Riotaro OKADA, profile picture
Uploaded byRiotaro OKADA
PDF, PPTX932 views

シフトレフト戦略と沖縄県

2017年3月23日「沖縄サイバーセキュリティネットワークセミナー IoT時代におけるセキュリティビジネスの創出に向けて」における講演

Embed presentation

Download as PDF, PPTX
シフトレフト戦略と沖縄県 OWASP Japan Lead Hardening Project オーガナイザ 株式会社アスタリスク・リサーチ 岡田良太郎 riotaro@owasp.org Enabling Security ©Asterisk Research, Inc. 1
Enabling Security ©Asterisk Research, Inc. 2 産経新聞 平成29年3月14日 生活面 2週間で5千ダウンロード超と、このジャ ンルの本としては記録的な数字を示した。 検索:NO MORE 情報漏えい
OWASP Japan Chapter Lead mission: ソフトウェアセキュリティについて 意思決定をする人のために役立つ十分な情報を提供すること
• OWASP NAGOYA 2017 設立予定 • OWASP FUKUSHIMA 2016 金子正人・山寺純 • OWASP OKINAWA 淵上真一・又吉伸穂 • OWASP SENDAI 2015 小笠貴晴・佐藤ようすけ • OWASP KYUSHU 2015 服部 祐一・花田智洋 • OWASP KANSAI 2014 長谷川陽介・斉藤太一・三木剛 • OWASP JAPAN 2011 岡田良太郎・上野宣 ⽇本のチャプター (地域の集まり)
OWASP Top 10 グローバルで⼤⼈気 ©2016 Asterisk Research, Inc. 6 出典:SANS Institute (2015)
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project • アタックサーフィスの概説 • 脅威エージェント • 攻撃の経路(アタックベクター) • セキュリティの弱点 • 技術面のインパクト • ビジネス面のインパクト • 脆弱性の例 • 攻撃の例 • この問題を避けるガイダンス • OWASP、他のリソース・参照情報 • 製造者、開発者、消費者それぞれ が考慮すべきことのリスト I1 安全でないウェブインターフェース I2 欠陥のある認証・認可機構 I3 安全でないネットワークサービス I4 通信路の暗号化の欠如 I5 プライバシー I6 安全でないクラウドインターフェース I7 弱いモバイルインターフェース I8 設定の不備 I9 ソフトウェア・ファームウェアの問題 I10 物理的な問題 OWASP Internet of Things Project
OWASP OpenSAMM 77項⽬で開発運⽤チームの強度を調べる ©2015 Asterisk Research, Inc.8 ソフトウェア開発 ガバナンス 構築 検証 デプロイ 戦略&指標 ポリシー&コンプライアンス 教育&指導 脅威の査定 セキュリティー要件 セキュアなアーキテクチャ 設計レビュー コードレビュー セキュリティテスト 脆弱性管理 環境の堅牢化 運用体制の セキュリティ対応 ep s
Before Enabling Security ©Asterisk Research, Inc. 9
After Enabling Security ©2015 Asterisk Research, Inc. 10
脅威 vs 対策 % of Attacks 90% データ侵害の原因 95% 5% 報告されたセキュリ ティ侵害の原因の 95%はアプリケー ション層 検査した95%以上 のサイトは深刻な脆 弱性を抱えている NIST アプリケーションの セキュリティ確保に 気を配っていない。 セキュリティ関連支出 の大半がネットワーク に費やされている。 Network Applications % of Dollars セキュリティ支出 10% 90%
脆弱性テスト 直す 隠す無視・ あきらめ 出典:SANS Institute (2015) Q. “Top Challenges for Builders and Defenders ” アプリケーションセキュリティ? 「出荷前のテストはやっています」
69% Enabling Security ©Asterisk Research, Inc. 13
32⽇ Enabling Security ©Asterisk Research, Inc. 14
5000万円 〜3億円 Enabling Security ©Asterisk Research, Inc. 15
“Internet of Things”
⼩さなデバイス 細かなネットワーク 多くのAPI 積もるデータ
98% or 68% Enabling Security ©Asterisk Research, Inc. 18
Enabling Security ©Asterisk Research, Inc. 19 「全国最下位です」 http://gan-info.pref.aomori.jp/public/index.php/ct05/a51.html
Enabling Security ©Asterisk Research, Inc. 20 ・向き合うキャンペーン ・がん検診 ・がん登録 ・がん対策推進企業連携 協定の締結企業 ・診療連携
シフトレフト! 0 20 40 60 80 100 設計 構築 検証 運用 1 6.5 15 対応コスト 100 ©Asterisk Research, Inc. 21 SHIFT LEFT 原因85
事前の策:OWASP Proactive Controls Enabling Security ©2016 Asterisk Research, Inc. 22 OWASP Top 10 Proactive Controls 2016 1: 早期に、繰り返しセキュリティを検証する 2: クエリーのパラメータ化 3: データのエンコーディング 4: すべての⼊⼒値を検証する 5: アイデンティティと認証管理の実装 6: 適切なアクセス制御の実装 7: データの保護 8: ロギングと侵⼊検知の実装 9: セキュリティフレームワークやライブラリの活⽤ 10: エラー処理と例外処理 ⽇本語もあります https://www.owasp.org/images/a/a8/OWASPTop10ProactiveControls2016-Japanese.pdf
1000:1
システムコードの90%
• WordPress: 423,759 • PHP: 3,617,916 • Apache: 1,832,007 • Linux: 18,963,973
2017年「いかにアプリを構築し、実装するか、 新たな議論が巻き起こる」 • 11 things we think will happen in business technology in 2017 • “A new debate in how to build and ship applications.” Business Insider誌, Jan. 2, 2017
DevSecOps = 開発 x セキュリティ x 運⽤ ビジネス要件 カイハツ 運用 セキュリティ ウォーター フォール アジャイル DevOps DevSecOps !
予防的開発 x 繰り返し検証 x 連携運⽤ Ops Sec Dev Enabling Security ©Asterisk Research, Inc. 28 1. 予防的開発: リスクとポリシー ガイドラインと教育 適した材料選び 2. 繰り返し検証: ⾃動ツールの活⽤ 最短時間で問題認識 検証結果の統合と共有 3. デプロイ・運⽤: 確実なアップデート 正常と異常の⾒極め 開発へのフィードバック
SUMMARY
1. ハイブリッド
2. セキュリティバイデザイン
3. セキュリティは総⼒戦
売上 Enabling Security ©Asterisk Research, Inc. 33
成⻑ Enabling Security ©Asterisk Research, Inc. 34
成⻑ >売上 Enabling Security ©Asterisk Research, Inc. 35
5〜8万円/⼈ Enabling Security ©Asterisk Research, Inc. 36
Enabling Security ©Asterisk Research, Inc. 37 IT= I x T
重点分野
39 Hardening Project 2015/10 動画サイトで閲覧可能: http://www.nikkei.com/article/DGXMZO92573760X01C15A0000000/ 次は6⽉23,24⽇ http://wasforum/jp
40 琉球朝日放送で密着取材: ハッカーから情報守るハードニングプロジェクトとは http://www.qab.co.jp/news/2016110484925.html 2016年11月4日 18時45分放送 次は6⽉23,24⽇ http://wasforum/jp
SHIFT LEFT 着実なものづくりで ITイニシアチブを

