OWASP SAMM ではじめる、プロダクトセキュリティの評価と中期計画/Product security assessment and mid-term plan using OWASP SAMM

Transcript

1. OWASP SAMMではじめる、 プロダクトセキュリティの評価と中期計画 2024/03/28　株式会社ワンキャリア 蟹 圭佑

2. ONE CAREER Inc . Copyright © ONE CAREER Inc. All

   Rights Reserved. 自己紹介 Career 趣味 ひとこと 2 蟹 圭佑 セキュリティエンジニア 数学(大学院)→バックエンド(1社目) → バックエンド＆セキュリティ(ワンキャリア) 数学とお酒が好きです。 本日の「セキュリティチームの立ち上げや試行錯誤の期間」担当。 質疑やアンケートで「こういうのもあるよ/ウチでは こうやってるよ」も教えていただけると嬉しいです！ かに

3. Copyright © ONE CAREER Inc. All Rights Reserved. 株式会社ワンキャリアの概要 会社紹介

   3 • サービス 人材系のWebサービス（新卒採用メディア「ONE CAREER」等） ◦ 就活生の個人情報・企業の機密情報を取り扱う ◦ VueやRails製、AWS上で稼働 • 会社規模 社員約150名（うち開発は20名程度） • セキュリティチーム 昨年2023年発足。蟹とCTOの1.5人体制

4. Copyright © ONE CAREER Inc. All Rights Reserved. 目次 4

   • はじめに • 戦略とは？ • OWASP SAMMとは？ • 活用方法と結果 • まとめ

5. Copyright © ONE CAREER Inc. All Rights Reserved. 目次 5

   • はじめに • 戦略とは？ • OWASP SAMMとは？ • 活用方法と結果 • まとめ

6. Copyright © ONE CAREER Inc. All Rights Reserved. セキュリティ対策、どうしてますか？ 6

   組織のプロダクトセキュリティ対策 戦略的に行えていますか？

7. Copyright © ONE CAREER Inc. All Rights Reserved. 効果的なセキュリティ対策は、全体像を正しく捉えて戦略を構築しないと実施できない 7

   戦略がないときの落とし穴 • リソースと時間は有限だが、ほとんど無限にセキュリティの課題は出てくる • 全体像を見てROIが高いところを選定しないと ◦ 本質的ではない目先の課題に囚われて、事業進捗を生めなかったり する ◦ 本当に重大なセキュリティ事故を防げなかったり する

8. Copyright © ONE CAREER Inc. All Rights Reserved. 目次 8

   • はじめに • 戦略とは？ • OWASP SAMMとは？ • 活用方法と結果 • まとめ

9. Copyright © ONE CAREER Inc. All Rights Reserved. ※弊社CSO北野による定義 セキュリティ対策の戦略とは？

   9 対象全体をセグメントに区切り どこから取るかを決めること 戦略とは？　

10. Copyright © ONE CAREER Inc. All Rights Reserved. では、戦略を立てるために必要なことは？ 戦略＝対象全体をセグメントに区切り、どこから取るかを決めること

    セキュリティ対策の戦略とは？ 10 最優先領域を特定 全体の地図がある A B C 地図をMECEに （=漏れなく・ダブりなく） 複数の領域に分割 A B C 優先度 A 進捗率 75％ B B 進捗率 20％ C 進捗率 50％ 各領域の進捗を 評価し数値化

11. Copyright © ONE CAREER Inc. All Rights Reserved. セキュリティ対策の戦略とは？ 11

    本日は セキュリティ対策の 「戦略」策定・実施のためのフレームワーク 「OWASP SAMM」 を紹介します！

12. Copyright © ONE CAREER Inc. All Rights Reserved. 目次 12

    • はじめに • 戦略とは？ • OWASP SAMMとは？ • 活用方法と結果 • まとめ

13. Copyright © ONE CAREER Inc. All Rights Reserved. OWASP SAMMとは？（概要）

    OWASP SAMMとは？ 13 OWASPが提供している 「組織が直面する固有のリスクに応じた、 ソフトウエアセキュリティ対策のための 戦略の策定・実施を支援するフレームワーク」 SAMM = Software Assurance Maturity Model ソフトウェア保証成熟度モデル ※OWASP SAMM 第1班 (https://www.jpcert.or.jp/research/2010/SAMM_20100407.pdf)

