SlideShare a Scribd company logo

シフトレフトを頑張っていたらなぜかカードゲームができた話

Download as PPTX, PDF
Makoto Iguchi
Makoto Iguchi

CSSx2.0 in CSS2020でプレゼンしたLTです。 Elevation of Privilege脅威モデリングカードゲーム日本語版 (https://github.com/KiiCorp/eop-ja) を作成した経緯について語っています。

Software
1 of 20
シフトレフトを 頑張っていたら なぜかカードゲームが できた話 CSS2.0 in CSS2020 いぐちまこと
2020年も いろいろなこと がありましたね… 銀行口座からの不正引き出し 東証システム障害 某教育機関向けSaaSからのパスワード流出
この世からセキュリティ事案 を消し去りたい…
システム設計段階でつぶす システム設計 システム実装 システム運用・保守 ココ
システム設計 システム実装 システム運用・保守 シフトレフト! Security by Design!!
わたし シフトレフト 体系的に やりたいな… ふんいきで 属人的に やってたよな…
STRIDE 脅威分析モデル • Spoofing (なりすまし) • Tampering (改ざん) • Repudiation (否認) • Information Disclosure (情報漏えい) • Denial of Service (サービス拒否) • Elevation of Privilege (権限昇格)
STRIDEなカードゲーム The Elevation of Privilege Threat Modeling Card Deck https://github.com/adamshostack/eop
さっそく試してみた… STRIDEカードゲーム よくね? 悪くはない… 脅威シナリオが イメージしにくい… そこはかとない イマイチ感… カードゲーム感 なさすぎ… ざわ… ざわ… ざわ… ざわ… ざわ… ざわ… ややストライドに懐疑的な流れ…
し か し い ぐ ち に 電 流 走 る ー ー !
ややストライドに懐疑的な意見
ややストライド
や や ス ト ラ イ ド
や や ス ト ラ イ ド イ ラ ス ト や ド や
イ ラ ス ト や ド や
イラストや ドや
いらすとや ドヤ!
全カード「いらすとや」化
結果:みんなにっこり! 職場のみんなが にっこり 原作者も にっこり https://www.threatmodelingbook.com/resources
皆さんにもにっこりして欲しい! • 勤め先のGithubレポジトリにて 無償配布中! • カードゲームをしながら楽しく 脅威分析&にっこりしましょう! (他の人にもどんどん紹介してね) https://bit.ly/eop-ja

Recommended

第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
hakoika-itwg
 
使いたくなるクラウド、選べるクラウド!
使いたくなるクラウド、選べるクラウド!使いたくなるクラウド、選べるクラウド!
使いたくなるクラウド、選べるクラウド!
Kazumi IWANAGA
 
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
日本マイクロソフト株式会社
 
サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...
サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...
サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...
Fumitoshi Taoka
 
変化の時代で勝つためのアジャイルゲーム開発 2012 03-24
変化の時代で勝つためのアジャイルゲーム開発 2012 03-24変化の時代で勝つためのアジャイルゲーム開発 2012 03-24
変化の時代で勝つためのアジャイルゲーム開発 2012 03-24
俊仁 小林
 
NVMe でハァハァしようよ #sapporocpp
NVMe でハァハァしようよ #sapporocpp NVMe でハァハァしようよ #sapporocpp
NVMe でハァハァしようよ #sapporocpp
hiyohiyo
 
SIGMOD 2019 参加報告
SIGMOD 2019 参加報告SIGMOD 2019 参加報告
SIGMOD 2019 参加報告
Masafumi Oyamada
 
「モデル検査」のススメ (ゲームシナリオ進行編)
「モデル検査」のススメ (ゲームシナリオ進行編)「モデル検査」のススメ (ゲームシナリオ進行編)
「モデル検査」のススメ (ゲームシナリオ進行編)
Masaru Nagaku
 

Recommended

第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
hakoika-itwg
 
使いたくなるクラウド、選べるクラウド!
使いたくなるクラウド、選べるクラウド!使いたくなるクラウド、選べるクラウド!
使いたくなるクラウド、選べるクラウド!
Kazumi IWANAGA
 
