Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Introducing OWASP Top10 Privacy Risks #OWASP Night 21th

OWASP Japan
June 13, 2016
0
390

Introducing OWASP Top10 Privacy Risks #OWASP Night 21th

OWASP Japan

June 13, 2016
Tweet

More Decks by OWASP Japan

See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
280
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
740
20190107_AbuseCaseCheatSheet
owaspjapan
0
130
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
660
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
2.7k
Shifting Left Like a Boss
owaspjapan
2
260
OWASP Top 10 and Your Web Apps
owaspjapan
2
350
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
180
elegance_of_OWASP_Top10_2017
owaspjapan
2
440

Featured

See All Featured
For a Future-Friendly Web
brad_frost
168
8.2k
Become a Pro
speakerdeck
PRO
8
3.5k
In The Pink: A Labor of Love
frogandcode
135
21k
No one is an island. Learnings from fostering a developers community.
thoeni
14
1.7k
Done Done
chrislema
178
15k
Building Adaptive Systems
keathley
29
1.5k
How to Ace a Technical Interview
jacobian
271
22k
Creatively Recalculating Your Daily Design Routine
revolveconf
208
11k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
352
21k
The Invisible Side of Design
smashingmag
292
49k
Happy Clients
brianwarren
92
6k
Making the Leap to Tech Lead
cromwellryan
119
8k

Transcript

  1. Introducing
    OWASP Top 10 Privacy Risks
    Project
    2016.06.13
    OWASP Night 21th

    View Slide

  2. 高塩 浩明(たかしお ひろあき)
    2000年ごろ:とあるWeb基盤システム開発に従事
    ● とある脆弱性と出会いWebセキュリティに興味関心
    ● とあるWebアプリケーションサーバ企業にてコンサルに従事
    2006年11月:現職(アプリケーションエンジニア)
    ● とあるStruts2脆弱性と出会いWebセキュリティ活動に従事
    2014年08月:現職(セキュリティエンジニア)
    ● おもに不正アクセス(脆弱性・なりすまし)対策に従事
    ● デジタルアイデンティティ・プライバシーに興味関心

    View Slide

  3. View Slide

  4. 概要
    ● Webアプリケーションにおけるプライバシーリスクのトップ10
    リストとその対策を提供する
    ● 法律上の問題だけでなく、現実(real-life)のリスクに焦点を
    当て、技術的および組織的な側面をカバーする
    ● Webアプリケーションにおける「プライバシー・バイ・デザイ
    ン」を実装する方法のヒントを提供する
    ● リストは「OECDプライバシーガイドライン」を参照し、特定の
    Webアプリケーションに関連したプライバシーリスクを評価
    するために使用できる

    View Slide

  5. 沿革
    ● プロジェクト開始(2014/02/20)
    ● Top 10 Privacy Risks v1.0 発表(2014/09/21)
    ● IPEN Workshop 2014(2014/09/26)
    ● OWASP Day 2014(2014/12/09)
    ● IAPP Global Privacy Summit 2015(2015/03/05)
    ● AppSec EU 2015(2015/03/21)
    ● ドイツ語翻訳(2015/06/01)
    ● Countermeasures v1.0 発表(2016/04/08)
    ● IAPP Privacy Intensive 2016(2016/04/20)

    View Slide

  6. 成果物
    ● Top 10 Privacy Risks v1.0
    ● Top 10 Privacy Risks Countermeasures v1.0
    ● プレゼン資料
    ○ OWASP Day 2014
    ○ IAPP Global Privacy Summit 2015
    ● 動画
    ○ IPEN Workshop 2014
    ○ CPDP 2015
    ○ AppSec EU 2015

    View Slide

  7. 参考
    ● IAPP News
    ○ OWASP Looking for Volunteers for Privacy Top 10
    Project (2014/2/28)
    ○ OWASP Releases Its First Top 10 Privacy Risks
    (2014/9/23)
    ○ OWASP Top 10 Privacy Risks Presented at Inaugural
    IPEN Workshop in Berlin (2014/10/7)
    ○ On How OWASP Identifies Privacy Risks in Web
    Applications (2015/3/4)