14. Copyright © ONE CAREER Inc. All Rights Reserved. OWASP SAMMとは？（構成）

    14 SAMM ガバナンス 設計 実装 検証 戦略＆指標 ポリシー＆コンプライアンス 教育＆指導 運用 脅威の査定 セキュリティ要件 セキュアなアーキテクチャ セキュアなビルド セキュアなデプロイ 不備の管理 設計レビュー 実装レビュー セキュリティテスト インシデント管理 環境管理 運用管理 5つのビジネス機能 15のセキュリティ対策 3段階の成熟度レベル A A A B B B A A A B B B A A A B B B A A A B B B A A A B B B 2つのストリーム Lv.1 ~ Lv.3 Lv.1 ~ Lv.3 Lv.1 ~ Lv.3 Lv.1 ~ Lv.3 Lv.1 ~ Lv.3 Lv.1 ~ Lv.3 Lv.1 ~ Lv.3 Lv.1 ~ Lv.3 Lv.1 ~ Lv.3 Lv.1 ~ Lv.3 Lv.1 ~ Lv.3 Lv.1 ~ Lv.3 Lv.1 ~ Lv.3 Lv.1 ~ Lv.3 Lv.1 ~ Lv.3 OWASP SAMM 2.0では、ソフトウェアセキュリティについて考えるべき事柄を15領域に区分し 各領域の成熟度を評価するための指標が定義されている

15. Copyright © ONE CAREER Inc. All Rights Reserved. OWASP SAMMとは？（構成詳細）

    15 SAMM ガバナンス 設計 実装 検証 戦略＆指標 ポリシー＆コンプライアンス 教育＆指導 運用 脅威の査定 セキュリティ要件 セキュアなアーキテクチャ セキュアなビルド セキュアなデプロイ 不備の管理 設計レビュー 実装レビュー セキュリティテスト インシデント管理 環境管理 運用管理 5つのビジネス機能 15のセキュリティ対策 A. 策定＆促進 A. ポリシー＆標準 A. 訓練＆意識向上 B. 測定＆改善 B. 組織＆文化 B. コンプライアンス管理 A. リスクプロファイル A. ソフトウェア要件 A. アーキテクチャ設計 B. 脅威モデリング B. テクノロジーマネジメント B. サプライヤーセキュリティ A. ビルドプロセス A. デプロイプロセス A. 欠陥の追跡 B. ソフトウェアの依存性 B. 計測とフィードバック B. 秘密情報の管理 A. アーキテクチャの検証 A. 統制管理 A. スケーラブルなベースライン B. アーキテクチャの緩和 B. 深い理解 B. 誤用と不正利用のテスト A. インシデントの検出 A. 設定のハードニング A. データプロテクション B. インシデントへの対応 B. レガシーの管理 B. パッチとアップデート 2つのストリーム

16. Copyright © ONE CAREER Inc. All Rights Reserved. 領域の成熟度評価について具体例を1つ挙げると... OWASP

    SAMMとは？（具体） ※OWASP「SAMM Version2 」(https://drive.google.com/file/d/1cI3Qzfrly_X89z7StLWI5p_Jfqs0-OZv/view) 16 ビジネス機能「実装」 > セキュリティ対策「セキュアなデプロイ」 > ストリーム「A. デプロイプロセス」 > レベル「1」 基準を満たしているか確認するための 質問2〜5問と4段階の回答例が定義されている 質問に対して、 「Yes, for most or all of the applications」ならレベル「1」以上 「Yes, for at least half of the applications」ならレベル「0+」 それ以下の「Yes for some applications」や「No」ならレベル「0」

17. Copyright © ONE CAREER Inc. All Rights Reserved. OWASP SAMMとは？（性質と選定理由）

    OWASP SAMM を選んだ理由とは？ 17 • セキュリティ評価のフレームワークの中でも、評価対象の領域が合致したため ◦ ソフトウェアへの特化 ◦ 小さい組織も対象としている • 戦略立案のための必要な要素を満たす ◦ 領域の網羅的な分割 ◦ 各領域の定量的な評価

18. Copyright © ONE CAREER Inc. All Rights Reserved. 目次 18

    • はじめに • 戦略とは？ • OWASP SAMMとは？ • 活用方法と結果 • まとめ

19. Copyright © ONE CAREER Inc. All Rights Reserved. 活用方法と結果 ワンキャリアでの活用の流れとその結果は以下の通り

    現状と目標を定め、そのギャップを埋めるための施策と運用計画を策定 ※今回紹介する数値は全てExampleです。 19 　自社セキュリティにおける現状評価 リスクの評価と目標値の策定 STEP1 STEP2 施策の洗い出しと計画の策定 STEP3