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
日本マイクロソフト株式会社
 
サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...
サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...
サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...
Fumitoshi Taoka
 
変化の時代で勝つためのアジャイルゲーム開発 2012 03-24
変化の時代で勝つためのアジャイルゲーム開発 2012 03-24変化の時代で勝つためのアジャイルゲーム開発 2012 03-24
変化の時代で勝つためのアジャイルゲーム開発 2012 03-24
俊仁 小林
 
NVMe でハァハァしようよ #sapporocpp
NVMe でハァハァしようよ #sapporocpp NVMe でハァハァしようよ #sapporocpp
NVMe でハァハァしようよ #sapporocpp
hiyohiyo
 
SIGMOD 2019 参加報告
SIGMOD 2019 参加報告SIGMOD 2019 参加報告
SIGMOD 2019 参加報告
Masafumi Oyamada
 
「モデル検査」のススメ (ゲームシナリオ進行編)
「モデル検査」のススメ (ゲームシナリオ進行編)「モデル検査」のススメ (ゲームシナリオ進行編)
「モデル検査」のススメ (ゲームシナリオ進行編)
Masaru Nagaku
 
Jazug信州 クラウドとデータ解析
Jazug信州 クラウドとデータ解析Jazug信州 クラウドとデータ解析
Jazug信州 クラウドとデータ解析
Tsubasa Yoshino
 
Azureでデータ解析
Azureでデータ解析Azureでデータ解析
Azureでデータ解析
Tsubasa Yoshino
 
Soft bank ssl仕様変更について
Soft bank ssl仕様変更についてSoft bank ssl仕様変更について
Soft bank ssl仕様変更について
Masanori Hayashi
 
ブロックチェーンを活用した次世代芸能エージェント
ブロックチェーンを活用した次世代芸能エージェントブロックチェーンを活用した次世代芸能エージェント
ブロックチェーンを活用した次世代芸能エージェント
SHIDEO 関田
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
Riotaro OKADA
 
スクレイピングその後
スクレイピングその後スクレイピングその後
スクレイピングその後
Tomoki Hasegawa
 
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
Hibino Hisashi
 
CSS Nite LP26 CodeKitで始める次世代Web制作
CSS Nite LP26 CodeKitで始める次世代Web制作CSS Nite LP26 CodeKitで始める次世代Web制作
CSS Nite LP26 CodeKitで始める次世代Web制作
Maboroshi.inc
 
第23回八子クラウド座談会 人工知能 クラウドxAI 20170520
第23回八子クラウド座談会 人工知能 クラウドxAI 20170520第23回八子クラウド座談会 人工知能 クラウドxAI 20170520
第23回八子クラウド座談会 人工知能 クラウドxAI 20170520
知礼 八子
 
How to balance between Security and Agile Development
How to balance between Security and Agile DevelopmentHow to balance between Security and Agile Development
How to balance between Security and Agile Development
Makoto Iguchi
 
セキュリティとアジャイル開発のいい関係について考える
セキュリティとアジャイル開発のいい関係について考えるセキュリティとアジャイル開発のいい関係について考える
セキュリティとアジャイル開発のいい関係について考える
Makoto Iguchi
 
The Privacy Policy Landscape After the GDPR from PETS2020
The Privacy Policy Landscape After the GDPR from PETS2020The Privacy Policy Landscape After the GDPR from PETS2020
The Privacy Policy Landscape After the GDPR from PETS2020
Makoto Iguchi
 
ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)
ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)
ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)
Makoto Iguchi
 
GDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ー
GDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ーGDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ー
GDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ー
Makoto Iguchi
 
「みもふたもない」〆切なんかに絶対負けない方法
「みもふたもない」〆切なんかに絶対負けない方法「みもふたもない」〆切なんかに絶対負けない方法
「みもふたもない」〆切なんかに絶対負けない方法
Makoto Iguchi
 