    View Slide

  8. Top 10 Privacy Risks 2014
    ● P1 : Webアプリケーションの脆弱性
    ● P2 : オペレータ側のデータ漏洩
    ● P3 : 不十分なデータ侵害対応
    ● P4 : 不十分なパーソナルデータの削除
    ● P5 : 不透明な方針、利用規約
    ● P6 : 主たる目的に必須ではないデータの収集
    ● P7 : 第三者とのデータの共有
    ● P8 : 古くなったパーソナルデータ
    ● P9 : 不十分なセッション有効期限
    ● P10 : 安全でないデータ転送

    View Slide

  9. 番外 : Top 10 Privacy Risks 2014
    ● P11 : 不適切な方針、利用規約
    ● P12 : 第三者を介した転送あるいは処理
    ● P13 : データの修正をユーザができない
    ● P14 : 同意のない収集
    ● P15 : 誤ったデータの収集
    ● P16 : 紛らわしい、誤解させた同意
    ● P17 : 同意取得の問題
    ● P18 : 関係がない利用
    ● P19 : データ集約とプロファイリング
    ● P20 : フォームフィールド設計の問題

    View Slide

  10. Countermeasures
    長らくディスカッション中のドラフト版でしたが…

    View Slide

  11. View Slide

  12. View Slide

  13. P1:Webアプリケーションの脆弱性
    ● Secure Development Lifecycle
    のような手順を適用する
    ● 独立した専門家による定期的な
    侵入テストを実施する
    ● 定期的にアップデート、パッチ、
    修正プログラムをインストールす

    ● 定期的な侵入テストはプライバ
    シーに焦点を当てて実施してい
    るか?
    ● 開発者はWebアプリケーション
    のセキュリティに関して訓練を受
    けているか?
    ● セキュアコーディングガイドライン
    が適用されているか?
    ● 使用しているソフトウェアが古く
    なっていないか?

    View Slide

  14. P2:オペレータ側のデータ漏洩
    ● 啓発キャンペーンを実施する
    ● パーソナルデータを暗号化す

    ● 適切なID管理およびアクセス
    管理
    ● 強い匿名化あるいは仮名化
    ● 個人情報の漏洩のためのさら
    なる対策
    ● オペレータの評判と信頼性を
    調査する
    ● オペレータを監査する
    ○ 紙ベース
    ○ インタビューベース
    ○ 現地監査やシステム
    チェック

    View Slide

  15. P3:不十分なデータ侵害対応
    ● インシデントレスポンス計画を
    作成、維持、検査する
    ● 継続的にパーソナルデータの
    漏洩と紛失を監視する
    ● 侵害に適切に対応する
    ○ インシデントレスポンス責
    任者とチームを任命する
    ○ データオーナーに通知す

    ● インシデントレスポンス計画
    は整っているか?
    ● 計画は定期的に検査されて
    いるか?
    ● インシデントレスポンスチーム
    ・プライバシーチームは整って
    いるか?
    ● インシデントモニタリング(例
    えばSIEM)は整っているか?

    View Slide

  16. P4:不十分なパーソナルデータの削除
    ● 指定された目的の終了後には
    パーソナルデータを削除する
    ● 正当なユーザの要求に応じて
    データを削除する
    ● コピー、バックアップ、サードパー
    ティについてよく考える
    ● 長期に渡り利用がなかった後に
    はユーザプロファイルを削除す

    ● データ保持あるいは削除の方
    針・同意を検査する
    ● それらの妥当性を評価する
    ● 削除手続きを要求する
    ● 削除要求の行程を検査する

    View Slide

  17. P5:不透明な方針、利用規約
    ● テキスト解析器を使う :
    readability-score.com
    ● 理解を容易にするためにショート
    バージョンの利用規約やピクトグ
    ラムを使う
    ● 利用規約や方針の変更履歴を
    特定するためにリリースノートを
    使う
    ● Do Not Trackを展開し、オプトア
    ウトを提供する
    ● 方針や利用規約がどうか確認す

    ○ 弁護士でない人でも見つけ
    やすく理解しやすいか?
    ○ データ処理をすべて説明し
    ているか?
    ■ どのデータが何の目的
    で収集され…
    ■ あなたの言語で
    ○ 完全で、しかし短くて簡潔
    か?

