Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up
for free
OWASP_Kansai_CybeerTako_LT1_190615
OWASP Kansai
June 15, 2019
Technology
0
49
OWASP_Kansai_CybeerTako_LT1_190615
OWASP Kansai
June 15, 2019
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
owaspkansai
0
42
owaspkansai
1
110
owaspkansai
0
280
owaspkansai
0
99
owaspkansai
1
83
owaspkansai
0
80
owaspkansai
0
26
owaspkansai
0
97
owaspkansai
0
280
Other Decks in Technology
See All in Technology
ocise
1
1.8k
eayedi
1
120
kaedemalu
0
310
miyakemito
1
540
optim
0
190
hanacchi
0
140
nkjzm
0
560
kanaugust
PRO
0
150
hagyyyy
0
120
oliva
7
1k
miura55
0
240
nakashin1
1
1.1k
Featured
See All Featured
lynnandtonic
272
16k
aarron
257
36k
carmenhchung
30
1.5k
jasonvnalue
82
8.1k
iamctodd
19
2k
paulrobertlloyd
72
1.4k
chriscoyier
499
130k
hursman
107
9.2k
ufuk
56
5.4k
malarkey
393
61k
eileencodes
113
25k
danielanewman
1
520
Transcript
OWASP SAMM のアップデート ~2.0 Betaをかじってみたら シフトレフトの味がした~ OWASP Kansai ボードメンバー 武繁
真一 OWASP Kansai ローカルチャプターミーティング 2019.6.15 『CyBEERセキュリティを たこ・こなもんに』
武繁 真一 (たけしげ しんいち) OWASP Kansai ボードメンバー 情報処理安全確保支援士(登録番号第001206号) 組込み系のソフトウェア会社に勤務 趣味:ロードバイク、野球(ソフトボール)
自己紹介 本日お話しする内容は個人の見解であって、 所属組織を代表するものではありません
ソフトウエアセキュリティ保証成熟度モデル (Software Assurance Maturity Model: SAMM) https://www.owasp.org/index.php/OWASP_SAMM_Project ⚫ 独立ソフトウエアセキュリティコンサルタントである Pravir
Chandra氏により 開発・設計・執筆された。 ⚫ 最初の草案の作成は Fortify Software, Inc.の財政的支援を得て実現した。 現在、本書の維持管理・改訂は OpenSAMM Project(代表 Pravir Chandra) が行っている。 ⚫ SAMM の公開当初から、同プロジェクトは OWASPに組み込まれた。 OWASP SAMMの紹介
2008年8月 SAMM1.0 Beta版リリース 2009年3月 SAMM1.0リリース 2010年4月 SAMM1.0日本語訳リリース 経済産業省の委託事業として一般社団法人 JPCERTコーディネーションセンターが翻訳 2016年4月
OWASP SAMM1.1リリース コアモデルとHow Toガイドを分離 2017年4月 OWASP SAMM1.5リリース スコアリングの粒度を改善 2019年2月 OWASP SAMM2.0Betaが公開 https://twitter.com/OwaspSAMM/status/1092496140040368129 沿革
ガバナンス 構築 検証 運営 SM:戦略&指標 PC:ポリシー&コンプライアンス EG:教育&指導 TA:脅威の査定 SR:セキュリティ要件 SA:セキュアなアーキテクチャ
DR:設計レビュー IR:実装レビュー ST:セキュリティテスト IM:問題管理 EH:環境の堅牢化 OE:運営体制のセキュリティ対応 SAMM OE1 OE2 EH1 EH2 EH3 OE1 OE1 OE3 IM1 IM2 IM3 SM1 SM2 SM3 PC1 PC2 PC3 EG1 EG2 EG3 TA1 TA2 TA3 SR1 SR2 SR3 SA1 SA2 SA3 DR1 DR2 DR3 IR1 IR2 IR3 ST1 ST2 ST3 12のセキュリティ対策 3段階の成熟度レベル 4つのビジネス機能 SAMM 1.0
対策 成熟度 詳細 SAMM 1.0の中身はこんな感じ
SAMM 2.0 Betaはこんな感じ 和訳、PDFはなし。 https://owaspsamm.org/
V1.0とV1.5の違い 1.0 Governance (ガバナンス) SM Strategy & Metrics 戦略&指標 PC
