Submit Search
Upload
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
•
4 likes
•
5,343 views
Riotaro OKADA
Follow
OWASP SAMM v1.5
Read less
Read more
Engineering
Report
Share
Report
Share
1 of 27
Download now
Download to read offline
Recommended
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
Keycloak入門
Keycloak入門
Hiroyuki Wada
シングルサインオンの歴史とSAMLへの道のり
シングルサインオンの歴史とSAMLへの道のり
Shinichi Tomita
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
The Twelve-Factor Appで考えるAWSのサービス開発
The Twelve-Factor Appで考えるAWSのサービス開発
Amazon Web Services Japan
Serverless時代のJavaについて
Serverless時代のJavaについて
Amazon Web Services Japan
Recommended
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
Keycloak入門
Keycloak入門
Hiroyuki Wada
シングルサインオンの歴史とSAMLへの道のり
シングルサインオンの歴史とSAMLへの道のり
Shinichi Tomita
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
The Twelve-Factor Appで考えるAWSのサービス開発
The Twelve-Factor Appで考えるAWSのサービス開発
Amazon Web Services Japan
Serverless時代のJavaについて
Serverless時代のJavaについて
Amazon Web Services Japan
マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜
Yoshiki Nakagawa
AWS初心者向けWebinar AWS上でのDDoS対策
AWS初心者向けWebinar AWS上でのDDoS対策
Amazon Web Services Japan
Amazon Athena で実現する データ分析の広がり
Amazon Athena で実現する データ分析の広がり
Amazon Web Services Japan
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
Yahoo!デベロッパーネットワーク
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装
Masatoshi Tada
DevOps with Database on AWS
DevOps with Database on AWS
Amazon Web Services Japan
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアル
貴志 上坂
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA
開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)
mosa siru
AWS で Presto を徹底的に使いこなすワザ
AWS で Presto を徹底的に使いこなすワザ
Noritaka Sekiyama
エンジニアの個人ブランディングと技術組織
エンジニアの個人ブランディングと技術組織
Takafumi ONAKA
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
Hitachi, Ltd. OSS Solution Center.
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
Satoyuki Tsukano
なぜ「マイクロサービス“化”」が必要なのか
なぜ「マイクロサービス“化”」が必要なのか
Yusuke Suzuki
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
NTT DATA Technology & Innovation
Amazon Athena 初心者向けハンズオン
Amazon Athena 初心者向けハンズオン
Amazon Web Services Japan
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
Tomohiro Nakashima
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
More Related Content
What's hot
マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜
Yoshiki Nakagawa
AWS初心者向けWebinar AWS上でのDDoS対策
AWS初心者向けWebinar AWS上でのDDoS対策
Amazon Web Services Japan
Amazon Athena で実現する データ分析の広がり
Amazon Athena で実現する データ分析の広がり
Amazon Web Services Japan
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
Yahoo!デベロッパーネットワーク
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装
Masatoshi Tada
DevOps with Database on AWS
DevOps with Database on AWS
Amazon Web Services Japan
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアル
貴志 上坂
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA
開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)
mosa siru
AWS で Presto を徹底的に使いこなすワザ
AWS で Presto を徹底的に使いこなすワザ
Noritaka Sekiyama
エンジニアの個人ブランディングと技術組織
エンジニアの個人ブランディングと技術組織
Takafumi ONAKA
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
Hitachi, Ltd. OSS Solution Center.