More Related Content

PDF
IoT Security を実現する3つの視点とShift Left
byRiotaro OKADA
 
PPTX
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
byRiotaro OKADA
 
PPTX
20180601 OWASP Top 10 2017の読み方
byOWASP Nagoya
 
PDF
OWASP Proactive Control2016 Japanese
byHiroaki Kuramochi
 
PPTX
オワスプナイト20150115 dependency check
byHiroaki Kuramochi
 
PDF
Web API Next Challenge
byuchimanajet7
 
PDF
What does the monitoring tool use at oisix ra daichi?
byYukiya Hayashi
 
PPTX
4 Enemies of DevSecOps 2016
byRiotaro OKADA
 
IoT Security を実現する3つの視点とShift Left
byRiotaro OKADA
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
byRiotaro OKADA
 
20180601 OWASP Top 10 2017の読み方
byOWASP Nagoya
 
OWASP Proactive Control2016 Japanese
byHiroaki Kuramochi
 
オワスプナイト20150115 dependency check
byHiroaki Kuramochi
 
Web API Next Challenge
byuchimanajet7
 
What does the monitoring tool use at oisix ra daichi?
byYukiya Hayashi
 
4 Enemies of DevSecOps 2016
byRiotaro OKADA
 

What's hot

PDF
OWASP_Top_10_2017_A3機微な情報の露出
byoshiro_seiya
 
PDF
「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」
byOWASP Kansai
 
PDF
アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016
byYusuke Suzuki
 
PDF
現場から始めるアジャイルの技術プラクティス
byTakuya Okamoto
 
PPTX
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
byTyphon 666
 
PDF
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
byRiotaro OKADA
 
PDF
Akkaで実現するステートフルでスケーラブルなアーキテクチャ
byTIS Inc.
 
