Application Security Briefing & Discussion 2016 ... Security Briefing & Discussion 2016 アプリケーション・デリバリーのバリュー・チェイン Asterisk Research,

Application Security Briefing & Discussion 2016 アプリケーション・デリバリーの

バリュー・チェイン Asterisk Research, Inc

Riotaro OKADA

Enabling Security ©2016 Asterisk Research, Inc. 1

Riotaro OKADA

Riotaro OKADA 　Executive Researcher 　CISA, MBA

•  ビジネス・ブレークスルー大学非常勤講師「教養としてのサイバーセキュリティ」 •  政府調達担当向けサイバー演習 CYDER 委員（総務省） •  セキュリティキャンプインストラクタ (経済産業省、IPA) •  マレーシア政府セキュリティイニシアチブインストラクタ（外務省、JICA, 2015年）

https://jp.linkedin.com/in/riotaro

@okdt

“If you can’t measure it, you can’t manage it“

「測定できないものは管理できない」

W. Edwards Deming


Let’s go visible


0

20

40

60

80

100

設計構築検証運用

1 6.5 15

100

QCD のいずれにも深刻な問題 1)  Quality: テストの手段も効果も理解しにくい

•  脆弱性などの問題が指摘されるが、開発サイドからは改善の方法がわからない

2)  Cost: コストが高額 •  攻撃は縦横無尽なのにプロ・ツールの多くはプロジェクト課金、コード課金、機能課金

3)  Delivery: 深刻な人材不足 •  デリバリーができない


| Enabling Security for Developers | ©Asterisk Research, Inc. 5

「意味がわからない」のは、リテラシーが低いからだけではないのではないか。

アプリケーションセキュリティ実施の強い動機

| Enabling Security | ©Asterisk Research, Inc. 6

Drivers for AppSec Programs Response Percent コンプライアンス、内部監査、調査レポートの率直な指摘 71.5% 漏洩時の経済的打撃に対するリスクベースの意識 69.6% 顧客への「当然の品質」としての魅力提示 39.9% セキュリティ・インシデントの指摘 36.7% 業界の予算、ROI、TCO比較による 33.5% Couching security as a direct “enablement” for new applications

30.4%

Other 1.3%

出典：SANS Institute (2015)

“It is wrong to suppose that if you can’t measure it, you can’t manage it“

「測定できないものしか管理できないってのは、違うと思うよ」

W. Edwards Deming


Assessment・Scoring •  開発チーム・プロセスアセスメント

BSIMM, OpenSAMM, CIS Critical Controls •  ロードマップ策定支援 •  リサーチ(DD, 市場調査, 実態調査) •  アドバイザリ

Governance, Risk, Compliance •  MetricSteram GRC •  内部監査支援 •  サードパーティ・ベンダー評価 •  ITデューデリジェンス

Enabling Security “測定できるもの x 測定できないもの” Asterisk Research サービスラインナップ


Training & Education •  技術者　「CodeZine Academy 　　　　ビルトインセキュリティブートキャンプ」

•  Eラーニング “AspectSecurity E-Learning” “Cigital CodiScope CBT”

•  BBT大学教養としてのサイバーセキュリティ」 •  ビジネスパーソン：サイバーセキュリティ・スキル •  ヤングリーダー「Security Initiative Training

Secure Development •  開発品質向上支援 •  ツールの選定・導入支援 •  セキュアコーディング: SecureAssist •  QA：3D Security Testing •  スマホアプリ：SONY Secure Coding Checker

企業幹部が最も注力したいセキュリティ対策とは


1 位

2 位

3 位

4 位

5 位

44.4% 従業員のセキュリティ教育 33.1% 27.5% 25.7% 23.5%

標的型攻撃に対するセキュリティ対策スマートデバイス利用時のセキュリティ対策・ルール整備クラウドサービス利用時のセキュリティ対策・ルール整備事業継続計画IT-BCPの策定と改善

出典：野村総合研究所調べ

一般インターネットユーザ vs セキュリティエキスパート

Enabling Security ©2016 Asterisk Research, Inc. 10 http://googlejapan.blogspot.jp/2016/02/blog-post.html

