Privacy by Design x OWASP Riotaro OKADA, OWASP Japan lead OWASP Fukushima 2021/04

1. Privacy by Design x OWASP
岡田 良太郎
OWASP Japan

2. Audience:あなたについてお聞きします
1. OWASP関係のミーティングに初めて参加した⽅！
2. それ以外(毎度ありがとうございます)

3. Audience:あなたについてお聞きします
1. ソフトウェア開発・運⽤/サービス提供者の内側の⼈
2. ソフトウェア開発・運⽤の外側/ユーザサイドの⼈

4. privacy issue
(c) Riotaro OKADA 4

5. © Asterisk Research, Inc. 5
1. マルウェア
2. ウェブの仕組みを利⽤した攻撃
3. フィッシング
4. ウェブアプリケーションへの攻撃
5. スパム
6. DDoS
7. id盗難
8. データ漏洩
9. 内部脅威
10. ボットネット
11. 物理的な操作/損害/盗難/紛失
12. 情報漏洩
13. ランサムウェア
14. サイバースパイ
15. クリプトジャッキング
Threats

6. IPA 発表 情報セキュリティ１０大脅威
順位 組織
1位 ランサムウェアによる被害
2位 標的型攻撃による機密情報の窃取
3位 テレワーク等のニューノーマルな働き方を狙った攻撃
4位 サプライチェーンの弱点を悪用した攻撃
5位 ビジネスメール詐欺による金銭被害
6位 内部不正による情報漏えい
7位 予期せぬIT基盤の障害に伴う業務停止
8位 インターネット上のサービスへの不正ログイン
9位 不注意による情報漏えい等の被害
10位 脆弱性対策情報の公開に伴う悪用増加
情報セキュリティ10⼤脅威 2021 (情報処理推進機構発表)
Business Impact

7. Compliance

8. セキュリティは
技術的な「保護」の
ためだけではない。
• サイズの違い/期間、予算、分解可能な単位
の違い
• アーキテクチャやプラットフォームの違い
• 業界ごとにリスクの違いも⼤きい
• ビジネスリスク
• ユーザのリスク
• 業界のリスク
• ユーザ層からの要請
• コンプライアンス
(c) Riotaro OKADA 8
Implementation

9. 弱点はフル活用されてしまう
攻撃者の準備と実⾏に関わる⼿段の部分
を構造化して⾒られるフレームワーク
• どこを⾒るのか
• どんなツール・⼿法を使うのか
• どんな⼿法で⾏うのか
• 最終⽬的
Enabling Security with "シフトレフト" © Asterisk Research, Inc. 9
MITRE Att&ck
https://mitre-attack.github.io/attack-navigator/enterprise/
* ⾚いのは、OWASP Top 10に関連する脆弱性
Defence

10. + Benchmarks
• 業界・⽬的特化
• FISC標準
• BIMCO
• PCI DSS
• ISO 21434
• ３省３ガイドライン
• サイバーセキュリティ経営ガイド
ライン
• 共通領域
• NIST 800 series
• OWASP SAMM / Top 10 / Proactive
controls / ASVS / Cheatsheets
• CIS Security Benchmark
(c) Riotaro OKADA 10
Design

11. アプリケーション構築フロー
企画
• ビジネス⽬標
• 問題解決
• コンプライアンス
要件
• リスクプロファイル
• 脅威トレンド
• 運⽤課題
設計
• 機能・⾮機能要件
• 脅威対応機能
開発
• 実装⽅針
• コンポーネント
• 権限マトリックス
検証
• コード検証
• ビルド検証
• セキュリティ検証
運⽤
• デプロイ設定
• 基盤の設定
• アラート対応
© Asterisk Research, Inc. 11

12. Who can help?
(c) Riotaro OKADA 12

13. 13
OWASP

14. The OWASP Foundation
https://owasp.org/
“OWASP Foundation is the source for developers and
technologists to secure the web.”
「OWASP Foundationは、開発者と技術者が
ウェブを安全にするための情報源である」

15. OWASP
Projects
OWASP プロジェクトは、ロード
マップとチームメンバーが定義さ
れた、関連するタスクの集合体で
す。OWASP プロジェクトは、オー
プンソースであり、ボランティア
のコミュニティ、つまりあなたの
ような⼈々によって構築さ れてい
ます。現在、 212の活動中のプロ
ジェクトがあり、300ほどのチャ
プターがあります。
誰が OWASP プロジェクトを始めるべきか？
• アプリケーション開発者
• ソフトウェア・アーキテクト
• 情報セキュリティの⽴案者
• アイデアを開発したりテストしたりするために、世界的な専⾨家コミュニ
ティの⽀援を受けたい⼈。

16. OWASP Projects - Flagship
• OWASP Amass
• OWASP Application Security Verificationa Standard
• OWASP Cheat Sheet Series
• CSRFGuard
• OWASP Defectdojo
• OWASP Dependency-Check
• OWASP Dependency-Track
• OWASP Juice Shop
• OWASP Mobile Security Testing Guide
• OWASP ModSecurity Core Rule Set
• OWASP OWTF
• OWASP SAMM
• OWASP Security Knowledge Framework
• OWASP Security Shepherd
• OWASP Top Ten
• OWASP Web Security Testing Guide
• OWASP ZAP

