SlideShare a Scribd company logo

デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)

Developers Summit
Developers Summit

地方自治情報センター(LASDEC)から「地方公共団体における情報システム セキュリティ要求仕様モデルプラン(Webアプリケーション)」(通称「モデ ルプラン」)が公表されました。なぜ、このようなモデルプランが策定さ れる必要があったのか、地方公共団体の脆弱性診断の結果から日本のWeb セキュリティの現状を考察し、今後の開発体制のあるべき姿を提言する。

Technology
1 of 27
Download to read offline
Developers Summit 公開用 セキュリティ要求仕様モデルプランで 日本は変わるか? ~地方公共団体における情報システムセキュリティ要求 仕様モデルプラン(Webアプリケーション)について ~ 15-C-8 百瀬昌幸 #devsumiC (財)地方自治情報センター(LASDEC) 自治体セキュリティ支援室 Developers Summit 2013 Action !
Developers Summit ラスデック? Developers Summit 2013 Action !
Developers Summit (財)地方自治情報センター (LASDEC“ラスデック”) 住基ネット コンビニ交付の 導入支援等 研究開発 LGWAN 教育研修/人材育成 自治体セキュリティ支援室(LASC) • 各種セキュリティ情報収集、情報展開 • 自治体に無償で各種セキュリティ支援事業を提供 脆弱性診断事業から派生した成果物 ⇒「ウェブ健康診断仕様」「モデルプラン」 Developers Summit 2013 Action ! 3
Developers Summit モデルプランできました。 ダウンロード: https://www.lasdec.or.jp/cms/12,28369,84.html © 2012 supersoftware または、 で検索。 Developers Summit 2013 Action ! 4
Developers Summit モデルプランの概要 Developers Summit 2013 Action !
Developers Summit モデルプランの中身 Webアプリケーション(とプラットフォーム)の脆弱性対策関連の要件に特化した仕様書(特記仕様書) • 「セキュリティ保証期間」の設定 – 後ほどご説明 • 提案時の提出物 – セキュリティ実装方針、重要事項説明書 • ソフトウェア選定に係る要件 – サポートライフサイクルポリシーは問題ないか • 対応すべき脆弱性のリスト – 16項目 • セキュリティ機能要件 – ログイン処理、認可処理、アカウント管理など • テスト要件 – 開発時中間検査(Option)、最終(出荷時)検査 • 検収方法 – 納入ベンダーの検査結果チェック/自ら検査/第三者に依頼して検査 & 結果良好 を検収要件に • 成果物(納品物) • 保守対応関係要件 – 脆弱性修正パッチ開発関係、いつまでにパッチを適用するかなど。 Developers Summit 2013 Action ! 6
Developers Summit セキュリティ仕様選定基準イメージ(1/2) • 未知の脆弱性 • 新しく発見された脆弱性でまだ対処方法が確立していない脆弱性 •“脆弱性である”と定義できるかどうかわからないグレーゾーンの脆弱性 Developers Summit 2013 Action ! 7
Developers Summit セキュリティ仕様選定基準イメージ(2/2) (注)モデルプランはA、Bを全て カバーしているわけではない Developers Summit 2013 Action ! 8
Developers Summit セキュリティ要件の提示方法の比較 提示方法 メリット デメリット 対策すべき脅威 ・(発注者には)分かりやすい ・対策が曖昧になりやすく、 を明示 ・実装の自由度がある 効果が薄い可能性大 対策すべき脆弱 ・脆弱性毎の対応の可否は ・対策方法の良否判断は時に困難 性名を明示 明確になる ・脆弱性対応レベルは指定でき ・実装の自由度がある ない 実装方法を指定 ・確実な対策が見込みやすい ・実装の自由度がない (既存パッケージソフト等の 資産が使えず、開発コスト増 大の懸念あり) ・詳細をすべて書ききるのが、 かなり困難なものもある。 検査方法を明示 ・対策の自由度がある 確実な検査方法のスタンダードが ・対策の水準が明確になる 公開されていない ・検収がしやすい Developers Summit 2013 Action ! 9 ※徳丸浩氏の資料を一部引用
Developers Summit なぜモデルプランを作成したか Developers Summit 2013 Action !
Developers Summit ウェブ健康診断 ※本事業は平成20年~平成22年迄で終了 Developers Summit 2013 Action ! 11
Developers Summit 診断内容 下記項目を診断エンジニアによる手動の抜き取り検査(診断)を実施。 Developers Summit 2013 Action ! 12
Developers Summit ちなみに… 「ウェブ健康診断」の診断仕様は、 現在IPAさんにその維持・発展を 担っていただいています。 (平成24年12月から) こちらの資料も参考にしてください! ダウンロード: https://www.ipa.go.jp/security/vuln/websecurity.html または、 で検索。 Developers Summit 2013 Action !
Developers Summit 一部資料省略 Developers Summit 2013 Action ! 14 5
Developers Summit 地方公共団体における脆弱性対策に関する課題 • 突然発覚する脆弱性への対応について、幹部の 理解が得られない。 • 情報システムを管理する担当部門が脆弱性対策 の必要性を理解していない。 • 人事異動により、経験を積んだIT担当部門の職 員の知見が活かせなくなる。 • 脆弱性が見つかった場合の対策の実施や公表に 係る方針が定まらない。 出典:「地方公共団体のための脆弱性対応ガイド」などを公開 ~「情報システム等の脆弱性情報の取扱いに関する研究会」の2011年度活動成果~ http://www.ipa.go.jp/security/fy23/reports/vuln_handling/index.html Developers Summit 2013 Action ! 15
Developers Summit モデルプラン検討経緯 • 地方公共団体のウェブアプリケーションの現状 • 脆弱性のあるサイト数、脆弱性検出後の改善率の状況 現状認識 • 地方公共団体での脆弱性対策の課題 • 根本的な対策が必要 •システム導入前の時点で根本的に脆弱性が生みだされないような仕組み •脆弱性が発見された場合、容易に改修することができる手段 対策検討 •それらを、あまり多くの知識・ノウハウなくとも取り込める方法 • ウェブアプリケーションの調達におけるセキュリティ要求仕様のガイドラ イン、仕様例を作成 方針決定 • 「これ(モデルプラン)付けておけば、大体 」を期待。 注意:モデルプランは今後も実情等に合わせて改版要。 Developers Summit 2013 Action ! 16
Developers Summit 今後、地方公共団体のセキュリティ レベル向上のために必要な施策 事後 事前 セキュリティレ 対策 対策 ベル向上! ・ウェブ健康診断 ・セキュリティ要求仕様 ・セキュリティ健康診断 モデルプラン などの支援事業 仕様書例を作成し、地方公共団体及び一般へ情報公開! Developers Summit 2013 Action ! 17
Developers Summit Webアプリケーションセキュリティ 要求仕様等検討委員会 Developers Summit 2013 Action ! 18
Developers Summit 委員の皆様(50音順) 氏名 ご所属 飯島 輝泰 埼玉県毛呂山町 子ども課子育て支援係(元情報推進室 係長)※第1回~3回 大高 利夫 藤沢市 総務部IT推進課 総務部参事(兼)IT推進課長 木村 修二 NPO関西情報化維新協議会 理事 佐藤 慶浩 日本ヒューレット・パッカード株式会社 個人情報保護対策室 室長 鈴木 正朝 新潟大学 大学院実務法務研究科・法学部 教授(情報法) 高木 浩光 独立行政法人 産業技術総合研究所 セキュアシステム研究部門 主任研究員 高倉 弘喜 名古屋大学 情報基盤センター 情報基盤ネットワーク研究部門 教授 鶴巻 暁 上條・鶴巻法律事務所 弁護士 徳丸 浩 HASHコンサルティング株式会社 代表取締役 中山 紀雄 総務省 自治行政局 地域情報政策室 電子自治体推進係 係長 丸山 満彦 デロイト トーマツ リスクサービス株式会社 取締役 執行役員 活動期間:2011年12月9日~2012年10月22日 Developers Summit 2013 Action ! 19
Developers Summit モデルプランのポイント Developers Summit 2013 Action !
Developers Summit モデルプランのポイント 「セキュリティ保証期間」という期間を設け、 「脆弱性リスト」で示した脆弱性に限定して対処(脆弱 性がないようにする)を求めている。 (万一運用時に脆弱性が発覚したら、追加費用 なしで修補を求める) セキュリティ保証期間=5年間(稼働予定期間) 追加費用なし≠無償 Developers Summit 2013 Action ! 21
Developers Summit “追加費用なし”の効用 • リスクの見積もりを提案者(ベンダー)に委ねている。 「自ら開発したソフト、選定したソフトで事後(セキュリティ保証期間 中)に脆弱性が発覚するリスクを見込んで保守費用に対応費用 を積んでおいてください」 • 地方公共団体の調達 = ほとんど入札 …となれば、 – 「(開発者は)できるだけセキュアなソフト開発をする」 – 「(SIerは)できるだけセキュアなソフトを選定する」 というインセンティブが働く(保守費用を安くできるから) • 地方公共団体だけでなく、他にも広がれば… Developers Summit 2013 Action ! 22
Developers Summit モデルプランの採用が進むと… 脆弱性を作り込まない開発体制(構築体 制)整えている優秀なベンダーの製品の 採用を促進し、そうでない製品を排除す る方向に。 Developers Summit 2013 Action ! 23
Developers Summit モデルプラン セミナーアンケート結果 • 開催 :東京・大阪で開催(1月23日、30日) • 講師 :徳丸浩殿 • 内容 :モデルプランの作成経緯や使い方ノウハウ、注意点など。 • 参加者:地方公共団体職員(情報系) 合計 95名 • アンケート:「モデルプランを利用しようと思いますか?」 ①利用を検討したい / ②内容を確認してから検討したい <自由記述回答による、感想等 ~ 抜粋 ~> 某市 次期システム調達での仕様の使用を検討したい。 非常に有意義であると思う。 某市 ASP,SaaSについて同様のモデルが欲しい。 (ほか、イントラネット向けなどの意見も) 某区 モデルプラン通りでは敷居が高い。重要度1~4などに分け、 Webアプリケーションの重要度に合わせたものができないだろう か。(技術的な内容をちゃんと咀嚼できるだろうかといった懸念) 某県 現実的かつ実践的なもので即戦力になるツールだと感じま 回答団体:90名(68団体) す。 ユーザサイドがやかましく言うことでベンダサイドの意 (回答団体内訳) 識が変わるとよいのですが… 最終的にはユーザ・ベンダお 都道府県 16名 互いの意識を高く持つことがゴールかと思います。 市・区 49名 町・村 3名 Developers Summit 2013 Action ! 24
Developers Summit まとめ モデルプランは、、 • 基本的にユーザ視点で地方公共団体向けにまとめました。 • 脆弱性を完全に排除はしたいけど“完全に”は難しいので、期 間と内容(脆弱性リスト等)を限定して、万一運用時に規定の 脆弱性があるとわかったら追加費用なしで修補してもらうこと にしました。 • セキュリティ対策(脆弱性対策)に熱心なベンダーさんにとっ ては優位な仕様! • “地方公共団体向け”だけど…もっと活用の幅を広げたい (希望) より良い仕様、実情に合わせた対応にするための内容改版 の検討は継続予定です。 皆さんからもご意見などお寄せいただければ幸いです。 Developers Summit 2013 Action ! 25
Developers Summit セキュリティは文化 MY RECOMMEND NEXT ACTION! • 積極的に、ポジティブに、要求仕様の内容を 良くご覧ください。 • 「これって当たり前だよね~(今のやつには実 装してないけど)」がほとんどだと思います! • 当たり前の文化(=開発規約)にすれば、随 分世の中の脆弱性がなくなるはず! 日本のセキュリティの夜明けぜよ! Developers Summit 2013 Action ! 26
Developers Summit It’s your turn. Developers Summit 2013 Action !

