2017/7 OWASP Night, Japan Speaker: オージス総研、安藤 崇周
セキュリティ要求定義で使える非機能要求グレードとASVS(株)オージス総研安藤 崇周
View Slide
自己紹介• OWASP活動– OWASP World Traning Tour 2017インストラクター– OWASP Top10 – 2017 日本語訳• 業務– アプリケーションセキュリティ・コンサルタント– ITアーキテクト– PM– Scrum Master(CSM&CSPO)– プログラマ(Java/Scala/C/JavaScript他)2017/9/30 1
2017/9/30 2要求定義なしで作ったソフトウェアの振る舞いを検証できますか?ソフトウェアの開発では、そのソフトウェアに対する要求が定義されている必要があります。いきなりですが、
そもそも要求とは• システムが満たさなければならない必す(須)条件JISX0020:1992 情報処理用語(システム開発)2017/9/30 3
機能要求と非機能要求• 機能要求とは、ユーザがソフトウェアにどのような機能を必要としているかを表す要求• 非機能要求とは、ソフトウェアの提供する機能が達成すべき性能や制限を表す要求– 識別しにくい– アーキテクチャに影響2017/9/30 4セキュリティは基本的には非機能要求として検討されるオブジェクトの広場 『非機能要求とISO9126』 よりhttps://www.ogis-ri.co.jp/otc/hiroba/technical/JavaPress_ISO9126/
非機能要求グレードとは• 「システム基盤」の可用性や拡張性などの要求を明確化し、システムを発注する側(ユーザ企業)とシステムを開発する側(開発企業)で合意形成するための手法及びツール群• 4月に8年ぶりの改訂– セキュリティ– 仮想化2017/9/30 5IPA 『非機能要求グレード 2018 活用シート』 よりhttp://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html
セキュリティに関する改訂2017/9/30 6IPA 『非機能要求グレード2018 改訂情報 ~初版との差異~』 よりhttps://www.ipa.go.jp/files/000066170.pdfサイバー攻撃を完全に防ぐことが困難にシステムのグローバル化の進展防御しきれずに侵入されることを前提とした新しいセキュリティの考え方や、ログの相関分析といった新しいセキュリティ対策を定義することが可能に日本以外の国や地域の法令なども把握し定義することが可能に時代の変化 改訂ポイント
セキュリティの改訂を味わう2018/7/30 7非機能要求項目運用・保守性システム環境・エコロジーセキュリティ移行性可用性性能・拡張性大項目Web対策マルウェア対策ネットワーク対策不正追跡・監視データの秘匿アクセス・利用制限セキュリティリスク管理セキュリティ診断セキュリティリスク分析前提条件・制約条件セキュリティインシデント対応/復旧中項目海外の法律も!時間軸を考えたEOL対策や必要暗号強度の変化対策を!最初だけでなく運用中も診断を!リスク見直しのトリガーは、重要な脅威や脆弱性の発見も含みます!パッチあてるまでの対策も!OWASP Top 10 2017 – A10熟読しましょう!FWだけじゃなくIPSやメールフィルタも検討!新設!CSIRTも考えましょう!
