Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

The Shift Left Path and OWASP

795 views

Published on

2017/12/1 Checkmarx Security Conference Tokyo 2017での講演資料 (公開版)
 「成長するサービスのセキュリティを実現する3つの視点とシフトレフト」
by 岡田良太郎 Riotaro OKADA

Published in: Software
  • Be the first to comment

The Shift Left Path and OWASP

  1. 1. The Shift left path 成長するサービスのセキュリティを実現する3つの視点とシフトレフト
  2. 2. 岡⽥良太郎 OWASP JAPAN 代表 アスタリスク・リサーチ 代表取締役 シフトレフト エヴァンジェリスト @okdt
  3. 3. Enabling Security ©Asterisk Research, Inc. 3http://www.lefigaro.fr/secteur/high-tech/2017/01/30/32001-20170130ARTFIG00169-un-virus-informatique-paralyse-un-hotel-de-luxe-en-autriche.php
  4. 4. CSIRT数は増加。 http://itpro.nikkeibp.co.jp/atclact/active/16/092700102/092700001/ 2017年、243 “可燃物”を放置したまま 消防団を結成?
  5. 5. 3 enemies • “セキュリティ投資” • OSS • 脆弱性対応 「カエサルの死」(ヴィンチェンツォ・カムッチーニ)
  6. 6. アプリケーション プレゼンテーション セッション トランスポート ネットワーク データリンク 物理層
  7. 7. アプリ バックエンド Web service Apple / Google / Amazon
  8. 8. ソフトウェア ソフトウェア ソフトウェア ソフトウェア ソフトウェア ソフトウェア ソフトウェア
  9. 9. 問題はどこで起きているのか
  10. 10. ソフトウェア
  11. 11. セキュリティ投資はリスクに見合っているか % of Attacks 90% 脅威 95% 92% 脆弱性報告の92% はアプリケーション 95%アプリケーション に深刻な脆弱性 NIST 教育、テスト、ツールに は費やされていない セキュリティ関連支出 の大半がネットワーク 、箱物、パッケージに消 費されている Network Applications % of Dollars 対策 10% 90%
  12. 12. Report NRI Secure Information Security Report 2015
  13. 13. Report NRI Secure Information Security Report 2015
  14. 14. 2017年「いかにアプリを構築し、実装するか、 新たな議論が巻き起こる」 • 11 things we think will happen in business technology in 2017 • “A new debate in how to build and ship applications.” Business Insider誌, Jan. 2, 2017
  15. 15. 3 enemies • 脆弱性対応 • OSS • セキュリティ投資 「カエサルの死」(ヴィンチェンツォ・カムッチーニ)
  16. 16. 自作アプリケーションとサードパーティ
  17. 17. ©2015 Asterisk Research, Inc. 17 2016/11 リリース NISTIR-8151 Dramatically Reducing Software Vulnerabilities Report to the White House Office of Science and Technology Policy Dramatic 業界平均 1-25 errors per 1000 lines of code. これを 2.5 errors per 10000 lines of code にできるプロセスとメソドロジをリサーチ
  18. 18. Lines of code • WordPress: 423,759 • PHP: 3,617,916 • Apache: 1,832,007 • Linux: 18,963,973
