Submit Search
Upload
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
•
3 likes
•
1,841 views
Riotaro OKADA
Follow
関西のセキュリティとグローバル 改め 「シフトレフトなんやで!」
Read less
Read more
Engineering
Report
Share
Report
Share
1 of 37
Recommended
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
Recommended
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 Japanese
Hiroaki Kuramochi
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
Tomohiro Nakashima
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
More Related Content
What's hot
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 Japanese
Hiroaki Kuramochi
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
What's hot
(20)
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Owasp Project を使ってみた
Owasp Project を使ってみた
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Privacy by Design with OWASP
Privacy by Design with OWASP
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 Japanese
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Viewers also liked
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
Tomohiro Nakashima
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014
Amazon Web Services
DevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to Security
Alert Logic
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
Amazon Web Services
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
Daiki Ichinose
(SEC402) Enterprise Cloud Security via DevSecOps 2.0
(SEC402) Enterprise Cloud Security via DevSecOps 2.0
Amazon Web Services
Viewers also liked
(9)
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014
DevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to Security
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
(SEC402) Enterprise Cloud Security via DevSecOps 2.0
(SEC402) Enterprise Cloud Security via DevSecOps 2.0
Similar to SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
OWASP Projects
OWASP Projects
Takanori Nakanowatari
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya
HCL AppScan 10 のご紹介
HCL AppScan 10 のご紹介
Software Info HCL Japan
OWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろう
Yuichi Hattori
Owasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
Masaya Tahara
20161111 java one2016-feedback
20161111 java one2016-feedback
Takashi Ito
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
VirtualTech Japan Inc.
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
Nobuyuki Tamaoki
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
oshiro_seiya
OWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 Overview
OWASP Nagoya
OSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSC
Daisuke Nishino
AI Utilization Seminar 20190709
AI Utilization Seminar 20190709
陽平 山口
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
Masaya Tahara
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Riotaro OKADA
20161119 java one-feedback_osaka
20161119 java one-feedback_osaka
Takashi Ito
OSC2013 Tokyo Spring OpenStack Overview
OSC2013 Tokyo Spring OpenStack Overview
irix_jp
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
Takashi Watanabe
サーバーレスのアーキテクチャパターンとそれぞれの実装・テストの勘所
サーバーレスのアーキテクチャパターンとそれぞれの実装・テストの勘所
真吾 吉田
Similar to SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
(20)
OWASP Projects
OWASP Projects
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
HCL AppScan 10 のご紹介
HCL AppScan 10 のご紹介
OWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろう
Owasp top10 HandsOn
Owasp top10 HandsOn
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
20161111 java one2016-feedback
20161111 java one2016-feedback
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
OWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 Overview
OSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSC
AI Utilization Seminar 20190709
AI Utilization Seminar 20190709
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
20161119 java one-feedback_osaka
20161119 java one-feedback_osaka
OSC2013 Tokyo Spring OpenStack Overview
OSC2013 Tokyo Spring OpenStack Overview
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
サーバーレスのアーキテクチャパターンとそれぞれの実装・テストの勘所
サーバーレスのアーキテクチャパターンとそれぞれの実装・テストの勘所
More from Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Riotaro OKADA
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
もしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたなら
Riotaro OKADA
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
Riotaro OKADA
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
Riotaro OKADA
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Riotaro OKADA
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
Riotaro OKADA
Security issue201312
Security issue201312
Riotaro OKADA
iSPP 仙台シンポジウム
iSPP 仙台シンポジウム
Riotaro OKADA
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYO
Riotaro OKADA
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickup
Riotaro OKADA
More from Riotaro OKADA
(11)
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
もしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたなら
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
Security issue201312
Security issue201312
iSPP 仙台シンポジウム
iSPP 仙台シンポジウム
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYO
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickup
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
1.
OWASP Japan Chapter
Lead
2.
OWASP - Open
Web Application Security Project と は mission: ソフトウェアセキュリティについて 意思決定をする人のために役立つ十分な情報を 提供すること • 技術者、ビジネスオーナ、ユーザ • ソフトウェアに関する技術・セキュアプロセス • 現状理解・普及啓発・適用推進 • オープンソース・コミュニティベースで実現
3.
4.
5.
OWASP FUKUSHIMA 2016
金子正人・山寺純 OWASP SENDAI 2015 小笠貴晴 OWASP KYUSHU 2015 服部 祐一・花田智洋 OWASP KANSAI 2014 長谷川陽介・斉藤太一・三木剛 OWASP JAPAN 2011 岡田良太郎・上野宣 日本のチャプター (地域の集まり)
6.
OWASP Top 10 容易
x 甚大な影響を及ぼす脆弱性。 6 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング (XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
7.
OWASP Top 10
グローバルで大人気 ©2016 Asterisk Research, Inc.7 出典:SANS Institute (2015)
8.
8 HARDENING PROJECT 2015/10 動画サイトで閲覧可能: http://www.nikkei.com/article/DGXMZO 92573760X01C15A0000000/
9.
