SlideShare uma empresa Scribd logo
1 de 41
神戸のサイバーセキュリティは、
誰が衛るのか?
“OWASP meets KOBE
SHIFT LEFT”
岡田良太郎・山寺純・三木剛
GALERRY A 14:30 -
OWASP?
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP NAGOYA 2017 準備中
OWASP NATORI 2017 佐藤 将太
OWASP FUKUSHIMA 2016 金子正人・山寺純
OWASP OKINAWA 2016 淵上真一・又吉伸穂
OWASP SENDAI 2015 小笠貴晴・佐藤ようすけ
OWASP KYUSHU 2015 服部 祐一・花田智洋
OWASP KANSAI 2014 長谷川陽介・三木剛
OWASP JAPAN 2011 岡田良太郎・上野宣
日本のチャプター (地域の集まり)
三木 剛
OWASP
KANSAI
LEADER
神戸デジタル・ラボ
取締役
山寺 純
OWASP
FUKUSHIMA
LEADER
EYES, JAPAN
代表取締役
岡田良太郎
OWASP
JAPAN
代表
アスタリスク・リサーチ
代表取締役
OWASP Japan Chapter Lead
mission: ソフトウェアセキュリティについて
意思決定をする人のために役立つ十分な情報を提供すること
1,495件
Enabling Security ©Asterisk Research, Inc. 9
銀行オンライン不正送金
年間被害件数
30億円
Enabling Security ©Asterisk Research, Inc. 10
銀行オンライン不正送金
年間被害金額
32日
Enabling Security ©Asterisk Research, Inc. 11
サイバーセキュリティ被害後
業務復旧までの平均日数
5000万円
〜3億円
Enabling Security ©Asterisk Research, Inc. 12
サイバーセキュリティ被害
一社あたり平均回復コスト
個人情報?
Enabling Security ©Asterisk Research, Inc. 13
カード情報?
マイナンバー?
SHIFT LEFT
Enabling Security ©Asterisk Research, Inc. 15
SHIFT LEFT
被害が出てからの対応ではなく、問
題の根本原因をつきとめ、その時点
で対策することによって問題の発生
確率や影響を未然に減じること
攻撃側のプロセス
調査 発見 悪用 成功
被害までのプロセス
無知 ぜい弱 問題 被害
自動車の場合
プレス 溶接 塗装 組立 検査
開発 生産技術 生産
SHIFT LEFT
Enabling Security ©Asterisk Research, Inc. 20
98% or 68%
がん患者の生存率比較
Enabling Security ©Asterisk Research, Inc. 21
青森県の平均寿命は、男女ともに全国最下位です
がんによる死亡率が高いことが、平均寿命に大きく
影響しています。
http://gan-info.pref.aomori.jp/public/index.php/ct05/a51.html
改
善
率
→
死亡率→
Enabling Security ©Asterisk Research, Inc. 23
・向き合うキャンペーン
・がん検診
・がん登録
・がん対策推進企業連携
協定の締結企業
・診療連携
SHIFT LEFT
Enabling Security ©Asterisk Research, Inc. 25
95%
検査の結果、深刻な脆弱性を
含んでいたITシステムの割合
OWASP Top 10 グローバルで大人気
©2016 Asterisk Research, Inc. 26
出典:SANS Institute (2015)
OWASP Top 10
容易 x 甚大な影響を及ぼす脆弱性。
27
A1 – インジェクション
A2 – 認証とセッション管理の不備
A3 – クロスサイトスクリプティング (XSS)
A4 – 安全でないオブジェクト直接参照
A5 – セキュリティ設定のミス
A6 – 機密データの露出
A7 – 機能レベルアクセス制御の欠落
A8 – クロスサイトリクエストフォージェリ(CSRF)
A9 – 既知の脆弱性を持つ
コンポーネントの使用
A10 – 未検証のリダイレクトとフォーワード
アンサードキュメント:
OWASP Proactive Controls
Enabling Security ©2016 Asterisk Research, Inc. 28
1: 早期に、繰り返しセキュリティを検証する
2: クエリーのパラメータ化
3: データのエンコーディング
4: すべての入力値を検証する
5: アイデンティティと認証管理の実装
6: 適切なアクセス制御の実装
7: データの保護
8: ロギングと侵入検知の実装
9: セキュリティフレームワークやライブラリの活用
10: エラー処理と例外処理
システムのセキュリティ問題原因の85%は構築。
©Asterisk Research, Inc. 29
0
20
40
60
80
100
設計 構築 検証 運用
1 6.5
15
対応コスト 100
SHIFT LEFT
原因85
• WordPress: 423,759
• PHP: 3,617,916
• Apache: 1,832,007
• Linux: 18,963,973
コピペで作るシステムの終焉
2017年「いかにアプリを構築し、実装するか、
新たな議論が巻き起こる」
• 11 things we think will happen in
business technology in 2017
•“A new debate in
how to build and ship
applications.”
Business Insider誌, Jan. 2, 2017
Enabling Security ©Asterisk Research, Inc. 33
34
琉球朝日放送で密着取材:
ハッカーから情報守るハードニングプロジェクトとは
http://www.qab.co.jp/news/2016110484925.html
Enabling Security ©Asterisk Research, Inc. 35
産経新聞 平成29年3月14日 生活面
もれてたろう ふせぎますこ
Enabling Security ©Asterisk Research, Inc. 37
078 Hardening
https://078kobe.jp/events/interactive/entry-88.html
神戸のセキュリティは
誰が、どうやって衛るのか
Security is
everyone’s responsibility
Enabling Security ©Asterisk Research, Inc. 41
JOIN OWASP

