SlideShare uma empresa Scribd logo

Owasp evening : Privacy x Design with OWASP

Riotaro OKADA
Riotaro OKADA

Privacy x Design with OWASP

Tecnologia
1 de 28
Baixar para ler offline
Privacy by Design x OWASP 岡田 良太郎 OWASP Japan riotaro@owasp.org 株式会社アスタリスク・リサーチ
privacy issue (c) Riotaro OKADA 5
ここ最近のアプリケーション セキュリティ関連ニュース • チケット販売サイト「Pea$x」利⽤者リスト ネットで取り引き(2020/11/20) NHK • 総連HPにウイルス疑い 警視庁、韓国籍の元学⽣書類送検(2020/12/16)⽇経 • EXILEサイトで流出か、4万件以上のカード情報(2020/12/8)⽇経 • 「PayPay」不正アクセス受ける 最⼤2007万件余の可能性(2020/12/7)NHK • 福島医⼤病院でランサム被害 17年夏、公表せず(2020/12/2)⽇経 • クレカ番号など漏洩か フリー、設定ミスで2898件(2021/2/10)⽇経 • NTTデータも被害、広がるGitHub上のコード流出問題(2021/2/1)⽇経❗ • コード⼀部流出、情報漏洩はなし 三井住友銀(2021/1/30)⽇経❗ • サーバーが不正アクセス被害|共英製鋼株式会社(2021/2/19)CyberSecurity.com • 男性向けファッション通販サイトに不正アクセス(2021/2/18)Security NEXT • 新潟市と飯⽥市の緊急通報システム「Net119」へ不正アクセス、登録者情報が参照 された可能性(2021/2/18)ScanNetSecurity • マイナビ転職で不正ログインでウェブ履歴書約21万件流出の可能性(2021/2/18) CyberSecurity.com • サーバに不正アクセス、原因や影響を調査 - 伯東株式会社(2021/2/17)Security NEXT • ⻄条市の健診予約システムが不正アクセスでサービス⼀時閉鎖へ(2021/2/16) CyberSecurity.com • 2市の健診サイトに不正アクセス 個⼈情報流失か 奈良(2021/2/12)朝⽇新聞 • 「サイバーパンク2077」開発元にサイバー攻撃 データ奪われ脅迫される (2021/2/12)ITMedia • バンダイグループお客様相談センターに不正アクセス、クラウド型営業管理システ ムのセキュリティ設定不備を突く(2021/2/1)ScanNetSecurity (c) Riotaro OKADA 6 • アプリケーション脆弱性 • 実装ミス・設計ミス • コンポーネントの脆弱性 • クラウドサービス側の問題 • クラウド設定のミス • 意図的なバックドア
例:「カード情報漏洩事件が起きて えらい問題になった」 ⼤命令: 「システム状況と原因を調べよ!」 • 原因1:よく調べたらクラウドのDB機能の管理機能がざるだった → アクセス制限を強化する仕組みの設計 • 原因2:よく調べたら脆弱性検査でわんさとXSSやSQLiが出た → 実装担当のやりかたを⾒直す必要 • 原因3:よく調べたら、実装担当にコードレビューの仕組みがない • 原因4:さらによく調べたら、チーム全体にセキュリティ情報が不⾜ • 原因5:エンジニアスキルの確保⽅策は脆弱だった
コンプライアンス
プライバシを強化したシステムって? • 機能⾯の要求 • Privacy by Default か • 詳細な認可機能の必要? • 実装⾯の要求 • 脆弱性の影響をうけないこと • データアクセスの安全 • 運⽤管理⾯の要求 • ユーザの許諾範囲の遵守 • インシデント発⽣時の対応 • 管理⾯の要求 • 誰がどのように管理するか • 他サービスとのデータ連携…
IdP 認証基盤 ・・・・ Mobile App Browser ・・・・ イネーブラ: SaaS, IaaS x IdP, API, WebHook… MicroService x DX時代 メール配信 サービス ストレージ サービス No code/Low code サービス 決済代行 サービス SaaS オンライン会議 サービス コミュニケーション チャットサービス WebHook App+API センサー UI 重大な脆弱性? 攻撃面? 狙いは? An
Who can help? (c) Riotaro OKADA 11
The OWASP Foundation https://owasp.org/ “OWASP Foundation is the source for developers and technologists to secure the web.” 「OWASP Foundationは、開発者と技術者が ウェブを安全にするための情報源である」
13 OWASP
各段階における実践と連携のプラクティス OWASP SAMM 2.0 Governance ガバナンス Design 設計 Implementation 実装 Verification 検証 Operations 運⽤ Strategy and Metrics 戦略と指標 Threat Assessment 脅威評価 Secure Build セキュアな構築 Architecture Assessment アーキテクチャ評価 Incident Management インシデント管理 Policy and Compliance ポリシーとコンプライ アンス Security Requirements セキュリティ要件 Secure Deployment セキュアなデプロイ Requirements-driven Testing 要件駆動型のテスト Environment Management 稼働環境の管理 Education and Guidance 教育と指導 Security Architecture セキュリティアーキテ クチャ Defect Management 不具合管理 Security Testing セキュリティテスト Operational Management 運⽤管理
OWASP Projects OWASP プロジェクトは、オープン ソースであり、ボランティアのコ ミュニティ、つまりあなたのよう な⼈々によって構築さ れていま す。 現在、 212の活動中のプロジェク トがあり、300ほどのチャプター があります。 誰が OWASP プロジェクトを始めるべきか? • アプリケーション開発者 • ソフトウェア・アーキテクト • 情報セキュリティの⽴案者 • アイデアを開発したりテストしたりするために、世界的な 専⾨家コミュニティの⽀援を受けたい⼈。
