超高速開発を実現するチームに必要なセキュリティとは

Transcript

1. 超⾼速開発を実現する チームに必要な セキュリティとは 株式会社アスタリスク・リサーチ エグゼクティブリサーチャ 岡⽥ 良太郎 [email protected] "シフトレフト"でセキュアなビジネスを実現 ©

   Asterisk Research, Inc.

2. 株式会社アスタリスク・リサーチ 岡⽥良太郎 岡⽥ 良太郎 代表・エグゼクティブリサーチャ CISA, MBA [email protected] 活動 -

   activities  WASForum Hardening Project オーガナイザ 衛る技術を顕彰する、8時間耐久ビジネス堅牢化技術競技プロジェクト  OWASP (Open Web Application Security Project) 世界最⼤のアプリケーションセキュリティ推進団体 ・OWASP Japan チャプターリーダ ・OWASP Top 10 翻訳チームリーダ ・OWASP Foundation “Best Chapter Leader”, “Best Community Supporter” 受賞（2014）  Hackademy（ハッキングと防御） 「ハッキングと防御」コース  ビジネスブレークスルー⼤学（学⻑ ⼤前研⼀） 「教養としてのサイバーセキュリティ」コース担当講師  独⽴⾏政法⼈ IPA 情報セキュリティ10⼤脅威選考委員  総務省 サイバーセキュリティ演習 CYDER 推進委員 © Asterisk Research, Inc. 2 創業2006年。企業の事業成⻑に貢献するセキュリティ実践を推進。

3. “シフトレフト” ⽀援サービスラインナップ アスタリスク・リサーチは、御社のセキュリティ対策の「シフトレフト」を効率よく実現するために、3つの取り組みがあります。 © Asterisk Research, Inc. 3 Professional Tools

   実践段階のQCDを⾼める道具 ・トレーニング ・Eラーニング ・開発環境向けツール(CI/CD) ・トレーニングイベントデザイン ・リスクプロファイルトレーニング ・脅威分析トレーニング Advisory Service 経営陣の⾼速な意思決定を実現するアドバイザリ ・PSIRT/CSIRT Advisory ・DevOps Transformation ・セキュリティ・スコアカード分析 ・エグゼクティブ向けブリーフィング ・CISO, CTO, CROハンズオン Security Test Managed Service セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis ・コンポーネント分析 SCA ・ソースコード分析 SAST ・システム脆弱性テスト DAST ・プラットフォームテスト NST

4. 主なお客様・参画プロジェクト © Asterisk Research, Inc. 4 ご活⽤いただいてきたお客様 参画・⽀援プロジェクト

5. セキュリティ版家庭の医学でました 「もはや経験のあるベテランの勘で経営 判断できる状況ではなく、持てる限りの データを活用し、迅速に判断し、アクショ ンを取らなければなりません」 「一方で、未成熟な技術に甘んじなけれ ばならない側面もあります」 「そこで、DXを進める上での前提は」 ओ࣠Λ੒͢ݤΛࣔ͢ͷষͱͷίϥϜ ͞ΒʹཧղΛਂΊΔͭͷ෇ষ

   શϖʔδɺ໊ͷࣥචਞʹΑΔɺ೥ץʹ͙࣍େ෯վగ৽൛ɻ "シフトレフト"でセキュアなビジネスを実現

6. 期待︓「ノーコード・ローコードは超⾼速︕」 • ノウハウ︓DXの促進。「ありもの活⽤」の魅⼒ • コスト削減︓⾼額になりがちな開発⼯期・⼯数の⼤幅な削減の期待。 • 業務︓ビジネス要件への対応の⽴ち上がりが早い期待がある • 変⾰︓データとプロセスの⾒直しにつながり、新しいアプローチの期待 “シフトレフト”でセキュアなビジネスを実現

   © Asterisk Research, Inc. 6

7. “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 7

8. チャット系 グループウェア オンライン会議系 社内SNS インストール型 総合 ナレッジ共有 日報 社内報 総合

   ワークフロー 総合 エンジニア コンサル マーケティング プラットフォーム型 Webサイト クラウドソーシング型 総合 クリエイティブ テスター・入力 翻訳・ライティング・編集 オンラインセミナー・イベント 人事 コミュニケーション 営業 周辺ツール ホワイトボード ノーコード iPaaS HP ECサイト フォーム ハード系 MA / CRMツール 名刺管理 メール 商談関連 フォームアタック D セールス支援 顧客管理 セールス セールス HR系 人事評価 エンゲージメント向上 エンゲージメント測定ツール 日程調整 デザイン 採用関連 人事関連 オンライン1on1 オンライン福利厚生 リモート人材活用 エージェント型 エンジニア 2021/02/08 現在 © Asterisk Research, Inc. そこで、何を実現するか

