Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ要求定義で使える非機能要求グレードとASVS

D2c0774c30304e4970b502118aa791fe?s=47 OWASP Japan
July 30, 2018
Technology
5
500

 セキュリティ要求定義で使える非機能要求グレードとASVS

2017/7 OWASP Night, Japan
Speaker: オージス総研、安藤 崇周

D2c0774c30304e4970b502118aa791fe?s=128

OWASP Japan

July 30, 2018
Tweet

More Decks by OWASP Japan

See All by OWASP Japan
OWASP Night 2019.03 Tokyo
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
270
OWASP SAMMを活用したセキュア開発の推進
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
560
20190107_AbuseCaseCheatSheet
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
120
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
9
2.4k
Shifting Left Like a Boss
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
2
190
OWASP Top 10 and Your Web Apps
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
2
350
OWASP Japan Proposal: Encouraging Japanese Translation
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
1
170
elegance_of_OWASP_Top10_2017
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
2
420
OWASP Top10 Translation YOMOYAMA talk by Ando-san
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
400

Other Decks in Technology

See All in Technology
220628 「Google AppSheet」タスク管理アプリをライブ作成 吉積情報伊藤さん
50bc42471d197d0dbef7171f2ef85bb6?s=48 comucal
PRO
0
240
OPENLOGI Company Profile
5c588fdfe782f92fa6b081903edd82bb?s=48 hr01
0
560
Oracle Cloud Infrastructure:2022年6月度サービス・アップデート
3115a782126be714b5f94d24073c957d?s=48 oracle4engineer
PRO
0
150
FoodTechにおける商流・金流・物流の進化/Evolution of Commercial, Financial, and Logistics in FoodTech
Ff655584d57df8448153fa618cc86db3?s=48 dskst
0
410
モブに早く慣れたい人のためのガイド / A Guide to Getting Started Quickly with Mob Programming
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
2
1.9k
リファインメントは楽しいかね?
F4ea0f5f6211de72f79576d020308de5?s=48 kitamu_mu
1
530
Modern Android dependency injection
A9f24621ff57d380b4e85799edd4a984?s=48 hugovisser
1
130
Introduction to MLOps
8fa31051503b09846584c49cd53d2f80?s=48 asei
5
1k
データ分析基盤のはじめかた
69a81d6d4d66a348e72f7a28b265fdbe?s=48 chanyou0311
0
120
セキュリティ 開運研修2022 / security 2022
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
3
3.9k
Azure Arc Virtual MachineとAzure Arc Resource Bridge / VM provisioning through Azure portal on Azure Stack HCI (preview)
D99b8f4147592e467fa5e778d45734e7?s=48 sashizaki
0
160
PUTとPOSTどっち使う?
65389cd2b6fdc531dcc4af999e864593?s=48 hankehly
0
270

Featured

See All Featured
From Idea to $5000 a Month in 5 Months
E4f5d494ebdc9e7cce1aecf3ce3e8bc1?s=48 shpigford
373
44k
Put a Button on it: Removing Barriers to Going Fast.
Bfd6b681ec6e8c9bef82ff0521c364f7?s=48 kastner
56
2.3k
Optimizing for Happiness
25c7c18223fb42a4c6ae1c8db6f50f9b?s=48 mojombo
365
63k
Building Flexible Design Systems
91cefdf141106fa10674aae74ce05890?s=48 yeseniaperezcruz
310
34k
GraphQLの誤解/rethinking-graphql
3cb4e761dbdb7aebd1ffd85f752e1e3e?s=48 sonatard
28
6.6k
Making the Leap to Tech Lead
32de0bd2ba869609d26fd052a4622778?s=48 cromwellryan
113
7.4k
Rails Girls Zürich Keynote
24fc194843a71f10949be18d5a692682?s=48 gr2m
86
12k
Easily Structure & Communicate Ideas using Wireframe
0c6fd6a08d0f898159cda7cafcacf07f?s=48 afnizarnur
181
15k
A better future with KSS
5f2da528927a2ec9ba4fec2069cbc958?s=48 kneath
225
15k
Fight the Zombie Pattern Library - RWD Summit 2016
9fa239b3154a0169d99ab7bf1422dd12?s=48 marcelosomers
226
15k
How GitHub Uses GitHub to Build GitHub
78b475797a14c84799063c7cd073962f?s=48 holman
465
280k
Fontdeck: Realign not Redesign
0bce06bd06ee7a2c4f5500f25dcf7f18?s=48 paulrobertlloyd
73
4.1k