OWASP Projects - Flagship • OWASP Amass • OWASP Application Security Verificationa Standard • OWASP Cheat Sheet Series • CSRFGuard • OWASP Defectdojo • OWASP Dependency-Check • OWASP Dependency-Track • OWASP Juice Shop • OWASP Mobile Security Testing Guide • OWASP ModSecurity Core Rule Set • OWASP OWTF • OWASP SAMM • OWASP Security Knowledge Framework • OWASP Security Shepherd • OWASP Top Ten • OWASP Web Security Testing Guide • OWASP ZAP
OWASP Projects - Labs • OWASP AntiSamy • OWASP API Security Project • OWASP Attack Surface Detector • OWASP Automated Threats to Web Applications • OWASP Benchmark • OWASP Code Pulse • OWASP Cornucopia • OWASP Enterprise Security API (ESAPI) • OWASP Find Security Bugs • OWASP Internet of Things • OWASP Java HTML Sanitizer • OWASP mobile security • OWASP Mobile Top 10 • OWASP Proactive Controls • OWASP Secure Coding Dojo • OWASP Security Pins • OWASP Snakes And Ladders • OWASP Top 10 Privacy Risks • OWASP TorBot • OWASP Vulnerable Web Applications Directory • OWASP WebGoat
OWASP Projects- Labs • OWASP .Net • OWASP Android Security Inspector Toolkit • OWASP APICheck • OWASP Application Gateway • OWASP Appsec Pipeline • OWASP Big Data Security Verification Standard • OWASP Bug Logging Tool • OWASP Cloud-Native Security Project • OWASP Core Business Application Security • OWASP CSRFProtector Project • OWASP Cyber Controls Matrix (OCCM) • OWASP Cyber Defense Framework • OWASP Cyber Defense Matrix • OWASP Cyber Scavenger Hunt • OWASP D4N155 • OWASP Devsecops Maturity Model • OWASP Patton • OWASP purpleteam • OWASP Pygoat • OWASP pytm • OWASP Risk Assessment Framework • OWASP SamuraiWTF • OWASP Sectudo • OWASP Secure Headers Project • OWASP Secure Logging Benchmark • OWASP secureCodeBox • OWASP SecureFlag Open Platform • OWASP SecureTea Project • OWASP Security Qualitative Metrics • OWASP SecurityRAT • OWASP Serverless Top 10 • OWASP SideKEK • OWASP DevSlop • OWASP Docker Top 10 • OWASP DPD (DDOS Prevention using DPI) • OWASP Go Secure Coding Practices Guide • OWASP Honeypot • OWASP Information Security Metrics Bank • OWASP Integration Standards • OWASP Maryam • OWASP Mobile Audit • OWASP Nettacker • OWASP Node.js Goat • OWASP O-Saft • OWASP Ontology Driven Threat Modeling Framework • OWASP Software Component Verification Standard • OWASP Single Sign-On • OWASP Threat and Safeguard Matrix (TaSM) • OWASP Threat Dragon • OWASP Threat Model Cookbook • OWASP TimeGap Theory • OWASP Top 10 Card Game • OWASP Top 10 Client-Side Security Risks • OWASP Vulnerability Management Guide • OWASP VulnerableApp • OWASP Web Application Firewall Evaluation Criteria Project (WAFEC) • OWASP Web Mapper • OWASP Web Testing Environment
privacy by design w/ OWASP? (c) Riotaro OKADA 20
OWASP User Privacy Protection Cheat Sheet ユーザープライバシー保護に関するチートシート • 強⼒な暗号化 Strong Cryptography • ストレージ、認証、通信路、プロトコル 、認証 • パニックモードの設置 Panic Mode • アクセス制限/セッション期限 Remote Session Invalidation • 匿名ネットワーク対応 Allow Connections from Anonymity Networks • IPアドレス漏洩を防ぐ Prevent IP Address Leakage • ユーザに対する誠実さと透明性:Honesty & Transparency https://cheatsheetseries.owasp.org/cheatsheets/User_Privacy_Protection_Cheat_Sheet.html
