TOP /  セキュリティ/認証 /  ベテランアーキテクトが語る、セキュアなソフトウェア開発の勘所

ベテランアーキテクトが語る、セキュアなソフトウェア開発の勘所 | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

(基調講演)情報漏洩事件からのシフトレフト ~アプリケーションセキュリティの現況・必要性・展望について~  (株式会社アスタリスク・リサーチ 岡田 良太郎)

Webアプリケーションにおけるセキュアアーキテクチャ構築の起点~OWASP Top10 - 2017を起点に~  (株式会社オージス総研 安藤 崇周)

サービスが本当に必要としているセキュリティテストとは  (株式会社アスタリスク・リサーチ ロバート・ドラーチャ)

オージス総研のアプリケーションセキュリティソリューション  (株式会社オージス総研 早苗 朋宏)

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
4.5 でした!(5点満点中)
セミナー名 ベテランアーキテクトが語る、セキュアなソフトウェア開発の勘所
講演企業 株式会社アスタリスク・リサーチ 、株式会社オージス総研 、株式会社アスタリスク・リサーチ 、株式会社オージス総研
開催日 2018年03月09日
匿名の参加者
実際の開発現場での経験に基づくリアルな話を聞けて良かったです。
匿名の参加者
セキュリティ診断ソフトを導入していますが、皆様がおっしゃられていた通り、リリース直前で行っており、対応できないことが多々あります。 診断の目的自体を持っていないため、一度実施時期を含めて検討したいです。
匿名の参加者
テーマにある「勘所」という点では、岡田様のお話がとても興味深いものでした。 短いセクションを複数ではなく、「勘所」を深堀された内容だとより良かったと思いました。
匿名の参加者
・セキュリティの危機感を再認識させられました。 ・OWASP 2017が日本語になっていることがうれしいです。
匿名の参加者
セキュリティに関する詳細について確認出来た。(とても勉強になりました)
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
OWASPということなど、これまで参照したこともなかったので、とても参考になった。
株式会社みずほトラストシステムズ 村井貴文さん
セキュリティ関連のツールについて、知識を得ることができ良かった。
匿名の参加者
最後の質疑応答が最も参考になりました。もう少し時間があったら良かったかも。
匿名の参加者
コメントなし
匿名の参加者
経験に基づき裏事情を含めた回答が良かった。
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
シフトレフトの考え方がよくわかった
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
OWASP TOP10 の存在を知れたこと。読んでみます。
匿名の参加者
コメントなし
匿名の参加者
質疑にてセキュリティ案件の優先度を決めて対応する話が為になった。
匿名の参加者
オープンソースのチェックツール等、様々なものが自動チェックできることを知る事が出来た。
匿名の参加者
最後の質疑応答は良かったです。
SCSK株式会社 鰈崎義之さん
シフトレフト、社内にも浸透させたいと感じた。
匿名の参加者
質疑応答でしっかりと答えて頂けて良かったです。

2018.3.9
情報漏洩事件からのシフトレフト
∼ アプリケーションセキュリティの現況・必要性・展望について ∼
アスタリスク・リサーチ
岡田良太郎
riotaro@rsrch.jp
OWASP
Riotaro OKADA
o
S
k
)








3
YDk
i
(
) B
t
Ea y
r
p
C
A (
o gR k E
x
r
d D mEY
En
eE
jk T
P
J
EWc
jk
H
E
T
Ou
MP
F
eE
G
)
jk
TI
© Asterisk Research, Inc.
@
A
@
Enabling Security
http://www.lefigaro.fr/secteur/high-tech/2017/01/30/32001-20170130ARTFIG00169-un-virus-informatique-paralyse-un-hotel-de-luxe-en-autriche.php
6
©Asterisk Research, Inc.
拡大
Web service
Apple / Google / Amazon
問題はどこで起きているのか
ソフトウェア
ENISA脅威トレンド Top15 (2018/1発表)
1.マルウェア
2.ウェブブラウザベースの攻撃
3.ウェブアプリケーションへの攻撃
4.フィッシング
5.スパム
6.DoS
7.ランサムウェア
8.ボットネット
9.内部脅威
10.物理的な操作/損害/盗難/紛失
11.データ漏洩
12.Id盗難
13.情報漏洩
14.エクスプロイトキット
15.サイバースパイ
ビジネス環境が騒ぎ始めている
PCIDSS: 2018
EC
3
2018
6
1
1
PCIDSS
2
15

