• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)
 

デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)

on

  • 2,765 views

地方自治情報センター(LASDEC)から「地方公共団体における情報システム セキュリティ要求仕様モデルプラン(Webアプリケーション)」(通称「モデ ...

地方自治情報センター(LASDEC)から「地方公共団体における情報システム セキュリティ要求仕様モデルプラン(Webアプリケーション)」(通称「モデ ルプラン」)が公表されました。なぜ、このようなモデルプランが策定さ れる必要があったのか、地方公共団体の脆弱性診断の結果から日本のWeb セキュリティの現状を考察し、今後の開発体制のあるべき姿を提言する。

Statistics

Views

Total Views
2,765
Views on SlideShare
2,551
Embed Views
214

Actions

Likes
6
Downloads
23
Comments
0

7 Embeds 214

http://event.shoeisha.jp 176
https://twitter.com 27
http://intra.iwest.in.infocom.co.jp 5
http://test-event.shoeisha.jp 2
https://my.zyncro.jp 2
http://www.facebook.com 1
http://translate.googleusercontent.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏) デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏) Presentation Transcript

    • DevelopersSummit 公開用 セキュリティ要求仕様モデルプランで 日本は変わるか? ~地方公共団体における情報システムセキュリティ要求 仕様モデルプラン(Webアプリケーション)について ~15-C-8 百瀬昌幸#devsumiC (財)地方自治情報センター(LASDEC) 自治体セキュリティ支援室 Developers Summit 2013 Action !
    • DevelopersSummit ラスデック? Developers Summit 2013 Action !
    • Developers Summit (財)地方自治情報センター (LASDEC“ラスデック”) 住基ネット コンビニ交付の 導入支援等 研究開発 LGWAN 教育研修/人材育成 自治体セキュリティ支援室(LASC) • 各種セキュリティ情報収集、情報展開 • 自治体に無償で各種セキュリティ支援事業を提供 脆弱性診断事業から派生した成果物 ⇒「ウェブ健康診断仕様」「モデルプラン」 Developers Summit 2013 Action !3
    • Developers Summit モデルプランできました。 ダウンロード: https://www.lasdec.or.jp/cms/12,28369,84.html © 2012 supersoftware または、 で検索。 Developers Summit 2013 Action !4
    • DevelopersSummit モデルプランの概要 Developers Summit 2013 Action !
    • Developers Summit モデルプランの中身 Webアプリケーション(とプラットフォーム)の脆弱性対策関連の要件に特化した仕様書(特記仕様書) • 「セキュリティ保証期間」の設定 – 後ほどご説明 • 提案時の提出物 – セキュリティ実装方針、重要事項説明書 • ソフトウェア選定に係る要件 – サポートライフサイクルポリシーは問題ないか • 対応すべき脆弱性のリスト – 16項目 • セキュリティ機能要件 – ログイン処理、認可処理、アカウント管理など • テスト要件 – 開発時中間検査(Option)、最終(出荷時)検査 • 検収方法 – 納入ベンダーの検査結果チェック/自ら検査/第三者に依頼して検査 & 結果良好 を検収要件に • 成果物(納品物) • 保守対応関係要件 – 脆弱性修正パッチ開発関係、いつまでにパッチを適用するかなど。 Developers Summit 2013 Action !6
    • Developers Summit セキュリティ仕様選定基準イメージ(1/2) • 未知の脆弱性 • 新しく発見された脆弱性でまだ対処方法が確立していない脆弱性 •“脆弱性である”と定義できるかどうかわからないグレーゾーンの脆弱性 Developers Summit 2013 Action !7