OWASP Privacy Risk Top 10 Project No Title Frequency Impact Risk Ranking 2014 P1 Web Application Vulnerabilities 2 2.8 5.60 1 P2 Operator-sided Data Leakage 1.92 2.8 5.38 2 P3 Insufficient Data Breach Response 2.24 2.4 5.38 3 P4 Consent on Everything / Problems with getting Consent 2.37 2 4.74 New / 17 P5 Non-transparent Policies, Agreements, Terms and Conditions 2.32 2 4.64 5 P6 Insufficient Deletion of User Data 2.27 2 4.54 4 P7 Insufficient Data Quality 1.89 2.4 4.54 New P8 Missing or Insufficient Session Expiration 1.88 2.4 4.51 9 P9 Inability of users to access and modify data 2.02 2.2 4.44 13 2021(beta2) https://owasp.org/www-project-top-10-privacy-risks/
OWASP Privacy Risks Top 10 (1/2) # タイトル 頻度 影響 説明 P1 Webアプリケーションの 脆弱性 ⾼い ⾮常に⾼い 脆弱性は、機密性の⾼い個⼈データを保護または操作する上でシステムの重⼤ な問題です。アプリケーションの適切な設計と実装、問題の検出、または修正 (パッチ)の迅速な適⽤を怠ると、プライバシーが侵害される可能性がありま す。このリスクには、Webアプリケーションの脆弱性のOWASPトップ10リス トとそれらに起因するリスクも含まれます。 P2 オペレーター側の データ漏えい ⾼い ⾮常に⾼い 個⼈データを含むまたは個⼈データに関連する情報が許可されていない第三者 に漏洩し、データの機密性が失われます。意図的な悪意のある違反または意図 しないミスのいずれかが原因で引き起こされました。たとえば、不⼗分なアク セス管理制御、安全でないストレージ、データの重複、または認識の⽋如が原 因です。 P3 不⼗分なデータ侵害対応 ⾼い ⾮常に⾼い 意図的または意図的でないイベントのいずれかが原因で発⽣する侵害または データ漏洩について、影響を受ける⼈(データ主体)に通知しないこと。原因 を修正することによって状況を改善することに失敗すること。漏洩を制限する ことを怠ることです。 P4 すべてに同意する ⾮常に⾼い ⾼い 処理を正当化するための同意を集約する、または同意を不適切に使⽤すること です。同意の対象は「すべて」であり、⽬的ごとに収集していません(たとえ ば、Webサイトの使⽤や広告のプロファイリング)。 P5 不透明なポリシー、 利⽤規約 ⾮常に⾼い ⾼い データの収集、保存、処理など、データの処理⽅法を説明するための⼗分な情 報が提供されていません。例えば弁護⼠以外の⼈でも簡単に理解できるように しなければなりません。 https://owasp.org/www-project-top-10-privacy-risks/
OWASP Privacy Risks Top 10 (2/2) # タイトル 頻度 影響 説明 P6 個⼈データの削除が不⼗分 ⾼い ⾼い 指定された⽬的の終了後または要求に応じて、個⼈データを効果的および/ま たはタイムリーに削除しないことです。 P7 不⼗分なデータ品質 中 ⾮常に⾼い 古い、正しくない、または偽の個⼈データを使⽤すること、または、データの 更新または修正の誤りがあることです。 P8 セッションの有効期限が ないか不⼗分 中 ⾮常に⾼い セッションの終了が確実ではないことによって、ユーザーの同意または認識な しに、追加の個⼈データが収集される可能性があります。 P9 ユーザーがデータに アクセスして変更できない ⾼い ⾼い ユーザーが⾃分に関連するデータにアクセス、変更、または削除することがで きません。 P1 0 ユーザーの同意を得た ⽬的と異なるデータの収集 ⾼い ⾼い システムの⽬的に関係のない、分析データ、統計データ、またはその他の個⼈ の関連データの収集することや、ユーザーが同意しなかったデータを収集する ことです。 https://owasp.org/www-project-top-10-privacy-risks/
Q. アプリケーション構築フローのどこを強化したら、 プライバシーを守れるシステムになるんだろうか。 企画 • ビジネス⽬標 • 問題解決 • コンプライアンス 要件 • リスクプロファイル • 脅威トレンド • 運⽤課題 設計 • 機能・⾮機能要件 • 脅威対応機能 開発 • 実装⽅針 • コンポーネント • 権限マトリックス 検証 • コード検証 • ビルド検証 • セキュリティ検証 運⽤ • デプロイ設定 • 基盤の設定 • アラート対応 © Asterisk Research, Inc. 26
プライバシー要件 • コンプライアンス • 実現機能 • データ保管場所 • 管理体制 • 既存システムの課題 → Δ(デルタ) SLO⽬標 要件 設計 実装 検証 リリース
プライバシー設計 • 認証認可/信頼メカニズム • データ保護/管理メカニズム • 連携サービス/外部コンポーネント • アクター・ロール • 運⽤・監視・保護の仕組み 要件 設計 実装 検証 リリース
プライバシー開発実装 • データと制御の分離 • 認証なしの認可の禁⽌ • 暗号化の正しい実装 • コードのレビュー・検証・保護 • OSSなどサードパーティのリスク • 連携サービスのリスク 要件 設計 実装 検証 リリース
プライバシー運用 • インフラ・クラウド設定 • 管理機構の稼働 • データストレージの監視 • 認証認可の監視 • エラーログの監視と分析 → 次の設 計 • 管理者監視/SRE作業と記録 • モニタリングと分析 → 次の要件 要件 設計 実装 検証 リリース 要件 設計 実装 検証 リリース
まとめ - Next Action • プライバシーに関する社会の要請について、エンジニアの理解の解像 度を上げる必要がある。 • 個々のシステムへのプライバシーリスクを分解し、対策・対応を実現 する⼿⽴てについて理解する必要がある。 • 阻害要因として存在する「分断」を解消する必要がある。 • デマンドとサプライ、要件と設計、運⽤と実装、セキュリティと開発、 • セキュリティ設計や検証の主要な役割期待にインパクトがある。
Thanks riotaro@owasp.org (c) Riotaro OKADA 32