(エキスパート: 7%) (一般ユーザ: 2%) 42% 35%

必要なのは、セキュリティ関係者じゃない人が「サイバーセキュリティ・スキル」を身につけることではないか？


「ビジネスパーソンに必須の7つのスキル」で、「漠然とした不安」から「はっきりわかるリスク対策」への変化を。

https://asteriskresearch.com/7-cybersecurity-skills/

2/24開講分、絶賛受講申込受付中>> http://cybersecurity-skills01.peatix.com/


UNIT SKILLS

1 サイバースペースで起きていることを把握する •  Cyberspaceとは何か、サイバーリスクとは何か •  業界特有の問題 •  サイバー犯罪、サイバー事件、キーパーソン

2 個人へのダメージを受けない力を身につける •  経済的ダメージ、社会的ダメージ、自分の職責へのダメージ

•  「99%のビジネスパーソンが知らなかった秘策」

3 ビジネスへの影響の実態と対策を把握し、協力する •  企業・団体にとってのサイバー攻撃の影響 •  「企業のビジネス保護のためのセキュリティ20施策」

4 セキュリテイ原則と、それに対する攻撃者の視点や動機がわかる

•  CIAトライアドと攻撃と、ダメージ軽減の対策と対応の関係

5 サービスづくり・調達のポイントを見極める •  ビルト・イン・セキュリティ: ウェブ、アプリ、クラウドそしてIoT

6 情報化社会を支える仕組みと役割・コンプライアンスのポイントをつかむ

•  サイバーセキュリティに関する法律・ガイドライン •  業界・地域・目的別の連携活動、国際的な取り組み •  企業、担当者、コミュニティの連携

7 ビジネスイネーブラーとして「セキュリティ・スキル」を活用する

•  ビジネスイネーブラーのセキュリティ •  セキュリティイニシアティブが「サイバーセキュリティ・スキル」を着々とアップデートしていく方法

必要なのは、セキュリティ関係者じゃない人が「サイバーセキュリティ・スキル」を身につけることではないか？


ー　一般教養としてのセキュリティで今、いちばん情報が足りない分野はなんでしょうか？

　設計・開発段階からセキュリティの機能を組み込む「セキュアプログラミング」だろう。… すべてのプログラマーがセキュアプログラミングを常識として知っているべきだと思うが、残念ながらセキュアプログラミングを学ぶための情報は限られている。

山口英奈良先端科学技術大学院大学教授, JPCERT/CC設立者,

内閣官房初代情報セキュリティ補佐官

http://itpro.nikkeibp.co.jp/atcl/interview/14/262522/090700192/?ST=management&P=4

Quality,Cost,Delivery?

ユーザフィードバックテストと結果コーディング

テスト(DAST)

直す隠す無視・あきらめ

テスト(SAST)

開発サイドの悩み

アプリケーションセキュリティスキルとツールの不足

予算配分管理の欠如デリバリー再優先

セキュリティチームの悩み

全アプリケーション資産の把握ができていない

開発、セキュリティ、事業部のサイロ化によるコミュニケーションコスト増脆弱性修正すると動かなくなることへの恐れ

出典：SANS Institute (2015) Q. “Top Challenges for Builders and Defenders ”

クルマ

セキュリティ計画配分は

| Enabling Security | ©Asterisk Research, Inc. 17

フェーズ Percent 企画・要件定義フェーズ 53.4% 設計フェーズ 16.5% 開発中 14.6% コードのチェックイン 4.9% リリース前 8.7% Other 1.9%


OWASP Top 10


Asterisk Research, Inc.(c)


OWASP Top 10 容易 x 甚大な影響を及ぼす脆弱性。


A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング (XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード

Asterisk Research, Inc.(c)

「事前の策」 OWASP Proactive Controls

1.  クエリのパラメータ化 2.  エンコード処理 3.  入力値検証 4.  適切なアクセス制御 5.  アイデンティティ及び認証制御 6.  データ及びプライバシー保護 7.  ロギング、エラーハンドリング、侵入検知 8.  フレームワークとセキュリティライブラリの活用 9.  セキュリティ要件の考慮 10.  セキュリティ設計

16/02/05 ©2015 Asterisk Research, Inc. 20

原因をどうにかする「事前の策」 OWASP Proactive Controls 2016

1.  Verify for Security Early and Often 2.  Parameterize Queries 3.  Encode Data 4.  Validate All Inputs 5.  Implement Identity and Authentication Controls 6.  Implement Appropriate Access Controls 7.  Protect Data 8.  Implement Logging and Intrusion Detection 9.  Leverage Security Frameworks and Libraries 10.  Error and Exception Handling