© Asterisk Research, Inc.
PCI DSS
国際的なクレジット産業向けのデータセキュリティ基準
(Payment Card Industry Data Security Standard)
要件6
p
要件10
p
要件11
p
16
安全性の高いシステムとアプリケー
ションを開発し、保守すること
ネットワーク資源およびカード会員
データに対するすべてのアクセスを
追跡し、監視すること
セキュリティ・システムおよび管理
手順を定期的にテストすること
© Asterisk Research, Inc.
PCI DSS強化ポイント
PI
P
0
6
0
0
.
0
.
0
6
0:
17
0
0
1
0
)
62
0
6
.
6
6
S
.
0
1
0
D(
PC
6
6
.
1
.
© Asterisk Research, Inc.
0
Security is
"
Fairy Tales for children - Three Little Pigs and the Big Bad Wolf
https://www.youtube.com/watch?v=WWFYuPkQHY4
,
, ,
.
.
1
,
8
Security as a business enabler
シフトレフト
19
© Asterisk Research, Inc.
SHIFT LEFT
#
自動車: 「何をどのように作るか」が重要
22
© Asterisk Research, Inc.
ロー・バリュー・チェインからの変化
SHIFT LEFT
SHIFT LEFT
ロー・バリュー・チェインからの変化
SHIFT LEFT
SHIFT LEFT
SHIFT LEFT
SANS調査:
「セキュリティ重点フェーズはどの段階ですか」
1) ()
53.40% 16.50% 14.60%
4.90%
8.70%
55
1.90%
05
5
A
25
20
© Asterisk Research, Inc.
26
/1
5
C
6
© Asterisk Research, Inc.
31
OWASP Top 10
NOM -6 3EI C
(
OWASP Top 10 2017
27
© Asterisk Research, Inc.
DevSecOps = DevOps + Sec
!
28
© Asterisk Research, Inc.
チェインを断ち切れ
#
1IS
29
#
T
3
2
L
E
H
F
#
© Asterisk Research, Inc.
どの情報が不足しているか
7
h
7
e
nA
e
d
A
T 7
rA
tpA
SN
N
31
N
7
L7
0 /
E
c
T
1
2/
A
2
E
s
I
a
© Asterisk Research, Inc.
セキュアなコードを書いているか
セキュアなコードを書いているか
チェックリストをつくれ
p
p
p
コーディング標準
テスト視点のリスト
脆弱性を生み出す「むらともれ」
コードはテストをせよ
p
p
自動化されると、修正すべきものがわかる。
OWASP ZAP(free), Fiddler(commercial)などはhttpベースのセキュリティテストに有

p
コードレビュアー
SecureAssist (Java, .NET, PHP, JavaScript)
Find Security Bugs (Java)
A = f(p, s, e)
34
© Asterisk Research, Inc.
. ,
,
Case
35
© Asterisk Research, Inc.
Build your strategy!
36
© Asterisk Research, Inc.
37
© Asterisk Research, Inc.
SHIFT LEFT
「 過ちを気に病むことはない。
ただ認めて、次への糧とすればいい。
それが、大人の特権だ」
-フル・フロンタル
SHIFT LEFT
「30秒の確認と3時間のやり直し、
どっちがいい?」
SHIFT LEFT
「たんぽぽを盛りつければ、
刺身や寿司がうまくなるのかって話」
SHIFT LEFT
#
SHIFT LEFT
#
43
© Asterisk Research, Inc.

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!

関連するセミナーの講演資料
オープンソースで実現するシングルサインオンの概要(Offce365連携から、会員統合、ソーシャル連携、多要素認証まで) デジタル革命時代の「攻めと守りの認証/ID管理」(基調講演:NIST SP800-63-3 などに見る、サイバーセキュリティ対策の国際動向/みずほ銀行など採用、パスワード不要のFIDO最新動向) 【東京開催】オープンソース「OpenAM」によるシングルサインオンの概要 ~ IDaaS等との比較、導入時の注意点 ~ 【福岡開催】オープンソース「OpenAM」によるシングルサインオンの概要 ~ IDaaS等との比較、導入時の注意点や体験談も ~ オープンソース(OpenAM / Keycloak)によるシングルサインオンの概要と、商用製品やIDaaSとの比較 WordPressサイトを常時SSL化する方法と、常時SSL化による新たな脆弱性問題 クラウド活用+リモートワークのためのIDライフサイクル管理の重要性(基本機能無料のIDaaS SKUID+LDAP Managerでの解決策) 悪意のリモートワーカーを前提にしたセキュリティ対策(情報セキュリティガイドラインをどう改定すればよいのか?) 【SIer向け】顧客企業の「認証・ID管理」の課題を理解し、オープンソース(OpenAMなど)を活用した「刺さる提案」をするために Googleが推奨しているWebサイトの常時SSL化によって、逆に生じるセキュリティ問題があることをご存知ですか?