17. OWASP Projects - Labs
• OWASP AntiSamy
• OWASP API Security Project
• OWASP Attack Surface Detector
• OWASP Automated Threats to Web Applications
• OWASP Benchmark
• OWASP Code Pulse
• OWASP Cornucopia
• OWASP Enterprise Security API (ESAPI)
• OWASP Find Security Bugs
• OWASP Internet of Things
• OWASP Java HTML Sanitizer
• OWASP mobile security
• OWASP Mobile Top 10
• OWASP Proactive Controls
• OWASP Secure Coding Dojo
• OWASP Security Pins
• OWASP Snakes And Ladders
• OWASP Top 10 Privacy Risks
• OWASP TorBot
• OWASP Vulnerable Web Applications Directory
• OWASP WebGoat

18. OWASP Projects - Labs
• OWASP .Net
• OWASP Android Security Inspector
Toolkit
• OWASP APICheck
• OWASP Application Gateway
• OWASP Appsec Pipeline
• OWASP Big Data Security Verification
Standard
• OWASP Bug Logging Tool
• OWASP Cloud-Native Security Project
• OWASP Core Business Application
Security
• OWASP CSRFProtector Project
• OWASP Cyber Controls Matrix (OCCM)
• OWASP Cyber Defense Framework
• OWASP Cyber Defense Matrix
• OWASP Cyber Scavenger Hunt
• OWASP D4N155
• OWASP Devsecops Maturity Model
• OWASP Patton
• OWASP purpleteam
• OWASP Pygoat
• OWASP pytm
• OWASP Risk Assessment
Framework
• OWASP SamuraiWTF
• OWASP Sectudo
• OWASP Secure Headers Project
• OWASP Secure Logging Benchmark
• OWASP secureCodeBox
• OWASP SecureFlag Open Platform
• OWASP SecureTea Project
• OWASP Security Qualitative Metrics
• OWASP SecurityRAT
• OWASP Serverless Top 10
• OWASP SideKEK
• OWASP DevSlop
• OWASP Docker Top 10
• OWASP DPD (DDOS
Prevention using DPI)
• OWASP Go Secure Coding
Practices Guide
• OWASP Honeypot
• OWASP Information Security
Metrics Bank
• OWASP Integration
Standards
• OWASP Maryam
• OWASP Mobile Audit
• OWASP Nettacker
• OWASP Node.js Goat
• OWASP O-Saft
• OWASP Ontology Driven
Threat Modeling Framework
• OWASP Software Component
Verification Standard
• OWASP Single Sign-On
• OWASP Threat and Safeguard
Matrix (TaSM)
• OWASP Threat Dragon
• OWASP Threat Model Cookbook
• OWASP TimeGap Theory
• OWASP Top 10 Card Game
• OWASP Top 10 Client-Side Security
Risks
• OWASP Vulnerability Management
Guide
• OWASP VulnerableApp
• OWASP Web Application Firewall
Evaluation Criteria Project (WAFEC)
• OWASP Web Mapper
• OWASP Web Testing Environment

19. privacy by design
x OWASP?
(c) Riotaro OKADA 21

20. OWASP Privacy Risk Top 10 Project
https://owasp.org/www-project-top-10-privacy-risks/
OWASP Privacy Risks 2021(beta2)
No. Title Frequency Impact Risk Ranking 2014
P1 Web Application Vulnerabilities 2 2.8 5.60 1
P2 Operator-sided Data Leakage 1.92 2.8 5.38 2
P3 Insufficient Data Breach Response 2.24 2.4 5.38 3
P4 Consent on Everything / Problems with getting Consent 2.37 2 4.74 New / 17
P5 Non-transparent Policies, Agreements, Terms and Conditions 2.32 2 4.64 5
P6 Insufficient Deletion of User Data 2.27 2 4.54 4
P7 Insufficient Data Quality 1.89 2.4 4.54 New
P8 Missing or Insufficient Session Expiration 1.88 2.4 4.51 9
P9 Inability of users to access and modify data 2.02 2.2 4.44 13

21. プライバシー実装
• 要件：
• コンプライアンス
• 実現機能
• データ保管場所
• 管理体制
• 既存システムの課題
→ Δ(デルタ) SLO⽬標
要件
設計
実装
検証
リリース

22. プライバシー実装
• 設計：
• 認証認可/信頼メカニズム
• データ保護/管理メカニズム
• 連携サービス/外部コンポーネント
• アクター・ロール
• 運⽤・監視・保護の仕組み
要件
設計
実装
検証
リリース

23. プライバシー実装
• 実装：
• データと制御の分離
• 認証なしの認可の禁⽌
• 暗号化の正しい実装
• コードのレビュー・検証・保護
• OSSなどサードパーティのリスク
• 連携サービスのリスク
要件
設計
実装
検証
リリース

24. プライバシー実装
• リリース→運⽤：
• インフラ・クラウド設定
• 管理機構の稼働
• データストレージの監視
• 認証認可の監視
• エラーログの監視と分析 → 次の設計
• 管理者監視/SRE作業と記録
• モニタリングと分析 → 次の要件
要件
設計
実装
検証
リリース
要件
設計
実装
検証
リリース

25. User Privacy Protection Cheat Sheet
ユーザープライバシー保護に関するチートシート
https://cheatsheetseries.owasp.org/cheatsheets/User_Privacy_Protection_Cheat_Sheet.html
• 強⼒な暗号化 Strong Cryptography
• ストレージ、認証、トランスポート
• HSTS: Support HTTP Strict Transport Security
• デジタル証明書 Digital Certificate Pinning
• パニックモードの設置 Panic Mode
• アクセス制限/セッション期限 Remote Session Invalidation
• 匿名ネットワーク対応 Allow Connections from Anonymity Networks
• IPアドレス漏洩を防ぐ Prevent IP Address Leakage
• ユーザに対する誠実さと透明性：Honesty & Transparency

26. OWASP Integration Standards

27. Thanks
riotaro@owasp.org
(c) Riotaro OKADA 29