Recommended

品質認証制度PSQ 認証の大幅拡充(CSAJ)
品質認証制度PSQ 認証の大幅拡充(CSAJ)品質認証制度PSQ 認証の大幅拡充(CSAJ)
品質認証制度PSQ 認証の大幅拡充(CSAJ)Hironori Washizaki
 
定量的プロジェクト管理ツール概要 Lt 20110730
定量的プロジェクト管理ツール概要 Lt 20110730定量的プロジェクト管理ツール概要 Lt 20110730
定量的プロジェクト管理ツール概要 Lt 20110730hiroetoh
 
AD19_冨田・近江_TechSummit2018
AD19_冨田・近江_TechSummit2018AD19_冨田・近江_TechSummit2018
AD19_冨田・近江_TechSummit2018Sunao Tomita
 
JCSQE初級受けてみたの
JCSQE初級受けてみたのJCSQE初級受けてみたの
JCSQE初級受けてみたのノグチ ノグチ
 
デブサミ2013【14-E-2】パフォーマンス・チューニングに革命をもたらす最新テクノロジー - トランザクショントレース
デブサミ2013【14-E-2】パフォーマンス・チューニングに革命をもたらす最新テクノロジー - トランザクショントレースデブサミ2013【14-E-2】パフォーマンス・チューニングに革命をもたらす最新テクノロジー - トランザクショントレース
デブサミ2013【14-E-2】パフォーマンス・チューニングに革命をもたらす最新テクノロジー - トランザクショントレースDevelopers Summit
 
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason ParkCODE BLUE
 
デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-
デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-
デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-Hironori Washizaki
 
