超高速開発を実現するチームに必要なセキュリティとは

超⾼速開発を実現する
チームに必要な
セキュリティとは
株式会社アスタリスク・リサーチ
エグゼクティブリサーチャ
岡⽥良太郎
support@rsrch.jp
"シフトレフト"でセキュアなビジネスを実現
© Asterisk Research, Inc.

株式会社アスタリスク・リサーチ岡⽥良太郎
岡⽥良太郎
代表・エグゼクティブリサーチャ CISA, MBA
riotaro@rsrch.jp
活動 - activities
- WASForum Hardening Project オーガナイザ
衛る技術を顕彰する、8時間耐久ビジネス堅牢化技術競技プロジェクト
- OWASP (Open Web Application Security Project)
世界最⼤のアプリケーションセキュリティ推進団体
・OWASP Japan チャプターリーダ
・OWASP Top 10 翻訳チームリーダ
・OWASP Foundation “Best Chapter Leader”, “Best Community Supporter”
受賞（2014）
- Hackademy（ハッキングと防御）
「ハッキングと防御」コース
- ビジネスブレークスルー⼤学（学⻑⼤前研⼀）
「教養としてのサイバーセキュリティ」コース担当講師
- 独⽴⾏政法⼈ IPA
情報セキュリティ10⼤脅威選考委員
- 総務省
サイバーセキュリティ演習 CYDER 推進委員
2
創業2006年。企業の事業成⻑に貢献するセキュリティ実践を推進。

“シフトレフト” ⽀援サービスラインナップ
アスタリスク・リサーチは、御社のセキュリティ対策の「シフトレフト」を効率よく実現するために、3つの取り組みがあります。
3
Professional Tools
実践段階のQCDを⾼める道具
・トレーニング
・Eラーニング
・開発環境向けツール(CI/CD)
・トレーニングイベントデザイン
・リスクプロファイルトレーニング
・脅威分析トレーニング
Advisory Service
経営陣の⾼速な意思決定を実現するアドバイザリ
・PSIRT/CSIRT Advisory
・DevOps Transformation
・セキュリティ・スコアカード分析
・エグゼクティブ向けブリーフィング
・CISO, CTO, CROハンズオン
Security Test Managed Service
セキュリティ脆弱性発⾒から改善に効くサービス・設計の脅威対応分析 Threat Analysis
・コンポーネント分析 SCA
・ソースコード分析 SAST
・システム脆弱性テスト DAST
・プラットフォームテスト NST

主なお客様・参画プロジェクト
4
ご活⽤いただいてきたお客様参画・⽀援プロジェクト

セキュリティ版家庭の医学でました
「もはや経験のあるベテランの勘で経営
判断できる状況ではなく、持てる限りの
データを活用し、迅速に判断し、アクショ
ンを取らなければなりません」
「一方で、未成熟な技術に甘んじなけれ
ばならない側面もあります」
「そこで、DXを進める上での前提は」
主軸を成す鍵を示す13の章と21のコラム
さらに理解を深める8つの付章
全400ページ、11名の執筆陣による、2018年刊に次ぐ大幅改訂新版。

期待︓「ノーコード・ローコードは超⾼速︕」
• ノウハウ︓DXの促進。「ありもの活⽤」の魅⼒
• コスト削減︓⾼額になりがちな開発⼯期・⼯数の⼤幅な削減の期待。
• 業務︓ビジネス要件への対応の⽴ち上がりが早い期待がある
• 変⾰︓データとプロセスの⾒直しにつながり、新しいアプローチの期待
“シフトレフト”でセキュアなビジネスを実現
6