PPTX
ISACAってなんですか?
byNoriyuki Yamaguchi
 
PPTX
20210712 X-Tech JAWS Main
byTyphon 666
 
PPTX
OWASP Top 10 - 2013 を起点にして
byChia-Lung Hsieh
 
PDF
ウォーターフォールとアジャイルを考える #ita_ws
byYusuke Suzuki
 
PDF
20150425 JAWS-UG Okinawa
byToshiyuki Konparu
 
PDF
JavaOne 2016総括 #jjug
byYusuke Suzuki
 
PDF
JavaOne感想&技術トレンド紹介 - JavaOne2015報告会
byYusuke Suzuki
 
PPTX
JAWS-UG開催情報 20170125-8th初心者支部
by由佳 青木
 
PDF
2013.10.26 イノベーションエッグ クラウドセッション
byToshiyuki Konparu
 
PPTX
20190412 About the future of the atrophic world -Security-
byTyphon 666
 
PDF
Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016
byYusuke Suzuki
 
PDF
Security issue201312
byRiotaro OKADA
 
PDF
SPICE活用のメリット
byマルツエレック株式会社 marutsuelec
 
OWASP_Top_10_2017_A3機微な情報の露出
byoshiro_seiya
 
「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」
byOWASP Kansai
 
アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016
byYusuke Suzuki
 
現場から始めるアジャイルの技術プラクティス
byTakuya Okamoto
 
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
byTyphon 666
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
byRiotaro OKADA
 
Akkaで実現するステートフルでスケーラブルなアーキテクチャ
byTIS Inc.
 
ISACAってなんですか?
byNoriyuki Yamaguchi
 
20210712 X-Tech JAWS Main
byTyphon 666
 
OWASP Top 10 - 2013 を起点にして
byChia-Lung Hsieh
 
ウォーターフォールとアジャイルを考える #ita_ws
byYusuke Suzuki
 
20150425 JAWS-UG Okinawa
byToshiyuki Konparu
 
JavaOne 2016総括 #jjug
byYusuke Suzuki
 
JavaOne感想&技術トレンド紹介 - JavaOne2015報告会
byYusuke Suzuki
 
JAWS-UG開催情報 20170125-8th初心者支部
by由佳 青木
 
2013.10.26 イノベーションエッグ クラウドセッション
byToshiyuki Konparu
 
20190412 About the future of the atrophic world -Security-
byTyphon 666
 
Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016
byYusuke Suzuki
 
Security issue201312
byRiotaro OKADA
 
SPICE活用のメリット
byマルツエレック株式会社 marutsuelec
 

Viewers also liked

PDF
とある診断員とAWS
byzaki4649
 
PDF
データベース屋がHyperledger Fabricを検証してみた
byLFDT Tokyo Meetup
 
PDF
Hyperledger Projectの概要
byLFDT Tokyo Meetup
 
PDF
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
byRiotaro OKADA
 
PPTX
今だからこそ振り返ろう!OWASP Top 10
byDaiki Ichinose
 
PDF
Pythonの処理系はどのように実装され,どのように動いているのか? 我々はその実態を調査すべくアマゾンへと飛んだ.
bykiki utagawa
 
PPTX
Kaoru N
byKaoru Nakazato
 
PPTX
Random forest の解説
byKCS Keio Computer Society
 
とある診断員とAWS
byzaki4649
 
データベース屋がHyperledger Fabricを検証してみた
byLFDT Tokyo Meetup
 
Hyperledger Projectの概要
byLFDT Tokyo Meetup
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
byRiotaro OKADA
 
