Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

4 Enemies of DevSecOps 2016

1,080 views

Published on

「経営課題としてのITセキュリティ DevSecOpsに立ち塞がる4つの問題」

日本セキュリティ・マネージメント学会 (JSSM 30th 記念事業)にともなう講演会で用いたスライドです。

スピーカー:岡田良太郎

OWASP Japan
WASForum Hardening Project
Hackademy
株式会社アスタリスク・リサーチ

Published in: Technology
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

4 Enemies of DevSecOps 2016

  1. 1. 4 enemies of DevSecOps 岡田良太郎 riotaro@owasp.org
  2. 2. 「リスクが許容値を下回るのが 情報セキュリティのコンセプト」
  3. 3. Faculty of Business Breakthrough (BBT) 「教養としてのサイバーセキュリティ」
  4. 4. 企業は何を守るべきなのか アプリケーションセキュリティ アプリケーション、データ、業務を 守るもの ネットワークセキュリティ サーバ、ネットワーク設備、 データベースサーバを守るもの
  5. 5. ビジネス環境は騒ぎ始めている “2013年、監査した96% に1つ以上の深刻な脆弱性” - Cenzic Vulnerability Report 2014 報告されたセキュリティ問題の95% はアプリケーション - NIST グローバルでは…コンプライアンス・規制・業界の動き – “データ”を安全に • PCI DSS, HIPAA, SOX, California Security Breach Information Act (SB-1386)
  6. 6. Case: HTTP, HTTPS
  7. 7. DevSecOps = DevOps + Sec ビジネス要件 カイハツ 運用 セキュリティ ウォーター フォール アジャイル DevOps DevSecOps !
  8. 8. DevSecOps 4 factors • ネットワーク セキュリティ • 脆弱性対応 • オープンソース ソフトウェア • コンプライアンス 「カエサルの死」(ヴィンチェンツォ・カムッチーニ)
  9. 9. ネットワーク・セキュリティ ブルータス、お前もか
  10. 10. セキュリティ支出の90%は、わずか10%の 攻撃にしか対応していない Sources: Gartner, OWASP Network Server Web Applications % of Attacks % of Dollars 90% セキュリティ攻撃 セキュリティ支出 75% 25% 10% 攻撃の75% はアプリケー ションレイヤー。 80%以上の ウェブサイトは 脆弱性を抱え ている インターネットのア プリケーションの安 全性に気を配って いない。 ネットワーク予算が ITの大半に費やさ れている。
  11. 11. Network security or Application Security L7 =$
  12. 12. CSC-1 許可された機器と無許可の機器の資産一覧 CSC-2 許可されたソフトウェアと無許可のソフトウェアの資産一覧 CSC-3 モバイル装置、ラップトップ、ワークステーション、サーバでの、 ハードウェアおよびソフトウェアのためのセキュアな構成 CSC-4 継続的な脆弱性診断と改善 CSC-5 管理者権限のコントロールされた使用 CSC-6 セキュリティ監査ログの保守、モニタリング、および分析 CSC-7 メールとウェブブラウザの保護 CSC-8 マルウェアの防御 CSC-9 ネットワークポート、プロトコル、サービスの制限とコントロール CSC-10 データ復旧能力 20 Critical Security Controls for Effective Cyber Defense – Version 6より | https://www.sans.org/critical-security-controls 12
  13. 13. Report NRI Secure Information Security Report 2015
  14. 14. Report NRI Secure Information Security Report 2015
  15. 15. オープンソース・ソフトウェア ブルータス、お前もか!
  16. 16. 自作アプリケーションとOSS
  17. 17. 自作アプリケーションと パッケージ, クラウドサービス, OSS, 3rd party
  18. 18. https://downloads.cloudsecurityalliance.org/whitepapers/Security_Guidance_for_Early_Adopters_of_the_Internet_of_Things.pdf
  19. 19. IoT Open Source “Heat Map” http://www.rtcmagazine.com/articles/view/105734
  20. 20. Error 混入率 “Industry avg: 1-25 errors per 1000 lines” “Microsoft: after 10-20 testing, 0.5 error per 1000 lines” - S. McConnell CODE COMPLETE 第2版
  21. 21. Error 混入率 Lines of code • WordPress: 423,759 • PHP: 3,617,916 • Apache: 1,832,007 • Linux: 18,963,973
