Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ要求定義で使える非機能要求グレードとASVS

OWASP Japan
July 30, 2018
Technology
5
680

 セキュリティ要求定義で使える非機能要求グレードとASVS

2017/7 OWASP Night, Japan
Speaker: オージス総研、安藤 崇周

OWASP Japan

July 30, 2018
Tweet

More Decks by OWASP Japan

See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
280
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
740
20190107_AbuseCaseCheatSheet
owaspjapan
0
130
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
2.7k
Shifting Left Like a Boss
owaspjapan
2
260
OWASP Top 10 and Your Web Apps
owaspjapan
2
350
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
180
elegance_of_OWASP_Top10_2017
owaspjapan
2
440
OWASP Top10 Translation YOMOYAMA talk by Ando-san
owaspjapan
0
430

Other Decks in Technology

See All in Technology
Web PubSubで創るマイ都市デジタルツイン 〜WebSocketはPostmanでテストするのだよ〜
nagix
0
260
クラウドだからできた 地方主導のJAWS DevOps
matsuihidetoshi
2
170
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
0
340
【新卒研修資料】基礎統計学 / Basic of statistics
brainpadpr
69
45k
Microsoft Azure Well-Architected Framework でセキュアに
masakamayama
1
170
ビジネス向けアプリを開発するときに知っておくべきAndroid Enterpriseの世界
imsaku
0
490
DroidKaigi 2023 Unleashing the Power of Android Studio
mhidaka
2
1.4k
アジャイルな組織を作るために開発チーム作成ガイドを書いた話 / Scrum Fest Mikawa 2023
ama_ch
3
1.6k
Introduction to mcl-wasm
herumi
1
290
Designing an Incident Response Process at Scale
opeonikute
0
150
Create the DTO System of your Dreams: stateOptions + entityClass
weaverryan
0
330
そのとき歴史は動かなかった 〜 JTCのウォーターフォール研究者がバックログを発明した日〜
bonotake
0
280

Featured

See All Featured
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
11
870
Clear Off the Table
cherdarchuk
81
300k
No one is an island. Learnings from fostering a developers community.
thoeni
14
1.8k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
101
6.4k
StorybookのUI Testing Handbookを読んだ
zakiyama
9
3.9k
A Modern Web Designer's Workflow
chriscoyier
688
190k
Ruby is Unlike a Banana
tanoku
93
9.9k
Making the Leap to Tech Lead
cromwellryan
119
8.1k
Mobile First: as difficult as doing things right
swwweet
214
8.2k
Agile that works and the tools we love
rasmusluckow
323
20k
GraphQLとの向き合い方2022年版
quramy
24
11k
Fontdeck: Realign not Redesign
paulrobertlloyd
74
4.6k

Transcript

  1. セキュリティ要求定義で使える
    非機能要求グレードとASVS
    (株)オージス総研
    安藤 崇周

    View Slide

  2. 自己紹介
    • OWASP活動
    – OWASP World Traning Tour 2017インストラクター
    – OWASP Top10 – 2017 日本語訳
    • 業務
    – アプリケーションセキュリティ・コンサルタント
    – ITアーキテクト
    – PM
    – Scrum Master(CSM&CSPO)
    – プログラマ(Java/Scala/C/JavaScript他)
    2017/9/30 1

    View Slide

  3. 2017/9/30 2
    要求定義なしで作ったソフトウェアの
    振る舞いを検証できますか?
    ソフトウェアの開発では、そのソフト
    ウェアに対する要求が定義されている
    必要があります。
    いきなりですが、

    View Slide

  4. そもそも要求とは
    • システムが満たさなければならない必す(須)
    条件
    JISX0020:1992 情報処理用語(システム開発)
    2017/9/30 3