20. Copyright © ONE CAREER Inc. All Rights Reserved. 現状のプロダクトセキュリティをOWASP SAMMに沿って評価

    STEP1. 現状の評価 20 No. セキュリティ対策 ストリーム レベル 評価 項目 4 セキュアなデプロイ A.デプロイプロセス 1 100% ・デプロイメントプロセスを実行するために十分な情報がある ・デプロイメントの文書が最新である ・関連する利害関係者がアクセスできるデプロイメントの文書がある ・指定された適格な人員のみがデプロイメントをトリガーできるように確認する ・デプロイメントプロセスで使用されるツールを強化する 4 セキュアなデプロイ A.デプロイプロセス 2 50% ・すべての段階でデプロイメントプロセスが自動化されている ・デプロイメントには自動化されたセキュリティテスト手順が含まれている ・特定の脆弱性を特定した場合、責任あるスタッフに警告する ・過去のデプロイメントのログを一定期間利用できるようにする 4 セキュアなデプロイ A.デプロイプロセス 3 25% ・整合性の侵害が検出された場合、デプロイメントを防止またはロールバックする ・検証はビルド時に作成された署名に対して行う ・署名の確認ができない場合（外部でビルドされたソフトウェアなど）、補償措置を導入する 4 セキュアなデプロイ B.秘密情報の管理 1 0% ・本番環境の秘密情報は安全な場所に保管されている ・開発者は本番環境の秘密情報にアクセスできない ・本番環境の秘密情報は非本番環境で利用できない 4 セキュアなデプロイ B.秘密情報の管理 2 100% ・ソースコードファイルにはアクティブなアプリケーションの秘密情報が含まれていない ・通常の状況では、展開手順中には人間が秘密情報にアクセスしない ・異常な秘密情報へのアクセスが試行された場合にはログを取得し、アラートを表示する 4 セキュアなデプロイ B.秘密情報の管理 3 75% ・信頼性のあるソリューションを使用して秘密情報を生成および同期する ・異なるアプリケーションインスタンス間では秘密情報が異なる ・秘密情報は定期的に更新する 遵守率 58% OWASP公式に準拠し各ストリームを成熟度レベルごとに評価しつつも、独自評価のため「成熟度の段階 的な達成関係なく、3段階の成熟度レベル全ての平均値」を指標として採用。 OWASP公式ではレベル1の基準を全クリアしないとレベル2・3に進めないが、 レベル1基準が一部未達でもレベル2・3の基準が達成されるケースもあるため、「3段階の成熟度レベル全ての平均値」を指標としたかった （※具体的な数値はExampleです）

21. Copyright © ONE CAREER Inc. All Rights Reserved. 目標スコアを各分類のリスクにおける発生確率 ×

    深刻度をベースに定義 STEP2. リスクの評価と目標の策定 21 • 目標スコアの参考事例がなく独自に指標を定義 ◦ 事業特有のリスクを目標に反映する • 補正項の内訳としては ◦ 具体的な項目の対応要否を加味 ◦ 現状で既に達成している場合は上方修正 目標スコア = 発生確率(10) × 深刻度(10) ± 各補正項(15) No. セキュリティ対策 想定リスク 発生確率 深刻度 補正項 目標 1 戦略＆指標 ・抜け漏れの発生、大きな脅威を見逃す ・非効率 ・複数人での意識の共有ができない ・評価ができない 7 8 +4 60 2 ポリシー＆ コンプライアンス ・法令違反 ・損害賠償 ・レピュテーションリスク ・内部統制が取れない 9 9 -1 80 （※具体的な数値はExampleです）

22. Copyright © ONE CAREER Inc. All Rights Reserved. STEP3. 施策の洗い出しと計画の策定

    22 ガバナンス 設計 実装 検証 戦略＆指標 ポリシー＆コンプライアンス 教育＆指導 運用 脅威の査定 セキュリティ要件 セキュアなアーキテクチャ セキュアなビルド セキュアなデプロイ 不備の管理 設計レビュー 実装レビュー セキュリティテスト インシデント管理 環境管理 運用管理 1.戦略&指標 • OWASP SAMMによる評価・目標設定 3.教育＆指導 • セキュアコーディングガイドの策定 • セキュア開発研修の実施 4.脅威の査定 • リスクアセスメント • 脅威モデリング 12.セキュリティテスト • インフラ設定の不備検知・修正対応 • ミドルウェアの脆弱性検知・修正対応 セキュリティ対策の優先度を「現状と理想のスコア差分」で定義 優先度の高い施策から今年度の実施対象として計画

23. Copyright © ONE CAREER Inc. All Rights Reserved. 目次 23

    • はじめに • 戦略とは？ • OWASP SAMMとは？ • 活用方法と結果 • まとめ

24. Copyright © ONE CAREER Inc. All Rights Reserved. まとめ 24

    • SAMMとは「セグメントに区切る」分類と「どこから取るかを決める」ため の指標を与え、セキュリティ対策の「戦略」立案を補助するフレームワーク • SAMM活用の流れ「目標 − 現状 = 計画」 • 結果、網羅的・定量的に自社サービスのセキュリティを評価し、今後の計画 を戦略的に策定することができた みなさんも試してみてはいかがでしょうか？ うちはこうやってるよ、などもぜひぜひ教えてください！

25. Copyright © ONE CAREER Inc. All Rights Reserved. X、EntranceBookで情報を発信中 🚀

    興味のある方はぜひ！