Enviar pesquisa
Carregar
Privacy by Design with OWASP
•
1 gostou
•
226 visualizações
Riotaro OKADA
Seguir
Privacy by Design x OWASP Riotaro OKADA, OWASP Japan lead OWASP Fukushima 2021/04
Leia menos
Leia mais
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 27
Baixar agora
Baixar para ler offline
Recomendados
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
Recomendados
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
Typhon 666
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
OWASP Top 10 2017 RC1について
OWASP Top 10 2017 RC1について
Daiki Ichinose
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
OWASP Projects
OWASP Projects
Takanori Nakanowatari
OWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろう
Yuichi Hattori
Mais conteúdo relacionado
Mais procurados
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
Typhon 666
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
OWASP Top 10 2017 RC1について
OWASP Top 10 2017 RC1について
Daiki Ichinose
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
Mais procurados
(20)
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Owasp Project を使ってみた
Owasp Project を使ってみた
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
OWASP Top 10 2017 RC1について
OWASP Top 10 2017 RC1について
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Semelhante a Privacy by Design with OWASP
OWASP Projects
OWASP Projects
Takanori Nakanowatari
OWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろう
Yuichi Hattori
AIIT学生会主催勉強会 クラウドのお話
AIIT学生会主催勉強会 クラウドのお話
Toshiaki Baba
クロスプラットフォーム開発を可能にするMonaca
クロスプラットフォーム開発を可能にするMonaca
Monaca
クラウド運用のためのストリームマイニング
クラウド運用のためのストリームマイニング
Shin Matsumoto
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
OSSラボ株式会社
Iss seminar 2010709#1-upload
Iss seminar 2010709#1-upload
Openwave Systems
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
株式会社スカイアーチネットワークス
Java/Androidセキュアコーディング
Java/Androidセキュアコーディング
Masaki Kubo
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
TokujiAkamine
誰にも聞けないクラウドの基礎の基礎
誰にも聞けないクラウドの基礎の基礎
Matsuzawa Fumiaki
PaaS / Cloud Foundry makes you happy
PaaS / Cloud Foundry makes you happy
Katsunori Kawaguchi
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omo
Kazuki Omo
FRT Vol. 5 クラウド時代の企業アプリケーションとマーケティング
FRT Vol. 5 クラウド時代の企業アプリケーションとマーケティング
Yasunari Goto (iChain. Inc.)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
Masaya Tahara
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
Yasuo Ohgaki
Cloud Foundry: Open Platform as a Service
Cloud Foundry: Open Platform as a Service
Shunsuke Kurumatani
[db tech showcase Tokyo 2015] C15:DevOps MySQL in カカクコム~ OSSによる可用性担保とリアルタイムパフ...
[db tech showcase Tokyo 2015] C15:DevOps MySQL in カカクコム~ OSSによる可用性担保とリアルタイムパフ...
Insight Technology, Inc.
Semelhante a Privacy by Design with OWASP
(20)
OWASP Projects
OWASP Projects
OWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろう
AIIT学生会主催勉強会 クラウドのお話
AIIT学生会主催勉強会 クラウドのお話
クロスプラットフォーム開発を可能にするMonaca
クロスプラットフォーム開発を可能にするMonaca
クラウド運用のためのストリームマイニング
クラウド運用のためのストリームマイニング
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Iss seminar 2010709#1-upload
Iss seminar 2010709#1-upload
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
Java/Androidセキュアコーディング
Java/Androidセキュアコーディング
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
誰にも聞けないクラウドの基礎の基礎
誰にも聞けないクラウドの基礎の基礎
PaaS / Cloud Foundry makes you happy
PaaS / Cloud Foundry makes you happy
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omo
FRT Vol. 5 クラウド時代の企業アプリケーションとマーケティング
FRT Vol. 5 クラウド時代の企業アプリケーションとマーケティング
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
Cloud Foundry: Open Platform as a Service
Cloud Foundry: Open Platform as a Service
[db tech showcase Tokyo 2015] C15:DevOps MySQL in カカクコム~ OSSによる可用性担保とリアルタイムパフ...