IT新市場開拓プロジェクトにおけるアジャイル開発 part2
IT新市場開拓プロジェクトにおけるアジャイル開発 part2IT新市場開拓プロジェクトにおけるアジャイル開発 part2
IT新市場開拓プロジェクトにおけるアジャイル開発 part2Tomoaki Kambe
 

Recommended

品質認証制度PSQ 認証の大幅拡充(CSAJ)
品質認証制度PSQ 認証の大幅拡充(CSAJ)品質認証制度PSQ 認証の大幅拡充(CSAJ)
品質認証制度PSQ 認証の大幅拡充(CSAJ)Hironori Washizaki
 
定量的プロジェクト管理ツール概要 Lt 20110730
定量的プロジェクト管理ツール概要 Lt 20110730定量的プロジェクト管理ツール概要 Lt 20110730
定量的プロジェクト管理ツール概要 Lt 20110730hiroetoh
 
AD19_冨田・近江_TechSummit2018
AD19_冨田・近江_TechSummit2018AD19_冨田・近江_TechSummit2018
AD19_冨田・近江_TechSummit2018Sunao Tomita
 
JCSQE初級受けてみたの
JCSQE初級受けてみたのJCSQE初級受けてみたの
JCSQE初級受けてみたのノグチ ノグチ
 
デブサミ2013【14-E-2】パフォーマンス・チューニングに革命をもたらす最新テクノロジー - トランザクショントレース
デブサミ2013【14-E-2】パフォーマンス・チューニングに革命をもたらす最新テクノロジー - トランザクショントレースデブサミ2013【14-E-2】パフォーマンス・チューニングに革命をもたらす最新テクノロジー - トランザクショントレース
デブサミ2013【14-E-2】パフォーマンス・チューニングに革命をもたらす最新テクノロジー - トランザクショントレースDevelopers Summit
 
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason ParkCODE BLUE
 
デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-
デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-
デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-Hironori Washizaki
 
IT新市場開拓プロジェクトにおけるアジャイル開発 part2
IT新市場開拓プロジェクトにおけるアジャイル開発 part2IT新市場開拓プロジェクトにおけるアジャイル開発 part2
IT新市場開拓プロジェクトにおけるアジャイル開発 part2Tomoaki Kambe
 
メトリクスによるソフトウェア品質評価・改善および製品品質実態
メトリクスによるソフトウェア品質評価・改善および製品品質実態メトリクスによるソフトウェア品質評価・改善および製品品質実態
メトリクスによるソフトウェア品質評価・改善および製品品質実態Hironori Washizaki
 
Jenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめ
Jenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめJenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめ
Jenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめatsushi_tmx
 
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-Yoshio SAKAI
 
アジャイルの夢を実現する–チケット駆動開発で考慮すべき点
アジャイルの夢を実現する–チケット駆動開発で考慮すべき点アジャイルの夢を実現する–チケット駆動開発で考慮すべき点
アジャイルの夢を実現する–チケット駆動開発で考慮すべき点Makoto SAKAI
 
CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!kazkiti
 
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)kazkiti
 
ウォーターフォール開発におけるチケット駆動開発 -ウォータフォール開発をアダプタブルにする-
ウォーターフォール開発におけるチケット駆動開発 -ウォータフォール開発をアダプタブルにする-ウォーターフォール開発におけるチケット駆動開発 -ウォータフォール開発をアダプタブルにする-
ウォーターフォール開発におけるチケット駆動開発 -ウォータフォール開発をアダプタブルにする-Makoto SAKAI
 
レビューとは何か
レビューとは何かレビューとは何か
レビューとは何かJunBear1
 
ウォーターフォールとアジャイル開発の比較 
ウォーターフォールとアジャイル開発の比較 ウォーターフォールとアジャイル開発の比較 
ウォーターフォールとアジャイル開発の比較 Unicast Inc.
 
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)Masaya Tahara
 
BCP (business continuity plan) and Office365
BCP (business continuity plan) and Office365BCP (business continuity plan) and Office365
BCP (business continuity plan) and Office365Seiji Noro
 
DREAの全体像
DREAの全体像DREAの全体像
DREAの全体像㈱経営教育総合研究所 竹永亮
 
小規模事業者持続化補助金
小規模事業者持続化補助金小規模事業者持続化補助金
小規模事業者持続化補助金竹内 幸次
 
広島 講演 経営計画策定セミナー
広島 講演 経営計画策定セミナー 広島 講演 経営計画策定セミナー
広島 講演 経営計画策定セミナー竹内 幸次
 
新潟 講演 売上アップのための経営計画作成セミナー
新潟 講演 売上アップのための経営計画作成セミナー新潟 講演 売上アップのための経営計画作成セミナー
新潟 講演 売上アップのための経営計画作成セミナー竹内 幸次
 
経営学 Ii 14b
経営学 Ii 14b経営学 Ii 14b
経営学 Ii 14bYasushi Hara
 
予測不能な時代に、今 企業が実践すべきBCPとは?|アシストマイクロ
予測不能な時代に、今 企業が実践すべきBCPとは?|アシストマイクロ予測不能な時代に、今 企業が実践すべきBCPとは?|アシストマイクロ
予測不能な時代に、今 企業が実践すべきBCPとは?|アシストマイクロアシストマイクロ株式会社
 
#神奈川大学経営学総論 16/30 オリエンテーション
#神奈川大学経営学総論 16/30 オリエンテーション#神奈川大学経営学総論 16/30 オリエンテーション
#神奈川大学経営学総論 16/30 オリエンテーションYasushi Hara
 
神奈川大学 経営学総論 A 2014_04_09
神奈川大学 経営学総論 A 2014_04_09神奈川大学 経営学総論 A 2014_04_09
神奈川大学 経営学総論 A 2014_04_09Yasushi Hara
 
地域課題解決ダイアログVol.3 - 企業にとってのオープンイノベーション
地域課題解決ダイアログVol.3 - 企業にとってのオープンイノベーション地域課題解決ダイアログVol.3 - 企業にとってのオープンイノベーション
地域課題解決ダイアログVol.3 - 企業にとってのオープンイノベーションKaz Furukawa
 
MBO Oritentation 090905
MBO Oritentation 090905MBO Oritentation 090905
MBO Oritentation 090905Chiaki Hayashi
 
2014 startup report (2013 Year in Review)
2014 startup report (2013 Year in Review)2014 startup report (2013 Year in Review)
2014 startup report (2013 Year in Review)Jing Stiffler
 

More Related Content

What's hot

メトリクスによるソフトウェア品質評価・改善および製品品質実態
メトリクスによるソフトウェア品質評価・改善および製品品質実態メトリクスによるソフトウェア品質評価・改善および製品品質実態
メトリクスによるソフトウェア品質評価・改善および製品品質実態Hironori Washizaki
 
Jenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめ
Jenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめJenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめ
Jenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめatsushi_tmx
 
