Upgrade to Pro — share decks privately, control downloads, hide ads and more …

超高速開発を実現するチームに必要なセキュリティとは

 超高速開発を実現するチームに必要なセキュリティとは

超高速開発を実現するチームに必要なセキュリティとは

株式会社アスタリスク・リサーチ
エグゼクティブリサーチャ
岡田良太郎

日経BP主催イベントでの講演資料

Riotaro OKADA

June 22, 2021
Tweet

More Decks by Riotaro OKADA

Other Decks in Business

Transcript

  1. 株式会社アスタリスク・リサーチ 岡⽥良太郎 岡⽥ 良太郎 代表・エグゼクティブリサーチャ CISA, MBA [email protected] 活動 -

    activities  WASForum Hardening Project オーガナイザ 衛る技術を顕彰する、8時間耐久ビジネス堅牢化技術競技プロジェクト  OWASP (Open Web Application Security Project) 世界最⼤のアプリケーションセキュリティ推進団体 ・OWASP Japan チャプターリーダ ・OWASP Top 10 翻訳チームリーダ ・OWASP Foundation “Best Chapter Leader”, “Best Community Supporter” 受賞(2014)  Hackademy(ハッキングと防御) 「ハッキングと防御」コース  ビジネスブレークスルー⼤学(学⻑ ⼤前研⼀) 「教養としてのサイバーセキュリティ」コース担当講師  独⽴⾏政法⼈ IPA 情報セキュリティ10⼤脅威選考委員  総務省 サイバーセキュリティ演習 CYDER 推進委員 © Asterisk Research, Inc. 2 創業2006年。企業の事業成⻑に貢献するセキュリティ実践を推進。
  2. “シフトレフト” ⽀援サービスラインナップ アスタリスク・リサーチは、御社のセキュリティ対策の「シフトレフト」を効率よく実現するために、3つの取り組みがあります。 © Asterisk Research, Inc. 3 Professional Tools

    実践段階のQCDを⾼める道具 ・トレーニング ・Eラーニング ・開発環境向けツール(CI/CD) ・トレーニングイベントデザイン ・リスクプロファイルトレーニング ・脅威分析トレーニング Advisory Service 経営陣の⾼速な意思決定を実現するアドバイザリ ・PSIRT/CSIRT Advisory ・DevOps Transformation ・セキュリティ・スコアカード分析 ・エグゼクティブ向けブリーフィング ・CISO, CTO, CROハンズオン Security Test Managed Service セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis ・コンポーネント分析 SCA ・ソースコード分析 SAST ・システム脆弱性テスト DAST ・プラットフォームテスト NST
  3. チャット系 グループウェア オンライン会議系 社内SNS インストール型 総合 ナレッジ共有 日報 社内報 総合

    ワークフロー 総合 エンジニア コンサル マーケティング プラットフォーム型 Webサイト クラウドソーシング型 総合 クリエイティブ テスター・入力 翻訳・ライティング・編集 オンラインセミナー・イベント 人事 コミュニケーション 営業 周辺ツール ホワイトボード ノーコード iPaaS HP ECサイト フォーム ハード系 MA / CRMツール 名刺管理 メール 商談関連 フォームアタック D セールス支援 顧客管理 セールス セールス HR系 人事評価 エンゲージメント向上 エンゲージメント測定ツール 日程調整 デザイン 採用関連 人事関連 オンライン1on1 オンライン福利厚生 リモート人材活用 エージェント型 エンジニア 2021/02/08 現在 © Asterisk Research, Inc. そこで、何を実現するか
  4. OWASP API Security Top 10 https://owasp.org/www-project-api-security/ “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research,

    Inc. 10 API1:2019 オブジェクト・レベル認可の欠陥 API2:2019 ユーザー認証の欠陥 API3:2019 過剰なデータ露出 API4:2019 リソースの不足とレートの制限 API5:2019 機能レベル認証の欠陥 API6:2019 マスアサインメント API7:2019 セキュリティの誤設定 API8:2019 インジェクション API9:2019 不適切な資産管理 API10:2019 ロギングとモニタリングの不備
  5. ノーコード・ローコードの現実 ロックイン問題との 折り合い。 認証認可の設定、 ポリシー不足。 セキュリティレビュー 欠陥による設定の 欠陥、コードの欠陥 が散在。 Weakest

    Link。 ばらばらなサービ サーの実装レベル。 コントロールできな いパフォーマンスと コストバランス。 不透明なプライバ シーデータ保存、管 理。 コード管理がおろ そかに モニタリングと障 害対応の困難 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 13 全体設計⼒
  6. OWASP API Top 10 https://owasp.org/www-project-api-security/ “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc.

