Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

アプリケーションデリバリーのバリューチェイン

767 views

Published on

脆弱性検査に加え、CI(継続的インテグレーション)によるソフトウェア品質の「変数」を見るアプローチが普及してきました。しかし、可視化された問題は開発に活かされているでしょうか。アプリケーションの価値に貢献するには何が必要でしょうか。現状の問題をとりあげながら、解決への必須要件を考えます。

Published in: Engineering
  • Be the first to comment

アプリケーションデリバリーのバリューチェイン

  1. 1. Application Security Briefing & Discussion 2016 アプリケーション・デリバリーの バリュー・チェイン Asterisk Research, Inc Riotaro OKADA Enabling Security ©2016 Asterisk Research, Inc. 1
  2. 2. Riotaro OKADA Riotaro OKADA  Executive Researcher  CISA, MBA •  ビジネス・ブレークスルー大学非常勤講師「教養としてのサイバーセキュリティ」 •  政府調達担当向けサイバー演習 CYDER 委員(総務省) •  セキュリティキャンプ インストラクタ (経済産業省、IPA) •  マレーシア政府セキュリティイニシアチブ インストラクタ (外務省、JICA, 2015年) https://jp.linkedin.com/ in/riotaro @okdt
  3. 3. “If you can’t measure it, you can’t manage it“ 「測定できないものは管理できない」 W. Edwards Deming Enabling Security ©2016 Asterisk Research, Inc. 3
  4. 4. Let’s go visible Enabling Security ©2016 Asterisk Research, Inc. 4 0 20 40 60 80 100 設計 構築 検証 運用 1 6.5 15 100
  5. 5. QCD のいずれにも深刻な問題 1)  Quality: テストの手段も効果も理解しにくい •  脆弱性などの問題が指摘されるが、開発サイドからは改善の方法がわからない 2)  Cost: コストが高額 •  攻撃は縦横無尽なのにプロ・ツールの多くはプロジェクト課金、コード課金、機能課金 3)  Delivery: 深刻な人材不足 •  デリバリーができない Enabling Security ©2016 Asterisk Research, Inc. 5 「意味がわからない」のは、リテラシーが低いからだけではないのではないか。
  6. 6. アプリケーションセキュリティ実施の強い動機 | Enabling Security | ©Asterisk Research, Inc. 6 Drivers for AppSec Programs Response Percent コンプライアンス、内部監査、調査レポートの率直な指摘 71.5% 漏洩時の経済的打撃に対するリスクベースの意識 69.6% 顧客への「当然の品質」としての魅力提示 39.9% セキュリティ・インシデントの指摘 36.7% 業界の予算、ROI、TCO比較による 33.5% Couching security as a direct “enablement” for new applications 30.4% Other 1.3% 出典:SANS Institute (2015)
  7. 7. “It is wrong to suppose that if you can’t measure it, you can’t manage it“ 「測定できないものしか管理できないってのは、違うと思うよ」 W. Edwards Deming Enabling Security ©2016 Asterisk Research, Inc. 7
  8. 8. Assessment・Scoring •  開発チーム・プロセスアセスメント BSIMM, OpenSAMM, CIS Critical Controls •  ロードマップ策定支援 •  リサーチ(DD, 市場調査, 実態調査) •  アドバイザリ Governance, Risk, Compliance •  MetricSteram GRC •  内部監査支援 •  サードパーティ・ベンダー評価 •  ITデューデリジェンス Enabling Security “測定できるもの x 測定できないもの” Asterisk Research サービスラインナップ Enabling Security ©2016 Asterisk Research, Inc. 8 Training & Education •  技術者 「CodeZine Academy     ビルトインセキュリティブートキャンプ」 •  Eラーニング “AspectSecurity E-Learning” “Cigital CodiScope CBT” •  BBT大学 教養としてのサイバーセキュリティ」 •  ビジネスパーソン:サイバーセキュリティ・スキル •  ヤングリーダー「Security Initiative Training Secure Development •  開発品質向上支援 •  ツールの選定・導入支援 •  セキュアコーディング: SecureAssist •  QA:3D Security Testing •  スマホアプリ:SONY Secure Coding Checker