Recomendados

アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021Riotaro OKADA
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~Riotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 

Recomendados

アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021Riotaro OKADA
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~Riotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』aitc_jp
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftRiotaro OKADA
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -Cybozucommunity
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスクRiotaro OKADA
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチクラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチMinoDriven
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略Riotaro OKADA
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other MeasuresTyphon 666
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 
Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例 Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例 Elasticsearch
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101TokujiAkamine
 
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert LipovskýCODE BLUE
 
IoTの魅力
IoTの魅力IoTの魅力
IoTの魅力Eiji Yokota
 
OWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろうOWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろうYuichi Hattori
 

Mais conteúdo relacionado

Mais procurados

4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』aitc_jp
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftRiotaro OKADA
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -Cybozucommunity
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスクRiotaro OKADA
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチクラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチMinoDriven
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略Riotaro OKADA
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other MeasuresTyphon 666
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 
Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例 Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例 Elasticsearch
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 

Mais procurados (18)

4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
 
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチクラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみた
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
 
Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例 Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 

Semelhante a Owasp evening : Privacy x Design with OWASP

モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101TokujiAkamine
 
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert LipovskýCODE BLUE
 
OWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろうOWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろうYuichi Hattori
 
オープンクラウドカンファレンス2017 | クラウドネイティブなIoT通信プラットフォームと その活用事例
オープンクラウドカンファレンス2017 | クラウドネイティブなIoT通信プラットフォームと その活用事例オープンクラウドカンファレンス2017 | クラウドネイティブなIoT通信プラットフォームと その活用事例
オープンクラウドカンファレンス2017 | クラウドネイティブなIoT通信プラットフォームと その活用事例SORACOM,INC
 
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバックNISSHO USA
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方オラクルエンジニア通信
 
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月VirtualTech Japan Inc.
 
AWSによるサーバーレスアーキテクチャ
AWSによるサーバーレスアーキテクチャAWSによるサーバーレスアーキテクチャ
AWSによるサーバーレスアーキテクチャ真吾 吉田
 
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?Yasuo Ohgaki
 
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...Google Cloud Platform - Japan
 
クロスプラットフォーム開発を可能にするMonaca
クロスプラットフォーム開発を可能にするMonacaクロスプラットフォーム開発を可能にするMonaca
クロスプラットフォーム開発を可能にするMonacaMonaca
 
W3C Recent Activities 2014 Q4 : W3C最新活動 2014 Q4
W3C Recent Activities 2014 Q4 : W3C最新活動 2014 Q4W3C Recent Activities 2014 Q4 : W3C最新活動 2014 Q4
W3C Recent Activities 2014 Q4 : W3C最新活動 2014 Q4W3C
 
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチクラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチNetApp Japan
 
04 citynet awsセミナー_クラウドでビックデータのスモールスタート
04 citynet awsセミナー_クラウドでビックデータのスモールスタート04 citynet awsセミナー_クラウドでビックデータのスモールスタート
04 citynet awsセミナー_クラウドでビックデータのスモールスタート充博 大崎
 
クラウドでビックデータのスモールスタート
クラウドでビックデータのスモールスタートクラウドでビックデータのスモールスタート
クラウドでビックデータのスモールスタートYukihito Kataoka
 
IoTタグで遊んでみよう
IoTタグで遊んでみようIoTタグで遊んでみよう
IoTタグで遊んでみようYukimitsu Izawa
 
SORACOM Technology Camp 2018 ベーシックトラック3 | 今日から始めるセンサーデータの可視化
SORACOM Technology Camp 2018 ベーシックトラック3 | 今日から始めるセンサーデータの可視化SORACOM Technology Camp 2018 ベーシックトラック3 | 今日から始めるセンサーデータの可視化
SORACOM Technology Camp 2018 ベーシックトラック3 | 今日から始めるセンサーデータの可視化SORACOM,INC
 
webエンジニアがIoTにハマるわけ
webエンジニアがIoTにハマるわけwebエンジニアがIoTにハマるわけ
webエンジニアがIoTにハマるわけEiji Yokota
 
【Interop tokyo 2014】 Internet of Everything / SDN と シスコ技術者認定
【Interop tokyo 2014】 Internet of Everything / SDN と シスコ技術者認定【Interop tokyo 2014】 Internet of Everything / SDN と シスコ技術者認定
【Interop tokyo 2014】 Internet of Everything / SDN と シスコ技術者認定シスコシステムズ合同会社
 

