アプリケーションセキュリティ検査・検証の標準化
Application Security Verification Standard Project
speaker: Riotaro OKADA (@okdt) at OWASP Night 18th (2015/7/29), Tokyo, Japan
https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
"Shift Left" - the security vision that supports executive decision making
2018/3/9、Security Days 2018 Springでの講演資料です。
https://reg.f2ff.jp/public/session/view/5959
アプリケーションセキュリティ検査・検証の標準化
Application Security Verification Standard Project
speaker: Riotaro OKADA (@okdt) at OWASP Night 18th (2015/7/29), Tokyo, Japan
https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
"Shift Left" - the security vision that supports executive decision making
2018/3/9、Security Days 2018 Springでの講演資料です。
https://reg.f2ff.jp/public/session/view/5959
July Tech Festa 2015にて登壇した際の資料です。
なお後日、小河さんがOpen VASのCLI操作の解説について以下のスライドを追加投稿してくれました!
「フリーでできるセキュリティチェック OpenVAS CLI編」
http://www.slideshare.net/abend_cve_9999_0001/openvas-cli-51048313
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason ParkCODE BLUE
ユーザーのセキュアなIT製品に対する要求は、人の生活や産業に直接影響を与えるモノのインターネット(IoT)やサイバーフィジカルシステム(CPS)といった分野で増え続けている。ベンダーとユーザーは信用性あるいは客観的セキュリティ評価に基づいて製品を売買するため、セキュリティ評価は重要な役割を担う。セキュリティ評価は大きく、ISO/IEC29128(暗号プロトコルの安全性)のようなデザインおよびISO/IEC15408(コモンクライテリア)のような実装の評価に二分される。これらのセキュリティ評価の基準、ISO/IEC29128およびISO/IEC15408はともに対象の製品に高い保証レベルが要求されている場合には、形式的検証と自動化ツールの使用を勧告している。
この自動化ツールを使用した脆弱性の検知は、長い間多くのセキュリティ研究者やハッカーにより試行や研究が行われてきた。そして最近では、DARPAのサイバーグランドチャレンジにより、自動化ツールを利用した脆弱性検知に関する研究は、今までにないくらい活発になっている。しかしながら、数多くの自動化ツールが継続的に開発され、それぞれのツールが個別の目的のために使用されるもののため、効率的にセキュリティ評価を行うことが難しくなっている。
さらに、セキュリティ評価の側面から自動化ツールを分類するために参考にできる基準が無い。このプレゼンテーションではすべての脆弱性検知のための自動化ツールを列挙、分類をした上で分析を行い、長所と短所、目的、効率性などの結果を紹介する。
--- イン・ヒュ・セオ In Hyuk Seo
Inhyuk Seo(通称 in hack)。2015年に漢陽大学(ERICA)にて、計算機科学と工学の学士号を取得。現在は高麗大学の修士課程でSecurity Analaysis aNd Evaluation(SANE)に籍を置く。現在はプログラミング言語、ソフトウェア検査、機械学習および人工知能に興味を持つ。2012年にはKITRI(Korea Information Technology Research Institute)で開催された情報セキュリティ教育コース Best of the Best(BoB)を修了し、プロジェクト「難読化されたJavaスクリプト向けエクスプロイトデコーダ」の実行を指揮した。多くの脆弱性分析関連のプロジェクトに参加。スマートTVの脆弱性分析とセキュリティ評価、 軍事環境向けモバイルセキュリティソリューション(EAL4)の開発などを指揮する。また、多岐にわたる国内の通信業者のIoT製品の脆弱性分析に参加した。
--- ジソ・パク Jiso
12. Security: Network or Application
Sources: Gartner, OWASP
Network
Server
Web
Applications
% of Attacks % of Dollars
90%
セキュリティ攻撃 セキュリティ支出
75%
25%
10%
脆弱なウェブアプリケーション、67%
13. Intel Edison SD Card size PC
Bluetooth/LE
Wi-Fi
24x32x2.1mm
22nm 500MHz
Linux
1GB RAM
4GB storage
Dual Core IA
“コンピュータやスマートフォンのみならず、椅子や
コーヒーメーカーや、マグカップまでがネットワーク
デバイスになります。”
http://www.intel.com/content/www/us/en/do-it-yourself/edison.html
14.
15. Privacy-by-Design Principals
• Proactive not Reactive:
• Preventive not Remedial
• Privacy as the default
• Privacy Embedded
• Full Functionality
• End-to-end Security
• Visibility and Transparency
• Respect for User Privacy
• Privacy Impact Assessment
28. IoT Node Types and Data Paths
http://www.rtcmagazine.com/articles/view/105734
29. IoT Open Source “Heat Map”
http://www.rtcmagazine.com/articles/view/105734
30.
31. Requirements to use Open Source Software
• プロジェクトとコードをチェックせよ
– Openである意味はそこにある
• 組み込むならOSSのコードもテストせよ
– Found issue? Shut up and fix it!
• アップデートが重要
– モジュール、コードいずれのレベルでも
About One hundred years ago, the “unsinkable” Titanic foundered after striking an iceberg
off the coast of Newfoundland.
More than 1,500 people died in what became one of the deadliest maritime accidents ever.
Several factors contributed to this massive death toll,
but perhaps the most critical was that there simply weren’t enough lifeboats.
The ship carried 2,224 people, but fewer than half of them could squeeze into the boats.
As we know, passengers who didn’t get a spot in one of those lifeboats quickly died
in the freezing waters of the North Atlantic.
What’s less well known is that the Titanic’s supply of lifeboats was in full compliance
with the British marine regulations in force at time.
The law required the ship to carry 16 lifeboats; the Titanic actually had 20 lifeboats.
The ship’s owners did a good job of providing enough boats to address the regulatory
risk of noncompliance. Unfortunately, meeting regulatory requirements did little to
prevent the tragic loss of life.
This is a case of misperception of risk.