SlideShare a Scribd company logo

SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう

Riotaro OKADA
Riotaro OKADA

関西のセキュリティとグローバル 改め 「シフトレフトなんやで!」

Engineering
1 of 37
OWASP Japan Chapter Lead
OWASP - Open Web Application Security Project と は mission: ソフトウェアセキュリティについて 意思決定をする人のために役立つ十分な情報を 提供すること • 技術者、ビジネスオーナ、ユーザ • ソフトウェアに関する技術・セキュアプロセス • 現状理解・普及啓発・適用推進 • オープンソース・コミュニティベースで実現
OWASP FUKUSHIMA 2016 金子正人・山寺純 OWASP SENDAI 2015 小笠貴晴 OWASP KYUSHU 2015 服部 祐一・花田智洋 OWASP KANSAI 2014 長谷川陽介・斉藤太一・三木剛 OWASP JAPAN 2011 岡田良太郎・上野宣 日本のチャプター (地域の集まり)
OWASP Top 10 容易 x 甚大な影響を及ぼす脆弱性。 6 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング (XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
OWASP Top 10 グローバルで大人気 ©2016 Asterisk Research, Inc.7 出典:SANS Institute (2015)
8 HARDENING PROJECT 2015/10 動画サイトで閲覧可能: http://www.nikkei.com/article/DGXMZO 92573760X01C15A0000000/
CSIRT数は増加 http://itpro.nikkeibp.co.jp/atclact/active/16/092700102/092700001/
66.3% Enablin©Asterisk Research, Inc.10
Report NRI Secure Information Security Report 2015
Enablin©Asterisk Research, Inc.12 ■第2章 Webサーバのアクセスログ観察 第1節 外部ファイルを不正に読み込ませる攻撃 第2節 パスワードファイル閲覧攻撃 第3節 環境変数に対する調査 第4節 一時ファイルに対する調査 第5節 スキャンツールを用いた調査 第6節 SQLインジェクション攻撃 第7節 クロスサイトスクリプティング攻撃 第8節 EPGrecに対する調査 第9節 OpenFlashChartに対する調査 第10節 apach0day攻撃? ■第3章 Web型ハニーポットのログ観察 第1節 PUTメソッドによるWebサイト改ざん攻撃 第2節 Shellshock攻撃 第3節 Apache Magica攻撃 第4節 JBossのアクセス制限を回避する攻撃 第5節 Apache StrutsのredirectActionに対する攻 撃 第6節 Apache StrutsのClassLoaderに対する攻撃 第7節 Tomcatの設定不備の調査 第8節 phpMyAdminを狙ったコマンド実行攻撃 第9節 Joomla!のコマンド実行攻撃 第10節 Joomla!コンテンツエディタ(JCE)に対す 第11節 Drupalに対するSQLインジェクション攻 第12節 不正なファイルアップロード攻撃 第13節 ネットワーク設定情報ファイルに対す 第14節 WebCalendarに対する調査 第15節 ルータのWeb管理画面の脆弱性を狙 第16節 HTTP.sysの脆弱性を狙った攻撃 第17節 不正中継攻撃 ■第4章 多彩なハニーポットのログ観察 第1節 Elasticsearchに対する攻撃 第2節 NTPリフレクタ攻撃 第3節 Microsoft SQL Serverにおけるコマンド実 第4節 Heartbleed攻撃 第5節 BINDのTKEY DoS攻撃 第6節 ルータに対するSSH不正ログイン攻撃
セキュリティ対策は脅威の状況に % of Attacks 90% データ侵害の原因 95% 5% セキュリティ侵害の 原因の95%は アプリケーション 検査した95%以上 のサイトは深刻な脆 弱性を抱えている NIST アプリケーションの セキュリティ確保に 気を配っていない。 セキュリティ関連支出 の大半がネットワーク に費やされている。 Network Applications % of Dollars セキュリティ支出 10% 90%
Producer / faculty
1425% Enablin©Asterisk Research, Inc.15
16 Enablin©Asterisk Research, Inc. 1425% 攻撃者の攻撃ツールとランサム ウェアへの投資のリターン率 98% のサイトは脆弱、95%のモバイルアプリは脆弱 39% のパスワードは8文字 (1日で解 析できる) 25% の攻撃はXSS 24% の攻撃はShellShock などOSSの脆弱性攻撃
Priority?
シフトレフト Enablin©Asterisk Research, Inc.18
