OWASP SAMMでセキュリティの"ちゃんと"を考えてみる/OWASPKansaiDay_LT3_181201

Transcript

1. OWASP SAMMで セキュリティの”ちゃんと”を 考えてみる OWASP Kansai ボードメンバー 武繁 真一 OWASP

   Kansai Day 2018.12

2. 武繁 真一 （たけしげ しんいち） OWASP Kansai ボードメンバー 情報処理安全確保支援士(登録番号第001206号) 2019年2月にフルマラソンデビュー予定 絶賛走り込み中

   自己紹介

3. マラソン人口の地域別分布 3,709,000 1,583,000 1,480,000 924,000 413,000 346,000 345,000 207,000 0

   500,000 1,000,000 1,500,000 2,000,000 2,500,000 3,000,000 3,500,000 4,000,000 関東 中部 近畿 九州・沖縄 中国 北海道 東北 四国 25歳以上ジョギング・マラソン人口 [2016年] (合計：901万人) データ出典 社会生活基本調査

4. 12,215 1,958 1,466 545 425 351 228 172 0 2,000

   4,000 6,000 8,000 10,000 12,000 14,000 関東 近畿 中部 九州・沖縄 東北 中国 北海道 四国 情報処理安全確保支援士 地域別登録者数 (2018年10月1日現在：合計17,360人) 関東に一極集中 他の地域を全て足しても5,142人 関東の半分に届かない IPA 情報処理安全確保支援士 都道府県別登録者数から集計 情報処理安全確保支援士の登録状況でみると セキュリティの地域別関心度合い

5. セキュリティちゃんとやってますか？ ひとたび事故が起きると大変なことに!! 謝罪会見、損害賠償 新聞沙汰 事故の原因はセキュリティ管理の甘さ。 信頼回復にはセキュリティ管理体制の 確立が急務。 セキュリティ大丈夫？

6. ”ちゃんと”って言われても どうしたらいい？ MECE(ミーシー)な取組み Mutually Exclusive, Collectively Exhaustive モレなく、ダブリなく キーワードは ちゃんとやるには

7. ソフトウエアセキュリティ保証成熟度モデル （Software Assurance Maturity Model: SAMM) https://www.owasp.org/index.php/OWASP_SAMM_Project ⚫ 独立ソフトウエアセキュリティコンサルタントである Pravir

   Chandra氏により 開発・設計・執筆された。 ⚫ 最初の草案の作成は Fortify Software, Inc.の財政的支援を得て実現した。 現在、本書の維持管理・改訂は OpenSAMM Project（代表 Pravir Chandra） が行っている。 ⚫ SAMM の公開当初から、同プロジェクトは OWASPに組み込まれた。 OWASP SAMMの紹介

8. 2008年8月 SAMMベータ版リリース 2009年3月 SAMM1.0リリース 2010年4月 SAMM1.0日本語訳リリース 経済産業省の委託事業として一般社団法人 JPCERTコーディネーションセンターが翻訳 2016年4月 OWASP

   SAMM1.1リリース コアモデルとHow Toガイドを分離 2017年4月 OWASP SAMM1.5リリース スコアリングの粒度を改善 沿革 和訳あり

9. ガバナンス 構築 検証 運営 SM：戦略＆指標 PC:ﾎﾟﾘｼｰ＆ｺﾝﾌﾟﾗｲｱﾝｽ EG:教育＆指導 TA:脅威の査定 SR:ｾｷｭﾘﾃｨ要件 SA:ｾｷｭｱなｱｰｷﾃｸﾁｬ

   DR:設計ﾚﾋﾞｭｰ IR:実装ﾚﾋﾞｭｰ ST:ｾｷｭﾘﾃｨﾃｽﾄ IM:問題管理 EH:環境の堅牢化 OE:運営体制のｾｷｭﾘﾃｨ対応 SAMM OE1 OE2 EH1 EH2 EH3 OE1 OE1 OE3 IM1 IM2 IM3 SM1 SM2 SM3 PC1 PC2 PC3 EG1 EG2 EG3 TA1 TA2 TA3 SR1 SR2 SR3 SA1 SA2 SA3 DR1 DR2 DR3 IR1 IR2 IR3 ST1 ST2 ST3 １２のセキュリティ対策 3段階の成熟度レベル ４つのビジネス機能

10. Ver1.0 Ver1.5 配備 運営 脆弱性管理 問題管理 コードレビュー 実装レビュー V1.0とV1.5の違い

11. 対策 成熟度 詳細 SAMMの中身はこんな感じ

12. ◆ 評価：組織の既存のソフトウエアセキュリティ対策の評価 ◆ 構築：明確に定められた反復型作業による、バランスの取れた ソフトウエアセキュリティ保証プログラムの構築 ◆ 実証：セキュリティ保証プログラムに関する具体的な改善効果の実証 ◆ 定義と測定：組織全体にわたるセキュリティ関連活動の定義と測定 SAMMの活用シーン

13. OWASPとは何だね？ 聞いたことないけど大丈夫なのか？ セキュリティをちゃんとやるために OWASP SAMMを導入しましょう 他社はどうしているのか？ 成功事例は？ ・・・ (ただでさえ忙しいのに なんか面倒くさそう)

    SAMMの費用対効果は？ SAMMの導入には理解を得るハードルが高い 他のガイドラインと組合わせて使ってみる

14. 経済産業省 サイバーセキュリティ経営ガイドラインの概要から引用 http://www.meti.go.jp/policy/netsecurity/mng_guide.html 態勢も重要 サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」と 情報セキュリティ対策の実施責任者となる担当幹部（CISO等）に指示すべき 「重要10項目」をまとめたもの。 サイバーセキュリティ経営ガイドライン(経産省発行)

15. IoTセキュリティガイドラインVer1.0から引用 http://www.meti.go.jp/press/2016/07/20160705002/20160705002-1.pdf IoT 機器の開発から IoT サービスの提供までの流れを 「方針」,「分析」,「設計」,「構築・接続」、「運用・保守」の段階に分けて、 ５つの指針と21の要点でセキュリティ対策のポイントや対策例を記載したもの。 詳細 IoTセキュリティガイドライン

    (経産省・総務省発行)

16. 方針 分析 設計 構築・接続 運用・保守 ガバナンス 構築 検証 運営 SAMM

    関連 IoTセキュリティ ガイドライン サイバーセキュリティ経営ガイドライン

17. IoTセキュリティ ガイドライン 成熟度評価 経営層 技術者層 サイバーセキュリティ 経営ガイドライン OWASP SAMMを活用して MECEなセキュリティ対策を！

    まとめ

18. アジャイルマニフェスト ・プロセスやツールよりも、人と人との交流を ・包括的なドキュメントよりも、動作するソフトウェアを ・契約上の交渉よりも、顧客との協調を ・計画に従うよりも、変化に適応することを OWASP Kansaiはこれからも 人と人との交流を大切にしていきます セキュリティにあてはめてみると。。。 ・プロセスやツールよりも、人と人との交流を

    ・包括的なドキュメントよりも、動作するセキュリティを ・契約上の交渉よりも、顧客との協調を ・計画に従うよりも、変化に適応することを 最後に

19. ご清聴ありがとうございました 以上