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
Satoyuki Tsukano
なぜ「マイクロサービス“化”」が必要なのか
なぜ「マイクロサービス“化”」が必要なのか
Yusuke Suzuki
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
NTT DATA Technology & Innovation
Amazon Athena 初心者向けハンズオン
Amazon Athena 初心者向けハンズオン
Amazon Web Services Japan
What's hot
(20)
マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜
AWS初心者向けWebinar AWS上でのDDoS対策
AWS初心者向けWebinar AWS上でのDDoS対策
Amazon Athena で実現する データ分析の広がり
Amazon Athena で実現する データ分析の広がり
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装
DevOps with Database on AWS
DevOps with Database on AWS
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアル
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化
開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)
AWS で Presto を徹底的に使いこなすワザ
AWS で Presto を徹底的に使いこなすワザ
エンジニアの個人ブランディングと技術組織
エンジニアの個人ブランディングと技術組織
最近のやられアプリを試してみた
最近のやられアプリを試してみた
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
なぜ「マイクロサービス“化”」が必要なのか
なぜ「マイクロサービス“化”」が必要なのか
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
Amazon Athena 初心者向けハンズオン
Amazon Athena 初心者向けハンズオン
Viewers also liked
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
Tomohiro Nakashima
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
Daiki Ichinose
AWSでアプリ開発するなら 知っておくべこと
AWSでアプリ開発するなら 知っておくべこと
Keisuke Nishitani
my presentation for TLP conference in Warsaw, March, 10th 2017
my presentation for TLP conference in Warsaw, March, 10th 2017
Pawel Trebicki
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
Terui Masashi
サーバーレスでシステムを開発する時に⼤切な事
サーバーレスでシステムを開発する時に⼤切な事
Hiroyuki Hiki
ハードディスクの正しい消去(2015.7)
ハードディスクの正しい消去(2015.7)
UEHARA, Tetsutaro
JAWS DAYS 2017「サーバーレスが切り拓く Eightのリアルタイム大規模データ分析」
JAWS DAYS 2017「サーバーレスが切り拓く Eightのリアルタイム大規模データ分析」
Yotaro Fujii
20170311 jawsdays 公開
20170311 jawsdays 公開
Hideki Ojima
サーバーレスの今とこれから
サーバーレスの今とこれから
真吾 吉田
Design in Tech Report 2017
Design in Tech Report 2017
John Maeda
Devices used by astronomer
Devices used by astronomer
Ri Yu
Total Quality Management (VV2)
Total Quality Management (VV2)
amitymbaassignment
All About Nidhi Company
All About Nidhi Company
INDIA CS
Infographie : Pierre Bergé
Infographie : Pierre Bergé
Claude Chollet
Infographie : Le Canard Enchaîné
Infographie : Le Canard Enchaîné
Claude Chollet
Future of construction World Economic Forum moladi
Future of construction World Economic Forum moladi
moladi plastic formwork building construction system
FISTF World Cup portfolio
FISTF World Cup portfolio
Alan Collins
Mountain Valley Pipeline, Analysis of Environmental Issues
Mountain Valley Pipeline, Analysis of Environmental Issues
Jacqueline Tkac
Viewers also liked
(20)
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
AWSでアプリ開発するなら 知っておくべこと
AWSでアプリ開発するなら 知っておくべこと
my presentation for TLP conference in Warsaw, March, 10th 2017
my presentation for TLP conference in Warsaw, March, 10th 2017
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
DevOpsとか言う前にAWSエンジニアに知ってほしいアプリケーションのこと
サーバーレスでシステムを開発する時に⼤切な事
サーバーレスでシステムを開発する時に⼤切な事
ハードディスクの正しい消去(2015.7)
ハードディスクの正しい消去(2015.7)
JAWS DAYS 2017「サーバーレスが切り拓く Eightのリアルタイム大規模データ分析」
JAWS DAYS 2017「サーバーレスが切り拓く Eightのリアルタイム大規模データ分析」
20170311 jawsdays 公開
20170311 jawsdays 公開
サーバーレスの今とこれから
サーバーレスの今とこれから
Design in Tech Report 2017
Design in Tech Report 2017
Devices used by astronomer
Devices used by astronomer
Total Quality Management (VV2)
Total Quality Management (VV2)
All About Nidhi Company
All About Nidhi Company
Infographie : Pierre Bergé
Infographie : Pierre Bergé
Infographie : Le Canard Enchaîné
Infographie : Le Canard Enchaîné
Future of construction World Economic Forum moladi
Future of construction World Economic Forum moladi
FISTF World Cup portfolio
FISTF World Cup portfolio
Mountain Valley Pipeline, Analysis of Environmental Issues
Mountain Valley Pipeline, Analysis of Environmental Issues
