Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
超高速開発を実現するチームに必要なセキュリティとは
Search
Riotaro OKADA
PRO
June 22, 2021
Business
0
0
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
株式会社アスタリスク・リサーチ
エグゼクティブリサーチャ
岡田良太郎
日経BP主催イベントでの講演資料
Riotaro OKADA
PRO
June 22, 2021
Tweet
Share
More Decks by Riotaro OKADA
See All by Riotaro OKADA
How Application Security Will Change with the Rise of AI
okdt
PRO
1
45
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
okdt
PRO
3
730
脆弱性とこれからの話 - ソフトウェアサプライチェインリスク
okdt
PRO
6
1.4k
ソフトウェアセキュリティはAIの登場でどう変わるか - OWASP LLM Top 10
okdt
PRO
14
7.1k
今から取り組む企業のための脆弱性対応~大丈夫、みんなよく分かっていないから~
okdt
PRO
1
140
DXとセキュリティ - IPA Digital Symposium 2021
okdt
PRO
0
100
SHIFT LEFT PATH at AWS DEV DAY3 General Session
okdt
PRO
3
1.2k
Post DevOps What Should We Shift-Left
okdt
PRO
0
1
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
okdt
PRO
0
1
Other Decks in Business
See All in Business
アックス/ 求職者向け会社紹介
oneterasu
0
120
Company Deck for Engineers
cuolega
0
260
Cobe Associe: Who we are? /コンサル・市場調査・人材紹介のCobe Associe
nozomi
6
18k
VISASQ: ABOUT DEV TEAM
eikohashiba
3
20k
会社案内資料
mkengineering
1
120
生成AIによる業務利活用アプリを、部門横断チームが3日でPoCを作ってみた!
yukiogawa
0
230
租税教育コンテンツの製作
tokyo_metropolitan_gov_digital_hr
0
450
Crisp Code inc. | わたしたちの事例/実績 - Portfolio
so_kotani
1
600
Tokyo支援ナビ
tokyo_metropolitan_gov_digital_hr
1
420
伝わる「壁面グラフィック」の構成方法/展示会ブースの壁面デザイン手法
superpenguin
PRO
0
130
株式会社STANDARD_会社紹介資料
std2017
0
230
Nealle Company Deck
nealle
5
91k
Featured
See All Featured
The Power of CSS Pseudo Elements
geoffreycrofte
72
5.3k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
Designing the Hi-DPI Web
ddemaree
280
34k
How to Ace a Technical Interview
jacobian
275
23k
Designing for Performance
lara
604
68k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
The Cost Of JavaScript in 2023
addyosmani
45
6.6k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
GitHub's CSS Performance
jonrohan
1030
460k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
27
1.9k
The Invisible Side of Design
smashingmag
297
50k
KATA
mclloyd
29
13k
Transcript
超⾼速開発を実現する チームに必要な セキュリティとは 株式会社アスタリスク・リサーチ エグゼクティブリサーチャ 岡⽥ 良太郎
[email protected]
"シフトレフト"でセキュアなビジネスを実現 ©
Asterisk Research, Inc.