    View Slide

  5. 機能要求と非機能要求
    • 機能要求とは、ユーザがソフトウェアにどのよ
    うな機能を必要としているかを表す要求
    • 非機能要求とは、ソフトウェアの提供する機
    能が達成すべき性能や制限を表す要求
    – 識別しにくい
    – アーキテクチャに影響
    2017/9/30 4
    セキュリティは基本的には非機能要求として検
    討される
    オブジェクトの広場 『非機能要求とISO9126』 より
    https://www.ogis-ri.co.jp/otc/hiroba/technical/JavaPress_ISO9126/

    View Slide

  6. 非機能要求グレードとは
    • 「システム基盤」の可用性や拡張性な
    どの要求を明確化し、システムを発
    注する側(ユーザ企業)とシステムを
    開発する側(開発企業)で合意形成
    するための手法及びツール群
    • 4月に8年ぶりの改訂
    – セキュリティ
    – 仮想化
    2017/9/30 5
    IPA 『非機能要求グレード 2018 活用シート』 より
    http://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html

    View Slide

  7. セキュリティに関する改訂
    2017/9/30 6
    IPA 『非機能要求グレード2018 改訂情報 ~初版との差異~』 より
    https://www.ipa.go.jp/files/000066170.pdf
    サイバー攻撃を完全
    に防ぐことが困難に
    システムの
    グローバル化の進展
    防御しきれずに侵入されること
    を前提とした新しいセキュリ
    ティの考え方や、ログの相関分
    析といった新しいセキュリティ
    対策を定義することが可能に
    日本以外の国や地域の法令など
    も把握し定義することが可能に
    時代の変化 改訂ポイント

    View Slide

  8. セキュリティの改訂を味わう
    2018/7/30 7







    運用・保守性
    システム環境・エコロジー
    セキュリティ
    移行性
    可用性
    性能・拡張性
    大項目
    Web対策
    マルウェア対策
    ネットワーク対策
    不正追跡・監視
    データの秘匿
    アクセス・利用制限
    セキュリティリスク管理
    セキュリティ診断
    セキュリティリスク分析
    前提条件・制約条件
    セキュリティインシデント
    対応/復旧
    中項目
    海外の法律も!
    時間軸を考えたEOL対策や
    必要暗号強度の変化対策を!
    最初だけでなく運用中も診断を!
    リスク見直しのトリガーは、
    重要な脅威や脆弱性の発見も含みます!
    パッチあてるまでの対策も!
    OWASP Top 10 2017 – A10
    熟読しましょう!
    FWだけじゃなく
    IPSやメールフィルタも検討!
    新設!CSIRTも考えましょう!

    View Slide

  9. 非機能要求グレードのイメージ
    2017/9/30 8
    ・部分的なピックアップです IPA 『非機能要求グレード 2018 活用シート』 より
    http://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html

    View Slide

  10. 「情報セキュリティに関するコンプライアンス」への改訂
    2017/9/30 9
    中項目 前提条件・制約条件
    メトリクス 順守すべき社内規程、ルール、法令、ガイドライン等の有無
    備考【メトリクス】 旧 備考【メトリクス】 新
    具体例の記載なし
    小項目説明に日本の例あ

    例)
    ・国内/海外の法律
    不正アクセス禁止法・不正競争防止法・プロバイダ責任法・改
    正個人情報保護法・SOX法・EU一般データ保護規則(GDPR)・
    特定電子メール送信適正化法・電子署名法など
    ・資格認証
    プライバシーマーク・ISMS/ITSMS/BPMS/CSMS・ISO/IEC27000
    系・PCI DSS・クラウド情報セキュリティ監査・TRUSTeなど
    ・ガイドライン
    FISC・FISMA/NIST800・政府機関の情報セキュリティ対策のため
    の統一基準など
    ・その他ルール
    情報セキュリティポリシーなど
    IPA 『非機能要求グレード 2018 活用シート』 より
    http://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html

    View Slide

  11. 「不正監視」への改訂
    2017/9/30 10
    中項目 不正追跡・監視
    メトリクス ログの取得
    備考【メトリクス】 旧 備考【メトリクス】 新
    取得対象のログは、不正な
    操作等を検出するための以
    下のようなものを意味してい
    る。
    ・ログイン/ログアウト履歴
    (成功/失敗)
    ・操作ログ