Transcript

  1. セキュリティ要求定義で使える 非機能要求グレードとASVS (株)オージス総研 安藤 崇周

  2. 自己紹介 • OWASP活動 – OWASP World Traning Tour 2017インストラクター –

    OWASP Top10 – 2017 日本語訳 • 業務 – アプリケーションセキュリティ・コンサルタント – ITアーキテクト – PM – Scrum Master(CSM&CSPO) – プログラマ(Java/Scala/C/JavaScript他) 2017/9/30 1

  3. 2017/9/30 2 要求定義なしで作ったソフトウェアの 振る舞いを検証できますか? ソフトウェアの開発では、そのソフト ウェアに対する要求が定義されている 必要があります。 いきなりですが、

  4. そもそも要求とは • システムが満たさなければならない必す(須) 条件 JISX0020:1992 情報処理用語(システム開発) 2017/9/30 3

  5. 機能要求と非機能要求 • 機能要求とは、ユーザがソフトウェアにどのよ うな機能を必要としているかを表す要求 • 非機能要求とは、ソフトウェアの提供する機 能が達成すべき性能や制限を表す要求 – 識別しにくい –

    アーキテクチャに影響 2017/9/30 4 セキュリティは基本的には非機能要求として検 討される オブジェクトの広場 『非機能要求とISO9126』 より https://www.ogis-ri.co.jp/otc/hiroba/technical/JavaPress_ISO9126/

  6. 非機能要求グレードとは • 「システム基盤」の可用性や拡張性な どの要求を明確化し、システムを発 注する側(ユーザ企業)とシステムを 開発する側(開発企業)で合意形成 するための手法及びツール群 • 4月に8年ぶりの改訂 –

    セキュリティ – 仮想化 2017/9/30 5 IPA 『非機能要求グレード 2018 活用シート』 より http://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html

  7. セキュリティに関する改訂 2017/9/30 6 IPA 『非機能要求グレード2018 改訂情報 ~初版との差異~』 より https://www.ipa.go.jp/files/000066170.pdf サイバー攻撃を完全

    に防ぐことが困難に システムの グローバル化の進展 防御しきれずに侵入されること を前提とした新しいセキュリ ティの考え方や、ログの相関分 析といった新しいセキュリティ 対策を定義することが可能に 日本以外の国や地域の法令など も把握し定義することが可能に 時代の変化 改訂ポイント

  8. セキュリティの改訂を味わう 2018/7/30 7 非 機 能 要 求 項 目

    運用・保守性 システム環境・エコロジー セキュリティ 移行性 可用性 性能・拡張性 大項目 Web対策 マルウェア対策 ネットワーク対策 不正追跡・監視 データの秘匿 アクセス・利用制限 セキュリティリスク管理 セキュリティ診断 セキュリティリスク分析 前提条件・制約条件 セキュリティインシデント 対応/復旧 中項目 海外の法律も! 時間軸を考えたEOL対策や 必要暗号強度の変化対策を! 最初だけでなく運用中も診断を! リスク見直しのトリガーは、 重要な脅威や脆弱性の発見も含みます! パッチあてるまでの対策も! OWASP Top 10 2017 – A10 熟読しましょう! FWだけじゃなく IPSやメールフィルタも検討! 新設!CSIRTも考えましょう!

  9. 非機能要求グレードのイメージ 2017/9/30 8 ・部分的なピックアップです IPA 『非機能要求グレード 2018 活用シート』 より http://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html

  10. 「情報セキュリティに関するコンプライアンス」への改訂 2017/9/30 9 中項目 前提条件・制約条件 メトリクス 順守すべき社内規程、ルール、法令、ガイドライン等の有無 備考【メトリクス】 旧 備考【メトリクス】