今だからこそ振り返ろう!OWASP Top 10
byDaiki Ichinose
 
Pythonの処理系はどのように実装され,どのように動いているのか? 我々はその実態を調査すべくアマゾンへと飛んだ.
bykiki utagawa
 
Kaoru N
byKaoru Nakazato
 
Random forest の解説
byKCS Keio Computer Society
 

Similar to シフトレフト戦略と沖縄県

PPTX
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
byRiotaro OKADA
 
PDF
20170909 第13回名古屋情報セキュリティ勉強会 LT
byOWASP Nagoya
 
PDF
introduction to OWASP's documentation 20250607
byOWASP Nagoya
 
PDF
The Shift Left Path and OWASP
byRiotaro OKADA
 
PDF
OWASP Top 10 - 2021 Overview
byOWASP Nagoya
 
PDF
Privacy by Design with OWASP
byRiotaro OKADA
 
PDF
アプリケーションのシフトレフトを実践するには
byRiotaro OKADA
 
PPTX
OWASPのドキュメントやツールを知ろう
byYuichi Hattori
 
PPTX
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
byRiotaro OKADA
 
PPTX
Owasp top10 HandsOn
bymasafumi masutani
 
PDF
OWASP Projects
byTakanori Nakanowatari
 
PDF
アプリケーションデリバリーのバリューチェイン
byRiotaro OKADA
 
PDF
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
byRiotaro OKADA
 
PPTX
OWASP Top 10 2017 RC1について
byDaiki Ichinose
 
PDF
Owasp evening : Privacy x Design with OWASP
byRiotaro OKADA
 
PDF
アプリ開発者に大きな影響 2017年版OWASP TOP 10
byYasuo Ohgaki
 
PDF
参加しよう!Hardening Project #h10v #h・v
byMasahiro NAKAYAMA
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
byRiotaro OKADA
 
20170909 第13回名古屋情報セキュリティ勉強会 LT
byOWASP Nagoya
 
introduction to OWASP's documentation 20250607
byOWASP Nagoya
 
The Shift Left Path and OWASP
byRiotaro OKADA
 
OWASP Top 10 - 2021 Overview
byOWASP Nagoya
 
Privacy by Design with OWASP
byRiotaro OKADA
 
アプリケーションのシフトレフトを実践するには
byRiotaro OKADA
 
OWASPのドキュメントやツールを知ろう
byYuichi Hattori
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
byRiotaro OKADA
 
Owasp top10 HandsOn
bymasafumi masutani
 
OWASP Projects
byTakanori Nakanowatari
 
アプリケーションデリバリーのバリューチェイン
byRiotaro OKADA
 
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
byRiotaro OKADA
 
OWASP Top 10 2017 RC1について
byDaiki Ichinose
 
Owasp evening : Privacy x Design with OWASP
byRiotaro OKADA
 
アプリ開発者に大きな影響 2017年版OWASP TOP 10
byYasuo Ohgaki
 
参加しよう!Hardening Project #h10v #h・v
byMasahiro NAKAYAMA
 

More from Riotaro OKADA

PDF
OWASP ASVS Project review 2.0 and 3.0
byRiotaro OKADA
 
PPTX
「教養としてのサイバーセキュリティ」講座
byRiotaro OKADA
 
PPT
eTrend20070608
byRiotaro OKADA
 
PPTX
もしあなたが 「何歳まで生きたい?」と聞かれたなら
byRiotaro OKADA
 
PPTX
Introducing AppSec APAC 2014 in TOKYO
byRiotaro OKADA
 
PPTX
セキュア開発の<s>3つの</s>敵
byRiotaro OKADA
 
PPTX
セキュリティスキルをゲットする、たった3つの方法
byRiotaro OKADA
 
PDF
iSPP 仙台シンポジウム
byRiotaro OKADA
 
PDF
2021年に来るカイハツトレンド予測、だと?
byRiotaro OKADA
 
PDF
企業のデジタル変革とサイバーリスク
byRiotaro OKADA
 
PDF
Crowdsourcing basic20090515-pickup
byRiotaro OKADA
 
PPTX
Hackademy サイバーセキュリティ教育プロジェクト
byRiotaro OKADA
 
OWASP ASVS Project review 2.0 and 3.0
byRiotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
byRiotaro OKADA
 
eTrend20070608
byRiotaro OKADA
 
もしあなたが 「何歳まで生きたい?」と聞かれたなら
byRiotaro OKADA
 
Introducing AppSec APAC 2014 in TOKYO
byRiotaro OKADA
 
セキュア開発の<s>3つの</s>敵
byRiotaro OKADA
 
セキュリティスキルをゲットする、たった3つの方法
byRiotaro OKADA
 
iSPP 仙台シンポジウム
byRiotaro OKADA
 
2021年に来るカイハツトレンド予測、だと?
byRiotaro OKADA
 
企業のデジタル変革とサイバーリスク
byRiotaro OKADA
 
Crowdsourcing basic20090515-pickup
byRiotaro OKADA
 
Hackademy サイバーセキュリティ教育プロジェクト
byRiotaro OKADA
 

シフトレフト戦略と沖縄県