  22. 22. 1. 利用状況把握、2. 自動更新テスト、3. アップデート http://codezine.jp/article/detail/9608?p=4 OWASP Dependency Check
  23. 23. 1. 利用状況把握、2. 自動更新テスト、3. アップデート http://qiita.com/sadayuki-matsuno/items/0bb8bb1689425bb9a21c Vuls
  24. 24. 脆弱性対応 ブルータス、お前もか?
  25. 25. ©2016 Asterisk Research, Inc.25 ー 一般教養としてのセキュリティで今、いちばん情報が足りない分野はなんでしょうか? 設計・開発段階からセキュリティの機能を組み込む「セキュアプログラミング」だろう。… すべてのプログラマーがセキュアプログラミングを常識として知っているべきだと思うが、 残念ながらセキュアプログラミングを学ぶための情報は限られている。 山口 英 奈良先端科学技術大学院大学教授, JPCERT/CC設立者, 内閣官房初代情報セキュリティ補佐官 http://itpro.nikkeibp.co.jp/atcl/interview/14/262522/090700192/?ST=management&P=4
  26. 26. 脆弱性類型の複雑さ •TOTAL CVE IDs: 79475 (2016/12) http://cve.mitre.org •http://cwe.mitre.org •SNS, Cloud, Bigdata, IoT, マイナンバー…
  27. 27. OWASP Top 10 容易 x 甚大な影響を及ぼす脆弱性。 27 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング (XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
  28. 28. OWASP Top 10 2010-> 2013
  29. 29. 大人気 OWASP Top 10 ©2016 Asterisk Research, Inc.29 出典:SANS Institute (2015)
  30. 30. テスト (DAST) 直す 隠す無視・ あきらめ テスト (SAST) 開発サイドの悩み アプリケーションセキュリティスキ ルとツールの不足 予算配分管理の欠如 デリバリー再優先 セキュリティチームの悩み 全アプリケーション資産の把握がで きていない 開発、セキュリティ、事業部のサ イロ化によるコミュニケーションコ スト増 脆弱性修正すると動かなくなるこ とへの恐れ 出典:SANS Institute (2015) Q. “Top Challenges for Builders and Defenders ” ? 間際のテストではオワコン
  31. 31. クルマ 33
  32. 32. 脆弱性検査 ? |©Asterisk Research, Inc.34 フェーズ Percent 企画・要件定義フェーズ 53.4% 設計フェーズ 16.5% 開発中 14.6% コードのチェックイン 4.9% リリース前 8.7% Other 1.9% 出典:SANS Institute (2015)
  33. 33. 「事前の策」 OWASP Proactive Controls 1.開発段階の早期に、繰り返しセキュリティ検証する 2.クエリーのパラメータ化 3.エンコード処理 4.全ての入力値を検証する 5.アイデンティティと認証 6.アクセス制御の実装 7.データの保護 8.ロギングと侵入検知 9.セキュリティフレームワークやライブラリの活用 10.エラー処理と例外処理 35
  34. 34. 5. アイデンティティと認証管理の実装 多要素認証 トークン認証 パスワードの保管はどこに? リカバリー方式の実装 セッションの生成と破棄 重要な処理を行う場合には、再認証 パスワードのハッシュ化 https://www.reddit.com/r/funny/comments/1m628n/th ty/
  35. 35. 7:データの保護 通信経路のデータは暗号化する データを保存する際の暗号化 保存先を変更する場合にも、 データが保護されるようにする モバイルアプリケーション:端末に安 全にデータを保存する
  36. 36. 9.セキュリティフレームワークやライブラリの活用 Spring Apache Shiro Django Security Flask Security 攻撃されやすい ”フレームワーク”もある
  37. 37. 原因 → 結果 正しい設計とコーディング → 脆弱性根絶。 39 OWASP Top 10 1:インジェクショ ン 2:認証とセッショ ン管理の不備 3:クロスサイトス クリプティング 4:安全でないオ ブジェクト直接参 照 5:セキュリティ設 定のミス 6:機密データの 露出 7:機能レベルの アクセス制御の 欠落 8:クロスサイトリ クエストフォー ジェリ 9:既知の脆弱性 を持つコンポーネ ントの使用 10:未検証のリダ イレクトとフォ ワード ProactiveControls 1: クエリのパラメータ化 ✔ 2: エンコード処理 ✔ ✔ 3: 入力値検証 ✔ ✔ ✔ 4: 適切なアクセス制御 ✔ ✔ 5: アイデンティティ及び認証制御 ✔ 6: データ及びプライバシー保護 ✔ 7: ロギング、エラーハンドリング、侵入検知 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 8: フレームワークとセキュリティライブラリ の活用 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 9: セキュリティ要件の考慮 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 10: セキュリティ設計 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