非機能要求グレードのイメージ2017/9/30 8・部分的なピックアップです IPA 『非機能要求グレード 2018 活用シート』 よりhttp://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html
「情報セキュリティに関するコンプライアンス」への改訂2017/9/30 9中項目 前提条件・制約条件メトリクス 順守すべき社内規程、ルール、法令、ガイドライン等の有無備考【メトリクス】 旧 備考【メトリクス】 新具体例の記載なし小項目説明に日本の例あり例)・国内/海外の法律不正アクセス禁止法・不正競争防止法・プロバイダ責任法・改正個人情報保護法・SOX法・EU一般データ保護規則(GDPR)・特定電子メール送信適正化法・電子署名法など・資格認証プライバシーマーク・ISMS/ITSMS/BPMS/CSMS・ISO/IEC27000系・PCI DSS・クラウド情報セキュリティ監査・TRUSTeなど・ガイドラインFISC・FISMA/NIST800・政府機関の情報セキュリティ対策のための統一基準など・その他ルール情報セキュリティポリシーなどIPA 『非機能要求グレード 2018 活用シート』 よりhttp://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html
「不正監視」への改訂2017/9/30 10中項目 不正追跡・監視メトリクス ログの取得備考【メトリクス】 旧 備考【メトリクス】 新取得対象のログは、不正な操作等を検出するための以下のようなものを意味している。・ログイン/ログアウト履歴(成功/失敗)・操作ログ等取得対象のログは、不正な操作等を検出するための以下のようなものを意味している。取得したログは個々のログを確認するだけでなく、複数のログを組み合わせて相関分析することも検討する。必要に応じて、ログと作業記録との突き合わせも行う。・ログイン/ログアウト履歴(成功/失敗)・操作ログ・セキュリティ機器の検知ログ・通信ログ・DBログ・アプリケーションログ等IPA 『非機能要求グレード 2018 活用シート』 よりhttp://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html
「セキュリティインシデント対応/復旧」の新設2017/9/30 11中項目 備考セキュリティインシデント対応/復旧 【メトリクス】セキュリティインシデント発生時の対応以外にも、インシデント対応マニュアルの整備や、システムの関係者に対するセキュリティ教育を実施する。【レベル0】セキュリティインシデント発生の都度、インシデント対応体制を構築する場合も含まれる。【レベル1】新たに対応体制を構築する他に、ユーザ企業内のCSIRTを利用する場合や、外部のセキュリティ対応サービスを利用する場合も含まれる。小項目セキュリティインシデント対応/復旧小項目説明セキュリティインシデントが発生した時に、早期発見し、被害の最小化、復旧の支援等をするための体制について確認する項目。メトリクスセキュリティインシデントの対応体制・今は重要項目になっていないため、社会的影響度によるレベルの推奨が今はないIPA 『非機能要求グレード 2018 活用シート』 よりhttp://www.ipa.go.jp/sec/softwareengineering/reports/20100416.html
非機能要求グレードの適用範囲2017/9/30 12IPAプレス発表 『高信頼な情報システム構築に必要な “要求項目” に関するドキュメント群を英訳』よりhttps://www.ipa.go.jp/files/000008810.pdf非機能要求グレードはシステム基盤がターゲットアプリケーションにはOWASP ASVSアプリケーションのセキュリティはどう考えるか?
OWASP Application SecurityVerification Standard(ASVS)2017/9/30 13• Web アプリケーションを設計,開発,テストするときに必要となる,セキュリティ要件および管理策のフレームワーク『OWASPアプリケーションセキュリティ検証標準 3.0.1』よりhttps://www.jpcert.or.jp/securecoding/materials-owaspasvs.html
ASVS v3.0.1V1 アーキテクチャ、設計、脅威モデリングV2 認証V3 セッション管理V4 アクセス制御V5 悪性入力の処理V7 暗号化V8 エラー処理とログの保存V9 データの保護V10 通信V11 HTTPに関するセキュリティ設定2017/9/30 14V13 悪性活動の管理V15 ビジネスロジックV16 ファイルとリソースV17 モバイルV18 WebサービスV19 構成
2017/9/30 15『OWASPアプリケーションセキュリティ検証標準 3.0.1』 p.29よりよりhttps://www.jpcert.or.jp/securecoding/materials-owaspasvs.htmlV8:エラー処理とログの保存に関する検証要件
まとめ• システム基盤のセキュリティ要求を定義する際には非機能要求グレードの項目が参考になります。• アプリケーションのセキュリティ要求を定義する際にはアプリケーションセキュリティ検証基準(ASVS)が参考になります。2017/9/30 16
2017/9/30 17ご清聴ありがとうございました。
owaspjapan
kazeburo
oracle4engineer
udzura
asazutaiga
sparty
sue445
mii3king
nomu
hanhan1978
stefafafan
sbtechnight
nasa9084
eitanlees
philnash
paulrobertlloyd
schacon
holman
philhawksworth
maltzj
sferik
sugarenia
dougneiner
yeseniaperezcruz