©2016 Asterisk Research, Inc.19 ー 一般教養としてのセキュリティで今、いちばん情報が足りない分野はなんでしょうか? 設計・開発段階からセキュリティの機能を組み込む「セキュアプログラミング」 だろう。… すべてのプログラマーがセキュアプログラミングを常識として知っているべきだと 思うが、残念ながらセキュアプログラミングを学ぶための情報は限られている。 山口 英 奈良先端科学技術大学院大学教授, JPCERT/CC設立者, 内閣官房初代情報セキュリティ補佐官 http://itpro.nikkeibp.co.jp/atcl/interview/14/262522/090700192/?ST=management&P=4
2017年「いかにアプリを構築し、実装するか、 新たな議論が巻き起こる」 11 things we think will happen in business technology in 2017 “A new debate in how to build and ship applications.” Business Insider誌, Jan. 2, 2017
DevSecOps = DevOps + Sec ビジネス要件 カイハツ 運用 セキュリティ ウォーター フォール アジャイル DevOps DevSecOps !
出荷直前のテストに重点を置く時代の終焉 ©Asterisk Research, Inc.22 フェーズ Percent 企画・要件定義フェーズ 53.4% 設計フェーズ 16.5% 開発中 14.6% コードのチェックイン 4.9% リリース前 8.7% Other 1.9% 出典:SANS Institute (2015)
SHIFT LEFT! 0 20 40 60 80 100 設計 構築 検証 運用 1 6.5 15 対応コスト 100 ©Asterisk Research, Inc.23 SHIFT LEFT 原因85
事前の策:OWASP Proactive Controls Enablin©2016 Asterisk Research, Inc.24 OWASP Top 10 Proactive Controls 2016 1: 早期に、繰り返しセキュリティを検証する 2: クエリーのパラメータ化 3: データのエンコーディング 4: すべての入力値を検証する 5: アイデンティティと認証管理の実装 6: 適切なアクセス制御の実装 7: データの保護 8: ロギングと侵入検知の実装 9: セキュリティフレームワークやライブラリの活用 10: エラー処理と例外処理 日本語もあります https://www.owasp.org/images/a/a8/OWASPTop10ProactiveControls2016-Japanese.pdf
原因と結果の対応 正しい構築手法とプロセス → 複数の脆弱性を激減させる。 大半がコーディングにかかわるもの。 ©2016 Asterisk Research, Inc.25 OWASP Top 10 1:インジェクション 2:認証とセッション 管理の不備 3:クロスサイトスク リプティング 4:安全でないオブ ジェクト直接参照 5:セキュリティ設定 のミス 6:機密データの露出 7:機能レベルのアク セス制御の欠落 8:クロスサイトリク エストフォージェリ 9:既知の脆弱性を持 つコンポーネントの 使用 10:未検証のリダイ レクトとフォワード ProactiveControls 1: 早期に、繰り返しセキュリティを検証する ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 2: クエリーのパラメータ化 ✔ 3: データのエンコーディング ✔ ✔ 4: すべての入力値を検証する ✔ ✔ ✔ 5: アイデンティティと認証管理の実装 ✔ 6: 適切なアクセス制御の実装 ✔ ✔ 7: データの保護 ✔ 8: ロギングと侵入検知の実装 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 9: セキュリティフレームワークやライブラリの活用 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 10: エラー処理と例外処理 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ OWASP Top 10 x Proactive Controls MAPPING
伝統的なSHIFT LEFT https://en.wikipedia.org/wiki/Shift_left_testing
ちょっと増えたSHIFT LEFT https://en.wikipedia.org/wiki/Shift_left_testing ・アジャイル ・リーン
DevOps時代のSHIFT LEFT https://en.wikipedia.org/wiki/Shift_left_testing ・コードレビューツール ・テスト自動化 ・デリバリー自動化
はやく やすく うまいこと
セキュリティは ITの 総合格闘技 © MMA
Enablin©Asterisk Research, Inc.31 IT= I x T
SHIFT LEFT ものづくりでセキュリティ イニシアチブを取り返そう
OWASP Japan
日本一前向きなチャプター OWASP KANSAI
ありがとうございます。
#sosaisec

