Privacy x Design with OWASP

1. Privacy by Design x OWASP
岡田 良太郎
OWASP Japan
riotaro@owasp.org
株式会社アスタリスク・リサーチ

2. privacy issue
(c) Riotaro OKADA 5

3. ここ最近のアプリケーション
セキュリティ関連ニュース
• チケット販売サイト「Pea$x」利⽤者リスト ネットで取り引き（2020/11/20）
NHK
• 総連HPにウイルス疑い 警視庁、韓国籍の元学⽣書類送検(2020/12/16)⽇経
• EXILEサイトで流出か、4万件以上のカード情報（2020/12/8）⽇経
• 「PayPay」不正アクセス受ける 最⼤2007万件余の可能性（2020/12/7）NHK
• 福島医⼤病院でランサム被害 17年夏、公表せず（2020/12/2）⽇経
• クレカ番号など漏洩か フリー、設定ミスで2898件（2021/2/10）⽇経
• NTTデータも被害、広がるGitHub上のコード流出問題（2021/2/1）⽇経❗
• コード⼀部流出、情報漏洩はなし 三井住友銀（2021/1/30）⽇経❗
• サーバーが不正アクセス被害|共英製鋼株式会社（2021/2/19）CyberSecurity.com
• 男性向けファッション通販サイトに不正アクセス（2021/2/18）Security NEXT
• 新潟市と飯⽥市の緊急通報システム「Net119」へ不正アクセス、登録者情報が参照
された可能性（2021/2/18）ScanNetSecurity
• マイナビ転職で不正ログインでウェブ履歴書約21万件流出の可能性（2021/2/18）
CyberSecurity.com
• サーバに不正アクセス、原因や影響を調査 - 伯東株式会社（2021/2/17）Security
NEXT
• ⻄条市の健診予約システムが不正アクセスでサービス⼀時閉鎖へ（2021/2/16）
CyberSecurity.com
• 2市の健診サイトに不正アクセス 個⼈情報流失か 奈良（2021/2/12）朝⽇新聞
• 「サイバーパンク2077」開発元にサイバー攻撃 データ奪われ脅迫される
（2021/2/12）ITMedia
• バンダイグループお客様相談センターに不正アクセス、クラウド型営業管理システ
ムのセキュリティ設定不備を突く（2021/2/1）ScanNetSecurity
(c) Riotaro OKADA 6
• アプリケーション脆弱性
• 実装ミス・設計ミス
• コンポーネントの脆弱性
• クラウドサービス側の問題
• クラウド設定のミス
• 意図的なバックドア

4. 例：「カード情報漏洩事件が起きて
えらい問題になった」
⼤命令： 「システム状況と原因を調べよ！」
• 原因１：よく調べたらクラウドのDB機能の管理機能がざるだった
→ アクセス制限を強化する仕組みの設計
• 原因２：よく調べたら脆弱性検査でわんさとXSSやSQLiが出た
→ 実装担当のやりかたを⾒直す必要
• 原因３：よく調べたら、実装担当にコードレビューの仕組みがない
• 原因４：さらによく調べたら、チーム全体にセキュリティ情報が不⾜
• 原因５：エンジニアスキルの確保⽅策は脆弱だった

5. コンプライアンス

6. プライバシを強化したシステムって？
• 機能⾯の要求
• Privacy by Default か
• 詳細な認可機能の必要？
• 実装⾯の要求
• 脆弱性の影響をうけないこと
• データアクセスの安全
• 運⽤管理⾯の要求
• ユーザの許諾範囲の遵守
• インシデント発⽣時の対応
• 管理⾯の要求
• 誰がどのように管理するか
• 他サービスとのデータ連携…

7. IdP
認証基盤
・・・・
Mobile
App
Browser
・・・・
イネーブラ：
SaaS, IaaS x IdP, API, WebHook…
MicroService x DX時代
メール配信
サービス
ストレージ
サービス
No code/Low code
サービス
決済代行
サービス
SaaS
オンライン会議
サービス
コミュニケーション
チャットサービス
WebHook
App+API
センサー
UI
重大な脆弱性？
攻撃面？
狙いは？
An