2016年1月リリース日本語版もやってます

１．開発段階の早期に、繰り返しセキュリティ検証する２．クエリーのパラメータ化３．エンコード処理４．全ての入力値を検証する５．アイデンティティと認証６．アクセス制御の実装７．データの保護８．ロギングと侵入検知９．セキュリティフレームワークやライブラリの活用１０．エラー処理と例外処理

原因 → 結果正しい設計とコーディング → 脆弱性根絶。


OWASP Top 10

1: インジェク

ション

2: 認証とセッ

ション管理の不

備

3: クロスサイト

スクリプティン

グ

4: 安全でないオ

ブジェクト直接

参照

5: セキュリティ

設定のミス

6: 機密データの

露出

7: 機能レベルの

アクセス制御の

欠落

8: クロスサイト

リクエスト

フォージェリ

9: 既知の脆弱性

を持つコンポー

ネントの使用

10: 未検証のリ

ダイレクトと

フォワード

Proa

ctiv

e Co

ntro

ls

1: クエリのパラメータ化 ✔ 2: エンコード処理 ✔ ✔ 3: 入力値検証 ✔ ✔ ✔ 4: 適切なアクセス制御 ✔ ✔ 5: アイデンティティ及び認証制御 ✔ 6: データ及びプライバシー保護 ✔ 7: ロギング、エラーハンドリング、侵入検知 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 8: フレームワークとセキュリティライブラリの活用 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 9: セキュリティ要件の考慮 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 10: セキュリティ設計 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔

©2016 Asterisk Research, Inc.

“BuildSecurityIn”ステージゲートと対策のマッピング

犯罪ケース

セキュリティ要件

脅威分析

リスクベーステストプランコードレビュー

ペネトレーションテスト

品質分析セキュリティ運用

ユーザフィードバック

テストとテスト結果コーディングテスト計画

アーキテクチャーと

デザイン

要件定義とユースケース

vulnerability

１．開発の早い段階に、繰り返しセキュリティ検証２．クエリーのパラメータ化３．エンコード処理４．全ての入力値を検証する５．アイデンティティと認証６．アクセス制御の実装７．データの保護８．ロギングと侵入検知９．セキュリティフレームワークやライブラリの活用１０．エラー処理と例外処理



Built-In Security Boot Camp (CodeZine Academy Edition) で、もう少し詳しく学べます


“明日の開発リーダーを育てる学校” CodeZine Academy Built-In Security Boot Camp

http://event.shoeisha.jp/cza/20160307

http://event.shoeisha.jp/cza/20160307 3/7, 8開講分、絶賛受講申込受付中

Built-In Security Boot Camp (CodeZine Academy Edition) DAY1 脆弱性とその対応：脆弱性のあるコードとその修正 DAY2 プロアクティブな手法：脆弱性の発生を防ぐコーディングとプロセス


UNIT SKILLS

1 サイバーセキュリティ情勢とビルトイン・セキュリティの意義 (PCI DSS要件)

2 ソフトウェアの脆弱性、脅威と対策 - OWASP Top 10/CWE/SANS TOP 25 より

3 脆弱性修正ハンズオン（サンプルコードによる実習）

4 ワークショップ: ソフトウェアセキュリティ問題の情報収集とアクション

5 脆弱性の発生を防ぐ設計・コーディング (Proactive Controls)

6 脆弱性の発生を防ぐプロセス、ガイドライン (PCI DSS、ASVS、SDL)

7 ワークショップ：セキュア設計・開発のチームへの導入

8 ソフトウェア開発ライフサイクルにかかわる情報収集とアクション（BSIMM、OpenSAMM）

http://event.shoeisha.jp/cza/20160307 3/7, 8開講分、絶賛受講申込受付中

Enabling Security 28

ありがとうございます

28 | Enabling Security for Developers | ©2015 Asterisk Research, Inc.

Documents

Application Security Briefing & Discussion 2016 ... Security Briefing & Discussion 2016 アプリケーション・デリバリーの バリュー・チェイン Asterisk Research,

Application Security Briefing & Discussion 2016 ... Security Briefing & Discussion 2016 アプリケーション・デリバリーのバリュー・チェイン Asterisk Research,