    取得対象のログは、不正な操作等を検出するための以下の
    ようなものを意味している。取得したログは個々のログを確
    認するだけでなく、複数のログを組み合わせて相関分析する
    ことも検討する。必要に応じて、ログと作業記録との突き合わ
    せも行う。
    ・ログイン/ログアウト履歴(成功/失敗)
    ・操作ログ
    ・セキュリティ機器の検知ログ
    ・通信ログ
    ・DBログ
    ・アプリケーションログ

    IPA 『非機能要求グレード 2018 活用シート』 より
    http://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html

    View Slide

  12. 「セキュリティインシデント対応/復旧」の新設
    2017/9/30 11
    中項目 備考
    セキュリティインシデント対応/復旧 【メトリクス】
    セキュリティインシデント発生時の対応以外にも、イン
    シデント対応マニュアルの整備や、システムの関係者
    に対するセキュリティ教育を実施する。
    【レベル0】
    セキュリティインシデント発生の都度、インシデント対
    応体制を構築する場合も含まれる。
    【レベル1】
    新たに対応体制を構築する他に、ユーザ企業内の
    CSIRTを利用する場合や、外部のセキュリティ対応
    サービスを利用する場合も含まれる。
    小項目
    セキュリティインシデント対応/復旧
    小項目説明
    セキュリティインシデントが発生し
    た時に、早期発見し、被害の最小
    化、復旧の支援等をするための体
    制について確認する項目。
    メトリクス
    セキュリティインシデントの対応体

    ・今は重要項目になってい
    ないため、社会的影響度
    によるレベルの推奨が今
    はない
    IPA 『非機能要求グレード 2018 活用シート』 より
    http://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html

    View Slide

  13. 非機能要求グレードの適用範囲
    2017/9/30 12
    IPAプレス発表 『高信頼な情報システム構築に必要な “要求項目” に関するドキュメント群を英訳』より
    https://www.ipa.go.jp/files/000008810.pdf
    非機能要求グレードは
    システム基盤が
    ターゲット
    アプリケーションには
    OWASP ASVS
    アプリケーションのセキュリティは
    どう考えるか?

    View Slide

  14. OWASP Application Security
    Verification Standard(ASVS)
    2017/9/30 13
    • Web アプリケーションを設計,
    開発,テストするときに必要と
    なる,セキュリティ要件および
    管理策のフレームワーク
    『OWASPアプリケーションセキュリティ検証標準 3.0.1』より
    https://www.jpcert.or.jp/securecoding/materials-owaspasvs.html

    View Slide

  15. ASVS v3.0.1
    V1 アーキテクチャ、設計、脅威モデリング
    V2 認証
    V3 セッション管理
    V4 アクセス制御
    V5 悪性入力の処理
    V7 暗号化
    V8 エラー処理とログの保存
    V9 データの保護
    V10 通信
    V11 HTTPに関するセキュリティ設定
    2017/9/30 14
    V13 悪性活動の管理
    V15 ビジネスロジック
    V16 ファイルとリソース
    V17 モバイル
    V18 Webサービス
    V19 構成

    View Slide

  16. 2017/9/30 15
    『OWASPアプリケーションセキュリティ検証標準 3.0.1』 p.29よりより
    https://www.jpcert.or.jp/securecoding/materials-owaspasvs.html
    V8:エラー処理とログの保存に関する検証要件

    View Slide

  17. まとめ
    • システム基盤のセキュリティ要求を定義する
    際には非機能要求グレードの項目が参考に
    なります。
    • アプリケーションのセキュリティ要求を定義す
    る際にはアプリケーションセキュリティ検証基
    準(ASVS)が参考になります。
    2017/9/30 16

    View Slide

  18. 2017/9/30 17
    ご清聴ありがとうございました。

    View Slide