9. “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 9 https://www.optiv.com/navigating-security-landscape-guide-technologies-and-providers セキュリティは誰の仕事︖

10. OWASP API Security Top 10 https://owasp.org/www-project-api-security/ “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research,

    Inc. 10 API1:2019 オブジェクト・レベル認可の欠陥 API2:2019 ユーザー認証の欠陥 API3:2019 過剰なデータ露出 API4:2019 リソースの不足とレートの制限 API5:2019 機能レベル認証の欠陥 API6:2019 マスアサインメント API7:2019 セキュリティの誤設定 API8:2019 インジェクション API9:2019 不適切な資産管理 API10:2019 ロギングとモニタリングの不備

11. ゲスト︓Victor Keong /ビクター・キョンさん ݩ $JTDP
    4ZTUFNTࣾͷγχΞ$*40ʢ࠷ߴ৘ใηΩϡϦςΟ੹೚ऀʣΞυόΠβ ݩ %FMPJUUFͷϦεΫΞυόΠβϦʔαʔϏεύʔτφʢ೥ʣ ઐ໳෼໺͸ɺϦϞʔτϫʔΧʔͷηΩϡϦςΟɺσδλϧτϥϯεϑΥʔϝʔγϣϯͷਪਐɺ ٸ଎ͳΫϥ΢υͷಋೖɺΞδϟΠϧίϯϐϡʔςΟϯάɺ%FW4FD0QTɻ ۚ༥αʔϏεۀքɺελϯμʔυνϟʔλʔυۜߦɺγςΟόϯΫʢΞδΞʣɺ60#ɺࡾඛ

    6'+ۜߦʢ౦ژʣɺτϤλϑΝΠφϯεɺϝΠόϯΫɺΧγίϯۜߦɺαΠΞϜίϚʔγϟϧ όϯΫɺ4(9ͳͲΛ୲౰ɻ *4$ 
    ͷΞϝϦΧࢾ໰ҕһձʹ΋೚໋͞Ε·ͨ͠ɻ ೥ɺ"QQ4FDاۀ $IFDLNBSYࣾ ॳͷ(MPCBM
    $*40
    8IJTQFSFSब೚ɻ )#"
    *WFZ
    
    $*4"
    &.#"
    *WFZ
    
    $*441

12. ゲスト︓Victorさんからの教訓 ü $*40͸ɺʮίʔυʯͷηΩϡϦςΟΛͲ͏͢Δ͔͕࠷΋େࣄɻ ੺ͪΌΜΛѻ͏ؾ࣋ͪͰରԠ͢ΔνʔϜΛॿ͚Δඞཁ͕͋Δɻ ü ࣮ޮੑͷߴ͍ηΩϡϦςΟ͸ɺ։ൃʹدΓఴͬͨ΋ͷͰ͋ͬͯ͸͡Ίͯ͏· ͍͘͘ɻͦ͜Ͱमਖ਼Ͱ͖ΔͷͰηΩϡϦςΟνʔϜͱରཱ͠ͳ͍ɻ ü ϩʔίʔυͰਐΉϓϩδΣΫτͷվળʹ͸ɺʮϥετϫϯϚΠϧʢϦϦʔε ௚લʣͷηΩϡϦςΟςετʯͰ͸ͳ͘ɺ։ൃऀʹدΓఴͬͨηΩϡϦςΟ

    ࢧԉʹγϑτϨϑτ͢΂͖ɻ )#"
    *WFZ
    
    $*4"
    &.#"
    *WFZ
    
    $*441

13. ノーコード・ローコードの現実 ロックイン問題との 折り合い。 認証認可の設定、 ポリシー不足。 セキュリティレビュー 欠陥による設定の 欠陥、コードの欠陥 が散在。 Weakest

    Link。 ばらばらなサービ サーの実装レベル。 コントロールできな いパフォーマンスと コストバランス。 不透明なプライバ シーデータ保存、管 理。 コード管理がおろ そかに モニタリングと障 害対応の困難 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 13 全体設計⼒

14. OWASP API Top 10 https://owasp.org/www-project-api-security/ “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc.