Mais conteúdo relacionado

Mais procurados

OWASP Top 10 - 2013 を起点にして
OWASP Top 10 - 2013 を起点にしてOWASP Top 10 - 2013 を起点にして
OWASP Top 10 - 2013 を起点にしてChia-Lung Hsieh
 
現場から始めるアジャイルの技術プラクティス
現場から始めるアジャイルの技術プラクティス現場から始めるアジャイルの技術プラクティス
現場から始めるアジャイルの技術プラクティスTakuya Okamoto
 
Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016
Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016
Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016Yusuke Suzuki
 
アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016
アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016
アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016Yusuke Suzuki
 
JAWS-UG開催情報 20170125-8th初心者支部
JAWS-UG開催情報 20170125-8th初心者支部JAWS-UG開催情報 20170125-8th初心者支部
JAWS-UG開催情報 20170125-8th初心者支部由佳 青木
 
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出oshiro_seiya
 
Akkaで実現するステートフルでスケーラブルなアーキテクチャ
Akkaで実現するステートフルでスケーラブルなアーキテクチャAkkaで実現するステートフルでスケーラブルなアーキテクチャ
Akkaで実現するステートフルでスケーラブルなアーキテクチャTIS Inc.
 
Security issue201312
Security issue201312Security issue201312
Security issue201312Riotaro OKADA
 
JavaOne感想&技術トレンド紹介 - JavaOne2015報告会
JavaOne感想&技術トレンド紹介 - JavaOne2015報告会JavaOne感想&技術トレンド紹介 - JavaOne2015報告会
JavaOne感想&技術トレンド紹介 - JavaOne2015報告会Yusuke Suzuki
 
20190412 About the future of the atrophic world -Security-
20190412 About the future of the atrophic world -Security-20190412 About the future of the atrophic world -Security-
20190412 About the future of the atrophic world -Security-Typhon 666
 
「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」
「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」
「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」OWASP Kansai
 
20210712 X-Tech JAWS Main
20210712 X-Tech JAWS Main20210712 X-Tech JAWS Main
20210712 X-Tech JAWS MainTyphon 666
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
JavaOne 2016総括 #jjug
JavaOne 2016総括 #jjugJavaOne 2016総括 #jjug
JavaOne 2016総括 #jjugYusuke Suzuki
 
2013.10.26 イノベーションエッグ クラウドセッション
2013.10.26 イノベーションエッグ クラウドセッション2013.10.26 イノベーションエッグ クラウドセッション
2013.10.26 イノベーションエッグ クラウドセッションToshiyuki Konparu
 
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...Typhon 666
 
20201209 fin-jaws lt_re_invent
20201209 fin-jaws lt_re_invent20201209 fin-jaws lt_re_invent
20201209 fin-jaws lt_re_inventToshihide Atsumi
 

Mais procurados (20)

OWASP Top 10 - 2013 を起点にして
OWASP Top 10 - 2013 を起点にしてOWASP Top 10 - 2013 を起点にして
OWASP Top 10 - 2013 を起点にして
 