    14 API1:2019 オブジェクト・レベル認可の欠陥 API2:2019 ユーザー認証の欠陥 API3:2019 過剰なデータ露出 API4:2019 リソースの不足とレートの制限 API5:2019 機能レベル認証の欠陥 API6:2019 マスアサインメント API7:2019 セキュリティの誤設定 API8:2019 インジェクション API9:2019 不適切な資産管理 API10:2019 ロギングとモニタリングの不備 1 6 9 10 2 3 4 5 7 8 サービサ 2 3 4 5 7 8 ユーザ セキュリティ責任はサービサーにもユーザにもある。
  7. セキュリティ脆弱性は設計の問題+実装の問題。 Design – 設計 Implement – 実装 “シフトレフト”でセキュアなビジネスを実現 © Asterisk

    Research, Inc. 16 入力データ信 頼の条件 採用する認証 メカニズム 認証と認可 データと制御 の分離 暗号化と機密 データの識別 外部コンポー ネントの影響 ログ、エラー の取扱要件 想定脅威の分 析 データベース アクセス エンコーディン グとエスケープ 入力値検証 IDと認証管理 アクセス制御 データ保護 ログ、モニタリ ングの機能 エラー処理と 例外処理 設計を反映する「コード」の管理と改善がキモ
  8. アプリケーションセキュリティ・テストの世界の牽引役、リーダー Gartner Magic Quadrant “Leader” “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc.

    18 Checkmarx社は、アプリケーションセキュリ ティ・テスト市場で実⾏能⼒とビジョンの完全性の評 価で前年に引き続き”リーダー”に指名されました。 11社のAST(アプリケーションセキュリティ・テスト)ベンダー各社 を調査しビジョンの完全性と実⾏能⼒の観点で評価した結果レポート の詳細を以下のURLよりご覧になれます。 Gartner Magic Quadrant for AST 2019︓ https://info.checkmarx.com/wp-gartner-mq-2019 ガートナー社マジッククアドラントは、特定の市場における同社のリサーチの集大成であり、 成長市場で競合しているベンダーを4つのクアドラント(象限)のいずれかで取り上げ、各社の 相対的な位置付けを広い視野から提示しています。
  9. ユーザーと専⾨家の声︓Gartner Peer Insightsでの評価 Customerʼs Choice Award 受賞 “Checkmarx社の「シフトレフト」アプローチ は、ソフトウェア開発ライフサイクルの早い段 階でセキュリティ脆弱性を⾒つけ出し、コード

    が本番環境に展開される前に修正するには、最 適な⽅法です” •サービス業、情報セキュリティ部⾨、シニアマネージャー “Checkmarx社のソリューションで最も気に ⼊っているところは、我々のCI/CD (継続的インテグレーション / 継続的デリバ リー) パイプラインへ簡単に統合できた点で す。” •サービス業、クラウド開発サービス部⾨、エンジニアリン グ・ディレクター “開発者に優しい作りの製品のため、 我が社の開発者たちにもすぐに受け ⼊れられました。” •サービス業、個⼈保険会社、ITセキュリ ティ・アーキテクチャ部⾨、技術者 “業界トップクラスのツールを探してい るなら、CheckmarxのSASTツール導 ⼊をお薦めします。” •製造業、セキュリティ管理部⾨、シニア・ アプリケーションセキュリティ・スペシャ リスト “Checkmarxのテクニカルサポー トは、無駄なく効率的で、⾏き届い た⽀援をしてくれました。” •⾦融業、システムスペシャリスト “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 19 https://www.gartner.com/reviews/market/application-security-testing/compare/checkmarx
  10. Demo2: CxSAST – 実際のスキャン結果ビューア 脆弱性検出、データフロー追跡、重要度インデックス、ガイダンス “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc.