    14 API1:2019 オブジェクト・レベル認可の欠陥 API2:2019 ユーザー認証の欠陥 API3:2019 過剰なデータ露出 API4:2019 リソースの不足とレートの制限 API5:2019 機能レベル認証の欠陥 API6:2019 マスアサインメント API7:2019 セキュリティの誤設定 API8:2019 インジェクション API9:2019 不適切な資産管理 API10:2019 ロギングとモニタリングの不備 1 6 9 10 2 3 4 5 7 8 サービサ 2 3 4 5 7 8 ユーザ セキュリティ責任はサービサーにもユーザにもある。

15. © Asterisk Research, Inc.

16. セキュリティ脆弱性は設計の問題＋実装の問題。 Design – 設計 Implement – 実装 “シフトレフト”でセキュアなビジネスを実現 © Asterisk

    Research, Inc. 16 入力データ信 頼の条件 採用する認証 メカニズム 認証と認可 データと制御 の分離 暗号化と機密 データの識別 外部コンポー ネントの影響 ログ、エラー の取扱要件 想定脅威の分 析 データベース アクセス エンコーディン グとエスケープ 入力値検証 IDと認証管理 アクセス制御 データ保護 ログ、モニタリ ングの機能 エラー処理と 例外処理 設計を反映する「コード」の管理と改善がキモ

17. 本⽇の、ASTERISKセレクション “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 17

18. アプリケーションセキュリティ・テストの世界の牽引役、リーダー Gartner Magic Quadrant “Leader” “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc.

    18 Checkmarx社は、アプリケーションセキュリ ティ・テスト市場で実⾏能⼒とビジョンの完全性の評 価で前年に引き続き”リーダー”に指名されました。 11社のAST（アプリケーションセキュリティ・テスト）ベンダー各社 を調査しビジョンの完全性と実⾏能⼒の観点で評価した結果レポート の詳細を以下のURLよりご覧になれます。 Gartner Magic Quadrant for AST 2019︓ https://info.checkmarx.com/wp-gartner-mq-2019 ガートナー社マジッククアドラントは、特定の市場における同社のリサーチの集大成であり、 成長市場で競合しているベンダーを4つのクアドラント（象限）のいずれかで取り上げ、各社の 相対的な位置付けを広い視野から提示しています。

19. ユーザーと専⾨家の声︓Gartner Peer Insightsでの評価 Customerʼs Choice Award 受賞 “Checkmarx社の「シフトレフト」アプローチ は、ソフトウェア開発ライフサイクルの早い段 階でセキュリティ脆弱性を⾒つけ出し、コード

    が本番環境に展開される前に修正するには、最 適な⽅法です” •サービス業、情報セキュリティ部⾨、シニアマネージャー “Checkmarx社のソリューションで最も気に ⼊っているところは、我々のCI/CD （継続的インテグレーション / 継続的デリバ リー） パイプラインへ簡単に統合できた点で す。” •サービス業、クラウド開発サービス部⾨、エンジニアリン グ・ディレクター “開発者に優しい作りの製品のため、 我が社の開発者たちにもすぐに受け ⼊れられました。” •サービス業、個⼈保険会社、ITセキュリ ティ・アーキテクチャ部⾨、技術者 “業界トップクラスのツールを探してい るなら、CheckmarxのSASTツール導 ⼊をお薦めします。” •製造業、セキュリティ管理部⾨、シニア・ アプリケーションセキュリティ・スペシャ リスト “Checkmarxのテクニカルサポー トは、無駄なく効率的で、⾏き届い た⽀援をしてくれました。” •⾦融業、システムスペシャリスト “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 19 https://www.gartner.com/reviews/market/application-security-testing/compare/checkmarx

20. Asteriskセレクション︓Checkmarx CxSAST Gartner:「開発者が最も使いやすい」理由︓既存環境との連携の⾼さ “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 20 IDEプラグイン

    CI/CD統合

21. DEMOを⾒せていただきましょう Checkmarx CxSAST “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 21

22. Demo1: CxSAST– セキュリティ状況可視化ダッシュボード プロジェクトごとの状況と傾向をリアルタイムに把握できる管理機能 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 22

    リスクレベルの数値化 レポートの閲覧と出⼒ 各プロジェクトの脆弱性診断結果の集約

23. Demo2: CxSAST – 実際のスキャン結果ビューア 脆弱性検出、データフロー追跡、重要度インデックス、ガイダンス “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc.