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-Yoshio SAKAI
 
アジャイルの夢を実現する–チケット駆動開発で考慮すべき点
アジャイルの夢を実現する–チケット駆動開発で考慮すべき点アジャイルの夢を実現する–チケット駆動開発で考慮すべき点
アジャイルの夢を実現する–チケット駆動開発で考慮すべき点Makoto SAKAI
 
CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!kazkiti
 
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)kazkiti
 
ウォーターフォール開発におけるチケット駆動開発 -ウォータフォール開発をアダプタブルにする-
ウォーターフォール開発におけるチケット駆動開発 -ウォータフォール開発をアダプタブルにする-ウォーターフォール開発におけるチケット駆動開発 -ウォータフォール開発をアダプタブルにする-
ウォーターフォール開発におけるチケット駆動開発 -ウォータフォール開発をアダプタブルにする-Makoto SAKAI
 
レビューとは何か
レビューとは何かレビューとは何か
レビューとは何かJunBear1
 
ウォーターフォールとアジャイル開発の比較 
ウォーターフォールとアジャイル開発の比較 ウォーターフォールとアジャイル開発の比較 
ウォーターフォールとアジャイル開発の比較 Unicast Inc.
 
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)Masaya Tahara
 

What's hot (10)

メトリクスによるソフトウェア品質評価・改善および製品品質実態
メトリクスによるソフトウェア品質評価・改善および製品品質実態メトリクスによるソフトウェア品質評価・改善および製品品質実態
メトリクスによるソフトウェア品質評価・改善および製品品質実態
 
Jenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめ
Jenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめJenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめ
Jenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめ
 
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
 
アジャイルの夢を実現する–チケット駆動開発で考慮すべき点
アジャイルの夢を実現する–チケット駆動開発で考慮すべき点アジャイルの夢を実現する–チケット駆動開発で考慮すべき点
アジャイルの夢を実現する–チケット駆動開発で考慮すべき点
 
CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!
 
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
 
ウォーターフォール開発におけるチケット駆動開発 -ウォータフォール開発をアダプタブルにする-
ウォーターフォール開発におけるチケット駆動開発 -ウォータフォール開発をアダプタブルにする-ウォーターフォール開発におけるチケット駆動開発 -ウォータフォール開発をアダプタブルにする-
ウォーターフォール開発におけるチケット駆動開発 -ウォータフォール開発をアダプタブルにする-
 
レビューとは何か
レビューとは何かレビューとは何か
レビューとは何か
 
ウォーターフォールとアジャイル開発の比較 
ウォーターフォールとアジャイル開発の比較 ウォーターフォールとアジャイル開発の比較 
ウォーターフォールとアジャイル開発の比較 
 
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
 

Viewers also liked

BCP (business continuity plan) and Office365
BCP (business continuity plan) and Office365BCP (business continuity plan) and Office365
BCP (business continuity plan) and Office365Seiji Noro
 
小規模事業者持続化補助金
小規模事業者持続化補助金小規模事業者持続化補助金
小規模事業者持続化補助金竹内 幸次
 
広島 講演 経営計画策定セミナー
広島 講演 経営計画策定セミナー 広島 講演 経営計画策定セミナー
広島 講演 経営計画策定セミナー竹内 幸次
 
新潟 講演 売上アップのための経営計画作成セミナー
新潟 講演 売上アップのための経営計画作成セミナー新潟 講演 売上アップのための経営計画作成セミナー
新潟 講演 売上アップのための経営計画作成セミナー竹内 幸次
 
予測不能な時代に、今 企業が実践すべきBCPとは?|アシストマイクロ
予測不能な時代に、今 企業が実践すべきBCPとは?|アシストマイクロ予測不能な時代に、今 企業が実践すべきBCPとは?|アシストマイクロ
予測不能な時代に、今 企業が実践すべきBCPとは?|アシストマイクロアシストマイクロ株式会社
 
#神奈川大学経営学総論 16/30 オリエンテーション
#神奈川大学経営学総論 16/30 オリエンテーション#神奈川大学経営学総論 16/30 オリエンテーション
#神奈川大学経営学総論 16/30 オリエンテーションYasushi Hara
 
神奈川大学 経営学総論 A 2014_04_09
神奈川大学 経営学総論 A 2014_04_09神奈川大学 経営学総論 A 2014_04_09
神奈川大学 経営学総論 A 2014_04_09Yasushi Hara
 
地域課題解決ダイアログVol.3 - 企業にとってのオープンイノベーション
地域課題解決ダイアログVol.3 - 企業にとってのオープンイノベーション地域課題解決ダイアログVol.3 - 企業にとってのオープンイノベーション
地域課題解決ダイアログVol.3 - 企業にとってのオープンイノベーションKaz Furukawa
 
MBO Oritentation 090905
MBO Oritentation 090905MBO Oritentation 090905
MBO Oritentation 090905Chiaki Hayashi
 
2014 startup report (2013 Year in Review)
2014 startup report (2013 Year in Review)2014 startup report (2013 Year in Review)
2014 startup report (2013 Year in Review)Jing Stiffler
 
2015 State of the Atlanta Startup Ecosystem
2015 State of the Atlanta Startup Ecosystem2015 State of the Atlanta Startup Ecosystem
2015 State of the Atlanta Startup EcosystemAdam Harrell
 
Innovation is everywhere - Kenya Innovation Ecosystem and Startup Scene
Innovation is everywhere - Kenya Innovation Ecosystem and Startup SceneInnovation is everywhere - Kenya Innovation Ecosystem and Startup Scene
Innovation is everywhere - Kenya Innovation Ecosystem and Startup SceneInnovation is Everywhere
 
competition/ livada postei park/brasov/ro
competition/ livada postei park/brasov/rocompetition/ livada postei park/brasov/ro
competition/ livada postei park/brasov/roBogdan
 
19-D-2_業務システム特化型RIA「Nexaweb」
19-D-2_業務システム特化型RIA「Nexaweb」19-D-2_業務システム特化型RIA「Nexaweb」
19-D-2_業務システム特化型RIA「Nexaweb」Developers Summit
 
【デブサミ秋S3】エンジニア目線で見たデジタルマーケティング業界のこれまでとこれから
【デブサミ秋S3】エンジニア目線で見たデジタルマーケティング業界のこれまでとこれから【デブサミ秋S3】エンジニア目線で見たデジタルマーケティング業界のこれまでとこれから
【デブサミ秋S3】エンジニア目線で見たデジタルマーケティング業界のこれまでとこれからDevelopers Summit
 
2010 BMW 528i xDrive Boston
2010 BMW 528i xDrive Boston2010 BMW 528i xDrive Boston
2010 BMW 528i xDrive BostonBMW of Peabody
 

Viewers also liked (20)

BCP (business continuity plan) and Office365
BCP (business continuity plan) and Office365BCP (business continuity plan) and Office365
BCP (business continuity plan) and Office365
 