    View Slide

  18. P6:目的に必須ではないデータの収集
    ● 収集の時点で収集の目的を定
    義し、目的を果たすために必要
    なパーソナルデータだけを収集
    する
    ● データ最小化
    ● サービスを改善するために自主
    的に追加のデータを提供する選
    択権(例えば、商品レコメンド、
    パーソナル広告)
    ● 目的の説明を要求する
    ● 収集されたデータは目的を果た
    すために必須かどうか確認する
    ● 主たる目的に必須でないデータ
    が収集されている場合にこの
    データを収集および処理する同
    意を得ているか、文書化されて
    いるか確認する
    ● 目的や処理を変更した場合に個
    人に通知したり同意を求めてい
    るか?

    View Slide

  19. P7:第三者とのデータの共有
    ● 必要な箇所でだけサードパーティの
    コンテンツを使い、デフォルトでは使
    わない
    ● サードパーティ監視戦略を開発する
    ● プライバシーに配慮したソリューショ
    ンを使う
    ○ クリックしたときだけデータを送
    信するソーシャルボタン
    ○ YouTube拡張プライバシー
    モード
    ● パーソナルデータが転送されるサー
    ドパーティのソリューション(プラグイ
    ン、ボタン、マップ、ビデオ、広告な
    ど)を使用しているか?
    ● サードパーティのトラッキングは開示
    されているか?
    ● プライバシーに関してサードパーティ
    を評価したり、確認したりしている
    か?
    ● プライバシーと契約者のパーソナル
    データ部分の取り扱いがある場合に
    どのような制約があるか?

    View Slide

  20. P8:古くなったパーソナルデータ
    ● 更新フォームを提供する
    ● 彼・彼女のデータがまだ正しいか
    ユーザに尋ねる
    ● 前にユーザのデータを受け取っ
    たサードパーティ・サブシステム
    に更新したデータを転送する
    ● パーソナルデータは最新である
    ことが確実か?
    ● アプリケーションでパーソナル
    データを更新することが可能か
    確認する
    ● 定期的に確認する(例えば、どう
    か配送先住所を確認してくださ
    い)
    ● どのくらいの期間データが最新
    で、通常どのくらいの頻度で変更
    するか質問する

    View Slide

  21. P9:不十分なセッション有効期限
    ● 何時間・何日間かユーザ定義
    を経過した後に自動的にログ
    アウトする設定
    ● すぐにわかるログアウトボタン
    ● ユーザを教育する
    ● セッションタイムアウトは一週
    間(重要なアプリケーションは
    一日間)より短いか?
    ● ログアウトボタンは見つけや
    すく、宣伝されているか?

    View Slide

  22. P10:安全でないデータ転送
    ● 技術的には例えば、
    ○ IPv6のプライバシーエク
    ステンションを使う
    ○ TLS/DTLSをサポートす
    る、SSLv3はサポートしな

    ● 転送の間、データは暗号化さ
    れるか?
    ● セキュアなプロトコルとアルゴ
    リズムを使っているか?
    ● プライバシーに配慮したプロト
    コルを転送に利用できるか?
    ● 適切な箇所でプライベートな
    プロトコルが強制されるか?

    View Slide

  23. まとめ
    ● 現在、Webアプリケーションには多くのプライバシーリスクが
    ある
    ● コンプライアンスベースのアプローチはそれらのすべてはカ
    バーしていない
    ● 現実のプライバシーリスクに関する意識が欠けている
    ● プロジェクトはこの問題に取り組み、開発者や法律家を教育
    するために考案された
    ● プロジェクトは現地の法律から独立した技術的または組織
    的なリスクを特定する

    View Slide

  24. まとめ
    ● Webアプリケーションを実装あるいは監
    査するときには、これらのリスクを考慮
    し対策を適用してみてください!

    View Slide

  25. Thanks to
    OWASP Top 10 Privacy Risks
    Project

    View Slide