Similar to 「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
SWEBOKにみるソフトウェアエンジニアリングの全体、および、 つながる時代のソフトウェアモデリング&品質
SWEBOKにみるソフトウェアエンジニアリングの全体、および、 つながる時代のソフトウェアモデリング&品質
Hironori Washizaki
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
Takashi Watanabe
Javaエンジニアに知ってほしい、Springの教科書「TERASOLUNA」 #jjug_ccc #ccc_f3
Javaエンジニアに知ってほしい、Springの教科書「TERASOLUNA」 #jjug_ccc #ccc_f3
日本Javaユーザーグループ
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
Developers Summit
【楽天テックカンファ前夜祭2014】誰がテスト自動化をするべきか #rakutentech
【楽天テックカンファ前夜祭2014】誰がテスト自動化をするべきか #rakutentech
Kotaro Ogino
GTMF 2015: バグを減らそう。テストを楽にしよう。静的解析が開発者を救う。 | 日本シノプシス合同会社
GTMF 2015: バグを減らそう。テストを楽にしよう。静的解析が開発者を救う。 | 日本シノプシス合同会社
Game Tools & Middleware Forum
HCL AppScan 10 のご紹介
HCL AppScan 10 のご紹介
Software Info HCL Japan
運用レコメンドプラッフォーム OpsBear ~運用作業における調査/分析の機械化~ OSC Enterprise 2018
運用レコメンドプラッフォーム OpsBear ~運用作業における調査/分析の機械化~ OSC Enterprise 2018
光平 八代
高信頼性を確保するソフトウェア開発手法と実践-組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践-組込み製品の潜在的価値を今以上に高めるために-
Yoshio SAKAI
第3回ソフトウェアテストセミナー
第3回ソフトウェアテストセミナー
Tomoyuki Sato
Jenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめ
Jenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめ
atsushi_tmx
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
株式会社スカイアーチネットワークス
テスト自動化クロニクル (JaSST 東海 2016)
テスト自動化クロニクル (JaSST 東海 2016)
Keizo Tatsumi
アドテク×Scala×パフォーマンスチューニング
アドテク×Scala×パフォーマンスチューニング
Yosuke Mizutani
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
[SC13] ログ管理で向上させるセキュリティ
[SC13] ログ管理で向上させるセキュリティ
de:code 2017
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
Similar to 「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
(20)
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
SWEBOKにみるソフトウェアエンジニアリングの全体、および、 つながる時代のソフトウェアモデリング&品質
SWEBOKにみるソフトウェアエンジニアリングの全体、および、 つながる時代のソフトウェアモデリング&品質
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
Javaエンジニアに知ってほしい、Springの教科書「TERASOLUNA」 #jjug_ccc #ccc_f3
Javaエンジニアに知ってほしい、Springの教科書「TERASOLUNA」 #jjug_ccc #ccc_f3
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
【楽天テックカンファ前夜祭2014】誰がテスト自動化をするべきか #rakutentech
【楽天テックカンファ前夜祭2014】誰がテスト自動化をするべきか #rakutentech
GTMF 2015: バグを減らそう。テストを楽にしよう。静的解析が開発者を救う。 | 日本シノプシス合同会社
GTMF 2015: バグを減らそう。テストを楽にしよう。静的解析が開発者を救う。 | 日本シノプシス合同会社
HCL AppScan 10 のご紹介
HCL AppScan 10 のご紹介
運用レコメンドプラッフォーム OpsBear ~運用作業における調査/分析の機械化~ OSC Enterprise 2018
運用レコメンドプラッフォーム OpsBear ~運用作業における調査/分析の機械化~ OSC Enterprise 2018
高信頼性を確保するソフトウェア開発手法と実践-組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践-組込み製品の潜在的価値を今以上に高めるために-
第3回ソフトウェアテストセミナー
第3回ソフトウェアテストセミナー
Jenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめ
Jenkins ユーザ・カンファレンス 2012 東京 S406-4/マルチステージ型継続的インテグレーションのすすめ
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
テスト自動化クロニクル (JaSST 東海 2016)
テスト自動化クロニクル (JaSST 東海 2016)
アドテク×Scala×パフォーマンスチューニング
アドテク×Scala×パフォーマンスチューニング
The Shift Left Path and OWASP
The Shift Left Path and OWASP
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
[SC13] ログ管理で向上させるセキュリティ
[SC13] ログ管理で向上させるセキュリティ
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
More from Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Riotaro OKADA
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
もしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたなら
Riotaro OKADA
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
Riotaro OKADA
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
Riotaro OKADA
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Riotaro OKADA
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Riotaro OKADA
More from Riotaro OKADA
(20)
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
もしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたなら
Privacy by Design with OWASP
Privacy by Design with OWASP
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
1.
「なにをどこまでやれば?」 OWASP SAMMが導く、 開発セキュリティ強化戦略 OWASP Japan 岡田良太郎 riotaro@owasp.org
2.