  19. 19. 「OSSを使いこなす」とは 1. 組織のソフトウェア資産目録の作成 2. 新しく発見された脆弱性およびセキュリティ・パッチの識別 3. 優先的なパッチの適用 4. 組織に特有のパッチ・データベースの作成 5. パッチ・テスト 6. パッチおよび脆弱情報の配布 7. ネットワークおよびホスト脆弱性スキャン によるパッチ適用の確認 8. 脆弱性データベースを利用したシステム管理の トレーニング 9. パッチの自動適用 + 10. 適切なOSSモジュールの選択 IPA「オープンソース・ソフトウェアの セキュリティ確保に関する調査報告書」part4
  20. 20. OSS利用のポイント • 要件定義の段階でシステム・セキュリティの優先順位を決定する。 • 設計チームは利用可能な適切なOSSリストを持ち、そこから安全につくりや すい・継続的にメンテしやすいコンポーネントリストを実装チームに提供す る。 • 実装チームは、外部モジュールの利用を独断しない。ただし、いつでも相 談できる。 • 運用チームは、OSSセキュリティ脆弱性をアプリケーションのログから管理 し、開発・設計チームへのフィードバックはどれほどあるか ©Asterisk Research, Inc. 20
  21. 21. NISTIR 8151 said • Aはソフトウェアセキュリティ保証の価値: • p = 開発プロセス • s = セキュリティテスト • e = 実行環境 •A = f(p, s, e) 21
  22. 22. 3 enemies • セキュリティ投資 • OSS • 脆弱性対応 「カエサルの死」(ヴィンチェンツォ・カムッチーニ)
  23. 23. 「教養として、セキュアプログラミングが一番足りない」 23http://itpro.nikkeibp.co.jp/atcl/interview/14/262522/090700192/ 奈良先端科学技術大学院大学 山口英教授
  24. 24. Web Interfaceに主眼のある脆弱性ガイド OWASP Top 10 ©2016 Asterisk Research, Inc. 24 出典:SANS Institute (2015)
  25. 25. テスト(DAST) 直す 隠す無視・ あきらめ テスト(SAST) 開発サイドの悩み アプリケーションセキュリティスキ ルとツールの不足 予算配分管理の欠如 デリバリー再優先 セキュリティチームの悩み 全アプリケーション資産の把握がで きていない 開発、セキュリティ、事業部のサ イロ化によるコミュニケーションコ スト増 脆弱性修正すると動かなくなるこ とへの恐れ 出典:SANS Institute (2015) Q. “Top Challenges for Builders and Defenders ” ? 「リリース間際のセキュリティテストは実施しています!」 しかも高額。
  26. 26. 本当に重点を置くべきところはリリース直前ではない | Enabling Security | ©Asterisk Research, Inc. 26 フェーズ Percent 企画・要件定義フェーズ 53.4% 設計フェーズ 16.5% 開発中 14.6% コードのチェックイン 4.9% リリース前 8.7% Other 1.9% 出典:SANS Institute (2015)
  27. 27. 負のバリューチェイン 楽観的で 薄めの 現状認識 牧歌的な 要件 正常機能 偏重の 設計 無頓着な コード ありえない ぜい弱な システム 攻撃成立 =インシデン ト ビジネスイ ンパクト
  28. 28. 負のバリューチェインは シフトレフトチェインで断ち切れる 楽観的で 薄めの 現状認識 牧歌的な 要件 正常機能 偏重の 設計 無頓着な コード ありえない ぜい弱な システム 攻撃成立 =インシデン ト ビジネスイ ンパクト SHIFT LEFTSHIFT LEFTSHIFT LEFT 教育 侵害ケース リスクプロ ファイリング 脅威分析 セキュリティ アーキテク チャ 開発時コー ドレビュー 静的解析 SAST 動的解析 DAST RASP/ Red Teaming
  29. 29. システムのセキュリティ問題 原因の85%は構築。 ©Asterisk Research, Inc. 29 0 10 20 30 40 50 60 70 80 90 100 設計 構築 検証 運用 1 6.5 15 対応コスト 100 SHIFT LEFT
  30. 30. 自動車の場合: 「何をどのように作るか」が重要 プレス 溶接 塗装 組立 検査 開発 生産技術 生産
  31. 31. OWASP Top 10のアンサードキュメント: OWASP Proactive Controls – “事前のリスク制御” Enabling Security ©2016 Asterisk Research, Inc. 31 1: 早期に、繰り返しセキュリティを検証する 2: クエリーのパラメータ化 3: データのエンコーディング 4: すべての⼊⼒値を検証する 5: アイデンティティと認証管理の実装 6: 適切なアクセス制御の実装 7: データの保護 8: ロギングと侵⼊検知の実装 9: セキュリティフレームワークやライブラリの活⽤ 10: エラー処理と例外処理
