp.org/www-project-api-security/ “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 14 API1:2019 オブジェクト・レベル認可の欠陥 API2:2019 ユーザー認証の欠陥 API3:2019 過剰なデータ露出 API4:2019 リソースの不足とレートの制限 API5:2019 機能レベル認証の欠陥 API6:2019 マスアサインメント API7:2019 セキュリティの誤設定 API8:2019 インジェクション API9:2019 不適切な資産管理 API10:2019 ロギングとモニタリングの不備 1 6 9 10 2 3 4 5 7 8 サービサ 2 3 4 5 7 8 ユーザ セキュリティ責任はサービサーにもユーザにもある。
15.
© Asterisk Research,
Inc.
16.
セキュリティ脆弱性は設計の問題+実装の問題。 Design – 設計
Implement – 実装 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 16 入力データ信 頼の条件 採用する認証 メカニズム 認証と認可 データと制御 の分離 暗号化と機密 データの識別 外部コンポー ネントの影響 ログ、エラー の取扱要件 想定脅威の分 析 データベース アクセス エンコーディン グとエスケープ 入力値検証 IDと認証管理 アクセス制御 データ保護 ログ、モニタリ ングの機能 エラー処理と 例外処理 設計を反映する「コード」の管理と改善がキモ
17.
本⽇の、ASTERISKセレクション “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research,
Inc. 17
18.
アプリケーションセキュリティ・テストの世界の牽引役、リーダー Gartner Magic Quadrant
“Leader” “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 18 Checkmarx社は、アプリケーションセキュリ ティ・テスト市場で実⾏能⼒とビジョンの完全性の評 価で前年に引き続き”リーダー”に指名されました。 11社のAST(アプリケーションセキュリティ・テスト)ベンダー各社 を調査しビジョンの完全性と実⾏能⼒の観点で評価した結果レポート の詳細を以下のURLよりご覧になれます。 Gartner Magic Quadrant for AST 2019︓ https://info.checkmarx.com/wp-gartner-mq-2019 ガートナー社マジッククアドラントは、特定の市場における同社のリサーチの集大成であり、 成長市場で競合しているベンダーを4つのクアドラント(象限)のいずれかで取り上げ、各社の 相対的な位置付けを広い視野から提示しています。
19.
ユーザーと専⾨家の声︓Gartner Peer Insightsでの評価 Customerʼs
Choice Award 受賞 “Checkmarx社の「シフトレフト」アプローチ は、ソフトウェア開発ライフサイクルの早い段 階でセキュリティ脆弱性を⾒つけ出し、コード が本番環境に展開される前に修正するには、最 適な⽅法です” •サービス業、情報セキュリティ部⾨、シニアマネージャー “Checkmarx社のソリューションで最も気に ⼊っているところは、我々のCI/CD (継続的インテグレーション / 継続的デリバ リー) パイプラインへ簡単に統合できた点で す。” •サービス業、クラウド開発サービス部⾨、エンジニアリン グ・ディレクター “開発者に優しい作りの製品のため、 我が社の開発者たちにもすぐに受け ⼊れられました。” •サービス業、個⼈保険会社、ITセキュリ ティ・アーキテクチャ部⾨、技術者 “業界トップクラスのツールを探してい るなら、CheckmarxのSASTツール導 ⼊をお薦めします。” •製造業、セキュリティ管理部⾨、シニア・ アプリケーションセキュリティ・スペシャ リスト “Checkmarxのテクニカルサポー トは、無駄なく効率的で、⾏き届い た⽀援をしてくれました。” •⾦融業、システムスペシャリスト “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 19 https://www.gartner.com/reviews/market/application-security-testing/compare/checkmarx
20.
Asteriskセレクション︓Checkmarx CxSAST Gartner:「開発者が最も使いやすい」理由︓既存環境との連携の⾼さ “シフトレフト”でセキュアなビジネスを実現 © Asterisk
Research, Inc. 20 IDEプラグイン CI/CD統合
21.
DEMOを⾒せていただきましょう Checkmarx CxSAST “シフトレフト”でセキュアなビジネスを実現 © Asterisk
Research, Inc. 21
22.
Demo1: CxSAST– セキュリティ状況可視化ダッシュボード プロジェクトごとの状況と傾向をリアルタイムに把握できる管理機能 “シフトレフト”でセキュアなビジネスを実現 ©
Asterisk Research, Inc. 22 リスクレベルの数値化 レポートの閲覧と出⼒ 各プロジェクトの脆弱性診断結果の集約
23.