DREAの全体像
DREAの全体像DREAの全体像
DREAの全体像
 
小規模事業者持続化補助金
小規模事業者持続化補助金小規模事業者持続化補助金
小規模事業者持続化補助金
 
広島 講演 経営計画策定セミナー
広島 講演 経営計画策定セミナー 広島 講演 経営計画策定セミナー
広島 講演 経営計画策定セミナー
 
新潟 講演 売上アップのための経営計画作成セミナー
新潟 講演 売上アップのための経営計画作成セミナー新潟 講演 売上アップのための経営計画作成セミナー
新潟 講演 売上アップのための経営計画作成セミナー
 
経営学 Ii 14b
経営学 Ii 14b経営学 Ii 14b
経営学 Ii 14b
 
予測不能な時代に、今 企業が実践すべきBCPとは?|アシストマイクロ
予測不能な時代に、今 企業が実践すべきBCPとは?|アシストマイクロ予測不能な時代に、今 企業が実践すべきBCPとは?|アシストマイクロ
予測不能な時代に、今 企業が実践すべきBCPとは?|アシストマイクロ
 
#神奈川大学経営学総論 16/30 オリエンテーション
#神奈川大学経営学総論 16/30 オリエンテーション#神奈川大学経営学総論 16/30 オリエンテーション
#神奈川大学経営学総論 16/30 オリエンテーション
 
神奈川大学 経営学総論 A 2014_04_09
神奈川大学 経営学総論 A 2014_04_09神奈川大学 経営学総論 A 2014_04_09
神奈川大学 経営学総論 A 2014_04_09
 
地域課題解決ダイアログVol.3 - 企業にとってのオープンイノベーション
地域課題解決ダイアログVol.3 - 企業にとってのオープンイノベーション地域課題解決ダイアログVol.3 - 企業にとってのオープンイノベーション
地域課題解決ダイアログVol.3 - 企業にとってのオープンイノベーション
 
MBO Oritentation 090905
MBO Oritentation 090905MBO Oritentation 090905
MBO Oritentation 090905
 
2014 startup report (2013 Year in Review)
2014 startup report (2013 Year in Review)2014 startup report (2013 Year in Review)
2014 startup report (2013 Year in Review)
 
2015 State of the Atlanta Startup Ecosystem
2015 State of the Atlanta Startup Ecosystem2015 State of the Atlanta Startup Ecosystem
2015 State of the Atlanta Startup Ecosystem
 
Intro to the Dallas Startup Community
Intro to the Dallas Startup CommunityIntro to the Dallas Startup Community
Intro to the Dallas Startup Community
 
Innovation is everywhere - Kenya Innovation Ecosystem and Startup Scene
Innovation is everywhere - Kenya Innovation Ecosystem and Startup SceneInnovation is everywhere - Kenya Innovation Ecosystem and Startup Scene
Innovation is everywhere - Kenya Innovation Ecosystem and Startup Scene
 
competition/ livada postei park/brasov/ro
competition/ livada postei park/brasov/rocompetition/ livada postei park/brasov/ro
competition/ livada postei park/brasov/ro
 
19-D-2_業務システム特化型RIA「Nexaweb」
19-D-2_業務システム特化型RIA「Nexaweb」19-D-2_業務システム特化型RIA「Nexaweb」
19-D-2_業務システム特化型RIA「Nexaweb」
 
【デブサミ秋S3】エンジニア目線で見たデジタルマーケティング業界のこれまでとこれから
【デブサミ秋S3】エンジニア目線で見たデジタルマーケティング業界のこれまでとこれから【デブサミ秋S3】エンジニア目線で見たデジタルマーケティング業界のこれまでとこれから
【デブサミ秋S3】エンジニア目線で見たデジタルマーケティング業界のこれまでとこれから
 
Vha baseline analysis
Vha baseline analysisVha baseline analysis
Vha baseline analysis
 
2010 BMW 528i xDrive Boston
2010 BMW 528i xDrive Boston2010 BMW 528i xDrive Boston
2010 BMW 528i xDrive Boston
 

Similar to デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)

人が作るソフトウェア 〜今組織パターンを読む意味〜
人が作るソフトウェア 〜今組織パターンを読む意味〜人が作るソフトウェア 〜今組織パターンを読む意味〜
人が作るソフトウェア 〜今組織パターンを読む意味〜Yukei Wachi
 
【15-e-7】Kinectから始まったスタートアップ #devsumi
【15-e-7】Kinectから始まったスタートアップ #devsumi【15-e-7】Kinectから始まったスタートアップ #devsumi
【15-e-7】Kinectから始まったスタートアップ #devsumiKaoru NAKAMURA
 
ユーザー企業における標準化のあり方 : QCon Tokyo 2010
ユーザー企業における標準化のあり方 : QCon Tokyo 2010ユーザー企業における標準化のあり方 : QCon Tokyo 2010
ユーザー企業における標準化のあり方 : QCon Tokyo 2010Yusuke Suzuki
 
「納品のない受託開発」にみるソフトウェア受託開発の未来
「納品のない受託開発」にみるソフトウェア受託開発の未来「納品のない受託開発」にみるソフトウェア受託開発の未来
「納品のない受託開発」にみるソフトウェア受託開発の未来Yoshihito Kuranuki
 
「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターン「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターンToshi Aizawa
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 
デブサミ関西2012[A-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方
デブサミ関西2012[A-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方デブサミ関西2012[A-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方
デブサミ関西2012[A-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方Yusuke Suzuki
 
楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...
楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...
楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...Rakuten Group, Inc.
 
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)Developers Summit
 
TERAS Conference
TERAS ConferenceTERAS Conference
TERAS ConferenceKeiju Anada
 
Devsumi2013 15-C-1 実践!スマホアプリのマネタイズ!! ~マーケット把握術と iPhone&Androidプログラミングテクニック~
Devsumi2013 15-C-1 実践!スマホアプリのマネタイズ!! ~マーケット把握術と iPhone&Androidプログラミングテクニック~Devsumi2013 15-C-1 実践!スマホアプリのマネタイズ!! ~マーケット把握術と iPhone&Androidプログラミングテクニック~
Devsumi2013 15-C-1 実践!スマホアプリのマネタイズ!! ~マーケット把握術と iPhone&Androidプログラミングテクニック~Masahiro Hidaka
 
夏サミ 2012 [B-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方
夏サミ 2012 [B-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方夏サミ 2012 [B-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方
夏サミ 2012 [B-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方Yusuke Suzuki
 
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則株式会社スカイアーチネットワークス
 
でぶさみ夏2013 キーノート オレンジレンジャーの資料
でぶさみ夏2013 キーノート オレンジレンジャーの資料でぶさみ夏2013 キーノート オレンジレンジャーの資料
でぶさみ夏2013 キーノート オレンジレンジャーの資料Tomohiro Fujii
 