株式会社アスタリスク・リサーチ 岡⽥良太郎 岡⽥ 良太郎 代表・エグゼクティブリサーチャ CISA, MBA
[email protected]
活動 -
activities WASForum Hardening Project オーガナイザ 衛る技術を顕彰する、8時間耐久ビジネス堅牢化技術競技プロジェクト OWASP (Open Web Application Security Project) 世界最⼤のアプリケーションセキュリティ推進団体 ・OWASP Japan チャプターリーダ ・OWASP Top 10 翻訳チームリーダ ・OWASP Foundation “Best Chapter Leader”, “Best Community Supporter” 受賞(2014) Hackademy(ハッキングと防御) 「ハッキングと防御」コース ビジネスブレークスルー⼤学(学⻑ ⼤前研⼀) 「教養としてのサイバーセキュリティ」コース担当講師 独⽴⾏政法⼈ IPA 情報セキュリティ10⼤脅威選考委員 総務省 サイバーセキュリティ演習 CYDER 推進委員 © Asterisk Research, Inc. 2 創業2006年。企業の事業成⻑に貢献するセキュリティ実践を推進。
“シフトレフト” ⽀援サービスラインナップ アスタリスク・リサーチは、御社のセキュリティ対策の「シフトレフト」を効率よく実現するために、3つの取り組みがあります。 © Asterisk Research, Inc. 3 Professional Tools
実践段階のQCDを⾼める道具 ・トレーニング ・Eラーニング ・開発環境向けツール(CI/CD) ・トレーニングイベントデザイン ・リスクプロファイルトレーニング ・脅威分析トレーニング Advisory Service 経営陣の⾼速な意思決定を実現するアドバイザリ ・PSIRT/CSIRT Advisory ・DevOps Transformation ・セキュリティ・スコアカード分析 ・エグゼクティブ向けブリーフィング ・CISO, CTO, CROハンズオン Security Test Managed Service セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis ・コンポーネント分析 SCA ・ソースコード分析 SAST ・システム脆弱性テスト DAST ・プラットフォームテスト NST
主なお客様・参画プロジェクト © Asterisk Research, Inc. 4 ご活⽤いただいてきたお客様 参画・⽀援プロジェクト
セキュリティ版家庭の医学でました 「もはや経験のあるベテランの勘で経営 判断できる状況ではなく、持てる限りの データを活用し、迅速に判断し、アクショ ンを取らなければなりません」 「一方で、未成熟な技術に甘んじなけれ ばならない側面もあります」 「そこで、DXを進める上での前提は」 ओ࣠Λ͢ݤΛࣔ͢ͷষͱͷίϥϜ ͞ΒʹཧղΛਂΊΔͭͷষ
શϖʔδɺ໊ͷࣥචਞʹΑΔɺץʹ͙࣍େ෯վగ৽൛ɻ "シフトレフト"でセキュアなビジネスを実現
期待︓「ノーコード・ローコードは超⾼速︕」 • ノウハウ︓DXの促進。「ありもの活⽤」の魅⼒ • コスト削減︓⾼額になりがちな開発⼯期・⼯数の⼤幅な削減の期待。 • 業務︓ビジネス要件への対応の⽴ち上がりが早い期待がある • 変⾰︓データとプロセスの⾒直しにつながり、新しいアプローチの期待 “シフトレフト”でセキュアなビジネスを実現
© Asterisk Research, Inc. 6
“シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 7
チャット系 グループウェア オンライン会議系 社内SNS インストール型 総合 ナレッジ共有 日報 社内報 総合
ワークフロー 総合 エンジニア コンサル マーケティング プラットフォーム型 Webサイト クラウドソーシング型 総合 クリエイティブ テスター・入力 翻訳・ライティング・編集 オンラインセミナー・イベント 人事 コミュニケーション 営業 周辺ツール ホワイトボード ノーコード iPaaS HP ECサイト フォーム ハード系 MA / CRMツール 名刺管理 メール 商談関連 フォームアタック D セールス支援 顧客管理 セールス セールス HR系 人事評価 エンゲージメント向上 エンゲージメント測定ツール 日程調整 デザイン 採用関連 人事関連 オンライン1on1 オンライン福利厚生 リモート人材活用 エージェント型 エンジニア 2021/02/08 現在 © Asterisk Research, Inc. そこで、何を実現するか
“シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 9 https://www.optiv.com/navigating-security-landscape-guide-technologies-and-providers セキュリティは誰の仕事︖
OWASP API Security Top 10 https://owasp.org/www-project-api-security/ “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research,
Inc. 10 API1:2019 オブジェクト・レベル認可の欠陥 API2:2019 ユーザー認証の欠陥 API3:2019 過剰なデータ露出 API4:2019 リソースの不足とレートの制限 API5:2019 機能レベル認証の欠陥 API6:2019 マスアサインメント API7:2019 セキュリティの誤設定 API8:2019 インジェクション API9:2019 不適切な資産管理 API10:2019 ロギングとモニタリングの不備
ゲスト︓Victor Keong /ビクター・キョンさん ݩ $JTDP4ZTUFNTࣾͷγχΞ$*40ʢ࠷ߴใηΩϡϦςΟऀʣΞυόΠβ ݩ %FMPJUUFͷϦεΫΞυόΠβϦʔαʔϏεύʔτφʢʣ ઐɺϦϞʔτϫʔΧʔͷηΩϡϦςΟɺσδλϧτϥϯεϑΥʔϝʔγϣϯͷਪਐɺ ٸͳΫϥυͷಋೖɺΞδϟΠϧίϯϐϡʔςΟϯάɺ%FW4FD0QTɻ ۚ༥αʔϏεۀքɺελϯμʔυνϟʔλʔυۜߦɺγςΟόϯΫʢΞδΞʣɺ60#ɺࡾඛ
6'+ۜߦʢ౦ژʣɺτϤλϑΝΠφϯεɺϝΠόϯΫɺΧγίϯۜߦɺαΠΞϜίϚʔγϟϧ όϯΫɺ4(9ͳͲΛ୲ɻ *4$ ͷΞϝϦΧࢾҕһձʹ໋͞Ε·ͨ͠ɻ ɺ"QQ4FDاۀ $IFDLNBSYࣾ ॳͷ(MPCBM$*408IJTQFSFSबɻ )#" *WFZ $*4" &.#" *WFZ $*441
ゲスト︓Victorさんからの教訓 ü $*40ɺʮίʔυʯͷηΩϡϦςΟΛͲ͏͢Δ͔͕࠷େࣄɻ ͪΌΜΛѻ͏ؾ࣋ͪͰରԠ͢ΔνʔϜΛॿ͚Δඞཁ͕͋Δɻ ü ࣮ޮੑͷߴ͍ηΩϡϦςΟɺ։ൃʹدΓఴͬͨͷͰ͋ͬͯ͡Ίͯ͏· ͍͘͘ɻͦ͜Ͱमਖ਼Ͱ͖ΔͷͰηΩϡϦςΟνʔϜͱରཱ͠ͳ͍ɻ ü ϩʔίʔυͰਐΉϓϩδΣΫτͷվળʹɺʮϥετϫϯϚΠϧʢϦϦʔε લʣͷηΩϡϦςΟςετʯͰͳ͘ɺ։ൃऀʹدΓఴͬͨηΩϡϦςΟ
ࢧԉʹγϑτϨϑτ͖͢ɻ )#" *WFZ $*4" &.#" *WFZ $*441
ノーコード・ローコードの現実 ロックイン問題との 折り合い。 認証認可の設定、 ポリシー不足。 セキュリティレビュー 欠陥による設定の 欠陥、コードの欠陥 が散在。 Weakest
Link。 ばらばらなサービ サーの実装レベル。 コントロールできな いパフォーマンスと コストバランス。 不透明なプライバ シーデータ保存、管 理。 コード管理がおろ そかに モニタリングと障 害対応の困難 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 13 全体設計⼒
OWASP API Top 10 https://owasp.org/www-project-api-security/ “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc.
14 API1:2019 オブジェクト・レベル認可の欠陥 API2:2019 ユーザー認証の欠陥 API3:2019 過剰なデータ露出 API4:2019 リソースの不足とレートの制限 API5:2019 機能レベル認証の欠陥 API6:2019 マスアサインメント API7:2019 セキュリティの誤設定 API8:2019 インジェクション API9:2019 不適切な資産管理 API10:2019 ロギングとモニタリングの不備 1 6 9 10 2 3 4 5 7 8 サービサ 2 3 4 5 7 8 ユーザ セキュリティ責任はサービサーにもユーザにもある。
© Asterisk Research, Inc.
