Introducing OWASP Top10 Privacy Risks #OWASP Night 21th

Transcript

1. Introducing OWASP Top 10 Privacy Risks Project 2016.06.13 OWASP Night

   21th

2. 高塩 浩明（たかしお ひろあき） 2000年ごろ：とあるWeb基盤システム開発に従事 • とある脆弱性と出会いWebセキュリティに興味関心 • とあるWebアプリケーションサーバ企業にてコンサルに従事 2006年11月：現職（アプリケーションエンジニア） •

   とあるStruts2脆弱性と出会いWebセキュリティ活動に従事 2014年08月：現職（セキュリティエンジニア） • おもに不正アクセス（脆弱性・なりすまし）対策に従事 • デジタルアイデンティティ・プライバシーに興味関心
3. None

4. 概要 • Webアプリケーションにおけるプライバシーリスクのトップ10 リストとその対策を提供する • 法律上の問題だけでなく、現実（real-life）のリスクに焦点を 当て、技術的および組織的な側面をカバーする • Webアプリケーションにおける「プライバシー・バイ・デザイ ン」を実装する方法のヒントを提供する

   • リストは「OECDプライバシーガイドライン」を参照し、特定の Webアプリケーションに関連したプライバシーリスクを評価 するために使用できる

5. 沿革 • プロジェクト開始（2014/02/20） • Top 10 Privacy Risks v1.0 発表（2014/09/21）

   • IPEN Workshop 2014（2014/09/26） • OWASP Day 2014（2014/12/09） • IAPP Global Privacy Summit 2015（2015/03/05） • AppSec EU 2015（2015/03/21） • ドイツ語翻訳（2015/06/01） • Countermeasures v1.0 発表（2016/04/08） • IAPP Privacy Intensive 2016（2016/04/20）

6. 成果物 • Top 10 Privacy Risks v1.0 • Top 10

   Privacy Risks Countermeasures v1.0 • プレゼン資料 ◦ OWASP Day 2014 ◦ IAPP Global Privacy Summit 2015 • 動画 ◦ IPEN Workshop 2014 ◦ CPDP 2015 ◦ AppSec EU 2015

7. 参考 • IAPP News ◦ OWASP Looking for Volunteers for

   Privacy Top 10 Project (2014/2/28) ◦ OWASP Releases Its First Top 10 Privacy Risks (2014/9/23) ◦ OWASP Top 10 Privacy Risks Presented at Inaugural IPEN Workshop in Berlin (2014/10/7) ◦ On How OWASP Identifies Privacy Risks in Web Applications (2015/3/4)

8. Top 10 Privacy Risks 2014 • P1 : Webアプリケーションの脆弱性 •

   P2 : オペレータ側のデータ漏洩 • P3 : 不十分なデータ侵害対応 • P4 : 不十分なパーソナルデータの削除 • P5 : 不透明な方針、利用規約 • P6 : 主たる目的に必須ではないデータの収集 • P7 : 第三者とのデータの共有 • P8 : 古くなったパーソナルデータ • P9 : 不十分なセッション有効期限 • P10 : 安全でないデータ転送

9. 番外 : Top 10 Privacy Risks 2014 • P11 :

   不適切な方針、利用規約 • P12 : 第三者を介した転送あるいは処理 • P13 : データの修正をユーザができない • P14 : 同意のない収集 • P15 : 誤ったデータの収集 • P16 : 紛らわしい、誤解させた同意 • P17 : 同意取得の問題 • P18 : 関係がない利用 • P19 : データ集約とプロファイリング • P20 : フォームフィールド設計の問題

10. Countermeasures 長らくディスカッション中のドラフト版でしたが…

11. None
12. None

13. P1:Webアプリケーションの脆弱性 • Secure Development Lifecycle のような手順を適用する • 独立した専門家による定期的な 侵入テストを実施する •

    定期的にアップデート、パッチ、 修正プログラムをインストールす る • 定期的な侵入テストはプライバ シーに焦点を当てて実施してい るか？ • 開発者はWebアプリケーション のセキュリティに関して訓練を受 けているか？ • セキュアコーディングガイドライン が適用されているか？ • 使用しているソフトウェアが古く なっていないか？

14. P2:オペレータ側のデータ漏洩 • 啓発キャンペーンを実施する • パーソナルデータを暗号化す る • 適切なID管理およびアクセス 管理 •

    強い匿名化あるいは仮名化 • 個人情報の漏洩のためのさら なる対策 • オペレータの評判と信頼性を 調査する • オペレータを監査する ◦ 紙ベース ◦ インタビューベース ◦ 現地監査やシステム チェック