    23 3. 重要度の明⽰とインデックス 4. 脆弱性の詳細説明 と修正ガイダンス 1. コードレベルの 脆弱性を検出 2. データフロー 追跡
  11. Demo3: CxSAST – Best Fix Location データフロー追跡により「ベストフィックスロケーション」を指摘。これは便利。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk

    Research, Inc. 24 88個のStored_XSS脆弱性検出 複数の脆弱性に効く最適修正箇所の指摘 リスクレベル別に分けた指摘事項
  12. アクション提案 週明けに早速︕ ü 御社の開発・運⽤チームをねぎらってあげ てください︕ ü 情報・ノウハウ不⾜がボトルネックになっ ていませんか。CISOハンドブック︕ ü OSSコードと⾃社開発コードの管理、アッ

    プデートはどうしていますか。 ü 「トライアル」をやると、現状と改善の フィット感を確認できます。 半年以内に検討してください ü 現場部⾨は、どのように信頼できる情報源 やアドバイザの確保 ü コードを管理・改善できる、仕組みの導⼊ ü CEO, CISOなど経営陣が、企業のリスクと スキルにフィットする意思決定のための現 状と⽬標の可視化 ü 「アセスメントで現状を可視化」すると 課題と⽬標が⾒えます。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 28
  13. Q. まだまだわからないことがあります︕ A. 資料をお送りします︕ Q.「システム脆弱性診断をしたのですが、修正が追いつきません」︓ A. 最新のシステムを、脆弱性ベンダーによるテストをするのはほぼ不 可能です。また、ブラックボックステストでは原理的に修正すべき原 因であるコードを特定できません。 いかなる脆弱性対応も、コードを更新・修正することが必要なのです

    から、開発中のコードチェックが最も時短につながり、最も効率が⾼ いのです。OWASP Top 10をはじめ、さまざまな視点で整理してくれ ます。 Q.「対応能⼒に課題があります」 A. 問題がたくさん指摘されても、どれほど深刻なのか、またどのよう に修正すべきなのかチームが途⽅に暮れることはありません。的確に 優先順位と、データフローにより効果的な修正箇所をガイドします。 Q.「コストを上回る効果を出せますでしょうか」 A. 開発しているコードは⼤抵1万-数⼗万⾏に及び、毎週更新さ れます。統計上「1000⾏あたり1から25箇所に問題」があると いわれています(NIST-IR 8151)。⽇々のコード改善活動により、 この問題はすぐに⽬覚ましいレベルでリスクを減らすことがで き、脆弱性テスト結果だけに依存することから解放されます。 Q.「修正反映が⼿間で、徹底できません」 A. CxSASTは、普段のプログラム管理の環境に連携させること ができます。⽇々の環境に⼿動で移し替える必要はありません。 変更せずに能⼒アップさせることができます。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 29
  14. 「どこから始めようか︖」 [email protected] 2006年創業の、⽇本のリサーチサービス企業です。ご相談ください。 “シフトレフト”でセキュアなビジネスを実現 © Asterisk Research, Inc. 30 改善計画に役⽴つサービス、あります。

    • ブリーフィング・トレーニング • 製品・サービスの選定やPOC⽀援 • リスクトレンドのアップデートと対応訓練計画 • グローバルコンプライアンスに対応したセキュリティテスト • SAMMスコアカードで実践⽀援︓PSIRTアドバイザリ 業界特化にも、対応を拡げています。 ⾦融、医療、ライフライン、製造、流通、サービスまたソフト ウェア業界において、品質管理、⽣産技術、リスクやコンプラ イアンスに関わる部⾨はもちろん、⾼速に成⻑させるミッショ ンのある事業経営部⾨のお客様をご⽀援しています。 ʮΞελϦεΫϦαʔνʯͰݕࡧ