    • Developers Summit セキュリティ仕様選定基準イメージ(2/2) (注)モデルプランはA、Bを全て カバーしているわけではない Developers Summit 2013 Action !8
    • Developers Summit セキュリティ要件の提示方法の比較 提示方法 メリット デメリット 対策すべき脅威 ・(発注者には)分かりやすい ・対策が曖昧になりやすく、 を明示 ・実装の自由度がある 効果が薄い可能性大 対策すべき脆弱 ・脆弱性毎の対応の可否は ・対策方法の良否判断は時に困難 性名を明示 明確になる ・脆弱性対応レベルは指定でき ・実装の自由度がある ない 実装方法を指定 ・確実な対策が見込みやすい ・実装の自由度がない (既存パッケージソフト等の 資産が使えず、開発コスト増 大の懸念あり) ・詳細をすべて書ききるのが、 かなり困難なものもある。 検査方法を明示 ・対策の自由度がある 確実な検査方法のスタンダードが ・対策の水準が明確になる 公開されていない ・検収がしやすい Developers Summit 2013 Action !9 ※徳丸浩氏の資料を一部引用
    • DevelopersSummit なぜモデルプランを作成したか Developers Summit 2013 Action !
    • Developers Summit ウェブ健康診断 ※本事業は平成20年~平成22年迄で終了 Developers Summit 2013 Action !11
    • Developers Summit 診断内容 下記項目を診断エンジニアによる手動の抜き取り検査(診断)を実施。 Developers Summit 2013 Action !12
    • DevelopersSummit ちなみに… 「ウェブ健康診断」の診断仕様は、 現在IPAさんにその維持・発展を 担っていただいています。 (平成24年12月から) こちらの資料も参考にしてください! ダウンロード: https://www.ipa.go.jp/security/vuln/websecurity.html または、 で検索。 Developers Summit 2013 Action !
    • Developers Summit 一部資料省略 Developers Summit 2013 Action !14 5
    • Developers Summit 地方公共団体における脆弱性対策に関する課題 • 突然発覚する脆弱性への対応について、幹部の 理解が得られない。 • 情報システムを管理する担当部門が脆弱性対策 の必要性を理解していない。 • 人事異動により、経験を積んだIT担当部門の職 員の知見が活かせなくなる。 • 脆弱性が見つかった場合の対策の実施や公表に 係る方針が定まらない。 出典:「地方公共団体のための脆弱性対応ガイド」などを公開 ~「情報システム等の脆弱性情報の取扱いに関する研究会」の2011年度活動成果~ http://www.ipa.go.jp/security/fy23/reports/vuln_handling/index.html Developers Summit 2013 Action !15
    • Developers Summit モデルプラン検討経緯 • 地方公共団体のウェブアプリケーションの現状 • 脆弱性のあるサイト数、脆弱性検出後の改善率の状況 現状認識 • 地方公共団体での脆弱性対策の課題 • 根本的な対策が必要 •システム導入前の時点で根本的に脆弱性が生みだされないような仕組み •脆弱性が発見された場合、容易に改修することができる手段 対策検討 •それらを、あまり多くの知識・ノウハウなくとも取り込める方法 • ウェブアプリケーションの調達におけるセキュリティ要求仕様のガイドラ イン、仕様例を作成 方針決定 • 「これ(モデルプラン)付けておけば、大体 」を期待。 注意:モデルプランは今後も実情等に合わせて改版要。 Developers Summit 2013 Action !16
    • Developers Summit 今後、地方公共団体のセキュリティ レベル向上のために必要な施策 事後 事前 セキュリティレ 対策 対策 ベル向上! ・ウェブ健康診断 ・セキュリティ要求仕様 ・セキュリティ健康診断 モデルプラン などの支援事業 仕様書例を作成し、地方公共団体及び一般へ情報公開! Developers Summit 2013 Action !17
    • Developers Summit Webアプリケーションセキュリティ 要求仕様等検討委員会 Developers Summit 2013 Action !18