15. P3:不十分なデータ侵害対応 • インシデントレスポンス計画を 作成、維持、検査する • 継続的にパーソナルデータの 漏洩と紛失を監視する • 侵害に適切に対応する ◦

    インシデントレスポンス責 任者とチームを任命する ◦ データオーナーに通知す る • インシデントレスポンス計画 は整っているか？ • 計画は定期的に検査されて いるか？ • インシデントレスポンスチーム ・プライバシーチームは整って いるか？ • インシデントモニタリング（例 えばSIEM）は整っているか？

16. P4:不十分なパーソナルデータの削除 • 指定された目的の終了後には パーソナルデータを削除する • 正当なユーザの要求に応じて データを削除する • コピー、バックアップ、サードパー ティについてよく考える

    • 長期に渡り利用がなかった後に はユーザプロファイルを削除す る • データ保持あるいは削除の方 針・同意を検査する • それらの妥当性を評価する • 削除手続きを要求する • 削除要求の行程を検査する

17. P5:不透明な方針、利用規約 • テキスト解析器を使う : readability-score.com • 理解を容易にするためにショート バージョンの利用規約やピクトグ ラムを使う •

    利用規約や方針の変更履歴を 特定するためにリリースノートを 使う • Do Not Trackを展開し、オプトア ウトを提供する • 方針や利用規約がどうか確認す る ◦ 弁護士でない人でも見つけ やすく理解しやすいか？ ◦ データ処理をすべて説明し ているか？ ▪ どのデータが何の目的 で収集され… ▪ あなたの言語で ◦ 完全で、しかし短くて簡潔 か？

18. P6:目的に必須ではないデータの収集 • 収集の時点で収集の目的を定 義し、目的を果たすために必要 なパーソナルデータだけを収集 する • データ最小化 • サービスを改善するために自主

    的に追加のデータを提供する選 択権（例えば、商品レコメンド、 パーソナル広告） • 目的の説明を要求する • 収集されたデータは目的を果た すために必須かどうか確認する • 主たる目的に必須でないデータ が収集されている場合にこの データを収集および処理する同 意を得ているか、文書化されて いるか確認する • 目的や処理を変更した場合に個 人に通知したり同意を求めてい るか？

19. P7:第三者とのデータの共有 • 必要な箇所でだけサードパーティの コンテンツを使い、デフォルトでは使 わない • サードパーティ監視戦略を開発する • プライバシーに配慮したソリューショ ンを使う

    ◦ クリックしたときだけデータを送 信するソーシャルボタン ◦ YouTube拡張プライバシー モード • パーソナルデータが転送されるサー ドパーティのソリューション（プラグイ ン、ボタン、マップ、ビデオ、広告な ど）を使用しているか？ • サードパーティのトラッキングは開示 されているか？ • プライバシーに関してサードパーティ を評価したり、確認したりしている か？ • プライバシーと契約者のパーソナル データ部分の取り扱いがある場合に どのような制約があるか？

20. P8:古くなったパーソナルデータ • 更新フォームを提供する • 彼・彼女のデータがまだ正しいか ユーザに尋ねる • 前にユーザのデータを受け取っ たサードパーティ・サブシステム に更新したデータを転送する

    • パーソナルデータは最新である ことが確実か？ • アプリケーションでパーソナル データを更新することが可能か 確認する • 定期的に確認する（例えば、どう か配送先住所を確認してくださ い） • どのくらいの期間データが最新 で、通常どのくらいの頻度で変更 するか質問する

21. P9:不十分なセッション有効期限 • 何時間・何日間かユーザ定義 を経過した後に自動的にログ アウトする設定 • すぐにわかるログアウトボタン • ユーザを教育する •

    セッションタイムアウトは一週 間（重要なアプリケーションは 一日間）より短いか？ • ログアウトボタンは見つけや すく、宣伝されているか？

22. P10:安全でないデータ転送 • 技術的には例えば、 ◦ IPv6のプライバシーエク ステンションを使う ◦ TLS/DTLSをサポートす る、SSLv3はサポートしな い

    • 転送の間、データは暗号化さ れるか？ • セキュアなプロトコルとアルゴ リズムを使っているか？ • プライバシーに配慮したプロト コルを転送に利用できるか？ • 適切な箇所でプライベートな プロトコルが強制されるか？

23. まとめ • 現在、Webアプリケーションには多くのプライバシーリスクが ある • コンプライアンスベースのアプローチはそれらのすべてはカ バーしていない • 現実のプライバシーリスクに関する意識が欠けている •

    プロジェクトはこの問題に取り組み、開発者や法律家を教育 するために考案された • プロジェクトは現地の法律から独立した技術的または組織 的なリスクを特定する

24. まとめ • Webアプリケーションを実装あるいは監 査するときには、これらのリスクを考慮 し対策を適用してみてください！

25. Thanks to OWASP Top 10 Privacy Risks Project