プロダクトセキュリティにおける欠如モデルからの脱却

Transcript

1. ϓϩμΫτηΩϡϦςΟʹ͓͚Δ
   ܽ೗Ϟσϧ͔Βͷ୤٫ 
   Պֶٕज़Πϊϕʔγϣϯ੓ࡦ֓࿦
   ຀໺
   ඒ࡙

2. wۀ຿ʹ͓͚Δ։ൃ෦໳ͱͷ߹ҙܗ੒ʹ՝୊ײ
   wՊֶٕज़ͱࢢຽͷؔ܎ʹ͓͚Δ՝୊ͱྨࣅ
   wฏ઒ઌੜͷतۀͰͷֶͼΛԠ༻͠ɺ՝୊ղܾΛఏݴ ̏ߦαϚϦ

3.  ۀ຿ͷݱঢ়ͱ՝୊ͷڞ༗
    Պֶٕज़ͱࢢຽͷؔ܎ʹ͓͚Δ՝୊ͱͷྨࣅੑ
    ֶͼΛԠ༻ͨ͠՝୊ղܾͷఏݴ ΞδΣϯμ

4.  ࣗࣾ։ൃͷXFCαʔϏεΛ੬ऑੑ਍அ
   w ηΩϡϦςΟ্ͷ໰୊͕ͳ͍͔ௐ΂Δۀ຿
   w ৘ใ࿙͍͑ɺσʔλվ͟ΜɺαʔϏε๦֐
    ݕग़ͨ͠੬ऑੑΛ։ൃ෦໳ʹϑΟʔυόοΫ
    ੬ऑੑΛमਖ਼͢Δ͔ؔ܎ऀͰ߹ҙܗ੒

   ۀ຿಺༰

5. ߹ҙܗ੒ ηΩϡϦςΟ෦໳
   ࢲ ɾ͜ͷ੬ऑੑ͸ʜ
   ɾϦεΫ͸ʜ
   ɾमਖ਼ͷཁ݅͸ʜ σβΠφʔ ΤϯδχΞ ϓϩμΫτ
   Ϛωʔδϟʔ

   ։ൃ෦໳ Θ͔Γ·ͨ͠ Θ͔Γ·ͨ͠ Θ͔Γ·ͨ͠

6. ηΩϡϦςΟ෦໳
   ࢲ ɾ͜ͷ੬ऑੑ͸ʜ
   ɾϦεΫ͸ʜ
   ɾमਖ਼ͷཁ݅͸ʜ σβΠφʔ ΤϯδχΞ ϓϩμΫτ
   Ϛωʔδϟʔ ։ൃ෦໳

   ຊ౰ʹϦεΫ͕ ߴ͍ͷ͔ͳʁ ͦͷमਖ਼ཁ݅Ͱ ͍͍ͷ͔ͳʁ ઐ໳༻ޠ͕Α͘ Θ͔Βͳ͍ͳ ຊ౰ʹ߹ҙܗ੒Ͱ͖͍ͯΔͷ͔ʁ🤔

7. Պֶऀ ɾ͜ͷٕज़͸ʜ
   ɾϦεΫ͸ʜ
   ɾ҆શࡦ͸ʜ ࢢຽ ࢢຽ ࢢຽ ࣾձ ຊ౰ʹྑ͍ٕज़ ͳͷ͔ͳʁ

   ͦͷ҆શࡦͰେ ৎ෉͔ͳʁ ઐ໳༻ޠ͕Α͘ Θ͔Βͳ͍ͳ ׬શʹྨࣅ

8. ܽ೗Ϟσϧ͔Βͷ୤٫͕ඞཁ ηΩϡϦςΟ෦໳
   ࢲ ɾ͜ͷ੬ऑੑ͸ʜ
   ɾϦεΫ͸ʜ
   ɾमਖ਼ͷཁ݅͸ʜ σβΠφʔ ΤϯδχΞ ϓϩμΫτ
   Ϛωʔδϟʔ

   ։ൃ෦໳ ຊ౰ʹϦεΫ͕ ߴ͍ͷ͔ͳʁ ͦͷमਖ਼ཁ݅Ͱ ͍͍ͷ͔ͳʁ ઐ໳༻ޠ͕Α͘ Θ͔Βͳ͍ͳ

9. ฏ઒ઌੜͷतۀͰͷֶͼ ฏ઒ઌੜͷߨٛεϥΠυQΑΓҾ༻

10. ந৅Խ  ϦεΫͰ͸ͳ͘๬·͍͠ະདྷʹண໨
     ༷ʑͳਓ͕౰ࣄऀҙࣝΛ࣋ͭ͜ͱ͕Ͱ͖Δ໨ඪઃఆ
     ϑΥʔαΠτΛ׆༻ͨ͠ෳ਺γφϦΦͷ࡞੒