  38. 38. Proactive vs Reactive Proactive 予防 脆弱性を悪用されないよう にあらかじめ対策 • 脅威査定による防御計画 • 実装の強化 • 異常の早期発見の仕組み の導入 Reactive 治療 脆弱性を悪用されてからの 事後対応 • システム修正、実装改善 • システムの回復 • 可用性の維持あるいは遮 断
  39. 39. “Build Security In” ステージゲートと対策のマッピング セキュリティ 要件 リスクベース テストプラン コード 検査 ペネトレーション テストビルド 品質分析 セキュリティ 運用 vulnerability 1.開発の早い段階に、繰り返しセキュリティ検証 2.クエリーのパラメータ化 3.エンコード処理 4.全ての入力値を検証する 5.アイデンティティと認証 6.アクセス制御の実装 7.データの保護 8.ロギングと侵入検知 9.セキュリティフレームワークやライブラリの活用 10.エラー処理と例外処理 41
  40. 40. Proximity Advertising https://downloads.cloudsecurityalliance.org/whitepapers/Security_Guidance_for_Early_Adopters_of_the_Internet_of_Things.pdf
  41. 41. https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project • アタックサーフィスの概説 • 脅威エージェント • 攻撃の経路(アタックベクター) • セキュリティの弱点 • 技術面のインパクト • ビジネス面のインパクト • 脆弱性の例 • 攻撃の例 • この問題を避けるガイダンス • OWASP、他のリソース・参照情報 • 製造者、開発者、消費者それぞれ が考慮すべきことのリスト I1 安全でないウェブインターフェース I2 欠陥のある認証・認可機構 I3 安全でないネットワークサービス I4 通信路の暗号化の欠如 I5 プライバシー I6 安全でないクラウドインターフェース I7 弱いモバイルインターフェース I8 設定の不備 I9 ソフトウェア・ファームウェアの問題 I10 物理的な問題 OWASP Internet of Things Top 10 もっとも甚大なIoTセキュリティへのアタックサーフィス
  42. 42. Security Touch points アプリケーションが適切な安全性を 持っているかを保証できるよう各段階で働く 犯罪 ケース セキュリティ 要件 脅威 分析 リスクベース テストプラン コード 検査 ペネトレーション テスト ビルド 品質分析 セキュリティ 運用 テスター構築担当 運用担当者ビジネス担当オーナー
  43. 43. コンプライアンス
  44. 44. アプリケーションセキュリティ実施の強い動機 46 Drivers for AppSec Programs Response Percent コンプライアンス、内部監査、調査レポートの率直な指摘 71.5% 漏洩時の経済的打撃に対するリスクベースの意識 69.6% 顧客への「当然の品質」としての魅力提示 39.9% セキュリティ・インシデントの指摘 36.7% 業界の予算、ROI、TCO比較による 33.5% Couching security as a direct “enablement” for new applications 30.4% Other 1.3% 出典:SANS Institute (2015)
  45. 45. 他業界のビルド・イン・セキュリティ例: PCI DSSコンプライアンス 47 PCI DSS 3.0要件(引用) 要件6 安全性の高いシステム とアプリケーションを開 発し、保守する 要件6は、現在および変化し続ける脆弱性、および安全なコード化ガイドラインを反 映させるため要件が追加・更新されています。開発環境、開発者トレーニングに関 する要件が更新されています。また、コーディング実践に関する要件が追加されて います。 要件 11: セキュリティシステムお よびプロセスを定期的 にテストする。 要件11では、発展型要件、追加のガイダンス、明確化と多角的に要件が発展して います。特に、脆弱性テストには期間(四半期ごと)のみならず、訂正内容を検証 するための繰り返しテストの要件についても明確化されました。 要件12 すべての担当者の情 報セキュリティに対応 するポリシーを維持す る。 要件12では、2.0に引き続き、担当者教育の重要性が強調されています。入社時、 また年ごとに行うよう規定されています。
  46. 46. 他業界のビルド・イン・セキュリティ例: HIPAA コンプライアンス + HITECH法 48 HIPAA Privacy Rule Security Rule Breach Notification Rule Patient Safety Rule https://www.ibm.com/developerworks/jp/cloud/library/cl-hipaa/ http://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html
  47. 47. 「セキュリティ・バイ・デザイン」 2015/9/4 サイバーセキュリティ戦略 閣議決定 49
  48. 48. サイバーセキュリティ経営ガイドライン …