Semelhante a Owasp evening : Privacy x Design with OWASP (20)

モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
 
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
 
IoTの魅力
IoTの魅力IoTの魅力
IoTの魅力
 
OWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろうOWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろう
 
オープンクラウドカンファレンス2017 | クラウドネイティブなIoT通信プラットフォームと その活用事例
オープンクラウドカンファレンス2017 | クラウドネイティブなIoT通信プラットフォームと その活用事例オープンクラウドカンファレンス2017 | クラウドネイティブなIoT通信プラットフォームと その活用事例
オープンクラウドカンファレンス2017 | クラウドネイティブなIoT通信プラットフォームと その活用事例
 
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
 
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
 
AWSによるサーバーレスアーキテクチャ
AWSによるサーバーレスアーキテクチャAWSによるサーバーレスアーキテクチャ
AWSによるサーバーレスアーキテクチャ
 
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
 
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...
 
クロスプラットフォーム開発を可能にするMonaca
クロスプラットフォーム開発を可能にするMonacaクロスプラットフォーム開発を可能にするMonaca
クロスプラットフォーム開発を可能にするMonaca
 
W3C Recent Activities 2014 Q4 : W3C最新活動 2014 Q4
W3C Recent Activities 2014 Q4 : W3C最新活動 2014 Q4W3C Recent Activities 2014 Q4 : W3C最新活動 2014 Q4
W3C Recent Activities 2014 Q4 : W3C最新活動 2014 Q4
 
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチクラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
 
04 citynet awsセミナー_クラウドでビックデータのスモールスタート
04 citynet awsセミナー_クラウドでビックデータのスモールスタート04 citynet awsセミナー_クラウドでビックデータのスモールスタート
04 citynet awsセミナー_クラウドでビックデータのスモールスタート
 
クラウドでビックデータのスモールスタート
クラウドでビックデータのスモールスタートクラウドでビックデータのスモールスタート
クラウドでビックデータのスモールスタート
 
IoTタグで遊んでみよう
IoTタグで遊んでみようIoTタグで遊んでみよう
IoTタグで遊んでみよう
 
SORACOM Technology Camp 2018 ベーシックトラック3 | 今日から始めるセンサーデータの可視化
SORACOM Technology Camp 2018 ベーシックトラック3 | 今日から始めるセンサーデータの可視化SORACOM Technology Camp 2018 ベーシックトラック3 | 今日から始めるセンサーデータの可視化
SORACOM Technology Camp 2018 ベーシックトラック3 | 今日から始めるセンサーデータの可視化
 
webエンジニアがIoTにハマるわけ
webエンジニアがIoTにハマるわけwebエンジニアがIoTにハマるわけ
webエンジニアがIoTにハマるわけ
 
【Interop tokyo 2014】 Internet of Everything / SDN と シスコ技術者認定
【Interop tokyo 2014】 Internet of Everything / SDN と シスコ技術者認定【Interop tokyo 2014】 Internet of Everything / SDN と シスコ技術者認定
【Interop tokyo 2014】 Internet of Everything / SDN と シスコ技術者認定
 

Mais de Riotaro OKADA

CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントRiotaro OKADA
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
 
もしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたならもしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたならRiotaro OKADA
 
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?Riotaro OKADA
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - Riotaro OKADA
 
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県Riotaro OKADA
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトRiotaro OKADA
 
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Riotaro OKADA
 
Security issue201312
Security issue201312Security issue201312
Security issue201312Riotaro OKADA
 
iSPP 仙台シンポジウム
iSPP 仙台シンポジウムiSPP 仙台シンポジウム
iSPP 仙台シンポジウムRiotaro OKADA
 
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYOIntroducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYORiotaro OKADA
 
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickupCrowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickupRiotaro OKADA
 

Mais de Riotaro OKADA (12)

CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
 
もしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたならもしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたなら
 
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
 
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
 
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
 
Security issue201312
Security issue201312Security issue201312
Security issue201312
 
iSPP 仙台シンポジウム
iSPP 仙台シンポジウムiSPP 仙台シンポジウム
iSPP 仙台シンポジウム
 
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYOIntroducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYO
 
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickupCrowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickup
 

Último

TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムsugiuralab
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 

Último (9)

TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 

Owasp evening : Privacy x Design with OWASP

  • 1. Privacy by Design x OWASP 岡田 良太郎 OWASP Japan riotaro@owasp.org 株式会社アスタリスク・リサーチ
  • 3. ここ最近のアプリケーション セキュリティ関連ニュース • チケット販売サイト「Pea$x」利⽤者リスト ネットで取り引き(2020/11/20) NHK • 総連HPにウイルス疑い 警視庁、韓国籍の元学⽣書類送検(2020/12/16)⽇経 • EXILEサイトで流出か、4万件以上のカード情報(2020/12/8)⽇経 • 「PayPay」不正アクセス受ける 最⼤2007万件余の可能性(2020/12/7)NHK • 福島医⼤病院でランサム被害 17年夏、公表せず(2020/12/2)⽇経 • クレカ番号など漏洩か フリー、設定ミスで2898件(2021/2/10)⽇経 • NTTデータも被害、広がるGitHub上のコード流出問題(2021/2/1)⽇経❗ • コード⼀部流出、情報漏洩はなし 三井住友銀(2021/1/30)⽇経❗ • サーバーが不正アクセス被害|共英製鋼株式会社(2021/2/19)CyberSecurity.com • 男性向けファッション通販サイトに不正アクセス(2021/2/18)Security NEXT • 新潟市と飯⽥市の緊急通報システム「Net119」へ不正アクセス、登録者情報が参照 された可能性(2021/2/18)ScanNetSecurity • マイナビ転職で不正ログインでウェブ履歴書約21万件流出の可能性(2021/2/18) CyberSecurity.com • サーバに不正アクセス、原因や影響を調査 - 伯東株式会社(2021/2/17)Security NEXT • ⻄条市の健診予約システムが不正アクセスでサービス⼀時閉鎖へ(2021/2/16) CyberSecurity.com • 2市の健診サイトに不正アクセス 個⼈情報流失か 奈良(2021/2/12)朝⽇新聞 • 「サイバーパンク2077」開発元にサイバー攻撃 データ奪われ脅迫される (2021/2/12)ITMedia • バンダイグループお客様相談センターに不正アクセス、クラウド型営業管理システ ムのセキュリティ設定不備を突く(2021/2/1)ScanNetSecurity (c) Riotaro OKADA 6 • アプリケーション脆弱性 • 実装ミス・設計ミス • コンポーネントの脆弱性 • クラウドサービス側の問題 • クラウド設定のミス • 意図的なバックドア
  • 4. 例:「カード情報漏洩事件が起きて えらい問題になった」 ⼤命令: 「システム状況と原因を調べよ!」 • 原因1:よく調べたらクラウドのDB機能の管理機能がざるだった → アクセス制限を強化する仕組みの設計 • 原因2:よく調べたら脆弱性検査でわんさとXSSやSQLiが出た → 実装担当のやりかたを⾒直す必要 • 原因3:よく調べたら、実装担当にコードレビューの仕組みがない • 原因4:さらによく調べたら、チーム全体にセキュリティ情報が不⾜ • 原因5:エンジニアスキルの確保⽅策は脆弱だった
  • 6. プライバシを強化したシステムって? • 機能⾯の要求 • Privacy by Default か • 詳細な認可機能の必要? • 実装⾯の要求 • 脆弱性の影響をうけないこと • データアクセスの安全 • 運⽤管理⾯の要求 • ユーザの許諾範囲の遵守 • インシデント発⽣時の対応 • 管理⾯の要求 • 誰がどのように管理するか • 他サービスとのデータ連携…
  • 7. IdP 認証基盤 ・・・・ Mobile App Browser ・・・・ イネーブラ: SaaS, IaaS x IdP, API, WebHook… MicroService x DX時代 メール配信 サービス ストレージ サービス No code/Low code サービス 決済代行 サービス SaaS オンライン会議 サービス コミュニケーション チャットサービス WebHook App+API センサー UI 重大な脆弱性? 攻撃面? 狙いは? An
  • 8. Who can help? (c) Riotaro OKADA 11
  • 9. The OWASP Foundation https://owasp.org/ “OWASP Foundation is the source for developers and technologists to secure the web.” 「OWASP Foundationは、開発者と技術者が ウェブを安全にするための情報源である」
  • 11. 各段階における実践と連携のプラクティス OWASP SAMM 2.0 Governance ガバナンス Design 設計 Implementation 実装 Verification 検証 Operations 運⽤ Strategy and Metrics 戦略と指標 Threat Assessment 脅威評価 Secure Build セキュアな構築 Architecture Assessment アーキテクチャ評価 Incident Management インシデント管理 Policy and Compliance ポリシーとコンプライ アンス Security Requirements セキュリティ要件 Secure Deployment セキュアなデプロイ Requirements-driven Testing 要件駆動型のテスト Environment Management 稼働環境の管理 Education and Guidance 教育と指導 Security Architecture セキュリティアーキテ クチャ Defect Management 不具合管理 Security Testing セキュリティテスト Operational Management 運⽤管理
  • 12. OWASP Projects OWASP プロジェクトは、オープン ソースであり、ボランティアのコ ミュニティ、つまりあなたのよう な⼈々によって構築さ れていま す。 現在、 212の活動中のプロジェク トがあり、300ほどのチャプター があります。 誰が OWASP プロジェクトを始めるべきか? • アプリケーション開発者 • ソフトウェア・アーキテクト • 情報セキュリティの⽴案者 • アイデアを開発したりテストしたりするために、世界的な 専⾨家コミュニティの⽀援を受けたい⼈。
