セキュア開発に必要なスキル セットについて考えてみた

Transcript

1. 2025/2/25 セキュア開発に必要なスキル セットについて考えてみた KINTOテクノロジーズ株式会社 森野正訓

2. ©KINTO Corporation. All rights reserved. 2 目次 1 自己紹介 2

   3 セキュア開発とは 6 4 セキュア開発に最も必要なスキルはなんだろう どのようにスキルを磨くのか 5 当社関連イベントの紹介

3. ©KINTO Corporation. All rights reserved. 3 自己紹介 1

4. ©KINTO Corporation. All rights reserved. 4 自己紹介 【名前】 森野 正訓（もりの

   まさのり） 【所属】 ◼ KINTOテクノロジーズ IT/IS部 セキュリティ・プライバシーグループ ◼ トヨタファイナンシャルサービス IT/IS部 ISチーム 【経歴】 2022年7月にKINTOテクノロジーズ株式会社に入社。 主にプロダクトセキュリティ、セキュリティガバナンスを担当。

5. ©KINTO Corporation. All rights reserved. 5 KINTOテクノロジーズ株式会社について

6. ©KINTO Corporation. All rights reserved. 6 セキュア開発とは 2

7. ©KINTO Corporation. All rights reserved. 7 セキュアコーディング セキュア開発と言えば私が真っ先に思い浮かぶもの 徳丸本 https://wasbook.org/

   OWASP Top Ten https://owasp.org/www-project-top-ten/

8. ©KINTO Corporation. All rights reserved. 8 Secure Software Development Framework

   (SSDF) NIST SP800-218にてセキュア開発を行うための推奨事項（セキュリティバイデザイン、シフト レフトを実践するための項目など）が纏められている。 https://csrc.nist.gov/Projects/ssdf

9. ©KINTO Corporation. All rights reserved. 9 セキュア開発に最も必要なスキルはなんだろう 3

10. ©KINTO Corporation. All rights reserved. 10 SSDFを実践すれば情報セキュリティインシデントは起こらないのか 例えば右記の事例はSSDFを実践していたと しても防止できなかったと思われる。 インシデントを起こしてしまった人の情報セキュ

    リティに対する意識が高ければ、このインシデ ントは起こらなかった。 情報セキュリティのリスクを感じ取れる力がセ キュア開発に最も必要なスキル。 https://xtech.nikkei.com/atcl/nxt/news/ 18/09551/?n_cid=nbpnxt_twbn

11. ©KINTO Corporation. All rights reserved. 11 どのようにスキルを磨くのか 4

12. ©KINTO Corporation. All rights reserved. 12 被害事例や原因を知る 被害事例や原因を知ることで、情報セキュリティのリスクを感じ取れる力を養うことができるが、 セキュリティに興味がない人にどうやって興味・関心を持って貰えるのだろうか。

13. ©KINTO Corporation. All rights reserved. 13 サイバーポリスゲーム https://www.pref.aichi.jp/police/anzen/cyber/images/soshikibanmen.pdf

14. ©KINTO Corporation. All rights reserved. 14 サイバーポリスゲーム - あいち情報セキュリティ五箇条 https://www.pref.aichi.jp/police/anzen/cyber/images/wa-kushi-togokajou.pdf

15. ©KINTO Corporation. All rights reserved. 15 サイバーポリスゲーム - 問題解決カード（問題） https://www.pref.aichi.jp/police/anzen/cyber/images/monndaiinnsatsu2.pdf

16. ©KINTO Corporation. All rights reserved. 16 サイバーポリスゲーム - 問題解決カード（解説） https://www.pref.aichi.jp/police/anzen/cyber/images/monndaiinnsatsu2.pdf

17. ©KINTO Corporation. All rights reserved. 17 サイバーポリスゲーム – クイズカード（問題） https://www.pref.aichi.jp/police/anzen/cyber/images/kuizuinnsatsu2.pdf

18. ©KINTO Corporation. All rights reserved. 18 サイバーポリスゲーム – クイズカード（解説） https://www.pref.aichi.jp/police/anzen/cyber/images/kuizuinnsatsu2.pdf

19. ©KINTO Corporation. All rights reserved. 19 当社関連イベントの紹介 5

20. ©KINTO Corporation. All rights reserved. 20 Cloud Security Night Ubie株式会社と当社でクラウドセキュリティの勉強会を開催するのでご興味ある方は是非、

    ご参加ください。 https://kinto-technologies.connpass.com/event/345916/

21. ©KINTO Corporation. All rights reserved. 21 P3NFEST 2025 Winter Issue

    Hunt社主催の学生向けバグバウンティプログラムにプログラムを提供しているので学生で 興味のある方はチャレンジしてみてください。 https://issuehunt.jp/events/2025/winter/news/bugbounty

22. Thank you！