Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -

1,998 views

Published on

神戸のサイバーセキュリティは誰が衛るのか
078 Kobe, 2017/5/6 午後
パネリスト:山寺純、三木剛、岡田良太郎

Published in: Environment
  • Be the first to comment

OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -

  1. 1. 神戸のサイバーセキュリティは、 誰が衛るのか? “OWASP meets KOBE SHIFT LEFT” 岡田良太郎・山寺純・三木剛 GALERRY A 14:30 -
  2. 2. OWASP?
  3. 3. OWASP NAGOYA 2017 準備中 OWASP NATORI 2017 佐藤 将太 OWASP FUKUSHIMA 2016 金子正人・山寺純 OWASP OKINAWA 2016 淵上真一・又吉伸穂 OWASP SENDAI 2015 小笠貴晴・佐藤ようすけ OWASP KYUSHU 2015 服部 祐一・花田智洋 OWASP KANSAI 2014 長谷川陽介・三木剛 OWASP JAPAN 2011 岡田良太郎・上野宣 日本のチャプター (地域の集まり)
  4. 4. 三木 剛 OWASP KANSAI LEADER 神戸デジタル・ラボ 取締役
  5. 5. 山寺 純 OWASP FUKUSHIMA LEADER EYES, JAPAN 代表取締役
  6. 6. 岡田良太郎 OWASP JAPAN 代表 アスタリスク・リサーチ 代表取締役
  7. 7. OWASP Japan Chapter Lead mission: ソフトウェアセキュリティについて 意思決定をする人のために役立つ十分な情報を提供すること
  8. 8. 1,495件 Enabling Security ©Asterisk Research, Inc. 9 銀行オンライン不正送金 年間被害件数
  9. 9. 30億円 Enabling Security ©Asterisk Research, Inc. 10 銀行オンライン不正送金 年間被害金額
  10. 10. 32日 Enabling Security ©Asterisk Research, Inc. 11 サイバーセキュリティ被害後 業務復旧までの平均日数
  11. 11. 5000万円 〜3億円 Enabling Security ©Asterisk Research, Inc. 12 サイバーセキュリティ被害 一社あたり平均回復コスト
  12. 12. 個人情報? Enabling Security ©Asterisk Research, Inc. 13 カード情報? マイナンバー?
  13. 13. SHIFT LEFT
  14. 14. Enabling Security ©Asterisk Research, Inc. 15 SHIFT LEFT 被害が出てからの対応ではなく、問 題の根本原因をつきとめ、その時点 で対策することによって問題の発生 確率や影響を未然に減じること
  15. 15. 攻撃側のプロセス 調査 発見 悪用 成功
  16. 16. 被害までのプロセス 無知 ぜい弱 問題 被害
  17. 17. 自動車の場合 プレス 溶接 塗装 組立 検査 開発 生産技術 生産
  18. 18. SHIFT LEFT
  19. 19. Enabling Security ©Asterisk Research, Inc. 20 98% or 68% がん患者の生存率比較
  20. 20. Enabling Security ©Asterisk Research, Inc. 21 青森県の平均寿命は、男女ともに全国最下位です がんによる死亡率が高いことが、平均寿命に大きく 影響しています。 http://gan-info.pref.aomori.jp/public/index.php/ct05/a51.html
  21. 21. 改 善 率 → 死亡率→
  22. 22. Enabling Security ©Asterisk Research, Inc. 23 ・向き合うキャンペーン ・がん検診 ・がん登録 ・がん対策推進企業連携 協定の締結企業 ・診療連携
  23. 23. SHIFT LEFT
  24. 24. Enabling Security ©Asterisk Research, Inc. 25 95% 検査の結果、深刻な脆弱性を 含んでいたITシステムの割合
  25. 25. OWASP Top 10 グローバルで大人気 ©2016 Asterisk Research, Inc. 26 出典:SANS Institute (2015)
  26. 26. OWASP Top 10 容易 x 甚大な影響を及ぼす脆弱性。 27 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング (XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つ コンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
  27. 27. アンサードキュメント: OWASP Proactive Controls Enabling Security ©2016 Asterisk Research, Inc. 28 1: 早期に、繰り返しセキュリティを検証する 2: クエリーのパラメータ化 3: データのエンコーディング 4: すべての入力値を検証する 5: アイデンティティと認証管理の実装 6: 適切なアクセス制御の実装 7: データの保護 8: ロギングと侵入検知の実装 9: セキュリティフレームワークやライブラリの活用 10: エラー処理と例外処理
  28. 28. システムのセキュリティ問題原因の85%は構築。 ©Asterisk Research, Inc. 29 0 20 40 60 80 100 設計 構築 検証 運用 1 6.5 15 対応コスト 100 SHIFT LEFT 原因85
  29. 29. • WordPress: 423,759 • PHP: 3,617,916 • Apache: 1,832,007 • Linux: 18,963,973
  30. 30. コピペで作るシステムの終焉
  31. 31. 2017年「いかにアプリを構築し、実装するか、 新たな議論が巻き起こる」 • 11 things we think will happen in business technology in 2017 •“A new debate in how to build and ship applications.” Business Insider誌, Jan. 2, 2017
  32. 32. Enabling Security ©Asterisk Research, Inc. 33
  33. 33. 34 琉球朝日放送で密着取材: ハッカーから情報守るハードニングプロジェクトとは http://www.qab.co.jp/news/2016110484925.html
  34. 34. Enabling Security ©Asterisk Research, Inc. 35 産経新聞 平成29年3月14日 生活面
  35. 35. もれてたろう ふせぎますこ
  36. 36. Enabling Security ©Asterisk Research, Inc. 37
  37. 37. 078 Hardening https://078kobe.jp/events/interactive/entry-88.html
  38. 38. 神戸のセキュリティは 誰が、どうやって衛るのか
  39. 39. Security is everyone’s responsibility
  40. 40. Enabling Security ©Asterisk Research, Inc. 41 JOIN OWASP

×