  • 13. OWASP Projects - Flagship • OWASP Amass • OWASP Application Security Verificationa Standard • OWASP Cheat Sheet Series • CSRFGuard • OWASP Defectdojo • OWASP Dependency-Check • OWASP Dependency-Track • OWASP Juice Shop • OWASP Mobile Security Testing Guide • OWASP ModSecurity Core Rule Set • OWASP OWTF • OWASP SAMM • OWASP Security Knowledge Framework • OWASP Security Shepherd • OWASP Top Ten • OWASP Web Security Testing Guide • OWASP ZAP
  • 14. OWASP Projects - Labs • OWASP AntiSamy • OWASP API Security Project • OWASP Attack Surface Detector • OWASP Automated Threats to Web Applications • OWASP Benchmark • OWASP Code Pulse • OWASP Cornucopia • OWASP Enterprise Security API (ESAPI) • OWASP Find Security Bugs • OWASP Internet of Things • OWASP Java HTML Sanitizer • OWASP mobile security • OWASP Mobile Top 10 • OWASP Proactive Controls • OWASP Secure Coding Dojo • OWASP Security Pins • OWASP Snakes And Ladders • OWASP Top 10 Privacy Risks • OWASP TorBot • OWASP Vulnerable Web Applications Directory • OWASP WebGoat
  • 15. OWASP Projects- Labs • OWASP .Net • OWASP Android Security Inspector Toolkit • OWASP APICheck • OWASP Application Gateway • OWASP Appsec Pipeline • OWASP Big Data Security Verification Standard • OWASP Bug Logging Tool • OWASP Cloud-Native Security Project • OWASP Core Business Application Security • OWASP CSRFProtector Project • OWASP Cyber Controls Matrix (OCCM) • OWASP Cyber Defense Framework • OWASP Cyber Defense Matrix • OWASP Cyber Scavenger Hunt • OWASP D4N155 • OWASP Devsecops Maturity Model • OWASP Patton • OWASP purpleteam • OWASP Pygoat • OWASP pytm • OWASP Risk Assessment Framework • OWASP SamuraiWTF • OWASP Sectudo • OWASP Secure Headers Project • OWASP Secure Logging Benchmark • OWASP secureCodeBox • OWASP SecureFlag Open Platform • OWASP SecureTea Project • OWASP Security Qualitative Metrics • OWASP SecurityRAT • OWASP Serverless Top 10 • OWASP SideKEK • OWASP DevSlop • OWASP Docker Top 10 • OWASP DPD (DDOS Prevention using DPI) • OWASP Go Secure Coding Practices Guide • OWASP Honeypot • OWASP Information Security Metrics Bank • OWASP Integration Standards • OWASP Maryam • OWASP Mobile Audit • OWASP Nettacker • OWASP Node.js Goat • OWASP O-Saft • OWASP Ontology Driven Threat Modeling Framework • OWASP Software Component Verification Standard • OWASP Single Sign-On • OWASP Threat and Safeguard Matrix (TaSM) • OWASP Threat Dragon • OWASP Threat Model Cookbook • OWASP TimeGap Theory • OWASP Top 10 Card Game • OWASP Top 10 Client-Side Security Risks • OWASP Vulnerability Management Guide • OWASP VulnerableApp • OWASP Web Application Firewall Evaluation Criteria Project (WAFEC) • OWASP Web Mapper • OWASP Web Testing Environment
  • 16. privacy by design w/ OWASP? (c) Riotaro OKADA 20
  • 17.
  • 18. OWASP User Privacy Protection Cheat Sheet ユーザープライバシー保護に関するチートシート • 強⼒な暗号化 Strong Cryptography • ストレージ、認証、通信路、プロトコル 、認証 • パニックモードの設置 Panic Mode • アクセス制限/セッション期限 Remote Session Invalidation • 匿名ネットワーク対応 Allow Connections from Anonymity Networks • IPアドレス漏洩を防ぐ Prevent IP Address Leakage • ユーザに対する誠実さと透明性:Honesty & Transparency https://cheatsheetseries.owasp.org/cheatsheets/User_Privacy_Protection_Cheat_Sheet.html