  32. 32. 原因と結果の対応を見れば効果は歴然としている。 正しい構築手法とプロセス → 複数の脆弱性を激減させる。大半が設計・コーディングの方式。 ©2016 Asterisk Research, Inc. 32 OWASP Top 10 1:インジェクション 2:認証とセッション 管理の不備 3:クロスサイトスク リプティング 4:安全でないオブ ジェクト直接参照 5:セキュリティ設定 のミス 6:機密データの露出 7:機能レベルのアク セス制御の⽋落 8:クロスサイトリク エストフォージェリ 9:既知の脆弱性を持 つコンポーネントの使 ⽤ 10:未検証のリダイレ クトとフォワード ProactiveControls 1: 早期に、繰り返しセキュリティを検証する ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 2: クエリーのパラメータ化 ✔ 3: データのエンコーディング ✔ ✔ 4: すべての⼊⼒値を検証する ✔ ✔ ✔ 5: アイデンティティと認証管理の実装 ✔ 6: 適切なアクセス制御の実装 ✔ ✔ 7: データの保護 ✔ 8: ロギングと侵⼊検知の実装 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 9: セキュリティフレームワークやライブラリの活⽤ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 10: エラー処理と例外処理 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ OWASP Top 10 x Proactive Controls MAPPING
  33. 33. 「ムラ」の問題 • 均質に開発しにくい
  34. 34. ムラをなくす Enterprise Security API
  35. 35. 設計段階でできることは実装に貢献する ©Asterisk Research, Inc. 35 0 10 20 30 40 50 60 70 80 90 100 設計 構築 検証 運用 1 6.5 15 対応コスト 100 SHIFT LEFT SHIFT LEFT
  36. 36. IEEE ソフトウェア設計における欠陥トップ10を避ける方法 ソフトウェアのセキュリティ設計における欠陥を、いかに して回避するか記述したドキュメント 1. 信頼 2. 認証メカニズム 3. 認証と認可 4. データと制御命令の分離 5. すべてのデータの明示的検証 6. 暗号化 7. 機密データ識別と取り扱い 8. ユーザ 9. 外部コンポーネントの統合とアタックサーフィス 10. オブジェクトやアクタの将来的変化 https://cybersecurity.ieee.org/blog/2015/11/13/avoiding-the-top-10-security-flaws/ Security-JAWS 36
  37. 37. “SHIFT LEFT TESTING” https://en.wikipedia.org/wiki/Shift_left_testing
  38. 38. “SHIFT LEFT TESTING” - DevOps https://en.wikipedia.org/wiki/Shift_left_testing コードレビュー ピアレビュー+自動化 テスト自動化 何時間もかかるSASTテスト? デリバリー自動化 CI/CD とイシュートラッカー
  39. 39. NISTIR 8151 said • Aはソフトウェアセキュリティ保証の価値: • p = 開発プロセス • s = セキュリティテスト • e = 実行環境 •A = f(p, s, e) 39
  40. 40. OWASP SAMM ソフトウェアセキュリティ保証成熟度モデル ©2015 Asterisk Research, Inc. 40 グローバルのOWASP コミュニティが策定 ・ 日本語訳は経済産業省のプロジェクトで翻訳 レベル1 アドホック レベル2 方針化 レベル3 組織的取り組み X 「ガバナンス」 「実装」 「検証」 「デプロイ」
  41. 41. まさに A = f(p, s, e) ©2015 Asterisk Research, Inc.41 ソフトウェア開発 ガバナンス 構築 検証 デプロイ 戦略&指標 ポリシー&コンプライアンス 教育&指導 脅威の査定 セキュリティー要件 セキュアなアーキテクチャ 設計レビュー コードレビュー セキュリティテスト 脆弱性管理 環境の堅牢化 運用体制の セキュリティ対応 ep s