セキュリティ脆弱性は設計の問題+実装の問題。 Design – 設計 Implement – 実装 “シフトレフト”でセキュアなビジネスを実現 © Asterisk
Research, Inc. 16 入力データ信 頼の条件 採用する認証 メカニズム 認証と認可 データと制御 の分離 暗号化と機密 データの識別 外部コンポー ネントの影響 ログ、エラー の取扱要件 想定脅威の分 析 データベース アクセス エンコーディン グとエスケープ 入力値検証 IDと認証管理 アクセス制御 データ保護 ログ、モニタリ ングの機能 エラー処理と 例外処理 設計を反映する「コード」の管理と改善がキモ
本⽇の、ASTERISKセレクション “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 17
アプリケーションセキュリティ・テストの世界の牽引役、リーダー Gartner Magic Quadrant “Leader” “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc.
18 Checkmarx社は、アプリケーションセキュリ ティ・テスト市場で実⾏能⼒とビジョンの完全性の評 価で前年に引き続き”リーダー”に指名されました。 11社のAST(アプリケーションセキュリティ・テスト)ベンダー各社 を調査しビジョンの完全性と実⾏能⼒の観点で評価した結果レポート の詳細を以下のURLよりご覧になれます。 Gartner Magic Quadrant for AST 2019︓ https://info.checkmarx.com/wp-gartner-mq-2019 ガートナー社マジッククアドラントは、特定の市場における同社のリサーチの集大成であり、 成長市場で競合しているベンダーを4つのクアドラント(象限)のいずれかで取り上げ、各社の 相対的な位置付けを広い視野から提示しています。
ユーザーと専⾨家の声︓Gartner Peer Insightsでの評価 Customerʼs Choice Award 受賞 “Checkmarx社の「シフトレフト」アプローチ は、ソフトウェア開発ライフサイクルの早い段 階でセキュリティ脆弱性を⾒つけ出し、コード
が本番環境に展開される前に修正するには、最 適な⽅法です” •サービス業、情報セキュリティ部⾨、シニアマネージャー “Checkmarx社のソリューションで最も気に ⼊っているところは、我々のCI/CD (継続的インテグレーション / 継続的デリバ リー) パイプラインへ簡単に統合できた点で す。” •サービス業、クラウド開発サービス部⾨、エンジニアリン グ・ディレクター “開発者に優しい作りの製品のため、 我が社の開発者たちにもすぐに受け ⼊れられました。” •サービス業、個⼈保険会社、ITセキュリ ティ・アーキテクチャ部⾨、技術者 “業界トップクラスのツールを探してい るなら、CheckmarxのSASTツール導 ⼊をお薦めします。” •製造業、セキュリティ管理部⾨、シニア・ アプリケーションセキュリティ・スペシャ リスト “Checkmarxのテクニカルサポー トは、無駄なく効率的で、⾏き届い た⽀援をしてくれました。” •⾦融業、システムスペシャリスト “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 19 https://www.gartner.com/reviews/market/application-security-testing/compare/checkmarx
Asteriskセレクション︓Checkmarx CxSAST Gartner:「開発者が最も使いやすい」理由︓既存環境との連携の⾼さ “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 20 IDEプラグイン
CI/CD統合
DEMOを⾒せていただきましょう Checkmarx CxSAST “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 21
Demo1: CxSAST– セキュリティ状況可視化ダッシュボード プロジェクトごとの状況と傾向をリアルタイムに把握できる管理機能 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 22
リスクレベルの数値化 レポートの閲覧と出⼒ 各プロジェクトの脆弱性診断結果の集約
Demo2: CxSAST – 実際のスキャン結果ビューア 脆弱性検出、データフロー追跡、重要度インデックス、ガイダンス “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc.