CSIRT数は増加 http://itpro.nikkeibp.co.jp/atclact/active/16/092700102/092700001/
10.
66.3% Enablin©Asterisk Research, Inc.10
11.
Report NRI Secure Information
Security Report 2015
12.
Enablin©Asterisk Research, Inc.12 ■第2章
Webサーバのアクセスログ観察 第1節 外部ファイルを不正に読み込ませる攻撃 第2節 パスワードファイル閲覧攻撃 第3節 環境変数に対する調査 第4節 一時ファイルに対する調査 第5節 スキャンツールを用いた調査 第6節 SQLインジェクション攻撃 第7節 クロスサイトスクリプティング攻撃 第8節 EPGrecに対する調査 第9節 OpenFlashChartに対する調査 第10節 apach0day攻撃? ■第3章 Web型ハニーポットのログ観察 第1節 PUTメソッドによるWebサイト改ざん攻撃 第2節 Shellshock攻撃 第3節 Apache Magica攻撃 第4節 JBossのアクセス制限を回避する攻撃 第5節 Apache StrutsのredirectActionに対する攻 撃 第6節 Apache StrutsのClassLoaderに対する攻撃 第7節 Tomcatの設定不備の調査 第8節 phpMyAdminを狙ったコマンド実行攻撃 第9節 Joomla!のコマンド実行攻撃 第10節 Joomla!コンテンツエディタ(JCE)に対す 第11節 Drupalに対するSQLインジェクション攻 第12節 不正なファイルアップロード攻撃 第13節 ネットワーク設定情報ファイルに対す 第14節 WebCalendarに対する調査 第15節 ルータのWeb管理画面の脆弱性を狙 第16節 HTTP.sysの脆弱性を狙った攻撃 第17節 不正中継攻撃 ■第4章 多彩なハニーポットのログ観察 第1節 Elasticsearchに対する攻撃 第2節 NTPリフレクタ攻撃 第3節 Microsoft SQL Serverにおけるコマンド実 第4節 Heartbleed攻撃 第5節 BINDのTKEY DoS攻撃 第6節 ルータに対するSSH不正ログイン攻撃
13.
セキュリティ対策は脅威の状況に % of Attacks 90% データ侵害の原因 95% 5% セキュリティ侵害の 原因の95%は アプリケーション 検査した95%以上 のサイトは深刻な脆 弱性を抱えている NIST アプリケーションの セキュリティ確保に 気を配っていない。 セキュリティ関連支出 の大半がネットワーク に費やされている。 Network Applications %
of Dollars セキュリティ支出 10% 90%
14.
Producer / faculty
15.
1425% Enablin©Asterisk Research, Inc.15
16.
16 Enablin©Asterisk Research, Inc. 1425%
攻撃者の攻撃ツールとランサム ウェアへの投資のリターン率 98% のサイトは脆弱、95%のモバイルアプリは脆弱 39% のパスワードは8文字 (1日で解 析できる) 25% の攻撃はXSS 24% の攻撃はShellShock などOSSの脆弱性攻撃
17.
Priority?
18.
シフトレフト Enablin©Asterisk Research, Inc.18
19.
©2016 Asterisk Research,
Inc.19 ー 一般教養としてのセキュリティで今、いちばん情報が足りない分野はなんでしょうか? 設計・開発段階からセキュリティの機能を組み込む「セキュアプログラミング」 だろう。… すべてのプログラマーがセキュアプログラミングを常識として知っているべきだと 思うが、残念ながらセキュアプログラミングを学ぶための情報は限られている。 山口 英 奈良先端科学技術大学院大学教授, JPCERT/CC設立者, 内閣官房初代情報セキュリティ補佐官 http://itpro.nikkeibp.co.jp/atcl/interview/14/262522/090700192/?ST=management&P=4
20.
2017年「いかにアプリを構築し、実装するか、 新たな議論が巻き起こる」 11 things we
think will happen in business technology in 2017 “A new debate in how to build and ship applications.” Business Insider誌, Jan. 2, 2017
21.
DevSecOps = DevOps
+ Sec ビジネス要件 カイハツ 運用 セキュリティ ウォーター フォール アジャイル DevOps DevSecOps !
22.
出荷直前のテストに重点を置く時代の終焉 ©Asterisk Research, Inc.22 フェーズ
Percent 企画・要件定義フェーズ 53.4% 設計フェーズ 16.5% 開発中 14.6% コードのチェックイン 4.9% リリース前 8.7% Other 1.9% 出典:SANS Institute (2015)
23.
SHIFT LEFT! 0 20 40 60 80 100 設計 構築
検証 運用 1 6.5 15 対応コスト 100 ©Asterisk Research, Inc.23 SHIFT LEFT 原因85
24.