Recommended

「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略Riotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftRiotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 

Recommended

「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略Riotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftRiotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkHiroaki Kuramochi
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~Riotaro OKADA
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスクRiotaro OKADA
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other MeasuresTyphon 666
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)Sen Ueno
 
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 JapaneseOWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 JapaneseHiroaki Kuramochi
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについてTyphon 666
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-Typhon 666
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...Typhon 666
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -Cybozucommunity
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021Riotaro OKADA
 
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略DDoS対処の戦術と戦略
DDoS対処の戦術と戦略Tomohiro Nakashima
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)JPCERT Coordination Center
 

More Related Content

What's hot

セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkHiroaki Kuramochi
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~Riotaro OKADA
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスクRiotaro OKADA
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other MeasuresTyphon 666
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)Sen Ueno
 
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 JapaneseOWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 JapaneseHiroaki Kuramochi
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについてTyphon 666
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-Typhon 666
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...Typhon 666
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -Cybozucommunity
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021Riotaro OKADA
 

What's hot (20)

セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみた
 
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
 
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 JapaneseOWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 Japanese
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
 

Viewers also liked

OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)JPCERT Coordination Center
 
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014Amazon Web Services
 
DevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to SecurityDevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to SecurityAlert Logic
 
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
(SEC320) Leveraging the Power of AWS to Automate Security & ComplianceAmazon Web Services
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開Muneaki Nishimura
 
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10Daiki Ichinose
 
(SEC402) Enterprise Cloud Security via DevSecOps 2.0
(SEC402) Enterprise Cloud Security via DevSecOps 2.0(SEC402) Enterprise Cloud Security via DevSecOps 2.0
(SEC402) Enterprise Cloud Security via DevSecOps 2.0Amazon Web Services
 

Viewers also liked (9)

DDoS対処の戦術と戦略
DDoS対処の戦術と戦略DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
 
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014
(SEC405) Enterprise Cloud Security via DevSecOps | AWS re:Invent 2014
 
DevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to SecurityDevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to Security
 
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
(SEC320) Leveraging the Power of AWS to Automate Security & Compliance
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
 
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
 
(SEC402) Enterprise Cloud Security via DevSecOps 2.0
(SEC402) Enterprise Cloud Security via DevSecOps 2.0(SEC402) Enterprise Cloud Security via DevSecOps 2.0
(SEC402) Enterprise Cloud Security via DevSecOps 2.0
 

Similar to SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう

20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方OWASP Nagoya
 
OWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろうOWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろうYuichi Hattori
 
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)Masaya Tahara
 
20161111 java one2016-feedback
20161111 java one2016-feedback20161111 java one2016-feedback
20161111 java one2016-feedbackTakashi Ito
 
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...VirtualTech Japan Inc.
 
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...Nobuyuki Tamaoki
 
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出oshiro_seiya
 
OWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 OverviewOWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 OverviewOWASP Nagoya
 
OSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSCOSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSCDaisuke Nishino
 
AI Utilization Seminar 20190709
AI Utilization Seminar 20190709AI Utilization Seminar 20190709
AI Utilization Seminar 20190709陽平 山口
 
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)Masaya Tahara
 
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)Masaya Tahara
 
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Riotaro OKADA
 
20161119 java one-feedback_osaka
20161119 java one-feedback_osaka20161119 java one-feedback_osaka
20161119 java one-feedback_osakaTakashi Ito
 
OSC2013 Tokyo Spring OpenStack Overview
OSC2013 Tokyo Spring OpenStack OverviewOSC2013 Tokyo Spring OpenStack Overview
OSC2013 Tokyo Spring OpenStack Overviewirix_jp
 
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発Takashi Watanabe
 
サーバーレスのアーキテクチャパターンとそれぞれの実装・テストの勘所
サーバーレスのアーキテクチャパターンとそれぞれの実装・テストの勘所サーバーレスのアーキテクチャパターンとそれぞれの実装・テストの勘所
サーバーレスのアーキテクチャパターンとそれぞれの実装・テストの勘所真吾 吉田
 

Similar to SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう (20)

OWASP Projects
OWASP ProjectsOWASP Projects
OWASP Projects
 
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
 
HCL AppScan 10 のご紹介
HCL AppScan 10 のご紹介HCL AppScan 10 のご紹介
HCL AppScan 10 のご紹介
 
OWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろうOWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろう
 
Owasp top10 HandsOn
Owasp top10 HandsOnOwasp top10 HandsOn
Owasp top10 HandsOn
 
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
 
20161111 java one2016-feedback
20161111 java one2016-feedback20161111 java one2016-feedback
20161111 java one2016-feedback
 
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
 
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
 
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
 
OWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 OverviewOWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 Overview
 
OSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSCOSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSC
 
AI Utilization Seminar 20190709
AI Utilization Seminar 20190709AI Utilization Seminar 20190709
AI Utilization Seminar 20190709
 