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)Masaya Tahara
 
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]日本マイクロソフト株式会社
 
「納品のない受託開発」にみるソフトウェア受託開発の未来
「納品のない受託開発」にみるソフトウェア受託開発の未来「納品のない受託開発」にみるソフトウェア受託開発の未来
「納品のない受託開発」にみるソフトウェア受託開発の未来Yoshihito Kuranuki
 
Ricoh UCS for iPad でみる エンタープライズ アジャイル開発
Ricoh UCS for iPad でみる エンタープライズ アジャイル開発Ricoh UCS for iPad でみる エンタープライズ アジャイル開発
Ricoh UCS for iPad でみる エンタープライズ アジャイル開発Naoki Umehara
 
市場動向並びに弊社製品の今後の展望について
市場動向並びに弊社製品の今後の展望について市場動向並びに弊社製品の今後の展望について
市場動向並びに弊社製品の今後の展望についてKen Azuma
 

Similar to デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏) (20)

人が作るソフトウェア 〜今組織パターンを読む意味〜
人が作るソフトウェア 〜今組織パターンを読む意味〜人が作るソフトウェア 〜今組織パターンを読む意味〜
人が作るソフトウェア 〜今組織パターンを読む意味〜
 
【15-e-7】Kinectから始まったスタートアップ #devsumi
【15-e-7】Kinectから始まったスタートアップ #devsumi【15-e-7】Kinectから始まったスタートアップ #devsumi
【15-e-7】Kinectから始まったスタートアップ #devsumi
 
ユーザー企業における標準化のあり方 : QCon Tokyo 2010
ユーザー企業における標準化のあり方 : QCon Tokyo 2010ユーザー企業における標準化のあり方 : QCon Tokyo 2010
ユーザー企業における標準化のあり方 : QCon Tokyo 2010
 
「納品のない受託開発」にみるソフトウェア受託開発の未来
「納品のない受託開発」にみるソフトウェア受託開発の未来「納品のない受託開発」にみるソフトウェア受託開発の未来
「納品のない受託開発」にみるソフトウェア受託開発の未来
 
「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターン「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターン
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
 
デブサミ関西2012[A-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方
デブサミ関西2012[A-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方デブサミ関西2012[A-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方
デブサミ関西2012[A-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方
 
楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...
楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...
楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...
 
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
 
TERAS Conference
TERAS ConferenceTERAS Conference
TERAS Conference
 
Devsumi2013 15-C-1 実践!スマホアプリのマネタイズ!! ~マーケット把握術と iPhone&Androidプログラミングテクニック~
Devsumi2013 15-C-1 実践!スマホアプリのマネタイズ!! ~マーケット把握術と iPhone&Androidプログラミングテクニック~Devsumi2013 15-C-1 実践!スマホアプリのマネタイズ!! ~マーケット把握術と iPhone&Androidプログラミングテクニック~
Devsumi2013 15-C-1 実践!スマホアプリのマネタイズ!! ~マーケット把握術と iPhone&Androidプログラミングテクニック~
 
夏サミ 2012 [B-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方
夏サミ 2012 [B-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方夏サミ 2012 [B-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方
夏サミ 2012 [B-2]エンタープライズ開発におけるコラボレーション - JIRAによる顧客と開発チームのつなぎ方
 
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
 
Devsumi2013 14
Devsumi2013 14Devsumi2013 14
Devsumi2013 14
 
でぶさみ夏2013 キーノート オレンジレンジャーの資料
でぶさみ夏2013 キーノート オレンジレンジャーの資料でぶさみ夏2013 キーノート オレンジレンジャーの資料
でぶさみ夏2013 キーノート オレンジレンジャーの資料
 
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
 
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
 
「納品のない受託開発」にみるソフトウェア受託開発の未来
「納品のない受託開発」にみるソフトウェア受託開発の未来「納品のない受託開発」にみるソフトウェア受託開発の未来
「納品のない受託開発」にみるソフトウェア受託開発の未来
 
Ricoh UCS for iPad でみる エンタープライズ アジャイル開発
Ricoh UCS for iPad でみる エンタープライズ アジャイル開発Ricoh UCS for iPad でみる エンタープライズ アジャイル開発
Ricoh UCS for iPad でみる エンタープライズ アジャイル開発
 
市場動向並びに弊社製品の今後の展望について
市場動向並びに弊社製品の今後の展望について市場動向並びに弊社製品の今後の展望について
市場動向並びに弊社製品の今後の展望について
 

More from Developers Summit

【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」
【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」
【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」Developers Summit
 
【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~Developers Summit
 
【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~Developers Summit
 
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみるDevelopers Summit
 
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。Developers Summit
 
【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦
【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦
【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦Developers Summit
 
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツールDevelopers Summit
 
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツールDevelopers Summit
 
【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)
【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)
【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)Developers Summit
 
【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~
【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~
【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~Developers Summit
 
【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えします
【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えします【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えします
【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えしますDevelopers Summit
 
【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流
【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流
【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流Developers Summit
 
【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~
【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~
【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~Developers Summit
 
【15-A-1】ドラゴンクエストXを支える失敗事例
【15-A-1】ドラゴンクエストXを支える失敗事例【15-A-1】ドラゴンクエストXを支える失敗事例
【15-A-1】ドラゴンクエストXを支える失敗事例Developers Summit
 
【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~
【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~
【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~Developers Summit
 
【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜
【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜
【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜Developers Summit
 
【B-5】モダンな開発を実現するツールチェーンのご紹介
【B-5】モダンな開発を実現するツールチェーンのご紹介【B-5】モダンな開発を実現するツールチェーンのご紹介
【B-5】モダンな開発を実現するツールチェーンのご紹介Developers Summit
 
【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習
【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習
【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習Developers Summit
 
【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道
【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道
【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道Developers Summit
 
【B-2】AI時代におけるエンジニアの生存戦略
【B-2】AI時代におけるエンジニアの生存戦略【B-2】AI時代におけるエンジニアの生存戦略
【B-2】AI時代におけるエンジニアの生存戦略Developers Summit
 

More from Developers Summit (20)

【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」
【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」
【18-A-2】ゲーミフィケーション・エバンジェリストが見る「あなたの技術力が“ワクワクするサービス”に変わる未来」
 
【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・小林様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
 
【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
【C-2・醍醐様】AIとAPIがITインフラにもたらす変化 ~プログラマブルなクラウド型Wi-Fi~
 
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
 
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
【B-6】Androidスマホの生体認証の脆弱性、調べてみたらよくある話だった。
 
【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦
【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦
【13-B-6】Hondaの生産技術屋さんがソフトウェア開発でアジャイルを初導入し組織変革に挑戦
 
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
 
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
 
【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)
【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)
【14-E-3】セキュリティ・テストの自動化によるDevSecOpsの実現 (デモ有)
 
【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~
【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~
【15-D-2】デンソーのMaaS開発~アジャイル開発で顧客との協調・チームビルディング・実装概要~
 
