Pro Yearly is on sale from $80 to $50! »

Introducing OWASP Top10 Privacy Risks #OWASP Night 21th

D2c0774c30304e4970b502118aa791fe?s=47 OWASP Japan
June 13, 2016
350

Introducing OWASP Top10 Privacy Risks #OWASP Night 21th

D2c0774c30304e4970b502118aa791fe?s=128

OWASP Japan

June 13, 2016
Tweet

Transcript

  1. Introducing OWASP Top 10 Privacy Risks Project 2016.06.13 OWASP Night

    21th
  2. 高塩 浩明(たかしお ひろあき) 2000年ごろ:とあるWeb基盤システム開発に従事 • とある脆弱性と出会いWebセキュリティに興味関心 • とあるWebアプリケーションサーバ企業にてコンサルに従事 2006年11月:現職(アプリケーションエンジニア) •

    とあるStruts2脆弱性と出会いWebセキュリティ活動に従事 2014年08月:現職(セキュリティエンジニア) • おもに不正アクセス(脆弱性・なりすまし)対策に従事 • デジタルアイデンティティ・プライバシーに興味関心
  3. None
  4. 概要 • Webアプリケーションにおけるプライバシーリスクのトップ10 リストとその対策を提供する • 法律上の問題だけでなく、現実(real-life)のリスクに焦点を 当て、技術的および組織的な側面をカバーする • Webアプリケーションにおける「プライバシー・バイ・デザイ ン」を実装する方法のヒントを提供する

    • リストは「OECDプライバシーガイドライン」を参照し、特定の Webアプリケーションに関連したプライバシーリスクを評価 するために使用できる
  5. 沿革 • プロジェクト開始(2014/02/20) • Top 10 Privacy Risks v1.0 発表(2014/09/21)

    • IPEN Workshop 2014(2014/09/26) • OWASP Day 2014(2014/12/09) • IAPP Global Privacy Summit 2015(2015/03/05) • AppSec EU 2015(2015/03/21) • ドイツ語翻訳(2015/06/01) • Countermeasures v1.0 発表(2016/04/08) • IAPP Privacy Intensive 2016(2016/04/20)
  6. 成果物 • Top 10 Privacy Risks v1.0 • Top 10

    Privacy Risks Countermeasures v1.0 • プレゼン資料 ◦ OWASP Day 2014 ◦ IAPP Global Privacy Summit 2015 • 動画 ◦ IPEN Workshop 2014 ◦ CPDP 2015 ◦ AppSec EU 2015
  7. 参考 • IAPP News ◦ OWASP Looking for Volunteers for

    Privacy Top 10 Project (2014/2/28) ◦ OWASP Releases Its First Top 10 Privacy Risks (2014/9/23) ◦ OWASP Top 10 Privacy Risks Presented at Inaugural IPEN Workshop in Berlin (2014/10/7) ◦ On How OWASP Identifies Privacy Risks in Web Applications (2015/3/4)
  8. Top 10 Privacy Risks 2014 • P1 : Webアプリケーションの脆弱性 •

    P2 : オペレータ側のデータ漏洩 • P3 : 不十分なデータ侵害対応 • P4 : 不十分なパーソナルデータの削除 • P5 : 不透明な方針、利用規約 • P6 : 主たる目的に必須ではないデータの収集 • P7 : 第三者とのデータの共有 • P8 : 古くなったパーソナルデータ • P9 : 不十分なセッション有効期限 • P10 : 安全でないデータ転送
  9. 番外 : Top 10 Privacy Risks 2014 • P11 :

    不適切な方針、利用規約 • P12 : 第三者を介した転送あるいは処理 • P13 : データの修正をユーザができない • P14 : 同意のない収集 • P15 : 誤ったデータの収集 • P16 : 紛らわしい、誤解させた同意 • P17 : 同意取得の問題 • P18 : 関係がない利用 • P19 : データ集約とプロファイリング • P20 : フォームフィールド設計の問題
  10. Countermeasures 長らくディスカッション中のドラフト版でしたが…

  11. None
  12. None
  13. P1:Webアプリケーションの脆弱性 • Secure Development Lifecycle のような手順を適用する • 独立した専門家による定期的な 侵入テストを実施する •

    定期的にアップデート、パッチ、 修正プログラムをインストールす る • 定期的な侵入テストはプライバ シーに焦点を当てて実施してい るか? • 開発者はWebアプリケーション のセキュリティに関して訓練を受 けているか? • セキュアコーディングガイドライン が適用されているか? • 使用しているソフトウェアが古く なっていないか?
  14. P2:オペレータ側のデータ漏洩 • 啓発キャンペーンを実施する • パーソナルデータを暗号化す る • 適切なID管理およびアクセス 管理 •

