シフトレフト戦略と沖縄県

1. シフトレフト戦略と沖縄県 OWASP Japan Lead Hardening Project オーガナイザ株式会社アスタリスク・リサーチ岡田良太郎 riotaro@owasp.org Enabling Security ©Asterisk Research, Inc. 1

2. Enabling Security ©Asterisk Research, Inc. 2 産経新聞平成29年3月14日生活面２週間で５千ダウンロード超と、このジャンルの本としては記録的な数字を示した。検索：NO MORE 情報漏えい

3. OWASP Japan Chapter Lead mission: ソフトウェアセキュリティについて意思決定をする人のために役立つ十分な情報を提供すること

5. • OWASP NAGOYA 2017 設立予定 • OWASP FUKUSHIMA 2016 金子正人・山寺純 • OWASP OKINAWA 淵上真一・又吉伸穂 • OWASP SENDAI 2015 小笠貴晴・佐藤ようすけ • OWASP KYUSHU 2015 服部祐一・花田智洋 • OWASP KANSAI 2014 長谷川陽介・斉藤太一・三木剛 • OWASP JAPAN 2011 岡田良太郎・上野宣⽇本のチャプター (地域の集まり)

7. https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project • アタックサーフィスの概説 • 脅威エージェント • 攻撃の経路（アタックベクター） • セキュリティの弱点 • 技術面のインパクト • ビジネス面のインパクト • 脆弱性の例 • 攻撃の例 • この問題を避けるガイダンス • OWASP、他のリソース・参照情報 • 製造者、開発者、消費者それぞれが考慮すべきことのリスト I1 安全でないウェブインターフェース I2 欠陥のある認証・認可機構 I3 安全でないネットワークサービス I4 通信路の暗号化の欠如 I5 プライバシー I6 安全でないクラウドインターフェース I7 弱いモバイルインターフェース I8 設定の不備 I9 ソフトウェア・ファームウェアの問題 I10 物理的な問題 OWASP Internet of Things Project

9. Before Enabling Security ©Asterisk Research, Inc. 9

11. 脅威 vs 対策 % of Attacks 90% データ侵害の原因 95% 5% 報告されたセキュリティ侵害の原因の 95％はアプリケーション層検査した95％以上のサイトは深刻な脆弱性を抱えている NIST アプリケーションのセキュリティ確保に気を配っていない。セキュリティ関連支出の大半がネットワークに費やされている。 Network Applications % of Dollars セキュリティ支出 10% 90%

12. 脆弱性テスト直す隠す無視・あきらめ出典：SANS Institute (2015) Q. “Top Challenges for Builders and Defenders ” アプリケーションセキュリティ？「出荷前のテストはやっています」

13. 69% Enabling Security ©Asterisk Research, Inc. 13

14. 32⽇ Enabling Security ©Asterisk Research, Inc. 14

15. 5000万円〜3億円 Enabling Security ©Asterisk Research, Inc. 15

16. “Internet of Things”

17. ⼩さなデバイス細かなネットワーク多くのAPI 積もるデータ

18. 98% or 68% Enabling Security ©Asterisk Research, Inc. 18

19. Enabling Security ©Asterisk Research, Inc. 19 「全国最下位です」 http://gan-info.pref.aomori.jp/public/index.php/ct05/a51.html

20. Enabling Security ©Asterisk Research, Inc. 20 ・向き合うキャンペーン・がん検診・がん登録・がん対策推進企業連携協定の締結企業・診療連携

21. シフトレフト！ 0 20 40 60 80 100 設計構築検証運用 1 6.5 15 対応コスト 100 ©Asterisk Research, Inc. 21 SHIFT LEFT 原因85

22. 事前の策：OWASP Proactive Controls Enabling Security ©2016 Asterisk Research, Inc. 22 OWASP Top 10 Proactive Controls 2016 1: 早期に、繰り返しセキュリティを検証する 2: クエリーのパラメータ化 3: データのエンコーディング 4: すべての⼊⼒値を検証する 5: アイデンティティと認証管理の実装 6: 適切なアクセス制御の実装 7: データの保護 8: ロギングと侵⼊検知の実装 9: セキュリティフレームワークやライブラリの活⽤ 10: エラー処理と例外処理⽇本語もあります https://www.owasp.org/images/a/a8/OWASPTop10ProactiveControls2016-Japanese.pdf

23. 1000:1

24. システムコードの90％

25. • WordPress: 423,759 • PHP: 3,617,916 • Apache: 1,832,007 • Linux: 18,963,973

26. 2017年「いかにアプリを構築し、実装するか、新たな議論が巻き起こる」 • 11 things we think will happen in business technology in 2017 • “A new debate in how to build and ship applications.” Business Insider誌, Jan. 2, 2017

27. DevSecOps = 開発 x セキュリティ x 運⽤ビジネス要件カイハツ運用セキュリティウォーターフォールアジャイル DevOps DevSecOps !

28. 予防的開発 x 繰り返し検証 x 連携運⽤ Ops Sec Dev Enabling Security ©Asterisk Research, Inc. 28 1. 予防的開発：リスクとポリシーガイドラインと教育適した材料選び 2. 繰り返し検証：⾃動ツールの活⽤最短時間で問題認識検証結果の統合と共有 3. デプロイ・運⽤：確実なアップデート正常と異常の⾒極め開発へのフィードバック

29. SUMMARY

30. 1. ハイブリッド

31. 2. セキュリティバイデザイン

32. 3. セキュリティは総⼒戦

38. 重点分野

39. 39 Hardening Project 2015/10 動画サイトで閲覧可能： http://www.nikkei.com/article/DGXMZO92573760X01C15A0000000/ 次は6⽉23,24⽇ http://wasforum/jp

40. 40 琉球朝日放送で密着取材：ハッカーから情報守るハードニングプロジェクトとは http://www.qab.co.jp/news/2016110484925.html 2016年11月4日 18時45分放送次は6⽉23,24⽇ http://wasforum/jp

41. SHIFT LEFT 着実なものづくりで ITイニシアチブを

シフトレフト戦略と沖縄県

シフトレフト戦略と沖縄県

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados(20)

Destaque

Destaque(9)

Mais de Riotaro OKADA

Mais de Riotaro OKADA(20)

Último

Último(20)

シフトレフト戦略と沖縄県