    新 具体例の記載なし 小項目説明に日本の例あ り 例) ・国内/海外の法律 不正アクセス禁止法・不正競争防止法・プロバイダ責任法・改 正個人情報保護法・SOX法・EU一般データ保護規則(GDPR)・ 特定電子メール送信適正化法・電子署名法など ・資格認証 プライバシーマーク・ISMS/ITSMS/BPMS/CSMS・ISO/IEC27000 系・PCI DSS・クラウド情報セキュリティ監査・TRUSTeなど ・ガイドライン FISC・FISMA/NIST800・政府機関の情報セキュリティ対策のため の統一基準など ・その他ルール 情報セキュリティポリシーなど IPA 『非機能要求グレード 2018 活用シート』 より http://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html

  11. 「不正監視」への改訂 2017/9/30 10 中項目 不正追跡・監視 メトリクス ログの取得 備考【メトリクス】 旧 備考【メトリクス】

    新 取得対象のログは、不正な 操作等を検出するための以 下のようなものを意味してい る。 ・ログイン/ログアウト履歴 (成功/失敗) ・操作ログ 等 取得対象のログは、不正な操作等を検出するための以下の ようなものを意味している。取得したログは個々のログを確 認するだけでなく、複数のログを組み合わせて相関分析する ことも検討する。必要に応じて、ログと作業記録との突き合わ せも行う。 ・ログイン/ログアウト履歴(成功/失敗) ・操作ログ ・セキュリティ機器の検知ログ ・通信ログ ・DBログ ・アプリケーションログ 等 IPA 『非機能要求グレード 2018 活用シート』 より http://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html

  12. 「セキュリティインシデント対応/復旧」の新設 2017/9/30 11 中項目 備考 セキュリティインシデント対応/復旧 【メトリクス】 セキュリティインシデント発生時の対応以外にも、イン シデント対応マニュアルの整備や、システムの関係者 に対するセキュリティ教育を実施する。

    【レベル0】 セキュリティインシデント発生の都度、インシデント対 応体制を構築する場合も含まれる。 【レベル1】 新たに対応体制を構築する他に、ユーザ企業内の CSIRTを利用する場合や、外部のセキュリティ対応 サービスを利用する場合も含まれる。 小項目 セキュリティインシデント対応/復旧 小項目説明 セキュリティインシデントが発生し た時に、早期発見し、被害の最小 化、復旧の支援等をするための体 制について確認する項目。 メトリクス セキュリティインシデントの対応体 制 ・今は重要項目になってい ないため、社会的影響度 によるレベルの推奨が今 はない IPA 『非機能要求グレード 2018 活用シート』 より http://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html

  13. 非機能要求グレードの適用範囲 2017/9/30 12 IPAプレス発表 『高信頼な情報システム構築に必要な “要求項目” に関するドキュメント群を英訳』より https://www.ipa.go.jp/files/000008810.pdf 非機能要求グレードは システム基盤が

    ターゲット アプリケーションには OWASP ASVS アプリケーションのセキュリティは どう考えるか?

  14. OWASP Application Security Verification Standard(ASVS) 2017/9/30 13 • Web アプリケーションを設計,

    開発,テストするときに必要と なる,セキュリティ要件および 管理策のフレームワーク 『OWASPアプリケーションセキュリティ検証標準 3.0.1』より https://www.jpcert.or.jp/securecoding/materials-owaspasvs.html

  15. ASVS v3.0.1 V1 アーキテクチャ、設計、脅威モデリング V2 認証 V3 セッション管理 V4 アクセス制御

    V5 悪性入力の処理 V7 暗号化 V8 エラー処理とログの保存 V9 データの保護 V10 通信 V11 HTTPに関するセキュリティ設定 2017/9/30 14 V13 悪性活動の管理 V15 ビジネスロジック V16 ファイルとリソース V17 モバイル V18 Webサービス V19 構成

  16. 2017/9/30 15 『OWASPアプリケーションセキュリティ検証標準 3.0.1』 p.29よりより https://www.jpcert.or.jp/securecoding/materials-owaspasvs.html V8:エラー処理とログの保存に関する検証要件

  17. まとめ • システム基盤のセキュリティ要求を定義する 際には非機能要求グレードの項目が参考に なります。 • アプリケーションのセキュリティ要求を定義す る際にはアプリケーションセキュリティ検証基 準(ASVS)が参考になります。 2017/9/30

    16

  18. 2017/9/30 17 ご清聴ありがとうございました。