Demo2: CxSAST –
実際のスキャン結果ビューア 脆弱性検出、データフロー追跡、重要度インデックス、ガイダンス “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 23 3. 重要度の明⽰とインデックス 4. 脆弱性の詳細説明 と修正ガイダンス 1. コードレベルの 脆弱性を検出 2. データフロー 追跡
24.
Demo3: CxSAST –
Best Fix Location データフロー追跡により「ベストフィックスロケーション」を指摘。これは便利。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 24 88個のStored_XSS脆弱性検出 複数の脆弱性に効く最適修正箇所の指摘 リスクレベル別に分けた指摘事項
25.
Audience: あなたの問題場所は︖ 1. 提供サービスの全体像をまとめ、ロードマップを⽰す 2.
チームがツールとともに、修正すべき脆弱性を発⾒する 3. セキュリティが、変化の激しい開発にマッチする 4. 良いサイクルを作る道筋をたてる "シフトレフト"でセキュアなビジネスを実現 © Asterisk Research, Inc. 25
26.
As is… © Asterisk
Research, Inc. 26 "シフトレフト"でセキュアなビジネスを実現
27.
Step by step ©
Asterisk Research, Inc. 27 "シフトレフト"でセキュアなビジネスを実現
28.
アクション提案 週明けに早速︕ ü 御社の開発・運⽤チームをねぎらってあげ てください︕ ü 情報・ノウハウ不⾜がボトルネックになっ ていませんか。CISOハンドブック︕ ü
OSSコードと⾃社開発コードの管理、アッ プデートはどうしていますか。 ü 「トライアル」をやると、現状と改善の フィット感を確認できます。 半年以内に検討してください ü 現場部⾨は、どのように信頼できる情報源 やアドバイザの確保 ü コードを管理・改善できる、仕組みの導⼊ ü CEO, CISOなど経営陣が、企業のリスクと スキルにフィットする意思決定のための現 状と⽬標の可視化 ü 「アセスメントで現状を可視化」すると 課題と⽬標が⾒えます。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 28
29.
Q. まだまだわからないことがあります︕ A. 資料をお送りします︕ Q.「システム脆弱性診断をしたのですが、修正が追いつきません」︓ A.
最新のシステムを、脆弱性ベンダーによるテストをするのはほぼ不 可能です。また、ブラックボックステストでは原理的に修正すべき原 因であるコードを特定できません。 いかなる脆弱性対応も、コードを更新・修正することが必要なのです から、開発中のコードチェックが最も時短につながり、最も効率が⾼ いのです。OWASP Top 10をはじめ、さまざまな視点で整理してくれ ます。 Q.「対応能⼒に課題があります」 A. 問題がたくさん指摘されても、どれほど深刻なのか、またどのよう に修正すべきなのかチームが途⽅に暮れることはありません。的確に 優先順位と、データフローにより効果的な修正箇所をガイドします。 Q.「コストを上回る効果を出せますでしょうか」 A. 開発しているコードは⼤抵1万-数⼗万⾏に及び、毎週更新さ れます。統計上「1000⾏あたり1から25箇所に問題」があると いわれています(NIST-IR 8151)。⽇々のコード改善活動により、 この問題はすぐに⽬覚ましいレベルでリスクを減らすことがで き、脆弱性テスト結果だけに依存することから解放されます。 Q.「修正反映が⼿間で、徹底できません」 A. CxSASTは、普段のプログラム管理の環境に連携させること ができます。⽇々の環境に⼿動で移し替える必要はありません。 変更せずに能⼒アップさせることができます。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 29
30.
「どこから始めようか︖」 support@rsrch.jp 2006年創業の、⽇本のリサーチサービス企業です。ご相談ください。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk
Research, Inc. 30 改善計画に役⽴つサービス、あります。 • ブリーフィング・トレーニング • 製品・サービスの選定やPOC⽀援 • リスクトレンドのアップデートと対応訓練計画 • グローバルコンプライアンスに対応したセキュリティテスト • SAMMスコアカードで実践⽀援︓PSIRTアドバイザリ 業界特化にも、対応を拡げています。 ⾦融、医療、ライフライン、製造、流通、サービスまたソフト ウェア業界において、品質管理、⽣産技術、リスクやコンプラ イアンスに関わる部⾨はもちろん、⾼速に成⻑させるミッショ ンのある事業経営部⾨のお客様をご⽀援しています。 「アスタリスクリサーチ」で検索
Baixar agora