  9. 9. 企業幹部が最も注力したい セキュリティ対策とは Enabling Security ©2016 Asterisk Research, Inc. 9 1位 2位 3位 4位 5位 44.4% 従業員のセキュリティ教育 33.1% 27.5% 25.7% 23.5% 標的型攻撃に対するセキュリティ対策 スマートデバイス利用時のセキュリティ対策・ ルール整備 クラウドサービス利用時のセキュリティ対策・ ルール整備 事業継続計画IT-BCPの策定と改善 出典:野村総合研究所調べ
  10. 10. 一般インターネットユーザ vs セキュリティエキスパート Enabling Security ©2016 Asterisk Research, Inc. 10http://googlejapan.blogspot.jp/2016/02/blog-post.html (エキスパート: 7%) (一般ユーザ: 2%)42% 35%
  11. 11. 必要なのは、セキュリティ関係者じゃない人が 「サイバーセキュリティ・スキル」を身につけることではないか? Enabling Security ©2016 Asterisk Research, Inc. 11 「ビジネスパーソンに必須の7つのスキル」で、 「漠然とした不安」から「はっきりわかるリスク対策」への変化を。 https://asteriskresearch.com/7-cybersecurity-skills/ 2/24開講分、絶賛受講申込受付中>> http://cybersecurity-skills01.peatix.com/
  12. 12. Enabling Security ©2016 Asterisk Research, Inc. 12 UNIT SKILLS 1 サイバースペースで起きていることを把握する •  Cyberspaceとは何か、サイバーリスクとは何か •  業界特有の問題 •  サイバー犯罪、サイバー事件、キーパーソン 2 個人へのダメージを受けない力を身につける •  経済的ダメージ、社会的ダメージ、自分の職責へのダ メージ •  「99%のビジネスパーソンが知らなかった秘策」 3 ビジネスへの影響の実態と対策を把握し、協力する •  企業・団体にとってのサイバー攻撃の影響 •  「企業のビジネス保護のためのセキュリティ20施策」 4 セキュリテイ原則と、 それに対する攻撃者の視点や動機がわかる •  CIAトライアドと攻撃と、ダメージ軽減の対策と対応の 関係 5 サービスづくり・調達のポイントを見極める •  ビルト・イン・セキュリティ: ウェブ、アプリ、クラウ ドそしてIoT 6 情報化社会を支える仕組みと役割・コンプライアンスの ポイントをつかむ •  サイバーセキュリティに関する法律・ガイドライン •  業界・地域・目的別の連携活動、国際的な取り組み •  企業、担当者、コミュニティの連携 7 ビジネスイネーブラーとして「セキュリティ・スキル」 を活用する •  ビジネスイネーブラーのセキュリティ •  セキュリティイニシアティブが「サイバーセキュリ ティ・スキル」を着々とアップデートしていく方法 必要なのは、セキュリティ関係者じゃない人が 「サイバーセキュリティ・スキル」を身につけることではないか?
  13. 13. Enabling Security ©2016 Asterisk Research, Inc. 13 ー 一般教養としてのセキュリティで今、いちばん情報が足りない分野はなんでしょうか?  設計・開発段階からセキュリティの機能を組み込む「セキュアプログラミング」 だろう。… すべてのプログラマーがセキュアプログラミングを常識として知っているべきだと 思うが、残念ながらセキュアプログラミングを学ぶための情報は限られている。 山口 英 奈良先端科学技術大学院大学教授, JPCERT/CC設立者, 内閣官房初代情報セキュリティ補佐官 http://itpro.nikkeibp.co.jp/atcl/interview/14/262522/090700192/?ST=management&P=4
  14. 14. Quality, Cost, Delivery? テスト (DAST) 直す 隠す 無視・ あきらめ テスト (SAST) 開発サイドの悩み アプリケーションセキュリティ スキルとツールの不足 予算配分管理の欠如 デリバリー再優先 セキュリティチームの悩み 全アプリケーション資産の把握が できていない 開発、セキュリティ、事業部の サイロ化によるコミュニケー ションコスト増 脆弱性修正すると動かなくなる ことへの恐れ 出典:SANS Institute (2015) Q. “Top Challenges for Builders and Defenders ” ?
  15. 15. クルマ
  16. 16. セキュリティ計画配分は | Enabling Security | ©Asterisk Research, Inc. 17 フェーズ Percent 企画・要件定義フェーズ 53.4% 設計フェーズ 16.5% 開発中 14.6% コードのチェックイン 4.9% リリース前 8.7% Other 1.9% 出典:SANS Institute (2015)
  17. 17. OWASP Top 10 Enabling Security ©2016 Asterisk Research, Inc. 18 出典:SANS Institute (2015)
  18. 18. OWASP Top 10 容易 x 甚大な影響を及ぼす脆弱性。 Enabling Security ©2016 Asterisk Research, Inc. 19 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング (XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
  19. 19. 「事前の策」 OWASP Proactive Controls 1.  クエリのパラメータ化 2.  エンコード処理 3.  入力値検証 4.  適切なアクセス制御 5.  アイデンティティ及び認証制御 6.  データ及びプライバシー保護 7.  ロギング、エラーハンドリング、侵入検知 8.  フレームワークとセキュリティライブラリの活用 9.  セキュリティ要件の考慮 10.  セキュリティ設計 16/02/05 ©2015 Asterisk Research, Inc. 20