11. Ԡ༻  ੬ऑੑͰ͸ͳ͘ɺηΩϡϦςΟػೳॆ଍ͱ఻͑Δ
     ސ٬΁ͷՁ஋ఏڙΛશһͷ໨ඪʹ͢Δ
     ໨ඪʹରཱ֤ͯ͠৔͔ΒγφϦΦΛڞ༗͢Δ

12. ηΩϡϦςΟ෦໳
    ࢲ ɾ͜ͷ੬ऑੑ͸ʜ
    ɾϦεΫ͸ʜ
    ɾमਖ਼ͷཁ݅͸ʜ σβΠφʔ ΤϯδχΞ ϓϩμΫτ
    Ϛωʔδϟʔ ։ൃ෦໳

    ຊ౰ʹϦεΫ͕ ߴ͍ͷ͔ͳʁ ͦͷमਖ਼ཁ݅Ͱ ͍͍ͷ͔ͳʁ ઐ໳༻ޠ͕Α͘ Θ͔Βͳ͍ͳ ֶͼԠ༻લ

13. ސ٬ͷͨΊʹɺॆ ଍͍ͨ͠ηΩϡϦ ςΟػೳ͸ʓʓͰ͢ ηΩϡϦςΟ
    ෦໳ ΤϯδχΞ σβΠφʔ ϓϩμΫτ
    Ϛωʔδϟʔ ⛳
    ސ٬΁ͷՁ஋ఏڙ

    ސ٬ͷͨΊʹɺݕ ࡧͷϨεϙϯε଎ ౓Λ଎Ί͍ͨͰ͢ ސ٬ͷͨΊʹɺد ͤΒΕͨۤ৘Λղ ফ͍ͨ͠Ͱ͢ ސ٬ͷͨΊʹɺ͜ Μͳ69ͰମݧΛ޲ ্͍ͨ͠Ͱ͢ ֶͼԠ༻ޙ

14. ηΩϡϦςΟ
    ෦໳ ΤϯδχΞ σβΠφʔ ϓϩμΫτ
    Ϛωʔδϟʔ ސ٬ͷͨΊʹɺॆ ଍͍ͨ͠ηΩϡϦ ςΟػೳ͸ʓʓͰ͢ ⛳
    ސ٬΁ͷՁ஋ఏڙ

    ސ٬ͷͨΊʹɺݕ ࡧͷϨεϙϯε଎ ౓Λ଎Ί͍ͨͰ͢ ސ٬ͷͨΊʹɺد ͤΒΕͨۤ৘Λղ ফ͍ͨ͠Ͱ͢ ސ٬ͷͨΊʹɺ͜ Μͳ69ͰମݧΛ޲ ্͍ͨ͠Ͱ͢ 
    ੬ऑੑͰ͸ͳ͘ηΩϡϦςΟ ػೳॆ଍ͱ఻͑Δ ϙΠϯτ 
    શһͷ౰ࣄऀҙ͕ࣝ ժੜ͑Δ໨ඪΛઃఆ 
    ໨ඪʹରཱ֤ͯ͠৔͔Β γφϦΦΛڞ༗

15. ηΩϡϦςΟ
    ෦໳ ΤϯδχΞ σβΠφʔ ϓϩμΫτ
    Ϛωʔδϟʔ ސ٬ͷͨΊʹɺॆ ଍͍ͨ͠ηΩϡϦ ςΟػೳ͸ʓʓͰ͢ ⛳
    ސ٬΁ͷՁ஋ఏڙ

    ސ٬ͷͨΊʹɺݕ ࡧͷϨεϙϯε଎ ౓Λ଎Ί͍ͨͰ͢ ސ٬ͷͨΊʹɺد ͤΒΕͨۤ৘Λղ ফ͍ͨ͠Ͱ͢ ސ٬ͷͨΊʹɺ͜ Μͳ69ͰମݧΛ޲ ্͍ͨ͠Ͱ͢ ೲಘײͷ͋Δ߹ҙܗ੒΁ ܽ೗Ϟσϧ͔Β୤٫͠ɺ
    ཱ֤৔͔ΒͷγφϦΦ΋ؚΊͯԣฒ΂ʹͯ͠ɺ
    ໨ඪʹ޲͔ͬͯɺద੾ͳ༏ઌॱҐΛ͚ͭΔ

16. ͝ਗ਼ௌ͋Γ͕ͱ͏͍͟͝·ͨ͠ʂ