8. Who can help?
(c) Riotaro OKADA 11

9. The OWASP Foundation
https://owasp.org/
“OWASP Foundation is the source for developers and
technologists to secure the web.”
「OWASP Foundationは、開発者と技術者が
ウェブを安全にするための情報源である」

10. 13
OWASP

11. 各段階における実践と連携のプラクティス
OWASP SAMM 2.0
Governance
ガバナンス
Design
設計
Implementation
実装
Verification
検証
Operations
運⽤
Strategy and Metrics
戦略と指標
Threat Assessment
脅威評価
Secure Build
セキュアな構築
Architecture Assessment
アーキテクチャ評価
Incident Management
インシデント管理
Policy and Compliance
ポリシーとコンプライ
アンス
Security Requirements
セキュリティ要件
Secure Deployment
セキュアなデプロイ
Requirements-driven
Testing
要件駆動型のテスト
Environment
Management
稼働環境の管理
Education and Guidance
教育と指導
Security Architecture
セキュリティアーキテ
クチャ
Defect Management
不具合管理
Security Testing
セキュリティテスト
Operational
Management
運⽤管理

12. OWASP
Projects
OWASP プロジェクトは、オープン
ソースであり、ボランティアのコ
ミュニティ、つまりあなたのよう
な⼈々によって構築さ れていま
す。
現在、 212の活動中のプロジェク
トがあり、300ほどのチャプター
があります。
誰が OWASP プロジェクトを始めるべきか？
• アプリケーション開発者
• ソフトウェア・アーキテクト
• 情報セキュリティの⽴案者
• アイデアを開発したりテストしたりするために、世界的な
専⾨家コミュニティの⽀援を受けたい⼈。

13. OWASP Projects - Flagship
• OWASP Amass
• OWASP Application Security Verificationa Standard
• OWASP Cheat Sheet Series
• CSRFGuard
• OWASP Defectdojo
• OWASP Dependency-Check
• OWASP Dependency-Track
• OWASP Juice Shop
• OWASP Mobile Security Testing Guide
• OWASP ModSecurity Core Rule Set
• OWASP OWTF
• OWASP SAMM
• OWASP Security Knowledge Framework
• OWASP Security Shepherd
• OWASP Top Ten
• OWASP Web Security Testing Guide
• OWASP ZAP

14. OWASP Projects - Labs
• OWASP AntiSamy
• OWASP API Security Project
• OWASP Attack Surface Detector
• OWASP Automated Threats to Web Applications
• OWASP Benchmark
• OWASP Code Pulse
• OWASP Cornucopia
• OWASP Enterprise Security API (ESAPI)
• OWASP Find Security Bugs
• OWASP Internet of Things
• OWASP Java HTML Sanitizer
• OWASP mobile security
• OWASP Mobile Top 10
• OWASP Proactive Controls
• OWASP Secure Coding Dojo
• OWASP Security Pins
• OWASP Snakes And Ladders
• OWASP Top 10 Privacy Risks
• OWASP TorBot
• OWASP Vulnerable Web Applications Directory
• OWASP WebGoat