  49. 49. The biggest barrier is… ©2015 Asterisk Research, Inc.52 RMS Titanic departing Southampton on April 10, 1912. (Photo: Creative Commons)
  50. 50. |©2015 Asterisk Research, Inc.53 NISTIR-8151 Dramatically Reducing Software Vulnerabilities Report to the White House Office of Science and Technology Policy Dramatic Estimates of software vulnerabilities are up to 25 errors per 1000 lines of code. These approaches have been selected for the possibility of getting to 2.5 errors per 10000 lines of code. 3. Measures and Metrics 指標の使用を奨励します。 プロセスを継続的に改善するこのアプローチは、 最高水準の成熟度モデルにあります。 メトリックを使用すると脆弱性は大幅に軽減します。
  51. 51. DevSecOps Metric 1. P = 開発プロセス 2. S = ソフトウェアの検証と分析 3. E = 復元力のある実行環境 Aは保証の価値、 pはプロセスの知識から得られる保証 sは静的および動的分析からの保証 eは厳密な実行環境から得られる保証 A = f(p, s, e) |©2015 Asterisk Research, Inc.54
  52. 52. OWASP SAMM ソフトウェアセキュリティ保証成熟度モデル ソフトウェアセキュリティ保証成熟度モデル http://www.opensamm.org |©2015 Asterisk Research, Inc.55 グローバルのOWASP コミュニティが策定 ・ 日本語訳は経済産業省のプロジェクトで翻訳
  53. 53. SAMM 4カテゴリ・12アクティビティに、成熟度別のベス トプラクティスを定義し、それをアセッサが評価すること により定量化  合計77チェック項目で開発体制の成熟度を評価し、開発の組織の全体像及び特徴を把握  開発アクティビティのガバナンスに関するコアな知識の深化  バランスのよいチームビルディング / 教育 / 運用システムの介入 必要な部分の特定 ©2015 Asterisk Research, Inc.56 ソフトウェア開発 ガバナンス 構築 検証 デプロイ OpenSAMMの特徴 ビジネス機能と各フェーズでのセキュリティ対策: 戦略&指標 ポリシー&コンプライアンス 教育&指導 脅威の査定 セキュリティー要件 セキュアなアーキテクチャ 設計レビュー コードレビュー セキュリティテスト 脆弱性管理 環境の堅牢化 運用体制の セキュリティ対応
  54. 54. SAMM v1.1 |©2015 Asterisk Research, Inc.57
  55. 55. ガバナンス・構築・検証・配備の4カテゴリ 12アクティビティのスコアカードによる可視化 |©2015 Asterisk Research, Inc.58 計画ベンチマーク スコアカード
  56. 56. SO WHAT
  57. 57. DevSecOps 4 factors • ネットワーク セキュリティ • 脆弱性対応 • オープンソース ソフトウェア • コンプライアンス 「カエサルの死」(ヴィンチェンツォ・カムッチーニ)
  58. 58. セキュリティは ITの 総合格闘技 © MMA
  59. 59. 62 HARDENING PROJECT 2015/10 動画サイトで閲覧可能: http://www.nikkei.com/article/DGXMZO 92573760X01C15A0000000/
  60. 60. 最近、日本語でました https://downloads.cloudsecurityalliance.org/whitepapers/Security_Guidance_for_Early_Adopters_of_the_Internet_of_Things.pdf * OWASP IoT Top 10を参照している
  61. 61. https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project • アタックサーフィスの概説 • 脅威エージェント • 攻撃の経路(アタックベクター) • セキュリティの弱点 • 技術面のインパクト • ビジネス面のインパクト • 脆弱性の例 • 攻撃の例 • この問題を避けるガイダンス • OWASP、他のリソース・参照情報 • 製造者、開発者、消費者それぞれ が考慮すべきことのリスト I1 安全でないウェブインターフェース I2 欠陥のある認証・認可機構 I3 安全でないネットワークサービス I4 通信路の暗号化の欠如 I5 プライバシー I6 安全でないクラウドインターフェース I7 弱いモバイルインターフェース I8 設定の不備 I9 ソフトウェア・ファームウェアの問題 I10 物理的な問題 OWASP Internet of Things Top 10 もっとも甚大なIoTセキュリティへのアタックサーフィス
  62. 62. Producer / faculty
  63. 63. 社会価値 • 協調領域 • 競争領域 • あたらしい コンセンサス 連携 • 新しいリスク • 従来手法の見直し • 解決策 個別の 問題 • 問題対応? • 事前対策?
  64. 64. Be the enabler! Folks!
  65. 65. OWASP Japan Chapter Lead

×