7

チャット系
グループウェア
オンライン会議系
社内SNS
インストール型
総合ナレッジ共有
日報社内報
総合
ワークフロー
総合
エンジニアコンサル
マーケティング
プラットフォーム型
Webサイト
クラウドソーシング型
総合クリエイティブテスター・入力
翻訳・ライティング・編集
オンラインセミナー・イベント
人事
コミュニケーション
営業
周辺ツールホワイトボード
ノーコード
iPaaS HP ECサイト
フォーム
ハード系
MA / CRMツール
名刺管理
メール
商談関連
フォームアタック
D
セールス支援
顧客管理
セールス
セールス
HR系
人事評価エンゲージメント向上
エンゲージメント測定ツール
日程調整
デザイン
採用関連人事関連
オンライン1on1 オンライン福利厚生
リモート人材活用
エージェント型
エンジニア
2021/02/08 現在
そこで、何を実現するか

9
https://www.optiv.com/navigating-security-landscape-guide-technologies-and-providers
セキュリティは誰の仕事︖

OWASP API Security Top 10
https://owasp.org/www-project-api-security/
10
API1:2019 オブジェクト・レベル認可の欠陥
API2:2019 ユーザー認証の欠陥
API3:2019 過剰なデータ露出
API4:2019 リソースの不足とレートの制限
API5:2019 機能レベル認証の欠陥
API6:2019 マスアサインメント
API7:2019 セキュリティの誤設定
API8:2019 インジェクション
API9:2019 不適切な資産管理
API10:2019 ロギングとモニタリングの不備

ゲスト︓Victor Keong /ビクター・キョンさん
元 Cisco Systems社のシニアCISO（最高情報セキュリティ責任者）アドバイザ
元 Deloitteのリスクアドバイザリーサービスパートナ（17年）
専門分野は、リモートワーカーのセキュリティ、デジタルトランスフォーメーションの推進、
急速なクラウドの導入、アジャイルコンピューティング、DevSecOps。
金融サービス業界、スタンダードチャータード銀行、シティバンク（アジア）、UOB、三菱
UFJ銀行（東京）、トヨタファイナンス、メイバンク、カシコン銀行、サイアムコマーシャル
バンク、SGXなどを担当。
(ISC)2 のアメリカ諮問委員会にも任命されました。
2021年、AppSec企業 Checkmarx社初のGlobal CISO Whisperer就任。
HBA (Ivey 1993) CISA,
EMBA (Ivey 1999), CISSP.

ゲスト︓Victorさんからの教訓
ü CISOは、「コード」のセキュリティをどうするかが最も大事。
赤ちゃんを扱う気持ちで対応するチームを助ける必要がある。
ü 実効性の高いセキュリティは、開発に寄り添ったものであってはじめてうま
くいく。そこで修正できるのでセキュリティチームと対立しない。
ü ローコードで進むプロジェクトの改善には、「ラストワンマイル（リリース
直前）のセキュリティテスト」ではなく、開発者に寄り添ったセキュリティ
支援にシフトレフトすべき。
HBA (Ivey 1993) CISA,
EMBA (Ivey 1999), CISSP.

ノーコード・ローコードの現実
ロックイン問題との
折り合い。
認証認可の設定、
ポリシー不足。
セキュリティレビュー
欠陥による設定の
欠陥、コードの欠陥
が散在。
Weakest Link。
ばらばらなサービ
サーの実装レベル。
コントロールできな
いパフォーマンスと
コストバランス。
不透明なプライバ
シーデータ保存、管
理。
コード管理がおろ
そかに
モニタリングと障
害対応の困難
13
全体設計⼒

OWASP API Top 10
https://owasp.org/www-project-api-security/
14
API1:2019 オブジェクト・レベル認可の欠陥
API2:2019 ユーザー認証の欠陥
API3:2019 過剰なデータ露出
API4:2019 リソースの不足とレートの制限
API5:2019 機能レベル認証の欠陥
API6:2019 マスアサインメント
API7:2019 セキュリティの誤設定
API8:2019 インジェクション
API9:2019 不適切な資産管理
API10:2019 ロギングとモニタリングの不備
1
6
9
10
2
3
4
5
7
8
サービサ
2
3
4
5
7
8
ユーザ
セキュリティ責任はサービサーにもユーザにもある。