    23 3. 重要度の明⽰とインデックス 4. 脆弱性の詳細説明 と修正ガイダンス 1. コードレベルの 脆弱性を検出 2. データフロー 追跡

24. Demo3: CxSAST – Best Fix Location データフロー追跡により「ベストフィックスロケーション」を指摘。これは便利。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk

    Research, Inc. 24 88個のStored_XSS脆弱性検出 複数の脆弱性に効く最適修正箇所の指摘 リスクレベル別に分けた指摘事項

25. Audience: あなたの問題場所は︖ 1. 提供サービスの全体像をまとめ、ロードマップを⽰す 2. チームがツールとともに、修正すべき脆弱性を発⾒する 3. セキュリティが、変化の激しい開発にマッチする 4. 良いサイクルを作る道筋をたてる

    "シフトレフト"でセキュアなビジネスを実現 © Asterisk Research, Inc. 25

26. As is… © Asterisk Research, Inc. 26 "シフトレフト"でセキュアなビジネスを実現

27. Step by step © Asterisk Research, Inc. 27 "シフトレフト"でセキュアなビジネスを実現

28. アクション提案 週明けに早速︕ ü 御社の開発・運⽤チームをねぎらってあげ てください︕ ü 情報・ノウハウ不⾜がボトルネックになっ ていませんか。CISOハンドブック︕ ü OSSコードと⾃社開発コードの管理、アッ

    プデートはどうしていますか。 ü 「トライアル」をやると、現状と改善の フィット感を確認できます。 半年以内に検討してください ü 現場部⾨は、どのように信頼できる情報源 やアドバイザの確保 ü コードを管理・改善できる、仕組みの導⼊ ü CEO, CISOなど経営陣が、企業のリスクと スキルにフィットする意思決定のための現 状と⽬標の可視化 ü 「アセスメントで現状を可視化」すると 課題と⽬標が⾒えます。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 28

29. Q. まだまだわからないことがあります︕ A. 資料をお送りします︕ Q.「システム脆弱性診断をしたのですが、修正が追いつきません」︓ A. 最新のシステムを、脆弱性ベンダーによるテストをするのはほぼ不 可能です。また、ブラックボックステストでは原理的に修正すべき原 因であるコードを特定できません。 いかなる脆弱性対応も、コードを更新・修正することが必要なのです

    から、開発中のコードチェックが最も時短につながり、最も効率が⾼ いのです。OWASP Top 10をはじめ、さまざまな視点で整理してくれ ます。 Q.「対応能⼒に課題があります」 A. 問題がたくさん指摘されても、どれほど深刻なのか、またどのよう に修正すべきなのかチームが途⽅に暮れることはありません。的確に 優先順位と、データフローにより効果的な修正箇所をガイドします。 Q.「コストを上回る効果を出せますでしょうか」 A. 開発しているコードは⼤抵1万-数⼗万⾏に及び、毎週更新さ れます。統計上「1000⾏あたり1から25箇所に問題」があると いわれています(NIST-IR 8151)。⽇々のコード改善活動により、 この問題はすぐに⽬覚ましいレベルでリスクを減らすことがで き、脆弱性テスト結果だけに依存することから解放されます。 Q.「修正反映が⼿間で、徹底できません」 A. CxSASTは、普段のプログラム管理の環境に連携させること ができます。⽇々の環境に⼿動で移し替える必要はありません。 変更せずに能⼒アップさせることができます。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 29

30. 「どこから始めようか︖」 [email protected] 2006年創業の、⽇本のリサーチサービス企業です。ご相談ください。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 30 改善計画に役⽴つサービス、あります。

    • ブリーフィング・トレーニング • 製品・サービスの選定やPOC⽀援 • リスクトレンドのアップデートと対応訓練計画 • グローバルコンプライアンスに対応したセキュリティテスト • SAMMスコアカードで実践⽀援︓PSIRTアドバイザリ 業界特化にも、対応を拡げています。 ⾦融、医療、ライフライン、製造、流通、サービスまたソフト ウェア業界において、品質管理、⽣産技術、リスクやコンプラ イアンスに関わる部⾨はもちろん、⾼速に成⻑させるミッショ ンのある事業経営部⾨のお客様をご⽀援しています。 ʮΞελϦεΫϦαʔνʯͰݕࡧ