事前の策:OWASP Proactive Controls Enablin©2016
Asterisk Research, Inc.24 OWASP Top 10 Proactive Controls 2016 1: 早期に、繰り返しセキュリティを検証する 2: クエリーのパラメータ化 3: データのエンコーディング 4: すべての入力値を検証する 5: アイデンティティと認証管理の実装 6: 適切なアクセス制御の実装 7: データの保護 8: ロギングと侵入検知の実装 9: セキュリティフレームワークやライブラリの活用 10: エラー処理と例外処理 日本語もあります https://www.owasp.org/images/a/a8/OWASPTop10ProactiveControls2016-Japanese.pdf
25.
原因と結果の対応 正しい構築手法とプロセス → 複数の脆弱性を激減させる。 大半がコーディングにかかわるもの。 ©2016
Asterisk Research, Inc.25 OWASP Top 10 1:インジェクション 2:認証とセッション 管理の不備 3:クロスサイトスク リプティング 4:安全でないオブ ジェクト直接参照 5:セキュリティ設定 のミス 6:機密データの露出 7:機能レベルのアク セス制御の欠落 8:クロスサイトリク エストフォージェリ 9:既知の脆弱性を持 つコンポーネントの 使用 10:未検証のリダイ レクトとフォワード ProactiveControls 1: 早期に、繰り返しセキュリティを検証する ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 2: クエリーのパラメータ化 ✔ 3: データのエンコーディング ✔ ✔ 4: すべての入力値を検証する ✔ ✔ ✔ 5: アイデンティティと認証管理の実装 ✔ 6: 適切なアクセス制御の実装 ✔ ✔ 7: データの保護 ✔ 8: ロギングと侵入検知の実装 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 9: セキュリティフレームワークやライブラリの活用 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 10: エラー処理と例外処理 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ OWASP Top 10 x Proactive Controls MAPPING
26.
伝統的なSHIFT LEFT https://en.wikipedia.org/wiki/Shift_left_testing
27.
ちょっと増えたSHIFT LEFT https://en.wikipedia.org/wiki/Shift_left_testing ・アジャイル ・リーン
28.
DevOps時代のSHIFT LEFT https://en.wikipedia.org/wiki/Shift_left_testing ・コードレビューツール ・テスト自動化 ・デリバリー自動化
29.
はやく やすく うまいこと
30.
セキュリティは ITの 総合格闘技 ©
MMA
31.
Enablin©Asterisk Research, Inc.31 IT=
I x T
32.
SHIFT LEFT ものづくりでセキュリティ イニシアチブを取り返そう
33.
OWASP Japan
34.
35.
日本一前向きなチャプター OWASP KANSAI
36.
ありがとうございます。
37.
#sosaisec
Editor's Notes
<mission: ソフトウェアセキュリティについて 意思決定をする人のために役立つ十分な情報を 提供すること> 技術者、ビジネスオーナ、ユーザ ソフトウェアに関する技術・セキュアプロセス 現状理解・普及啓発・適用推進 オープンソース・コミュニティベースで実現
1425% 攻撃者の攻撃ツールとランサムウェアへの投資のリターン率 98% のサイトは脆弱、95%のモバイルアプリは脆弱 39% のパスワードは8文字 (1日で解析できる) 25% の攻撃はXSS 24% の攻撃はShellShock などOSSの脆弱性攻撃
2014年「Docker」というスタートアップがアプリ開発のゲームのルールを書き換えた。同社の登場により、コンテナの技術が身近になった。オーバーヘッドが小さく、一瞬で立ち上がるといった特徴に加えて、差分ディスクイメージをシェアできたり、Dockerfileでインフラのコード化が可能となった。そんなコンテナ型仮想化のDockerを管理するフレームワークとして、GoogleはKubernetesをオープンソースとして公開、PaaSを基盤としたアプリケーション開発の新しいパラダイムの登場を後押しすることになった(Kubernetes自体はPaaSではないけれど。ユーザー管理やログ収集の仕組みはない)。 Amazonは、サーバーをプロビジョニングしたり、管理しなくてもコードを実行できるコンピューティングサービス「AWS Lambda」を発表、サーバーレスコンピューティングという新しい技術パラダイムを切り開く野心をみせた。Amazonにおけるサーバーレスコンピューティングには「VM」「コンテナ」「サーバーレス」という3つのアプローチがある。EC2、ECS、AWS Lambdaに対応するそれぞれのアプローチは「スケーリング単位としてのマシン/ハードウェアの抽象化」 「スケーリング単位としてのアプリ/OSの抽象化」 「スケーリング単位としての機能/言語ランタイムの抽象化」という用途に応じて切り分けられる。 PaaSなどのクラウド環境で構築されるアプリケーション開発のトレンドが「Docker」という小さなスタートアップをきっかけに大きく変わろうとしている。 https://www.businessinsider.jp/post-173
通信経路 データ 保存先を変更する場合 モバイルアプリケーション
Radware GLOBAL APPLICATION & NETWORK SECURITY REPORT 2015
<mission: ソフトウェアセキュリティについて 意思決定をする人のために役立つ十分な情報を 提供すること> 技術者、ビジネスオーナ、ユーザ ソフトウェアに関する技術・セキュアプロセス 現状理解・普及啓発・適用推進 オープンソース・コミュニティベースで実現