セキュリティ脆弱性は設計の問題＋実装の問題。
Design – 設計 Implement – 実装
16
入力データ信
頼の条件
採用する認証
メカニズム
認証と認可データと制御
の分離
暗号化と機密
データの識別
外部コンポー
ネントの影響
ログ、エラー
の取扱要件
想定脅威の分
析
データベース
アクセス
エンコーディン
グとエスケープ
入力値検証 IDと認証管理
アクセス制御データ保護ログ、モニタリ
ングの機能
エラー処理と
例外処理
設計を反映する「コード」の管理と改善がキモ

本⽇の、ASTERISKセレクション
17

アプリケーションセキュリティ・テストの世界の牽引役、リーダー
Gartner Magic Quadrant “Leader”
18
Checkmarx社は、アプリケーションセキュリ
ティ・テスト市場で実⾏能⼒とビジョンの完全性の評
価で前年に引き続き”リーダー”に指名されました。
11社のAST（アプリケーションセキュリティ・テスト）ベンダー各社
を調査しビジョンの完全性と実⾏能⼒の観点で評価した結果レポート
の詳細を以下のURLよりご覧になれます。
Gartner Magic Quadrant for AST 2019︓
https://info.checkmarx.com/wp-gartner-mq-2019
ガートナー社マジッククアドラントは、特定の市場における同社のリサーチの集大成であり、
成長市場で競合しているベンダーを4つのクアドラント（象限）のいずれかで取り上げ、各社の
相対的な位置付けを広い視野から提示しています。

ユーザーと専⾨家の声︓Gartner Peer Insightsでの評価
Customerʼs Choice Award 受賞
“Checkmarx社の「シフトレフト」アプローチ
は、ソフトウェア開発ライフサイクルの早い段
階でセキュリティ脆弱性を⾒つけ出し、コード
が本番環境に展開される前に修正するには、最
適な⽅法です”
•サービス業、情報セキュリティ部⾨、シニアマネージャー
“Checkmarx社のソリューションで最も気に
⼊っているところは、我々のCI/CD
（継続的インテグレーション / 継続的デリバ
リー）パイプラインへ簡単に統合できた点で
す。”
•サービス業、クラウド開発サービス部⾨、エンジニアリン
グ・ディレクター
“開発者に優しい作りの製品のため、
我が社の開発者たちにもすぐに受け
⼊れられました。”
•サービス業、個⼈保険会社、ITセキュリ
ティ・アーキテクチャ部⾨、技術者
“業界トップクラスのツールを探してい
るなら、CheckmarxのSASTツール導
⼊をお薦めします。”
•製造業、セキュリティ管理部⾨、シニア・
アプリケーションセキュリティ・スペシャ
リスト
“Checkmarxのテクニカルサポー
トは、無駄なく効率的で、⾏き届い
た⽀援をしてくれました。”
•⾦融業、システムスペシャリスト
19
https://www.gartner.com/reviews/market/application-security-testing/compare/checkmarx

Asteriskセレクション︓Checkmarx CxSAST
Gartner:「開発者が最も使いやすい」理由︓既存環境との連携の⾼さ
20
IDEプラグイン CI/CD統合

DEMOを⾒せていただきましょう
Checkmarx CxSAST
21

Demo1: CxSAST– セキュリティ状況可視化ダッシュボード
プロジェクトごとの状況と傾向をリアルタイムに把握できる管理機能
22
リスクレベルの数値化レポートの閲覧と出⼒
各プロジェクトの脆弱性診断結果の集約

Demo2: CxSAST – 実際のスキャン結果ビューア
脆弱性検出、データフロー追跡、重要度インデックス、ガイダンス
23
3. 重要度の明⽰とインデックス
4. 脆弱性の詳細説明
と修正ガイダンス
1. コードレベルの
脆弱性を検出
2. データフロー
追跡

Demo3: CxSAST – Best Fix Location
データフロー追跡により「ベストフィックスロケーション」を指摘。これは便利。
24
88個のStored_XSS脆弱性検出
複数の脆弱性に効く最適修正箇所の指摘
リスクレベル別に分けた指摘事項