Policy & Compliance ポリシー&コンプラ イアンス EG Education & Guidance 教育&指導 Construction (構築) TA Threat Assesment 脅威の査定 SR Security Requirements セキュリティ要件 SA Security Architecture セキュアなアーキテ クチャ verification (検証) DR Design Review 設計レビュー CR Code Review コードレビュー ST Security Testing セキュリティテスト Deployment (配備) VM Valnerability Management 脆弱性管理 EH Environment Hardening 環境の堅牢化 OE Operational Enablement 運用体制のセキュリ ティ対応 1.5 Governance (ガバナンス) SM Strategy & Metrics 戦略&指標 PC Policy & Compliance ポリシー&コンプラ イアンス EG Education & Guidance 教育&指導 Construction (構築) TA Threat Assesment 脅威の査定 SR Security Requirements セキュリティ要件 SA Security Architecture セキュアなアーキテ クチャ verification (検証) DR Design Review 設計レビュー IR Implementation Review 実装レビュー ST Security Testing セキュリティテスト Operations (運営) IM Issue Management 問題管理 EH Environment Hardening 環境の堅牢化 OE Operational Enablement 運用体制のセキュリ ティ対応
V1.5とV2.0Betaの違い 1.5 Governance (ガバナンス) SM Strategy & Metrics 戦略&指標 PC
Policy & Compliance ポリシー&コンプライアン ス EG Education & Guidance 教育&指導 Construction (構築) TA Threat Assesment 脅威の査定 SR Security Requirements セキュリティ要件 SA Security Architecture セキュアなアーキテクチャ verification (検証) DR Design Review 設計レビュー IR Implementation Review 実装レビュー ST Security Testing セキュリティテスト Operations (運営) IM Issue Management 問題管理 EH Environment Hardening 環境の堅牢化 OE Operational Enablement 運用体制のセキュリティ対 応 2.0 Beta Governance (ガバナン ス) SM Strategy & Metrics 戦略&指標 PC Policy & Compliance ポリシー&コンプライアン ス EG Education & Guidance 教育&指導 Design (設計) TA Threat Assesment 脅威の査定 SR Security Requirements セキュリティ要件 SA Security Architecture セキュアなアーキテクチャ Implementation (実装) SB Secure Build セキュアな造り SD Secure Deployment セキュアな配備 DM Defect Management 欠陥管理 verification (検証) AA Archtecture Assessment アーキテクチャ評価 RDT Requirements Driven Testing 要件駆動テスト ST Security Testing セキュリティテスト Operations (運営) IM Incident Management インシデント管理 EM Environment Management 環境管理 OM Operational Management 運用体制の管理
販売 サービス 検証 実装 設計 運営 検証 実装 運営 検証
構築 開発プロセスとの対比 ガバナンス 設計 ガバナンス 要件定義 1.0&1.5 2.0Beta 開発プロセス 開発プロセスと歩調が合ってきた これってシフトレフトでは!?
2.0Betaシフトレフト化の勝手な個人的考察 Plan (計画) Do (実行) Check (評価) Action (改善) Observe
(監視) Orient (判断) Decide (決定) Act (行動) 開発段階 運営段階 PDCAループで既知の脅威を対策 OODAループで日々の脅威に対応 機能要件を作るのに精一杯 非機能要件のセキュリティまで気が回らない 日々、セキュリティの問題に直面し、 心配が尽きない。 セキュリティが機能要件として求められるようになり、 設計者の関心が高まるとともに、セキュリティ品質の保 証も求められるようになってきた。 →シフトレフトの機が熟した
最後に 今回はSAMM2.0 Betaを一口かじった内容の 紹介でした。 今後も調査を進めて、次回はもう少し中身につ いて詳しくご紹介したいと思います。
ご清聴ありがとうございました 以上