23 3. 重要度の明⽰とインデックス 4. 脆弱性の詳細説明 と修正ガイダンス 1. コードレベルの 脆弱性を検出 2. データフロー 追跡
Demo3: CxSAST – Best Fix Location データフロー追跡により「ベストフィックスロケーション」を指摘。これは便利。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk
Research, Inc. 24 88個のStored_XSS脆弱性検出 複数の脆弱性に効く最適修正箇所の指摘 リスクレベル別に分けた指摘事項
Audience: あなたの問題場所は︖ 1. 提供サービスの全体像をまとめ、ロードマップを⽰す 2. チームがツールとともに、修正すべき脆弱性を発⾒する 3. セキュリティが、変化の激しい開発にマッチする 4. 良いサイクルを作る道筋をたてる
"シフトレフト"でセキュアなビジネスを実現 © Asterisk Research, Inc. 25
As is… © Asterisk Research, Inc. 26 "シフトレフト"でセキュアなビジネスを実現
Step by step © Asterisk Research, Inc. 27 "シフトレフト"でセキュアなビジネスを実現
アクション提案 週明けに早速︕ ü 御社の開発・運⽤チームをねぎらってあげ てください︕ ü 情報・ノウハウ不⾜がボトルネックになっ ていませんか。CISOハンドブック︕ ü OSSコードと⾃社開発コードの管理、アッ
プデートはどうしていますか。 ü 「トライアル」をやると、現状と改善の フィット感を確認できます。 半年以内に検討してください ü 現場部⾨は、どのように信頼できる情報源 やアドバイザの確保 ü コードを管理・改善できる、仕組みの導⼊ ü CEO, CISOなど経営陣が、企業のリスクと スキルにフィットする意思決定のための現 状と⽬標の可視化 ü 「アセスメントで現状を可視化」すると 課題と⽬標が⾒えます。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 28
Q. まだまだわからないことがあります︕ A. 資料をお送りします︕ Q.「システム脆弱性診断をしたのですが、修正が追いつきません」︓ A. 最新のシステムを、脆弱性ベンダーによるテストをするのはほぼ不 可能です。また、ブラックボックステストでは原理的に修正すべき原 因であるコードを特定できません。 いかなる脆弱性対応も、コードを更新・修正することが必要なのです
から、開発中のコードチェックが最も時短につながり、最も効率が⾼ いのです。OWASP Top 10をはじめ、さまざまな視点で整理してくれ ます。 Q.「対応能⼒に課題があります」 A. 問題がたくさん指摘されても、どれほど深刻なのか、またどのよう に修正すべきなのかチームが途⽅に暮れることはありません。的確に 優先順位と、データフローにより効果的な修正箇所をガイドします。 Q.「コストを上回る効果を出せますでしょうか」 A. 開発しているコードは⼤抵1万-数⼗万⾏に及び、毎週更新さ れます。統計上「1000⾏あたり1から25箇所に問題」があると いわれています(NIST-IR 8151)。⽇々のコード改善活動により、 この問題はすぐに⽬覚ましいレベルでリスクを減らすことがで き、脆弱性テスト結果だけに依存することから解放されます。 Q.「修正反映が⼿間で、徹底できません」 A. CxSASTは、普段のプログラム管理の環境に連携させること ができます。⽇々の環境に⼿動で移し替える必要はありません。 変更せずに能⼒アップさせることができます。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 29
「どこから始めようか︖」
[email protected]
2006年創業の、⽇本のリサーチサービス企業です。ご相談ください。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 30 改善計画に役⽴つサービス、あります。
• ブリーフィング・トレーニング • 製品・サービスの選定やPOC⽀援 • リスクトレンドのアップデートと対応訓練計画 • グローバルコンプライアンスに対応したセキュリティテスト • SAMMスコアカードで実践⽀援︓PSIRTアドバイザリ 業界特化にも、対応を拡げています。 ⾦融、医療、ライフライン、製造、流通、サービスまたソフト ウェア業界において、品質管理、⽣産技術、リスクやコンプラ イアンスに関わる部⾨はもちろん、⾼速に成⻑させるミッショ ンのある事業経営部⾨のお客様をご⽀援しています。 ʮΞελϦεΫϦαʔνʯͰݕࡧ