出荷直前のテストに重点を置く時代の終焉 フェーズ Percent 企画・要件定義フェーズ 53.4% 設計フェーズ
16.5% 開発中 14.6% コードのチェックイン 4.9% リリース前 8.7% Other 1.9% 出典:SANS Institute (2015)
3.
SHIFT LEFT! 0 20 40 60 80 100 設計 構築 検証
運用 1 6.5 15 対応コスト 100 SHIFT LEFT 原因85
4.
2016/11 リリース NISTIR-8151 Dramatically Reducing Software Vulnerabilities 業界平均 1-25 errors per 1000 lines of code. これを 2.5 errors per 10000 lines of code にできるプロセスとメソドロジをリサーチ
5.
3. Measures and Metrics 指標の使用を奨励します。 プロセスを継続的に改善するこのアプ ローチは、最高水準の成熟度モデルに あります。指標を使用すると脆弱性は大 幅に軽減します。
6.
NISTIR-8151: A = f(p, s, e) • ソフトウェア保証は、ソフトウェアが必要に応じて動作することを保証するもので、3つの広範なソースから 提供されます。 • 1つは開発プロセスです。ソフトウェアが明確な要件を備えたチームによって開発され、十分に訓練され、 低い脆弱性率で優れたソフトウェアを構築する能力を実証している場合、そのソフトウェアが生産するソフ トウェアには脆弱性がほとんどないという確信があります。 •
第2の保証の根源は、ソフトウェアの分析です。例えば、コードのレビュー、受入れテスト、静的分析は、脆 弱性がソフトウェアではまれである可能性が高いことを保証します。これら2つの保証のソースをトレードオ フすることができます。開発プロセスに関する情報がほとんどない場合、または開発プロセスで過去に優 れたソフトウェアが得られていない場合は、ソフトウェアの品質に対する信頼を得るために、さらに多くの 分析とテストを行う必要があります。対照的に、我々が開発チームと開発プロセスに自信を持っていれば、 ソフトウェアが過去の経験に確実に従うように最小限の分析を行うだけです。 • ソフトウェア保証の3番目のソースは、復元力のある実行環境です。ソフトウェアの品質に自信がなければ、 コンテナで実行し、システム権限をほとんど与えずに、他のプログラムで実行を監視させることができます。 その後、脆弱性が発生した場合、システムの損傷が制御されます。 • ここで、Aは保証の額、pはプロセスの知識から得られる保証、sは静的および動的分析からの保証であり、 eは厳密な実行環境から得られる保証です。
7.
NISTIR 8151 said Aはソフトウェアセキュリティ保証の価値: • p = 開発プロセス •
s = セキュリティテスト • e = 実行環境 •A = f(p, s, e)
8.
https://www.owasp.org/index.php/OWASP_SAMM_Project
9.
OWASP SAMM ソフトウェアセキュリティ保証成熟度モデル グローバルのOWASP コミュニティが策定 ・ 日本語訳は経済産業省のプロジェクトで翻訳 レベル1
アドホック レベル2 方針化 レベル3 組織的取り組み X 「ガバナンス」 「実装」 「検証」 「デプロイ」
10.
まさに A = f(p, s, e) ソフトウェア開発 ガバナンス 構築
検証 デプロイ 戦略&指標 ポリシー&コンプライアンス 教育&指導 脅威の査定 セキュリティー要件 セキュアなアーキテクチャ 設計レビュー コードレビュー セキュリティテスト 脆弱性管理 環境の堅牢化 運用体制の セキュリティ対応 ep s
11.
Example:
12.
Case
13.
セキュア開発関連活動の 「可視化」を解消する方法 オープンなソフトウェアガバナンス・フレームワークを活用することにより、ソフトウェア 開発ライフサイクル戦略の策定に不可欠な、現状の把握のための可視化を実現 今後の四半期の注力分野に関する提案を策定し、今後の貴社の開発ガバナンスの スピードと質の助けになる
14.
開発セキュリティ・ガバナンス強化導入の目的 GOAL 1. 現状の把握・数値化、リスクの可視化を実現する – 規模や業務が様々なプロジェクト活動におけるセキュリティ関連の活動 – 及びリスクコントロール対策の現状を把握・数値化し、スコアリング GOAL 2. 開発・運用組織の活動計画が可能になる –
データによる証拠に基づいた改善サイクルを実現するための基礎資料 – 組織全体における実現可能なリスクコントロールの明確化 GOAL 3. 開発・運用組織の方向性を決めることができる – 全体のリスクコントロールと個別のリスクを統合する – 開発プロジェクトにおける業務効率、リスク管理、開発品質の両立
15.
