OWASP_Kansai_CybeerTako_LT1_190615

Transcript

1. OWASP SAMM のアップデート ～2.0 Betaをかじってみたら シフトレフトの味がした～ OWASP Kansai ボードメンバー 武繁

   真一 OWASP Kansai ローカルチャプターミーティング 2019.6.15 『CyBEERセキュリティを たこ・こなもんに』

2. 武繁 真一 （たけしげ しんいち） OWASP Kansai ボードメンバー 情報処理安全確保支援士(登録番号第001206号) 組込み系のソフトウェア会社に勤務 趣味：ロードバイク、野球（ソフトボール）

   自己紹介 本日お話しする内容は個人の見解であって、 所属組織を代表するものではありません

3. ソフトウエアセキュリティ保証成熟度モデル （Software Assurance Maturity Model: SAMM) https://www.owasp.org/index.php/OWASP_SAMM_Project ⚫ 独立ソフトウエアセキュリティコンサルタントである Pravir

   Chandra氏により 開発・設計・執筆された。 ⚫ 最初の草案の作成は Fortify Software, Inc.の財政的支援を得て実現した。 現在、本書の維持管理・改訂は OpenSAMM Project（代表 Pravir Chandra） が行っている。 ⚫ SAMM の公開当初から、同プロジェクトは OWASPに組み込まれた。 OWASP SAMMの紹介

4. 2008年8月 SAMM1.0 Beta版リリース 2009年3月 SAMM1.0リリース 2010年4月 SAMM1.0日本語訳リリース 経済産業省の委託事業として一般社団法人 JPCERTコーディネーションセンターが翻訳 2016年4月

   OWASP SAMM1.1リリース コアモデルとHow Toガイドを分離 2017年4月 OWASP SAMM1.5リリース スコアリングの粒度を改善 2019年2月 OWASP SAMM2.0Betaが公開 https://twitter.com/OwaspSAMM/status/1092496140040368129 沿革

5. ガバナンス 構築 検証 運営 SM：戦略＆指標 PC:ﾎﾟﾘｼｰ＆ｺﾝﾌﾟﾗｲｱﾝｽ EG:教育＆指導 TA:脅威の査定 SR:ｾｷｭﾘﾃｨ要件 SA:ｾｷｭｱなｱｰｷﾃｸﾁｬ

   DR:設計ﾚﾋﾞｭｰ IR:実装ﾚﾋﾞｭｰ ST:ｾｷｭﾘﾃｨﾃｽﾄ IM:問題管理 EH:環境の堅牢化 OE:運営体制のｾｷｭﾘﾃｨ対応 SAMM OE1 OE2 EH1 EH2 EH3 OE1 OE1 OE3 IM1 IM2 IM3 SM1 SM2 SM3 PC1 PC2 PC3 EG1 EG2 EG3 TA1 TA2 TA3 SR1 SR2 SR3 SA1 SA2 SA3 DR1 DR2 DR3 IR1 IR2 IR3 ST1 ST2 ST3 １２のセキュリティ対策 3段階の成熟度レベル ４つのビジネス機能 SAMM 1.0

6. 対策 成熟度 詳細 SAMM 1.0の中身はこんな感じ

7. SAMM 2.0 Betaはこんな感じ 和訳、PDFはなし。 https://owaspsamm.org/

8. V1.0とV1.5の違い 1.0 Governance (ガバナンス) SM Strategy & Metrics 戦略&指標 PC

   Policy & Compliance ポリシー&コンプラ イアンス EG Education & Guidance 教育&指導 Construction (構築) TA Threat Assesment 脅威の査定 SR Security Requirements セキュリティ要件 SA Security Architecture セキュアなアーキテ クチャ verification (検証) DR Design Review 設計レビュー CR Code Review コードレビュー ST Security Testing セキュリティテスト Deployment (配備) VM Valnerability Management 脆弱性管理 EH Environment Hardening 環境の堅牢化 OE Operational Enablement 運用体制のセキュリ ティ対応 1.5 Governance (ガバナンス) SM Strategy & Metrics 戦略&指標 PC Policy & Compliance ポリシー&コンプラ イアンス EG Education & Guidance 教育&指導 Construction (構築) TA Threat Assesment 脅威の査定 SR Security Requirements セキュリティ要件 SA Security Architecture セキュアなアーキテ クチャ verification (検証) DR Design Review 設計レビュー IR Implementation Review 実装レビュー ST Security Testing セキュリティテスト Operations (運営) IM Issue Management 問題管理 EH Environment Hardening 環境の堅牢化 OE Operational Enablement 運用体制のセキュリ ティ対応

9. V1.5とV2.0Betaの違い 1.5 Governance (ガバナンス) SM Strategy & Metrics 戦略&指標 PC

   Policy & Compliance ポリシー&コンプライアン ス EG Education & Guidance 教育&指導 Construction (構築) TA Threat Assesment 脅威の査定 SR Security Requirements セキュリティ要件 SA Security Architecture セキュアなアーキテクチャ verification (検証) DR Design Review 設計レビュー IR Implementation Review 実装レビュー ST Security Testing セキュリティテスト Operations (運営) IM Issue Management 問題管理 EH Environment Hardening 環境の堅牢化 OE Operational Enablement 運用体制のセキュリティ対 応 2.0 Beta Governance (ガバナン ス) SM Strategy & Metrics 戦略&指標 PC Policy & Compliance ポリシー&コンプライアン ス EG Education & Guidance 教育&指導 Design (設計) TA Threat Assesment 脅威の査定 SR Security Requirements セキュリティ要件 SA Security Architecture セキュアなアーキテクチャ Implementation (実装) SB Secure Build セキュアな造り SD Secure Deployment セキュアな配備 DM Defect Management 欠陥管理 verification (検証) AA Archtecture Assessment アーキテクチャ評価 RDT Requirements Driven Testing 要件駆動テスト ST Security Testing セキュリティテスト Operations (運営) IM Incident Management インシデント管理 EM Environment Management 環境管理 OM Operational Management 運用体制の管理

10. 販売 サービス 検証 実装 設計 運営 検証 実装 運営 検証

    構築 開発プロセスとの対比 ガバナンス 設計 ガバナンス 要件定義 1.0＆1.5 2.0Beta 開発プロセス 開発プロセスと歩調が合ってきた これってシフトレフトでは！？

11. 2.0Betaシフトレフト化の勝手な個人的考察 Plan (計画) Do (実行) Check (評価) Action (改善) Observe

    (監視) Orient (判断) Decide (決定) Act (行動) 開発段階 運営段階 PDCAループで既知の脅威を対策 OODAループで日々の脅威に対応 機能要件を作るのに精一杯 非機能要件のセキュリティまで気が回らない 日々、セキュリティの問題に直面し、 心配が尽きない。 セキュリティが機能要件として求められるようになり、 設計者の関心が高まるとともに、セキュリティ品質の保 証も求められるようになってきた。 →シフトレフトの機が熟した

12. 最後に 今回はSAMM2.0 Betaを一口かじった内容の 紹介でした。 今後も調査を進めて、次回はもう少し中身につ いて詳しくご紹介したいと思います。

13. ご清聴ありがとうございました 以上