15. OWASP Projects- Labs
• OWASP .Net
• OWASP Android Security Inspector
Toolkit
• OWASP APICheck
• OWASP Application Gateway
• OWASP Appsec Pipeline
• OWASP Big Data Security Verification
Standard
• OWASP Bug Logging Tool
• OWASP Cloud-Native Security Project
• OWASP Core Business Application
Security
• OWASP CSRFProtector Project
• OWASP Cyber Controls Matrix (OCCM)
• OWASP Cyber Defense Framework
• OWASP Cyber Defense Matrix
• OWASP Cyber Scavenger Hunt
• OWASP D4N155
• OWASP Devsecops Maturity Model
• OWASP Patton
• OWASP purpleteam
• OWASP Pygoat
• OWASP pytm
• OWASP Risk Assessment
Framework
• OWASP SamuraiWTF
• OWASP Sectudo
• OWASP Secure Headers Project
• OWASP Secure Logging Benchmark
• OWASP secureCodeBox
• OWASP SecureFlag Open Platform
• OWASP SecureTea Project
• OWASP Security Qualitative Metrics
• OWASP SecurityRAT
• OWASP Serverless Top 10
• OWASP SideKEK
• OWASP DevSlop
• OWASP Docker Top 10
• OWASP DPD (DDOS
Prevention using DPI)
• OWASP Go Secure Coding
Practices Guide
• OWASP Honeypot
• OWASP Information Security
Metrics Bank
• OWASP Integration
Standards
• OWASP Maryam
• OWASP Mobile Audit
• OWASP Nettacker
• OWASP Node.js Goat
• OWASP O-Saft
• OWASP Ontology Driven
Threat Modeling Framework
• OWASP Software Component
Verification Standard
• OWASP Single Sign-On
• OWASP Threat and Safeguard
Matrix (TaSM)
• OWASP Threat Dragon
• OWASP Threat Model Cookbook
• OWASP TimeGap Theory
• OWASP Top 10 Card Game
• OWASP Top 10 Client-Side Security
Risks
• OWASP Vulnerability Management
Guide
• OWASP VulnerableApp
• OWASP Web Application Firewall
Evaluation Criteria Project (WAFEC)
• OWASP Web Mapper
• OWASP Web Testing Environment

16. privacy by design
w/ OWASP?
(c) Riotaro OKADA 20

18. OWASP User Privacy Protection Cheat Sheet
ユーザープライバシー保護に関するチートシート
• 強⼒な暗号化 Strong Cryptography
• ストレージ、認証、通信路、プロトコル 、認証
• パニックモードの設置 Panic Mode
• アクセス制限/セッション期限 Remote Session Invalidation
• 匿名ネットワーク対応 Allow Connections from Anonymity
Networks
• IPアドレス漏洩を防ぐ Prevent IP Address Leakage
• ユーザに対する誠実さと透明性：Honesty & Transparency
https://cheatsheetseries.owasp.org/cheatsheets/User_Privacy_Protection_Cheat_Sheet.html

19. OWASP Privacy Risk Top 10 Project
No Title Frequency Impact Risk Ranking 2014
P1 Web Application Vulnerabilities 2 2.8 5.60 1
P2 Operator-sided Data Leakage 1.92 2.8 5.38 2
P3 Insufficient Data Breach Response 2.24 2.4 5.38 3
P4 Consent on Everything / Problems with getting Consent 2.37 2 4.74 New / 17
P5
Non-transparent Policies, Agreements, Terms and
Conditions
2.32 2 4.64 5
P6 Insufficient Deletion of User Data 2.27 2 4.54 4
P7 Insufficient Data Quality 1.89 2.4 4.54 New
P8 Missing or Insufficient Session Expiration 1.88 2.4 4.51 9
P9 Inability of users to access and modify data 2.02 2.2 4.44 13
2021(beta2)
https://owasp.org/www-project-top-10-privacy-risks/

20. OWASP Privacy Risks Top 10 (1/2)
# タイトル 頻度 影響 説明
P1
Webアプリケーションの
脆弱性
⾼い ⾮常に⾼い
脆弱性は、機密性の⾼い個⼈データを保護または操作する上でシステムの重⼤
な問題です。アプリケーションの適切な設計と実装、問題の検出、または修正
（パッチ）の迅速な適⽤を怠ると、プライバシーが侵害される可能性がありま
す。このリスクには、Webアプリケーションの脆弱性のOWASPトップ10リス
トとそれらに起因するリスクも含まれます。
P2
オペレーター側の
データ漏えい
⾼い ⾮常に⾼い
個⼈データを含むまたは個⼈データに関連する情報が許可されていない第三者
に漏洩し、データの機密性が失われます。意図的な悪意のある違反または意図
しないミスのいずれかが原因で引き起こされました。たとえば、不⼗分なアク
セス管理制御、安全でないストレージ、データの重複、または認識の⽋如が原
因です。
P3 不⼗分なデータ侵害対応 ⾼い ⾮常に⾼い
意図的または意図的でないイベントのいずれかが原因で発⽣する侵害または
データ漏洩について、影響を受ける⼈（データ主体）に通知しないこと。原因
を修正することによって状況を改善することに失敗すること。漏洩を制限する
ことを怠ることです。
P4 すべてに同意する ⾮常に⾼い ⾼い
処理を正当化するための同意を集約する、または同意を不適切に使⽤すること
です。同意の対象は「すべて」であり、⽬的ごとに収集していません（たとえ
ば、Webサイトの使⽤や広告のプロファイリング）。
P5
不透明なポリシー、
利⽤規約
⾮常に⾼い ⾼い
データの収集、保存、処理など、データの処理⽅法を説明するための⼗分な情
報が提供されていません。例えば弁護⼠以外の⼈でも簡単に理解できるように
しなければなりません。
https://owasp.org/www-project-top-10-privacy-risks/