[db tech showcase Tokyo 2015] C15:DevOps MySQL in カカクコム~ OSSによる可用性担保とリアルタイムパフ...
Mais de Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Riotaro OKADA
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
もしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたなら
Riotaro OKADA
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
Riotaro OKADA
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
Riotaro OKADA
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Riotaro OKADA
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
Riotaro OKADA
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Riotaro OKADA
Security issue201312
Security issue201312
Riotaro OKADA
iSPP 仙台シンポジウム
iSPP 仙台シンポジウム
Riotaro OKADA
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYO
Riotaro OKADA
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickup
Riotaro OKADA
Mais de Riotaro OKADA
(12)
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
もしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたなら
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Security issue201312
Security issue201312
iSPP 仙台シンポジウム
iSPP 仙台シンポジウム
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYO
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickup
Último
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
Último
(11)
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
Privacy by Design with OWASP
1.
Privacy by Design
x OWASP 岡田 良太郎 OWASP Japan
2.
Audience:あなたについてお聞きします 1. OWASP関係のミーティングに初めて参加した⽅! 2. それ以外(毎度ありがとうございます)
3.
Audience:あなたについてお聞きします 1. ソフトウェア開発・運⽤/サービス提供者の内側の⼈ 2. ソフトウェア開発・運⽤の外側/ユーザサイドの⼈
4.
privacy issue (c) Riotaro
OKADA 4
5.
© Asterisk Research,
Inc. 5 1. マルウェア 2. ウェブの仕組みを利⽤した攻撃 3. フィッシング 4. ウェブアプリケーションへの攻撃 5. スパム 6. DDoS 7. id盗難 8. データ漏洩 9. 内部脅威 10. ボットネット 11. 物理的な操作/損害/盗難/紛失 12. 情報漏洩 13. ランサムウェア 14. サイバースパイ 15. クリプトジャッキング Threats
6.
IPA 発表 情報セキュリティ10大脅威 順位
組織 1位 ランサムウェアによる被害 2位 標的型攻撃による機密情報の窃取 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 4位 サプライチェーンの弱点を悪用した攻撃 5位 ビジネスメール詐欺による金銭被害 6位 内部不正による情報漏えい 7位 予期せぬIT基盤の障害に伴う業務停止 8位 インターネット上のサービスへの不正ログイン 9位 不注意による情報漏えい等の被害 10位 脆弱性対策情報の公開に伴う悪用増加 情報セキュリティ10⼤脅威 2021 (情報処理推進機構発表) Business Impact
7.
Compliance
8.
セキュリティは 技術的な「保護」の ためだけではない。 • サイズの違い/期間、予算、分解可能な単位 の違い • アーキテクチャやプラットフォームの違い •
業界ごとにリスクの違いも⼤きい • ビジネスリスク • ユーザのリスク • 業界のリスク • ユーザ層からの要請 • コンプライアンス (c) Riotaro OKADA 8 Implementation
9.
弱点はフル活用されてしまう 攻撃者の準備と実⾏に関わる⼿段の部分 を構造化して⾒られるフレームワーク • どこを⾒るのか • どんなツール・⼿法を使うのか •
どんな⼿法で⾏うのか • 最終⽬的 Enabling Security with "シフトレフト" © Asterisk Research, Inc. 9 MITRE Att&ck https://mitre-attack.github.io/attack-navigator/enterprise/ * ⾚いのは、OWASP Top 10に関連する脆弱性 Defence
10.
+ Benchmarks • 業界・⽬的特化 •
FISC標準 • BIMCO • PCI DSS • ISO 21434 • 3省3ガイドライン • サイバーセキュリティ経営ガイド ライン • 共通領域 • NIST 800 series • OWASP SAMM / Top 10 / Proactive controls / ASVS / Cheatsheets • CIS Security Benchmark (c) Riotaro OKADA 10 Design
11.
