Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP SAMMでセキュリティの"ちゃんと"を考えてみる/OWASPKansaiDay_L...
Search
OWASP Kansai
December 01, 2018
1
230
OWASP SAMMでセキュリティの"ちゃんと"を考えてみる/OWASPKansaiDay_LT3_181201
OWASP Kansai
December 01, 2018
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
18
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
280
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
800
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
320
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
900
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
350
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
160
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
200
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
350
Featured
See All Featured
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Being A Developer After 40
akosma
87
590k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
17
2.3k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.3k
Building Adaptive Systems
keathley
38
2.3k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
YesSQL, Process and Tooling at Scale
rocio
169
14k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
1.2k
The Language of Interfaces
destraynor
154
24k
Making Projects Easy
brettharned
116
5.9k
Become a Pro
speakerdeck
PRO
26
5k
RailsConf 2023
tenderlove
29
940
Transcript
OWASP SAMMで セキュリティの”ちゃんと”を 考えてみる OWASP Kansai ボードメンバー 武繁 真一 OWASP
Kansai Day 2018.12
武繁 真一 (たけしげ しんいち) OWASP Kansai ボードメンバー 情報処理安全確保支援士(登録番号第001206号) 2019年2月にフルマラソンデビュー予定 絶賛走り込み中
自己紹介
マラソン人口の地域別分布 3,709,000 1,583,000 1,480,000 924,000 413,000 346,000 345,000 207,000 0
500,000 1,000,000 1,500,000 2,000,000 2,500,000 3,000,000 3,500,000 4,000,000 関東 中部 近畿 九州・沖縄 中国 北海道 東北 四国 25歳以上ジョギング・マラソン人口 [2016年] (合計:901万人) データ出典 社会生活基本調査
12,215 1,958 1,466 545 425 351 228 172 0 2,000
4,000 6,000 8,000 10,000 12,000 14,000 関東 近畿 中部 九州・沖縄 東北 中国 北海道 四国 情報処理安全確保支援士 地域別登録者数 (2018年10月1日現在:合計17,360人) 関東に一極集中 他の地域を全て足しても5,142人 関東の半分に届かない IPA 情報処理安全確保支援士 都道府県別登録者数から集計 情報処理安全確保支援士の登録状況でみると セキュリティの地域別関心度合い
セキュリティちゃんとやってますか? ひとたび事故が起きると大変なことに!! 謝罪会見、損害賠償 新聞沙汰 事故の原因はセキュリティ管理の甘さ。 信頼回復にはセキュリティ管理体制の 確立が急務。 セキュリティ大丈夫?
”ちゃんと”って言われても どうしたらいい? MECE(ミーシー)な取組み Mutually Exclusive, Collectively Exhaustive モレなく、ダブリなく キーワードは ちゃんとやるには
ソフトウエアセキュリティ保証成熟度モデル (Software Assurance Maturity Model: SAMM) https://www.owasp.org/index.php/OWASP_SAMM_Project ⚫ 独立ソフトウエアセキュリティコンサルタントである Pravir
Chandra氏により 開発・設計・執筆された。 ⚫ 最初の草案の作成は Fortify Software, Inc.の財政的支援を得て実現した。 現在、本書の維持管理・改訂は OpenSAMM Project(代表 Pravir Chandra) が行っている。 ⚫ SAMM の公開当初から、同プロジェクトは OWASPに組み込まれた。 OWASP SAMMの紹介
2008年8月 SAMMベータ版リリース 2009年3月 SAMM1.0リリース 2010年4月 SAMM1.0日本語訳リリース 経済産業省の委託事業として一般社団法人 JPCERTコーディネーションセンターが翻訳 2016年4月 OWASP
SAMM1.1リリース コアモデルとHow Toガイドを分離 2017年4月 OWASP SAMM1.5リリース スコアリングの粒度を改善 沿革 和訳あり
ガバナンス 構築 検証 運営 SM:戦略&指標 PC:ポリシー&コンプライアンス EG:教育&指導 TA:脅威の査定 SR:セキュリティ要件 SA:セキュアなアーキテクチャ
DR:設計レビュー IR:実装レビュー ST:セキュリティテスト IM:問題管理 EH:環境の堅牢化 OE:運営体制のセキュリティ対応 SAMM OE1 OE2 EH1 EH2 EH3 OE1 OE1 OE3 IM1 IM2 IM3 SM1 SM2 SM3 PC1 PC2 PC3 EG1 EG2 EG3 TA1 TA2 TA3 SR1 SR2 SR3 SA1 SA2 SA3 DR1 DR2 DR3 IR1 IR2 IR3 ST1 ST2 ST3 12のセキュリティ対策 3段階の成熟度レベル 4つのビジネス機能
Ver1.0 Ver1.5 配備 運営 脆弱性管理 問題管理 コードレビュー 実装レビュー V1.0とV1.5の違い
対策 成熟度 詳細 SAMMの中身はこんな感じ
◆ 評価:組織の既存のソフトウエアセキュリティ対策の評価 ◆ 構築:明確に定められた反復型作業による、バランスの取れた ソフトウエアセキュリティ保証プログラムの構築 ◆ 実証:セキュリティ保証プログラムに関する具体的な改善効果の実証 ◆ 定義と測定:組織全体にわたるセキュリティ関連活動の定義と測定 SAMMの活用シーン
OWASPとは何だね? 聞いたことないけど大丈夫なのか? セキュリティをちゃんとやるために OWASP SAMMを導入しましょう 他社はどうしているのか? 成功事例は? ・・・ (ただでさえ忙しいのに なんか面倒くさそう)
SAMMの費用対効果は? SAMMの導入には理解を得るハードルが高い 他のガイドラインと組合わせて使ってみる
経済産業省 サイバーセキュリティ経営ガイドラインの概要から引用 http://www.meti.go.jp/policy/netsecurity/mng_guide.html 態勢も重要 サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」と 情報セキュリティ対策の実施責任者となる担当幹部(CISO等)に指示すべき 「重要10項目」をまとめたもの。 サイバーセキュリティ経営ガイドライン(経産省発行)
IoTセキュリティガイドラインVer1.0から引用 http://www.meti.go.jp/press/2016/07/20160705002/20160705002-1.pdf IoT 機器の開発から IoT サービスの提供までの流れを 「方針」,「分析」,「設計」,「構築・接続」、「運用・保守」の段階に分けて、 5つの指針と21の要点でセキュリティ対策のポイントや対策例を記載したもの。 詳細 IoTセキュリティガイドライン
(経産省・総務省発行)
方針 分析 設計 構築・接続 運用・保守 ガバナンス 構築 検証 運営 SAMM
関連 IoTセキュリティ ガイドライン サイバーセキュリティ経営ガイドライン
IoTセキュリティ ガイドライン 成熟度評価 経営層 技術者層 サイバーセキュリティ 経営ガイドライン OWASP SAMMを活用して MECEなセキュリティ対策を!
まとめ
アジャイルマニフェスト ・プロセスやツールよりも、人と人との交流を ・包括的なドキュメントよりも、動作するソフトウェアを ・契約上の交渉よりも、顧客との協調を ・計画に従うよりも、変化に適応することを OWASP Kansaiはこれからも 人と人との交流を大切にしていきます セキュリティにあてはめてみると。。。 ・プロセスやツールよりも、人と人との交流を
・包括的なドキュメントよりも、動作するセキュリティを ・契約上の交渉よりも、顧客との協調を ・計画に従うよりも、変化に適応することを 最後に
ご清聴ありがとうございました 以上