【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えします
【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えします【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えします
【14-C-8】みんなの暮らしを支えるAmazon S3の裏側、お伝えします
 
【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流
【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流
【14-C-7】コンピュータビジョンを支える深層学習技術の新潮流
 
【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~
【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~
【15-B-7】無意味なアラートからの脱却 ~ Datadogを使ってモダンなモニタリングを始めよう ~
 
【15-A-1】ドラゴンクエストXを支える失敗事例
【15-A-1】ドラゴンクエストXを支える失敗事例【15-A-1】ドラゴンクエストXを支える失敗事例
【15-A-1】ドラゴンクエストXを支える失敗事例
 
【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~
【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~
【15-A-5】ゲーミフィケーションエバンジェリストが説く、アプリ開発で見落としがちな「おもてなし」とは~面白さを伝える × 面白く魅せる~
 
【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜
【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜
【B-2】福岡発Node.jsで支える大規模システム!〜「誰ガ為のアルケミスト」と歩んだ三年〜
 
【B-5】モダンな開発を実現するツールチェーンのご紹介
【B-5】モダンな開発を実現するツールチェーンのご紹介【B-5】モダンな開発を実現するツールチェーンのご紹介
【B-5】モダンな開発を実現するツールチェーンのご紹介
 
【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習
【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習
【C-2】メモリも、僕のキャパシティも溢れっぱなし。。2年目エンジニアが実現した機械学習
 
【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道
【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道
【A-2】とあるマーケティング部隊とデータエンジニアのデータドリブンへの道
 
【B-2】AI時代におけるエンジニアの生存戦略
【B-2】AI時代におけるエンジニアの生存戦略【B-2】AI時代におけるエンジニアの生存戦略
【B-2】AI時代におけるエンジニアの生存戦略
 

Recently uploaded

論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムsugiuralab
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 

Recently uploaded (10)

論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 

デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか?(百瀬昌幸氏)