  42. 42. Case ©Asterisk Research, Inc. 42 s e p
  43. 43. Build your strategy! 43 s e p
  44. 44. SHIFT LEFT KPI • 運用管理チームは脆弱性やアプリケーションのログを管理し、 開発・設計チームへのフィードバックを提供しよう • 実装チームは、どうすればセキュアなのかを確信できる方法を構築しよう。 それをすぐに手早く検証できる手段を整備しよう • 設計チームは、つくりやすい・メンテしやすい・壊されにくいコンポーネントや、 アーキテクチャの選択、攻撃面の認識、リスクベーステスト計画を。 • 要件定義の段階でセキュリティ品質・施策の優先順位を決定しているか。 コンプライアンスの影響はどこにあるか。 • 開発・運用イニシアチブとして、情報・教育・ツールを備えよう。そして、更新しよう。 44
  45. 45. SHIFT LEFT
  46. 46. 46Enabling Security©Asterisk Research, Inc. 98% or 68% がん患者の生存率比較
  47. 47. 47Enabling Security©Asterisk Research, Inc. 青森県の平均寿命は、男女ともに全国最下位です がんによる死亡率が高いことが、平均寿命に大きく 影響しています。 http://gan-info.pref.aomori.jp/public/index.php/ct05/a51.html
  48. 48. 改 善 率 → 死亡率→
  49. 49. 49Enabling Security©Asterisk Research, Inc. ・向き合うキャンペーン ・がん検診 ・がん登録 ・がん対策推進企業連携 協定の締結企業 ・診療連携
  50. 50. Who is OWASP?
  51. 51. OWASP NAGOYA 2017 坂梨 功典、村井 剛 OWASP NATORI 2017 佐藤 将太 OWASP FUKUSHIMA 2016 金子正人・山寺純 OWASP OKINAWA 2016 淵上真一・又吉伸穂 OWASP SENDAI 2015 小笠貴晴・佐藤ようすけ OWASP KYUSHU 2015 服部 祐一・花田智洋 OWASP KANSAI 2014 長谷川陽介・三木剛 OWASP JAPAN 2011 岡田良太郎・上野宣 OWASP Community in Japan
  52. 52. Hardening Project IPA セキュリティ10大脅威, JPCERT/CC, 総務省サイバー演習CYDER, SECON, 沖縄サイバーセキュリティネットワーク, Security Camp, IoT x Healthcare Hackathon
  53. 53. 16Years of community service
  54. 54. 25Academic Supporters
  55. 55. 68Paid Corporate Memberships
  56. 56. 93Active Projects
  57. 57. 129+Government & Industry Citations! IoTのセキュリティ設計 IoTのセキュリティガイド IoTシステムにおける脅威分析と 対策検討の実施例 IoTセキュリティの根幹を⽀える 暗号技術 OWASP IoT Projectを詳述!
  58. 58. 276Active Chapters
  59. 59. 55,000+participants mailing lists
  60. 60. 2,005,000owasp.org page views (per month)
  61. 61. 2017.9.30 #OWASP #OWT2017JP
  62. 62. Security is everyone’s responsibility
  63. 63. SHIFT LEFT 「30秒の確認と3時間のやり直し、 どっちがいい?」 @某社ベテラン技術者
  64. 64. SHIFT LEFT 「 過ちを気に病むことはない。 ただ認めて、次への糧とすればいい。 それが、大人の特権だ」 @フル・フロンタル
  65. 65. 「セキュリティ被害で平均30日も業務が止まるんだって。 今日終わるアップデート、やっとこっか😘✨」 #シフトレフト #月例セキュリティアップデートの日 #シフトレフト タグ 絶賛啓発中 @kazuhach
  66. 66. SHIFT LEFT 「仕入れと仕込みを学ぶことが大事ってことだ」 @築地の板前
  67. 67. SHIFT LEFT #シフトレフト あなたにとっては?
  68. 68. SHIFT LEFT #シフトレフト
  69. 69. みなさんの シフトレフト をここに!
  70. 70. 71 JOIN OWASP
  71. 71. OWASP Japan

×