    強い匿名化あるいは仮名化 • 個人情報の漏洩のためのさら なる対策 • オペレータの評判と信頼性を 調査する • オペレータを監査する ◦ 紙ベース ◦ インタビューベース ◦ 現地監査やシステム チェック
  15. P3:不十分なデータ侵害対応 • インシデントレスポンス計画を 作成、維持、検査する • 継続的にパーソナルデータの 漏洩と紛失を監視する • 侵害に適切に対応する ◦

    インシデントレスポンス責 任者とチームを任命する ◦ データオーナーに通知す る • インシデントレスポンス計画 は整っているか? • 計画は定期的に検査されて いるか? • インシデントレスポンスチーム ・プライバシーチームは整って いるか? • インシデントモニタリング(例 えばSIEM)は整っているか?
  16. P4:不十分なパーソナルデータの削除 • 指定された目的の終了後には パーソナルデータを削除する • 正当なユーザの要求に応じて データを削除する • コピー、バックアップ、サードパー ティについてよく考える

    • 長期に渡り利用がなかった後に はユーザプロファイルを削除す る • データ保持あるいは削除の方 針・同意を検査する • それらの妥当性を評価する • 削除手続きを要求する • 削除要求の行程を検査する
  17. P5:不透明な方針、利用規約 • テキスト解析器を使う : readability-score.com • 理解を容易にするためにショート バージョンの利用規約やピクトグ ラムを使う •

    利用規約や方針の変更履歴を 特定するためにリリースノートを 使う • Do Not Trackを展開し、オプトア ウトを提供する • 方針や利用規約がどうか確認す る ◦ 弁護士でない人でも見つけ やすく理解しやすいか? ◦ データ処理をすべて説明し ているか? ▪ どのデータが何の目的 で収集され… ▪ あなたの言語で ◦ 完全で、しかし短くて簡潔 か?
  18. P6:目的に必須ではないデータの収集 • 収集の時点で収集の目的を定 義し、目的を果たすために必要 なパーソナルデータだけを収集 する • データ最小化 • サービスを改善するために自主

    的に追加のデータを提供する選 択権(例えば、商品レコメンド、 パーソナル広告) • 目的の説明を要求する • 収集されたデータは目的を果た すために必須かどうか確認する • 主たる目的に必須でないデータ が収集されている場合にこの データを収集および処理する同 意を得ているか、文書化されて いるか確認する • 目的や処理を変更した場合に個 人に通知したり同意を求めてい るか?
  19. P7:第三者とのデータの共有 • 必要な箇所でだけサードパーティの コンテンツを使い、デフォルトでは使 わない • サードパーティ監視戦略を開発する • プライバシーに配慮したソリューショ ンを使う

    ◦ クリックしたときだけデータを送 信するソーシャルボタン ◦ YouTube拡張プライバシー モード • パーソナルデータが転送されるサー ドパーティのソリューション(プラグイ ン、ボタン、マップ、ビデオ、広告な ど)を使用しているか? • サードパーティのトラッキングは開示 されているか? • プライバシーに関してサードパーティ を評価したり、確認したりしている か? • プライバシーと契約者のパーソナル データ部分の取り扱いがある場合に どのような制約があるか?
  20. P8:古くなったパーソナルデータ • 更新フォームを提供する • 彼・彼女のデータがまだ正しいか ユーザに尋ねる • 前にユーザのデータを受け取っ たサードパーティ・サブシステム に更新したデータを転送する

    • パーソナルデータは最新である ことが確実か? • アプリケーションでパーソナル データを更新することが可能か 確認する • 定期的に確認する(例えば、どう か配送先住所を確認してくださ い) • どのくらいの期間データが最新 で、通常どのくらいの頻度で変更 するか質問する
  21. P9:不十分なセッション有効期限 • 何時間・何日間かユーザ定義 を経過した後に自動的にログ アウトする設定 • すぐにわかるログアウトボタン • ユーザを教育する •

    セッションタイムアウトは一週 間(重要なアプリケーションは 一日間)より短いか? • ログアウトボタンは見つけや すく、宣伝されているか?
  22. P10:安全でないデータ転送 • 技術的には例えば、 ◦ IPv6のプライバシーエク ステンションを使う ◦ TLS/DTLSをサポートす る、SSLv3はサポートしな い

    • 転送の間、データは暗号化さ れるか? • セキュアなプロトコルとアルゴ リズムを使っているか? • プライバシーに配慮したプロト コルを転送に利用できるか? • 適切な箇所でプライベートな プロトコルが強制されるか?
  23. まとめ • 現在、Webアプリケーションには多くのプライバシーリスクが ある • コンプライアンスベースのアプローチはそれらのすべてはカ バーしていない • 現実のプライバシーリスクに関する意識が欠けている •

    プロジェクトはこの問題に取り組み、開発者や法律家を教育 するために考案された • プロジェクトは現地の法律から独立した技術的または組織 的なリスクを特定する
  24. まとめ • Webアプリケーションを実装あるいは監 査するときには、これらのリスクを考慮 し対策を適用してみてください!

  25. Thanks to OWASP Top 10 Privacy Risks Project