  • 1. Developers Summit 公開用 セキュリティ要求仕様モデルプランで 日本は変わるか? ~地方公共団体における情報システムセキュリティ要求 仕様モデルプラン(Webアプリケーション)について ~ 15-C-8 百瀬昌幸 #devsumiC (財)地方自治情報センター(LASDEC) 自治体セキュリティ支援室 Developers Summit 2013 Action !
  • 2. Developers Summit ラスデック? Developers Summit 2013 Action !
  • 3. Developers Summit (財)地方自治情報センター (LASDEC“ラスデック”) 住基ネット コンビニ交付の 導入支援等 研究開発 LGWAN 教育研修/人材育成 自治体セキュリティ支援室(LASC) • 各種セキュリティ情報収集、情報展開 • 自治体に無償で各種セキュリティ支援事業を提供 脆弱性診断事業から派生した成果物 ⇒「ウェブ健康診断仕様」「モデルプラン」 Developers Summit 2013 Action ! 3
  • 4. Developers Summit モデルプランできました。 ダウンロード: https://www.lasdec.or.jp/cms/12,28369,84.html © 2012 supersoftware または、 で検索。 Developers Summit 2013 Action ! 4
  • 5. Developers Summit モデルプランの概要 Developers Summit 2013 Action !
  • 6. Developers Summit モデルプランの中身 Webアプリケーション(とプラットフォーム)の脆弱性対策関連の要件に特化した仕様書(特記仕様書) • 「セキュリティ保証期間」の設定 – 後ほどご説明 • 提案時の提出物 – セキュリティ実装方針、重要事項説明書 • ソフトウェア選定に係る要件 – サポートライフサイクルポリシーは問題ないか • 対応すべき脆弱性のリスト – 16項目 • セキュリティ機能要件 – ログイン処理、認可処理、アカウント管理など • テスト要件 – 開発時中間検査(Option)、最終(出荷時)検査 • 検収方法 – 納入ベンダーの検査結果チェック/自ら検査/第三者に依頼して検査 & 結果良好 を検収要件に • 成果物(納品物) • 保守対応関係要件 – 脆弱性修正パッチ開発関係、いつまでにパッチを適用するかなど。 Developers Summit 2013 Action ! 6
  • 7. Developers Summit セキュリティ仕様選定基準イメージ(1/2) • 未知の脆弱性 • 新しく発見された脆弱性でまだ対処方法が確立していない脆弱性 •“脆弱性である”と定義できるかどうかわからないグレーゾーンの脆弱性 Developers Summit 2013 Action ! 7
  • 8. Developers Summit セキュリティ仕様選定基準イメージ(2/2) (注)モデルプランはA、Bを全て カバーしているわけではない Developers Summit 2013 Action ! 8
  • 9. Developers Summit セキュリティ要件の提示方法の比較 提示方法 メリット デメリット 対策すべき脅威 ・(発注者には)分かりやすい ・対策が曖昧になりやすく、 を明示 ・実装の自由度がある 効果が薄い可能性大 対策すべき脆弱 ・脆弱性毎の対応の可否は ・対策方法の良否判断は時に困難 性名を明示 明確になる ・脆弱性対応レベルは指定でき ・実装の自由度がある ない 実装方法を指定 ・確実な対策が見込みやすい ・実装の自由度がない (既存パッケージソフト等の 資産が使えず、開発コスト増 大の懸念あり) ・詳細をすべて書ききるのが、 かなり困難なものもある。 検査方法を明示 ・対策の自由度がある 確実な検査方法のスタンダードが ・対策の水準が明確になる 公開されていない ・検収がしやすい Developers Summit 2013 Action ! 9 ※徳丸浩氏の資料を一部引用
  • 10. Developers Summit なぜモデルプランを作成したか Developers Summit 2013 Action !
  • 11. Developers Summit ウェブ健康診断 ※本事業は平成20年~平成22年迄で終了 Developers Summit 2013 Action ! 11
  • 12. Developers Summit 診断内容 下記項目を診断エンジニアによる手動の抜き取り検査(診断)を実施。 Developers Summit 2013 Action ! 12
  • 13. Developers Summit ちなみに… 「ウェブ健康診断」の診断仕様は、 現在IPAさんにその維持・発展を 担っていただいています。 (平成24年12月から) こちらの資料も参考にしてください! ダウンロード: https://www.ipa.go.jp/security/vuln/websecurity.html または、 で検索。 Developers Summit 2013 Action !
  • 14. Developers Summit 一部資料省略 Developers Summit 2013 Action ! 14 5
  • 15. Developers Summit 地方公共団体における脆弱性対策に関する課題 • 突然発覚する脆弱性への対応について、幹部の 理解が得られない。 • 情報システムを管理する担当部門が脆弱性対策 の必要性を理解していない。 • 人事異動により、経験を積んだIT担当部門の職 員の知見が活かせなくなる。 • 脆弱性が見つかった場合の対策の実施や公表に 係る方針が定まらない。 出典:「地方公共団体のための脆弱性対応ガイド」などを公開 ~「情報システム等の脆弱性情報の取扱いに関する研究会」の2011年度活動成果~ http://www.ipa.go.jp/security/fy23/reports/vuln_handling/index.html Developers Summit 2013 Action ! 15
  • 16. Developers Summit モデルプラン検討経緯 • 地方公共団体のウェブアプリケーションの現状 • 脆弱性のあるサイト数、脆弱性検出後の改善率の状況 現状認識 • 地方公共団体での脆弱性対策の課題 • 根本的な対策が必要 •システム導入前の時点で根本的に脆弱性が生みだされないような仕組み •脆弱性が発見された場合、容易に改修することができる手段 対策検討 •それらを、あまり多くの知識・ノウハウなくとも取り込める方法 • ウェブアプリケーションの調達におけるセキュリティ要求仕様のガイドラ イン、仕様例を作成 方針決定 • 「これ(モデルプラン)付けておけば、大体 」を期待。 注意:モデルプランは今後も実情等に合わせて改版要。 Developers Summit 2013 Action ! 16
  • 17. Developers Summit 今後、地方公共団体のセキュリティ レベル向上のために必要な施策 事後 事前 セキュリティレ 対策 対策 ベル向上! ・ウェブ健康診断 ・セキュリティ要求仕様 ・セキュリティ健康診断 モデルプラン などの支援事業 仕様書例を作成し、地方公共団体及び一般へ情報公開! Developers Summit 2013 Action ! 17
  • 18. Developers Summit Webアプリケーションセキュリティ 要求仕様等検討委員会 Developers Summit 2013 Action ! 18
  • 19. Developers Summit 委員の皆様(50音順) 氏名 ご所属 飯島 輝泰 埼玉県毛呂山町 子ども課子育て支援係(元情報推進室 係長)※第1回~3回 大高 利夫 藤沢市 総務部IT推進課 総務部参事(兼)IT推進課長 木村 修二 NPO関西情報化維新協議会 理事 佐藤 慶浩 日本ヒューレット・パッカード株式会社 個人情報保護対策室 室長 鈴木 正朝 新潟大学 大学院実務法務研究科・法学部 教授(情報法) 高木 浩光 独立行政法人 産業技術総合研究所 セキュアシステム研究部門 主任研究員 高倉 弘喜 名古屋大学 情報基盤センター 情報基盤ネットワーク研究部門 教授 鶴巻 暁 上條・鶴巻法律事務所 弁護士 徳丸 浩 HASHコンサルティング株式会社 代表取締役 中山 紀雄 総務省 自治行政局 地域情報政策室 電子自治体推進係 係長 丸山 満彦 デロイト トーマツ リスクサービス株式会社 取締役 執行役員 活動期間:2011年12月9日~2012年10月22日 Developers Summit 2013 Action ! 19
  • 20. Developers Summit モデルプランのポイント Developers Summit 2013 Action !
  • 21. Developers Summit モデルプランのポイント 「セキュリティ保証期間」という期間を設け、 「脆弱性リスト」で示した脆弱性に限定して対処(脆弱 性がないようにする)を求めている。 (万一運用時に脆弱性が発覚したら、追加費用 なしで修補を求める) セキュリティ保証期間=5年間(稼働予定期間) 追加費用なし≠無償 Developers Summit 2013 Action ! 21
  • 22. Developers Summit “追加費用なし”の効用 • リスクの見積もりを提案者(ベンダー)に委ねている。 「自ら開発したソフト、選定したソフトで事後(セキュリティ保証期間 中)に脆弱性が発覚するリスクを見込んで保守費用に対応費用 を積んでおいてください」 • 地方公共団体の調達 = ほとんど入札 …となれば、 – 「(開発者は)できるだけセキュアなソフト開発をする」 – 「(SIerは)できるだけセキュアなソフトを選定する」 というインセンティブが働く(保守費用を安くできるから) • 地方公共団体だけでなく、他にも広がれば… Developers Summit 2013 Action ! 22
  • 23. Developers Summit モデルプランの採用が進むと… 脆弱性を作り込まない開発体制(構築体 制)整えている優秀なベンダーの製品の 採用を促進し、そうでない製品を排除す る方向に。 Developers Summit 2013 Action ! 23
  • 24. Developers Summit モデルプラン セミナーアンケート結果 • 開催 :東京・大阪で開催(1月23日、30日) • 講師 :徳丸浩殿 • 内容 :モデルプランの作成経緯や使い方ノウハウ、注意点など。 • 参加者:地方公共団体職員(情報系) 合計 95名 • アンケート:「モデルプランを利用しようと思いますか?」 ①利用を検討したい / ②内容を確認してから検討したい <自由記述回答による、感想等 ~ 抜粋 ~> 某市 次期システム調達での仕様の使用を検討したい。 非常に有意義であると思う。 某市 ASP,SaaSについて同様のモデルが欲しい。 (ほか、イントラネット向けなどの意見も) 某区 モデルプラン通りでは敷居が高い。重要度1~4などに分け、 Webアプリケーションの重要度に合わせたものができないだろう か。(技術的な内容をちゃんと咀嚼できるだろうかといった懸念) 某県 現実的かつ実践的なもので即戦力になるツールだと感じま 回答団体:90名(68団体) す。 ユーザサイドがやかましく言うことでベンダサイドの意 (回答団体内訳) 識が変わるとよいのですが… 最終的にはユーザ・ベンダお 都道府県 16名 互いの意識を高く持つことがゴールかと思います。 市・区 49名 町・村 3名 Developers Summit 2013 Action ! 24
  • 25. Developers Summit まとめ モデルプランは、、 • 基本的にユーザ視点で地方公共団体向けにまとめました。 • 脆弱性を完全に排除はしたいけど“完全に”は難しいので、期 間と内容(脆弱性リスト等)を限定して、万一運用時に規定の 脆弱性があるとわかったら追加費用なしで修補してもらうこと にしました。 • セキュリティ対策(脆弱性対策)に熱心なベンダーさんにとっ ては優位な仕様! • “地方公共団体向け”だけど…もっと活用の幅を広げたい (希望) より良い仕様、実情に合わせた対応にするための内容改版 の検討は継続予定です。 皆さんからもご意見などお寄せいただければ幸いです。 Developers Summit 2013 Action ! 25
  • 26. Developers Summit セキュリティは文化 MY RECOMMEND NEXT ACTION! • 積極的に、ポジティブに、要求仕様の内容を 良くご覧ください。 • 「これって当たり前だよね~(今のやつには実 装してないけど)」がほとんどだと思います! • 当たり前の文化(=開発規約)にすれば、随 分世の中の脆弱性がなくなるはず! 日本のセキュリティの夜明けぜよ! Developers Summit 2013 Action ! 26
  • 27. Developers Summit It’s your turn. Developers Summit 2013 Action !