アプリケーション構築フロー 企画 • ビジネス⽬標 • 問題解決 •
コンプライアンス 要件 • リスクプロファイル • 脅威トレンド • 運⽤課題 設計 • 機能・⾮機能要件 • 脅威対応機能 開発 • 実装⽅針 • コンポーネント • 権限マトリックス 検証 • コード検証 • ビルド検証 • セキュリティ検証 運⽤ • デプロイ設定 • 基盤の設定 • アラート対応 © Asterisk Research, Inc. 11
12.
Who can help? (c)
Riotaro OKADA 12
13.
13 OWASP
14.
The OWASP Foundation https://owasp.org/ “OWASP
Foundation is the source for developers and technologists to secure the web.” 「OWASP Foundationは、開発者と技術者が ウェブを安全にするための情報源である」
15.
OWASP Projects OWASP プロジェクトは、ロード マップとチームメンバーが定義さ れた、関連するタスクの集合体で す。OWASP プロジェクトは、オー プンソースであり、ボランティア のコミュニティ、つまりあなたの ような⼈々によって構築さ
れてい ます。現在、 212の活動中のプロ ジェクトがあり、300ほどのチャ プターがあります。 誰が OWASP プロジェクトを始めるべきか? • アプリケーション開発者 • ソフトウェア・アーキテクト • 情報セキュリティの⽴案者 • アイデアを開発したりテストしたりするために、世界的な専⾨家コミュニ ティの⽀援を受けたい⼈。
16.
OWASP Projects -
Flagship • OWASP Amass • OWASP Application Security Verificationa Standard • OWASP Cheat Sheet Series • CSRFGuard • OWASP Defectdojo • OWASP Dependency-Check • OWASP Dependency-Track • OWASP Juice Shop • OWASP Mobile Security Testing Guide • OWASP ModSecurity Core Rule Set • OWASP OWTF • OWASP SAMM • OWASP Security Knowledge Framework • OWASP Security Shepherd • OWASP Top Ten • OWASP Web Security Testing Guide • OWASP ZAP
17.
OWASP Projects -
Labs • OWASP AntiSamy • OWASP API Security Project • OWASP Attack Surface Detector • OWASP Automated Threats to Web Applications • OWASP Benchmark • OWASP Code Pulse • OWASP Cornucopia • OWASP Enterprise Security API (ESAPI) • OWASP Find Security Bugs • OWASP Internet of Things • OWASP Java HTML Sanitizer • OWASP mobile security • OWASP Mobile Top 10 • OWASP Proactive Controls • OWASP Secure Coding Dojo • OWASP Security Pins • OWASP Snakes And Ladders • OWASP Top 10 Privacy Risks • OWASP TorBot • OWASP Vulnerable Web Applications Directory • OWASP WebGoat
18.
OWASP Projects -
Labs • OWASP .Net • OWASP Android Security Inspector Toolkit • OWASP APICheck • OWASP Application Gateway • OWASP Appsec Pipeline • OWASP Big Data Security Verification Standard • OWASP Bug Logging Tool • OWASP Cloud-Native Security Project • OWASP Core Business Application Security • OWASP CSRFProtector Project • OWASP Cyber Controls Matrix (OCCM) • OWASP Cyber Defense Framework • OWASP Cyber Defense Matrix • OWASP Cyber Scavenger Hunt • OWASP D4N155 • OWASP Devsecops Maturity Model • OWASP Patton • OWASP purpleteam • OWASP Pygoat • OWASP pytm • OWASP Risk Assessment Framework • OWASP SamuraiWTF • OWASP Sectudo • OWASP Secure Headers Project • OWASP Secure Logging Benchmark • OWASP secureCodeBox • OWASP SecureFlag Open Platform • OWASP SecureTea Project • OWASP Security Qualitative Metrics • OWASP SecurityRAT • OWASP Serverless Top 10 • OWASP SideKEK • OWASP DevSlop • OWASP Docker Top 10 • OWASP DPD (DDOS Prevention using DPI) • OWASP Go Secure Coding Practices Guide • OWASP Honeypot • OWASP Information Security Metrics Bank • OWASP Integration Standards • OWASP Maryam • OWASP Mobile Audit • OWASP Nettacker • OWASP Node.js Goat • OWASP O-Saft • OWASP Ontology Driven Threat Modeling Framework • OWASP Software Component Verification Standard • OWASP Single Sign-On • OWASP Threat and Safeguard Matrix (TaSM) • OWASP Threat Dragon • OWASP Threat Model Cookbook • OWASP TimeGap Theory • OWASP Top 10 Card Game • OWASP Top 10 Client-Side Security Risks • OWASP Vulnerability Management Guide • OWASP VulnerableApp • OWASP Web Application Firewall Evaluation Criteria Project (WAFEC) • OWASP Web Mapper • OWASP Web Testing Environment
19.