Audience: あなたの問題場所は︖
1. 提供サービスの全体像をまとめ、ロードマップを⽰す
2. チームがツールとともに、修正すべき脆弱性を発⾒する
3. セキュリティが、変化の激しい開発にマッチする
4. 良いサイクルを作る道筋をたてる
25

As is…
26 "シフトレフト"でセキュアなビジネスを実現

Step by step
27 "シフトレフト"でセキュアなビジネスを実現

アクション提案
週明けに早速︕
ü 御社の開発・運⽤チームをねぎらってあげ
てください︕
ü 情報・ノウハウ不⾜がボトルネックになっ
ていませんか。CISOハンドブック︕
ü OSSコードと⾃社開発コードの管理、アッ
プデートはどうしていますか。
ü 「トライアル」をやると、現状と改善の
フィット感を確認できます。
半年以内に検討してください
ü 現場部⾨は、どのように信頼できる情報源
やアドバイザの確保
ü コードを管理・改善できる、仕組みの導⼊
ü CEO, CISOなど経営陣が、企業のリスクと
スキルにフィットする意思決定のための現
状と⽬標の可視化
ü 「アセスメントで現状を可視化」すると
課題と⽬標が⾒えます。
28

Q. まだまだわからないことがあります︕
A. 資料をお送りします︕
Q.「システム脆弱性診断をしたのですが、修正が追いつきません」︓
A. 最新のシステムを、脆弱性ベンダーによるテストをするのはほぼ不
可能です。また、ブラックボックステストでは原理的に修正すべき原
因であるコードを特定できません。
いかなる脆弱性対応も、コードを更新・修正することが必要なのです
から、開発中のコードチェックが最も時短につながり、最も効率が⾼
いのです。OWASP Top 10をはじめ、さまざまな視点で整理してくれ
ます。
Q.「対応能⼒に課題があります」
A. 問題がたくさん指摘されても、どれほど深刻なのか、またどのよう
に修正すべきなのかチームが途⽅に暮れることはありません。的確に
優先順位と、データフローにより効果的な修正箇所をガイドします。
Q.「コストを上回る効果を出せますでしょうか」
A. 開発しているコードは⼤抵1万-数⼗万⾏に及び、毎週更新さ
れます。統計上「1000⾏あたり1から25箇所に問題」があると
いわれています(NIST-IR 8151)。⽇々のコード改善活動により、
この問題はすぐに⽬覚ましいレベルでリスクを減らすことがで
き、脆弱性テスト結果だけに依存することから解放されます。
Q.「修正反映が⼿間で、徹底できません」
A. CxSASTは、普段のプログラム管理の環境に連携させること
ができます。⽇々の環境に⼿動で移し替える必要はありません。
変更せずに能⼒アップさせることができます。
29

「どこから始めようか︖」 support@rsrch.jp
2006年創業の、⽇本のリサーチサービス企業です。ご相談ください。
30
改善計画に役⽴つサービス、あります。
• ブリーフィング・トレーニング
• 製品・サービスの選定やPOC⽀援
• リスクトレンドのアップデートと対応訓練計画
• グローバルコンプライアンスに対応したセキュリティテスト
• SAMMスコアカードで実践⽀援︓PSIRTアドバイザリ
業界特化にも、対応を拡げています。
⾦融、医療、ライフライン、製造、流通、サービスまたソフト
ウェア業界において、品質管理、⽣産技術、リスクやコンプラ
イアンスに関わる部⾨はもちろん、⾼速に成⻑させるミッショ
ンのある事業経営部⾨のお客様をご⽀援しています。
「アスタリスクリサーチ」で検索

超高速開発を実現するチームに必要なセキュリティとは

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a 超高速開発を実現するチームに必要なセキュリティとは

Semelhante a 超高速開発を実現するチームに必要なセキュリティとは (20)

Mais de Riotaro OKADA

Mais de Riotaro OKADA (12)

Último

Último (8)

超高速開発を実現するチームに必要なセキュリティとは