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
 
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
 
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
 
20161119 java one-feedback_osaka
20161119 java one-feedback_osaka20161119 java one-feedback_osaka
20161119 java one-feedback_osaka
 
OSC2013 Tokyo Spring OpenStack Overview
OSC2013 Tokyo Spring OpenStack OverviewOSC2013 Tokyo Spring OpenStack Overview
OSC2013 Tokyo Spring OpenStack Overview
 
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
 
サーバーレスのアーキテクチャパターンとそれぞれの実装・テストの勘所
サーバーレスのアーキテクチャパターンとそれぞれの実装・テストの勘所サーバーレスのアーキテクチャパターンとそれぞれの実装・テストの勘所
サーバーレスのアーキテクチャパターンとそれぞれの実装・テストの勘所
 

More from Riotaro OKADA

CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントRiotaro OKADA
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
 
もしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたならもしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたならRiotaro OKADA
 
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?Riotaro OKADA
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - Riotaro OKADA
 
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県Riotaro OKADA
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトRiotaro OKADA
 
Security issue201312
Security issue201312Security issue201312
Security issue201312Riotaro OKADA
 
iSPP 仙台シンポジウム
iSPP 仙台シンポジウムiSPP 仙台シンポジウム
iSPP 仙台シンポジウムRiotaro OKADA
 
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYOIntroducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYORiotaro OKADA
 
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickupCrowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickupRiotaro OKADA
 

More from Riotaro OKADA (11)

CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
 
もしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたならもしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたなら
 
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
 
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
 
Security issue201312
Security issue201312Security issue201312
Security issue201312
 
iSPP 仙台シンポジウム
iSPP 仙台シンポジウムiSPP 仙台シンポジウム
iSPP 仙台シンポジウム
 
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYOIntroducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYO
 
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickupCrowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickup
 

SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう

Editor's Notes

  1. <mission: ソフトウェアセキュリティについて 意思決定をする人のために役立つ十分な情報を 提供すること> 技術者、ビジネスオーナ、ユーザ ソフトウェアに関する技術・セキュアプロセス 現状理解・普及啓発・適用推進 オープンソース・コミュニティベースで実現
  2. 1425% 攻撃者の攻撃ツールとランサムウェアへの投資のリターン率 98% のサイトは脆弱、95%のモバイルアプリは脆弱 39% のパスワードは8文字 (1日で解析できる) 25% の攻撃はXSS 24% の攻撃はShellShock などOSSの脆弱性攻撃
  3. 2014年「Docker」というスタートアップがアプリ開発のゲームのルールを書き換えた。同社の登場により、コンテナの技術が身近になった。オーバーヘッドが小さく、一瞬で立ち上がるといった特徴に加えて、差分ディスクイメージをシェアできたり、Dockerfileでインフラのコード化が可能となった。そんなコンテナ型仮想化のDockerを管理するフレームワークとして、GoogleはKubernetesをオープンソースとして公開、PaaSを基盤としたアプリケーション開発の新しいパラダイムの登場を後押しすることになった(Kubernetes自体はPaaSではないけれど。ユーザー管理やログ収集の仕組みはない)。 Amazonは、サーバーをプロビジョニングしたり、管理しなくてもコードを実行できるコンピューティングサービス「AWS Lambda」を発表、サーバーレスコンピューティングという新しい技術パラダイムを切り開く野心をみせた。Amazonにおけるサーバーレスコンピューティングには「VM」「コンテナ」「サーバーレス」という3つのアプローチがある。EC2、ECS、AWS Lambdaに対応するそれぞれのアプローチは「スケーリング単位としてのマシン/ハードウェアの抽象化」 「スケーリング単位としてのアプリ/OSの抽象化」 「スケーリング単位としての機能/言語ランタイムの抽象化」という用途に応じて切り分けられる。 PaaSなどのクラウド環境で構築されるアプリケーション開発のトレンドが「Docker」という小さなスタートアップをきっかけに大きく変わろうとしている。 https://www.businessinsider.jp/post-173
  4. 通信経路 データ 保存先を変更する場合 モバイルアプリケーション
  5. Radware GLOBAL APPLICATION & NETWORK SECURITY REPORT 2015
  6. <mission: ソフトウェアセキュリティについて 意思決定をする人のために役立つ十分な情報を 提供すること> 技術者、ビジネスオーナ、ユーザ ソフトウェアに関する技術・セキュアプロセス 現状理解・普及啓発・適用推進 オープンソース・コミュニティベースで実現