21. OWASP Privacy Risks Top 10 (2/2)
# タイトル 頻度 影響 説明
P6 個⼈データの削除が不⼗分 ⾼い ⾼い
指定された⽬的の終了後または要求に応じて、個⼈データを効果的および/ま
たはタイムリーに削除しないことです。
P7 不⼗分なデータ品質 中 ⾮常に⾼い
古い、正しくない、または偽の個⼈データを使⽤すること、または、データの
更新または修正の誤りがあることです。
P8
セッションの有効期限が
ないか不⼗分
中 ⾮常に⾼い
セッションの終了が確実ではないことによって、ユーザーの同意または認識な
しに、追加の個⼈データが収集される可能性があります。
P9
ユーザーがデータに
アクセスして変更できない
⾼い ⾼い
ユーザーが⾃分に関連するデータにアクセス、変更、または削除することがで
きません。
P1
0
ユーザーの同意を得た
⽬的と異なるデータの収集
⾼い ⾼い
システムの⽬的に関係のない、分析データ、統計データ、またはその他の個⼈
の関連データの収集することや、ユーザーが同意しなかったデータを収集する
ことです。
https://owasp.org/www-project-top-10-privacy-risks/

22. Q. アプリケーション構築フローのどこを強化したら、
プライバシーを守れるシステムになるんだろうか。
企画
• ビジネス⽬標
• 問題解決
• コンプライアンス
要件
• リスクプロファイル
• 脅威トレンド
• 運⽤課題
設計
• 機能・⾮機能要件
• 脅威対応機能
開発
• 実装⽅針
• コンポーネント
• 権限マトリックス
検証
• コード検証
• ビルド検証
• セキュリティ検証
運⽤
• デプロイ設定
• 基盤の設定
• アラート対応
© Asterisk Research, Inc. 26

23. プライバシー要件
• コンプライアンス
• 実現機能
• データ保管場所
• 管理体制
• 既存システムの課題
→ Δ(デルタ) SLO⽬標
要件
設計
実装
検証
リリース

24. プライバシー設計
• 認証認可/信頼メカニズム
• データ保護/管理メカニズム
• 連携サービス/外部コンポーネント
• アクター・ロール
• 運⽤・監視・保護の仕組み
要件
設計
実装
検証
リリース

25. プライバシー開発実装
• データと制御の分離
• 認証なしの認可の禁⽌
• 暗号化の正しい実装
• コードのレビュー・検証・保護
• OSSなどサードパーティのリスク
• 連携サービスのリスク
要件
設計
実装
検証
リリース

26. プライバシー運用
• インフラ・クラウド設定
• 管理機構の稼働
• データストレージの監視
• 認証認可の監視
• エラーログの監視と分析 → 次の設
計
• 管理者監視/SRE作業と記録
• モニタリングと分析 → 次の要件
要件
設計
実装
検証
リリース
要件
設計
実装
検証
リリース

27. まとめ - Next Action
• プライバシーに関する社会の要請について、エンジニアの理解の解像
度を上げる必要がある。
• 個々のシステムへのプライバシーリスクを分解し、対策・対応を実現
する⼿⽴てについて理解する必要がある。
• 阻害要因として存在する「分断」を解消する必要がある。
• デマンドとサプライ、要件と設計、運⽤と実装、セキュリティと開発、
• セキュリティ設計や検証の主要な役割期待にインパクトがある。

28. Thanks
riotaro@owasp.org
(c) Riotaro OKADA 32