    • Developers Summit 委員の皆様(50音順) 氏名 ご所属 飯島 輝泰 埼玉県毛呂山町 子ども課子育て支援係(元情報推進室 係長)※第1回~3回 大高 利夫 藤沢市 総務部IT推進課 総務部参事(兼)IT推進課長 木村 修二 NPO関西情報化維新協議会 理事 佐藤 慶浩 日本ヒューレット・パッカード株式会社 個人情報保護対策室 室長 鈴木 正朝 新潟大学 大学院実務法務研究科・法学部 教授(情報法) 高木 浩光 独立行政法人 産業技術総合研究所 セキュアシステム研究部門 主任研究員 高倉 弘喜 名古屋大学 情報基盤センター 情報基盤ネットワーク研究部門 教授 鶴巻 暁 上條・鶴巻法律事務所 弁護士 徳丸 浩 HASHコンサルティング株式会社 代表取締役 中山 紀雄 総務省 自治行政局 地域情報政策室 電子自治体推進係 係長 丸山 満彦 デロイト トーマツ リスクサービス株式会社 取締役 執行役員 活動期間:2011年12月9日~2012年10月22日 Developers Summit 2013 Action !19
    • DevelopersSummit モデルプランのポイント Developers Summit 2013 Action !
    • Developers Summit モデルプランのポイント 「セキュリティ保証期間」という期間を設け、 「脆弱性リスト」で示した脆弱性に限定して対処(脆弱 性がないようにする)を求めている。 (万一運用時に脆弱性が発覚したら、追加費用 なしで修補を求める) セキュリティ保証期間=5年間(稼働予定期間) 追加費用なし≠無償 Developers Summit 2013 Action !21
    • Developers Summit “追加費用なし”の効用 • リスクの見積もりを提案者(ベンダー)に委ねている。 「自ら開発したソフト、選定したソフトで事後(セキュリティ保証期間 中)に脆弱性が発覚するリスクを見込んで保守費用に対応費用 を積んでおいてください」 • 地方公共団体の調達 = ほとんど入札 …となれば、 – 「(開発者は)できるだけセキュアなソフト開発をする」 – 「(SIerは)できるだけセキュアなソフトを選定する」 というインセンティブが働く(保守費用を安くできるから) • 地方公共団体だけでなく、他にも広がれば… Developers Summit 2013 Action !22
    • Developers Summit モデルプランの採用が進むと… 脆弱性を作り込まない開発体制(構築体 制)整えている優秀なベンダーの製品の 採用を促進し、そうでない製品を排除す る方向に。 Developers Summit 2013 Action !23
    • Developers Summit モデルプラン セミナーアンケート結果 • 開催 :東京・大阪で開催(1月23日、30日) • 講師 :徳丸浩殿 • 内容 :モデルプランの作成経緯や使い方ノウハウ、注意点など。 • 参加者:地方公共団体職員(情報系) 合計 95名 • アンケート:「モデルプランを利用しようと思いますか?」 ①利用を検討したい / ②内容を確認してから検討したい <自由記述回答による、感想等 ~ 抜粋 ~> 某市 次期システム調達での仕様の使用を検討したい。 非常に有意義であると思う。 某市 ASP,SaaSについて同様のモデルが欲しい。 (ほか、イントラネット向けなどの意見も) 某区 モデルプラン通りでは敷居が高い。重要度1~4などに分け、 Webアプリケーションの重要度に合わせたものができないだろう か。(技術的な内容をちゃんと咀嚼できるだろうかといった懸念) 某県 現実的かつ実践的なもので即戦力になるツールだと感じま 回答団体:90名(68団体) す。 ユーザサイドがやかましく言うことでベンダサイドの意 (回答団体内訳) 識が変わるとよいのですが… 最終的にはユーザ・ベンダお 都道府県 16名 互いの意識を高く持つことがゴールかと思います。 市・区 49名 町・村 3名 Developers Summit 2013 Action !24
    • Developers Summit まとめ モデルプランは、、 • 基本的にユーザ視点で地方公共団体向けにまとめました。 • 脆弱性を完全に排除はしたいけど“完全に”は難しいので、期 間と内容(脆弱性リスト等)を限定して、万一運用時に規定の 脆弱性があるとわかったら追加費用なしで修補してもらうこと にしました。 • セキュリティ対策(脆弱性対策)に熱心なベンダーさんにとっ ては優位な仕様! • “地方公共団体向け”だけど…もっと活用の幅を広げたい (希望) より良い仕様、実情に合わせた対応にするための内容改版 の検討は継続予定です。 皆さんからもご意見などお寄せいただければ幸いです。 Developers Summit 2013 Action !25
    • Developers Summit セキュリティは文化 MY RECOMMEND NEXT ACTION! • 積極的に、ポジティブに、要求仕様の内容を 良くご覧ください。 • 「これって当たり前だよね~(今のやつには実 装してないけど)」がほとんどだと思います! • 当たり前の文化(=開発規約)にすれば、随 分世の中の脆弱性がなくなるはず! 日本のセキュリティの夜明けぜよ! Developers Summit 2013 Action !26
    • DevelopersSummit It’s your turn. Developers Summit 2013 Action !