OWASP SAMM (OPENSAMM)
16.
OWASP OpenSAMM オープンなセキュリティ保証成熟度モデル https://www.owasp.org/index.php/OWASP_SAMM_Project 効果的なオープンなフレームワーク / ベンチマーク • ソフトウェア開発における活動の成熟度を可視化 •
セキュリティ活動の妥当性や効果の評価 • セキュリティ姿勢強化ロードマップ • 採用企業: Dell uses OWASP’s Software Assurance Maturity Model (Owasp SAMM) to help focus our resources and determine which components of our secure application development program to prioritize., (Michael J. Craigue, Information Security & Compliance, Dell, Inc.) 日本語訳は経済産業省のプロジェクトで翻訳
17.
ガバナンス・構築・検証・デプロイの4分野
18.
4 カテゴリ、12 アクティビティ、77
チェック項目 明らかになること 戦略に不可欠な策定根拠 ü 合計77チェック項目で開発体制の成熟度を評価し、開発の組織の全体像及び特徴を把握 ü 開発アクティビティのガバナンスに関するコアな知識の深化 ü チームビルディング / 教育 / システムなどの補完が必要な部分の抽出 ソフトウェア開発 ガバナンス 構築 検証 デプロイ 戦略&指標 ポリシー&コンプライアンス 教育&指導 脅威の査定 セキュリティー要件 セキュアなアーキテクチャ 設計レビュー コードレビュー セキュリティテスト 脆弱性管理 環境の堅牢化 運用体制の セキュリティ対応
19.
ベンチマーク-> スコアリング -> 強化 強化計画ベンチマークを参照 チームをスコアリング
20.
各活動は、相互の作用がある 戦略&指標 ポリシー&コンプライアンス 教育&指導 脅威の査定 セキュリティー要件 セキュアなアーキテクチャ 設計レビュー コードレビュー セキュリティテスト 脆弱性管理 環境の堅牢化 運用体制の セキュリティ対応
21.
最新:SAMM v1.5
22.
22
23.
属人的な状況から組織の取り組みへ成熟度を高め、 開発によるリスクを下げかつ確実性を高めます 事後対応的でアドホック •「開発チームはセキュアプログラ ミングに関するリソースにアクセ スできる」 •この状態においては、素材の提 供、限定的な効果にとどまる。 構造的に進める •「全員がソフトウェアライフサイク ルについて教育されている」 •この状態においては、リーダーの 役割とチームとの連携が取れて いる。 •個々の必要に対応し、定型・非定 型のフィードバックを集めはじめ ることになる 網羅的で、再現性があり、 効果も確認できる •網羅的なトレーニングと認定の仕 組み •セキュリティの全体像と自分の役 割を関連づける •継続的に推進することができ、即 的可能な効果が出せる 23 リスク HIGH リスク
MID リスク LOW
24.
Education and Guidance Practice 「教育と指導」プラクティスの例 | Enabling Security ©2015 Asterisk Research, 24 教育&指導
レベル1 •開発者が概略的なセキュリ ティ意識向上トレーニングを 受講済みである •セキュアな開発に関するベス トプラクティスや手引書が、す べてのプロジェクトチームで 利用できるようになっている 教育&指導 レベル2 •開発プロセスにかかわる職務 に対し、職務に特化したト レーニングや指導が実施され る •利害関係者が、プロジェクト のためにセキュリティコーチを 招くことができる 教育&指導 レベル3 •セキュリティ関連の手引書が 一元管理され、組織全体に一 貫した方法で配布される •人員について、セキュアな開 発の実践に関する基本水準 の技能を持つことがテストに より確認される
25.
Lightweight or Detailed 25
26.
強化のサイクル 1.準備 2.調査 3.目標 を設定 4.計画 を定義 5.実施 6.発表 • 1->3. スコアリングにより目標を定めると、 現実の計画とバジェットを客観視します。 • 3->5. 四半期から半期ごとにスコア目標 にしたがって活動し、KPIやROIに反映し ます。 •
5->1. 成果の共有とイネーブラーの理解、 また目標の調整によりチーム全体の士 気と能力を現実に沿って高めていくこと ができます。
27.
リソース OWASP SAMM wiki: • https://www.owasp.org/index.php/OWASP_SAMM_Project
Download now