  • 19. OWASP Privacy Risk Top 10 Project No Title Frequency Impact Risk Ranking 2014 P1 Web Application Vulnerabilities 2 2.8 5.60 1 P2 Operator-sided Data Leakage 1.92 2.8 5.38 2 P3 Insufficient Data Breach Response 2.24 2.4 5.38 3 P4 Consent on Everything / Problems with getting Consent 2.37 2 4.74 New / 17 P5 Non-transparent Policies, Agreements, Terms and Conditions 2.32 2 4.64 5 P6 Insufficient Deletion of User Data 2.27 2 4.54 4 P7 Insufficient Data Quality 1.89 2.4 4.54 New P8 Missing or Insufficient Session Expiration 1.88 2.4 4.51 9 P9 Inability of users to access and modify data 2.02 2.2 4.44 13 2021(beta2) https://owasp.org/www-project-top-10-privacy-risks/
  • 20. OWASP Privacy Risks Top 10 (1/2) # タイトル 頻度 影響 説明 P1 Webアプリケーションの 脆弱性 ⾼い ⾮常に⾼い 脆弱性は、機密性の⾼い個⼈データを保護または操作する上でシステムの重⼤ な問題です。アプリケーションの適切な設計と実装、問題の検出、または修正 (パッチ)の迅速な適⽤を怠ると、プライバシーが侵害される可能性がありま す。このリスクには、Webアプリケーションの脆弱性のOWASPトップ10リス トとそれらに起因するリスクも含まれます。 P2 オペレーター側の データ漏えい ⾼い ⾮常に⾼い 個⼈データを含むまたは個⼈データに関連する情報が許可されていない第三者 に漏洩し、データの機密性が失われます。意図的な悪意のある違反または意図 しないミスのいずれかが原因で引き起こされました。たとえば、不⼗分なアク セス管理制御、安全でないストレージ、データの重複、または認識の⽋如が原 因です。 P3 不⼗分なデータ侵害対応 ⾼い ⾮常に⾼い 意図的または意図的でないイベントのいずれかが原因で発⽣する侵害または データ漏洩について、影響を受ける⼈(データ主体)に通知しないこと。原因 を修正することによって状況を改善することに失敗すること。漏洩を制限する ことを怠ることです。 P4 すべてに同意する ⾮常に⾼い ⾼い 処理を正当化するための同意を集約する、または同意を不適切に使⽤すること です。同意の対象は「すべて」であり、⽬的ごとに収集していません(たとえ ば、Webサイトの使⽤や広告のプロファイリング)。 P5 不透明なポリシー、 利⽤規約 ⾮常に⾼い ⾼い データの収集、保存、処理など、データの処理⽅法を説明するための⼗分な情 報が提供されていません。例えば弁護⼠以外の⼈でも簡単に理解できるように しなければなりません。 https://owasp.org/www-project-top-10-privacy-risks/
  • 21. OWASP Privacy Risks Top 10 (2/2) # タイトル 頻度 影響 説明 P6 個⼈データの削除が不⼗分 ⾼い ⾼い 指定された⽬的の終了後または要求に応じて、個⼈データを効果的および/ま たはタイムリーに削除しないことです。 P7 不⼗分なデータ品質 中 ⾮常に⾼い 古い、正しくない、または偽の個⼈データを使⽤すること、または、データの 更新または修正の誤りがあることです。 P8 セッションの有効期限が ないか不⼗分 中 ⾮常に⾼い セッションの終了が確実ではないことによって、ユーザーの同意または認識な しに、追加の個⼈データが収集される可能性があります。 P9 ユーザーがデータに アクセスして変更できない ⾼い ⾼い ユーザーが⾃分に関連するデータにアクセス、変更、または削除することがで きません。 P1 0 ユーザーの同意を得た ⽬的と異なるデータの収集 ⾼い ⾼い システムの⽬的に関係のない、分析データ、統計データ、またはその他の個⼈ の関連データの収集することや、ユーザーが同意しなかったデータを収集する ことです。 https://owasp.org/www-project-top-10-privacy-risks/
  • 22. Q. アプリケーション構築フローのどこを強化したら、 プライバシーを守れるシステムになるんだろうか。 企画 • ビジネス⽬標 • 問題解決 • コンプライアンス 要件 • リスクプロファイル • 脅威トレンド • 運⽤課題 設計 • 機能・⾮機能要件 • 脅威対応機能 開発 • 実装⽅針 • コンポーネント • 権限マトリックス 検証 • コード検証 • ビルド検証 • セキュリティ検証 運⽤ • デプロイ設定 • 基盤の設定 • アラート対応 © Asterisk Research, Inc. 26
  • 23. プライバシー要件 • コンプライアンス • 実現機能 • データ保管場所 • 管理体制 • 既存システムの課題 → Δ(デルタ) SLO⽬標 要件 設計 実装 検証 リリース
  • 24. プライバシー設計 • 認証認可/信頼メカニズム • データ保護/管理メカニズム • 連携サービス/外部コンポーネント • アクター・ロール • 運⽤・監視・保護の仕組み 要件 設計 実装 検証 リリース
  • 25. プライバシー開発実装 • データと制御の分離 • 認証なしの認可の禁⽌ • 暗号化の正しい実装 • コードのレビュー・検証・保護 • OSSなどサードパーティのリスク • 連携サービスのリスク 要件 設計 実装 検証 リリース
  • 26. プライバシー運用 • インフラ・クラウド設定 • 管理機構の稼働 • データストレージの監視 • 認証認可の監視 • エラーログの監視と分析 → 次の設 計 • 管理者監視/SRE作業と記録 • モニタリングと分析 → 次の要件 要件 設計 実装 検証 リリース 要件 設計 実装 検証 リリース
  • 27. まとめ - Next Action • プライバシーに関する社会の要請について、エンジニアの理解の解像 度を上げる必要がある。 • 個々のシステムへのプライバシーリスクを分解し、対策・対応を実現 する⼿⽴てについて理解する必要がある。 • 阻害要因として存在する「分断」を解消する必要がある。 • デマンドとサプライ、要件と設計、運⽤と実装、セキュリティと開発、 • セキュリティ設計や検証の主要な役割期待にインパクトがある。