privacy by design x
OWASP? (c) Riotaro OKADA 21
20.
OWASP Privacy Risk
Top 10 Project https://owasp.org/www-project-top-10-privacy-risks/ OWASP Privacy Risks 2021(beta2) No. Title Frequency Impact Risk Ranking 2014 P1 Web Application Vulnerabilities 2 2.8 5.60 1 P2 Operator-sided Data Leakage 1.92 2.8 5.38 2 P3 Insufficient Data Breach Response 2.24 2.4 5.38 3 P4 Consent on Everything / Problems with getting Consent 2.37 2 4.74 New / 17 P5 Non-transparent Policies, Agreements, Terms and Conditions 2.32 2 4.64 5 P6 Insufficient Deletion of User Data 2.27 2 4.54 4 P7 Insufficient Data Quality 1.89 2.4 4.54 New P8 Missing or Insufficient Session Expiration 1.88 2.4 4.51 9 P9 Inability of users to access and modify data 2.02 2.2 4.44 13
21.
プライバシー実装 • 要件: • コンプライアンス •
実現機能 • データ保管場所 • 管理体制 • 既存システムの課題 → Δ(デルタ) SLO⽬標 要件 設計 実装 検証 リリース
22.
プライバシー実装 • 設計: • 認証認可/信頼メカニズム •
データ保護/管理メカニズム • 連携サービス/外部コンポーネント • アクター・ロール • 運⽤・監視・保護の仕組み 要件 設計 実装 検証 リリース
23.
プライバシー実装 • 実装: • データと制御の分離 •
認証なしの認可の禁⽌ • 暗号化の正しい実装 • コードのレビュー・検証・保護 • OSSなどサードパーティのリスク • 連携サービスのリスク 要件 設計 実装 検証 リリース
24.
プライバシー実装 • リリース→運⽤: • インフラ・クラウド設定 •
管理機構の稼働 • データストレージの監視 • 認証認可の監視 • エラーログの監視と分析 → 次の設計 • 管理者監視/SRE作業と記録 • モニタリングと分析 → 次の要件 要件 設計 実装 検証 リリース 要件 設計 実装 検証 リリース
25.
User Privacy Protection
Cheat Sheet ユーザープライバシー保護に関するチートシート https://cheatsheetseries.owasp.org/cheatsheets/User_Privacy_Protection_Cheat_Sheet.html • 強⼒な暗号化 Strong Cryptography • ストレージ、認証、トランスポート • HSTS: Support HTTP Strict Transport Security • デジタル証明書 Digital Certificate Pinning • パニックモードの設置 Panic Mode • アクセス制限/セッション期限 Remote Session Invalidation • 匿名ネットワーク対応 Allow Connections from Anonymity Networks • IPアドレス漏洩を防ぐ Prevent IP Address Leakage • ユーザに対する誠実さと透明性:Honesty & Transparency
26.
OWASP Integration Standards
27.
Thanks riotaro@owasp.org (c) Riotaro OKADA
29
Baixar agora