「みもふたもない」論文投稿必勝法
「みもふたもない」論文投稿必勝法「みもふたもない」論文投稿必勝法
「みもふたもない」論文投稿必勝法
Makoto Iguchi
 
分散開発チームによるAgile開発実践 ~いろいろハマった!よかった
分散開発チームによるAgile開発実践 ~いろいろハマった!よかった分散開発チームによるAgile開発実践 ~いろいろハマった!よかった
分散開発チームによるAgile開発実践 ~いろいろハマった!よかった
Makoto Iguchi
 

More Related Content

Similar to シフトレフトを頑張っていたらなぜかカードゲームができた話

Soft bank ssl仕様変更について
Soft bank ssl仕様変更についてSoft bank ssl仕様変更について
Soft bank ssl仕様変更について
Masanori Hayashi
 
CSS Nite LP26 CodeKitで始める次世代Web制作
CSS Nite LP26 CodeKitで始める次世代Web制作CSS Nite LP26 CodeKitで始める次世代Web制作
CSS Nite LP26 CodeKitで始める次世代Web制作
Maboroshi.inc
 

Similar to シフトレフトを頑張っていたらなぜかカードゲームができた話 (9)

Jazug信州 クラウドとデータ解析
Jazug信州 クラウドとデータ解析Jazug信州 クラウドとデータ解析
Jazug信州 クラウドとデータ解析
 
Azureでデータ解析
Azureでデータ解析Azureでデータ解析
Azureでデータ解析
 
Soft bank ssl仕様変更について
Soft bank ssl仕様変更についてSoft bank ssl仕様変更について
Soft bank ssl仕様変更について
 
ブロックチェーンを活用した次世代芸能エージェント
ブロックチェーンを活用した次世代芸能エージェントブロックチェーンを活用した次世代芸能エージェント
ブロックチェーンを活用した次世代芸能エージェント
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
 
スクレイピングその後
スクレイピングその後スクレイピングその後
スクレイピングその後
 
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
 
CSS Nite LP26 CodeKitで始める次世代Web制作
CSS Nite LP26 CodeKitで始める次世代Web制作CSS Nite LP26 CodeKitで始める次世代Web制作
CSS Nite LP26 CodeKitで始める次世代Web制作
 
第23回八子クラウド座談会 人工知能 クラウドxAI 20170520
第23回八子クラウド座談会 人工知能 クラウドxAI 20170520第23回八子クラウド座談会 人工知能 クラウドxAI 20170520
第23回八子クラウド座談会 人工知能 クラウドxAI 20170520
 

More from Makoto Iguchi

More from Makoto Iguchi (8)

How to balance between Security and Agile Development
How to balance between Security and Agile DevelopmentHow to balance between Security and Agile Development
How to balance between Security and Agile Development
 
セキュリティとアジャイル開発のいい関係について考える
セキュリティとアジャイル開発のいい関係について考えるセキュリティとアジャイル開発のいい関係について考える
セキュリティとアジャイル開発のいい関係について考える
 
The Privacy Policy Landscape After the GDPR from PETS2020
The Privacy Policy Landscape After the GDPR from PETS2020The Privacy Policy Landscape After the GDPR from PETS2020
The Privacy Policy Landscape After the GDPR from PETS2020
 
ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)
ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)
ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)
 
GDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ー
GDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ーGDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ー
GDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ー
 
「みもふたもない」〆切なんかに絶対負けない方法
「みもふたもない」〆切なんかに絶対負けない方法「みもふたもない」〆切なんかに絶対負けない方法
「みもふたもない」〆切なんかに絶対負けない方法
 
「みもふたもない」論文投稿必勝法
「みもふたもない」論文投稿必勝法「みもふたもない」論文投稿必勝法
「みもふたもない」論文投稿必勝法
 
分散開発チームによるAgile開発実践 ~いろいろハマった!よかった
分散開発チームによるAgile開発実践 ~いろいろハマった!よかった分散開発チームによるAgile開発実践 ~いろいろハマった!よかった
分散開発チームによるAgile開発実践 ~いろいろハマった!よかった
 

シフトレフトを頑張っていたらなぜかカードゲームができた話