  20. 20. 原因をどうにかする「事前の策」 OWASP Proactive Controls 2016 1.  Verify for Security Early and Often 2.  Parameterize Queries 3.  Encode Data 4.  Validate All Inputs 5.  Implement Identity and Authentication Controls 6.  Implement Appropriate Access Controls 7.  Protect Data 8.  Implement Logging and Intrusion Detection 9.  Leverage Security Frameworks and Libraries 10.  Error and Exception Handling 16/02/05 ©2015 Asterisk Research, Inc. 21 2016年1月リリース 日本語版もやってます 1.開発段階の早期に、繰り返しセキュリティ検証する 2.クエリーのパラメータ化 3.エンコード処理 4.全ての入力値を検証する 5.アイデンティティと認証 6.アクセス制御の実装 7.データの保護 8.ロギングと侵入検知 9.セキュリティフレームワークやライブラリの活用 10.エラー処理と例外処理
  21. 21. 原因 → 結果 正しい設計とコーディング → 脆弱性根絶。 16/02/05 ©2015 Asterisk Research, Inc. 22 OWASP Top 10 1:インジェク ション 2:認証とセッ ション管理の不 備 3:クロスサイト スクリプティン グ 4:安全でないオ ブジェクト直接 参照 5:セキュリティ 設定のミス 6:機密データの 露出 7:機能レベルの アクセス制御の 欠落 8:クロスサイト リクエスト フォージェリ 9:既知の脆弱性 を持つコンポー ネントの使用 10:未検証のリ ダイレクトと フォワード ProactiveControls 1: クエリのパラメータ化 ✔ 2: エンコード処理 ✔ ✔ 3: 入力値検証 ✔ ✔ ✔ 4: 適切なアクセス制御 ✔ ✔ 5: アイデンティティ及び認証制御 ✔ 6: データ及びプライバシー保護 ✔ 7: ロギング、エラーハンドリング、侵 入検知 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 8: フレームワークとセキュリティライ ブラリの活用 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 9: セキュリティ要件の考慮 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 10: セキュリティ設計 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
  22. 22. ©2016 Asterisk Research, Inc. “Build Security In” ステージゲートと対策のマッピング 犯罪 ケース セキュリティ 要件 脅威 分析 リスクベース テストプラン コード 検査 ペネトレーション テスト ビルド 品質分析 セキュリティ 運用 vulnerability 1.開発の早い段階に、繰り返しセキュリティ検証 2.クエリーのパラメータ化 3.エンコード処理 4.全ての入力値を検証する 5.アイデンティティと認証 6.アクセス制御の実装 7.データの保護 8.ロギングと侵入検知 9.セキュリティフレームワークやライブラリの活用 10.エラー処理と例外処理
  23. 23. Enabling Security ©2016 Asterisk Research, Inc. 24 出典:SANS Institute (2015)
  24. 24. Built-In Security Boot Camp (CodeZine Academy Edition) で、もう少し詳しく学べます Enabling Security ©2016 Asterisk Research, Inc. 26 “明日の開発リーダーを育てる学校” CodeZine Academy Built-In Security Boot Camp http://event.shoeisha.jp/cza/20160307 http://event.shoeisha.jp/cza/201603073/7, 8開講分、絶賛受講申込受付中
  25. 25. Built-In Security Boot Camp (CodeZine Academy Edition) DAY1 脆弱性とその対応:脆弱性のあるコードとその修正 DAY2 プロアクティブな手法:脆弱性の発生を防ぐコーディングとプロセス Enabling Security ©2016 Asterisk Research, Inc. 27 UNIT SKILLS 1 サイバーセキュリティ情勢とビルトイン・セキュリティの意義 (PCI DSS要件) 2 ソフトウェアの脆弱性、脅威と対策 - OWASP Top 10/CWE/SANS TOP 25 より 3 脆弱性修正ハンズオン (サンプルコードによる実習) 4 ワークショップ: ソフトウェアセキュリティ問題の情報収集とアクション 5 脆弱性の発生を防ぐ設計・コーディング (Proactive Controls) 6 脆弱性の発生を防ぐプロセス、ガイドライン (PCI DSS、ASVS、SDL) 7 ワークショップ:セキュア設計・開発のチームへの導入 8 ソフトウェア開発ライフサイクルにかかわる情報収集とアクション(BSIMM、OpenSAMM) http://event.shoeisha.jp/cza/201603073/7, 8開講分、絶賛受講申込受付中
  26. 26. Enabling Security 28 ありがとうございます

×