現場から始めるアジャイルの技術プラクティス
現場から始めるアジャイルの技術プラクティス現場から始めるアジャイルの技術プラクティス
現場から始めるアジャイルの技術プラクティス
 
Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016
Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016
Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016
 
アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016
アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016
アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016
 
JAWS-UG開催情報 20170125-8th初心者支部
JAWS-UG開催情報 20170125-8th初心者支部JAWS-UG開催情報 20170125-8th初心者支部
JAWS-UG開催情報 20170125-8th初心者支部
 
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
 
Akkaで実現するステートフルでスケーラブルなアーキテクチャ
Akkaで実現するステートフルでスケーラブルなアーキテクチャAkkaで実現するステートフルでスケーラブルなアーキテクチャ
Akkaで実現するステートフルでスケーラブルなアーキテクチャ
 
Security issue201312
Security issue201312Security issue201312
Security issue201312
 
20150425 JAWS-UG Okinawa
20150425 JAWS-UG Okinawa20150425 JAWS-UG Okinawa
20150425 JAWS-UG Okinawa
 
JavaOne感想&技術トレンド紹介 - JavaOne2015報告会
JavaOne感想&技術トレンド紹介 - JavaOne2015報告会JavaOne感想&技術トレンド紹介 - JavaOne2015報告会
JavaOne感想&技術トレンド紹介 - JavaOne2015報告会
 
20190412 About the future of the atrophic world -Security-
20190412 About the future of the atrophic world -Security-20190412 About the future of the atrophic world -Security-
20190412 About the future of the atrophic world -Security-
 
「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」
「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」
「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」
 
20210712 X-Tech JAWS Main
20210712 X-Tech JAWS Main20210712 X-Tech JAWS Main
20210712 X-Tech JAWS Main
 
SPICE活用のメリット
SPICE活用のメリットSPICE活用のメリット
SPICE活用のメリット
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
 
JavaOne 2016総括 #jjug
JavaOne 2016総括 #jjugJavaOne 2016総括 #jjug
JavaOne 2016総括 #jjug
 
2013.10.26 イノベーションエッグ クラウドセッション
2013.10.26 イノベーションエッグ クラウドセッション2013.10.26 イノベーションエッグ クラウドセッション
2013.10.26 イノベーションエッグ クラウドセッション
 
ISACAってなんですか?
ISACAってなんですか?ISACAってなんですか?
ISACAってなんですか?
 
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
 
20201209 fin-jaws lt_re_invent
20201209 fin-jaws lt_re_invent20201209 fin-jaws lt_re_invent
20201209 fin-jaws lt_re_invent
 

Semelhante a OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -

シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県Riotaro OKADA
 
サイボウズがre:Inventに参加した話し。
サイボウズがre:Inventに参加した話し。サイボウズがre:Inventに参加した話し。
サイボウズがre:Inventに参加した話し。Koji Asaga
 
JAWS-UG アップデート (2012-09-14 JAWS-UG 第13回 勉強会 )
JAWS-UG アップデート (2012-09-14 JAWS-UG 第13回 勉強会 )JAWS-UG アップデート (2012-09-14 JAWS-UG 第13回 勉強会 )
JAWS-UG アップデート (2012-09-14 JAWS-UG 第13回 勉強会 )Ryuichi Tokugami
 
20150321 JAWS-UG Leaders Meeting
20150321 JAWS-UG Leaders Meeting20150321 JAWS-UG Leaders Meeting
20150321 JAWS-UG Leaders MeetingToshiyuki Konparu
 
第45回「こすぎの大学~武蔵小杉をサポートする~」プログラム資料
第45回「こすぎの大学~武蔵小杉をサポートする~」プログラム資料第45回「こすぎの大学~武蔵小杉をサポートする~」プログラム資料
第45回「こすぎの大学~武蔵小杉をサポートする~」プログラム資料克彦 岡本
 
第44回「こすぎの大学~武蔵小杉の多様性と可能性~」プログラム資料
第44回「こすぎの大学~武蔵小杉の多様性と可能性~」プログラム資料第44回「こすぎの大学~武蔵小杉の多様性と可能性~」プログラム資料
第44回「こすぎの大学~武蔵小杉の多様性と可能性~」プログラム資料克彦 岡本
 

Semelhante a OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - (6)

シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
 
サイボウズがre:Inventに参加した話し。
サイボウズがre:Inventに参加した話し。サイボウズがre:Inventに参加した話し。
サイボウズがre:Inventに参加した話し。
 
JAWS-UG アップデート (2012-09-14 JAWS-UG 第13回 勉強会 )
JAWS-UG アップデート (2012-09-14 JAWS-UG 第13回 勉強会 )JAWS-UG アップデート (2012-09-14 JAWS-UG 第13回 勉強会 )
JAWS-UG アップデート (2012-09-14 JAWS-UG 第13回 勉強会 )
 
20150321 JAWS-UG Leaders Meeting
20150321 JAWS-UG Leaders Meeting20150321 JAWS-UG Leaders Meeting
20150321 JAWS-UG Leaders Meeting
 
第45回「こすぎの大学~武蔵小杉をサポートする~」プログラム資料
第45回「こすぎの大学~武蔵小杉をサポートする~」プログラム資料第45回「こすぎの大学~武蔵小杉をサポートする~」プログラム資料
第45回「こすぎの大学~武蔵小杉をサポートする~」プログラム資料
 
第44回「こすぎの大学~武蔵小杉の多様性と可能性~」プログラム資料
第44回「こすぎの大学~武蔵小杉の多様性と可能性~」プログラム資料第44回「こすぎの大学~武蔵小杉の多様性と可能性~」プログラム資料
第44回「こすぎの大学~武蔵小杉の多様性と可能性~」プログラム資料
 

Mais de Riotaro OKADA

CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントRiotaro OKADA
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021Riotaro OKADA
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
もしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたならもしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたならRiotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?Riotaro OKADA
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスクRiotaro OKADA
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト  ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト  ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~Riotaro OKADA
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略Riotaro OKADA
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトRiotaro OKADA
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 

Mais de Riotaro OKADA (20)

CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
 
もしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたならもしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたなら
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
 
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
 
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト  ~経営判断をサポートするセキュリティ・ビジョン~シフトレフト  ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
 

OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -

Notas do Editor

  1. <mission: ソフトウェアセキュリティについて 意思決定をする人のために役立つ十分な情報を 提供すること> 技術者、ビジネスオーナ、ユーザ ソフトウェアに関する技術・セキュアプロセス 現状理解・普及啓発・適用推進 オープンソース・コミュニティベースで実現
  2. 平成27年中のインターネットバンキングに係る 不正送金事犯の発生状況
  3. 平成27年中のインターネットバンキングに係る 不正送金事犯の発生状況
  4. サイバーセキュリティ攻撃による影響で業務が影響を受けてから業務が復旧するまでの日数
  5. サイバーセキュリティ攻撃による被害金額
  6. サイバーセキュリティ攻撃による被害金額
  7. 「左にシフトする」とは、ソフトウェア開発プロセスに品質を組み込むことです。 左にシフトすると、以前に検出され解決された問題が少ないため、生産が中断することが少なくなります。ソフトウェア配布プロセスを製造組立ラインと考えてください。 一番左はコードが生成される開発者のラップトップであり、一番右は最終的にこのコードが終了するプロダクション環境です。 左にシフトすると、最後にのみ品質をテストするのではなく、途中で複数のフィードバックループが発生し、高品質のソフトウェアを素早くユーザーに配信できるようになります。
  8. ガンの75歳未満の年齢調整死亡率
  9. ガンの75歳未満の年齢調整死亡率
  10. 通信経路 データ 保存先を変更する場合 モバイルアプリケーション
  11. Steve McConnell, “Code Complete,” 2nd Microsoft Press, 2004. ISBN: 0735619670 https://www.openhub.net/p/wordpress https://www.openhub.net/p/apache
  12. 2014年「Docker」というスタートアップがアプリ開発のゲームのルールを書き換えた。同社の登場により、コンテナの技術が身近になった。オーバーヘッドが小さく、一瞬で立ち上がるといった特徴に加えて、差分ディスクイメージをシェアできたり、Dockerfileでインフラのコード化が可能となった。そんなコンテナ型仮想化のDockerを管理するフレームワークとして、GoogleはKubernetesをオープンソースとして公開、PaaSを基盤としたアプリケーション開発の新しいパラダイムの登場を後押しすることになった(Kubernetes自体はPaaSではないけれど。ユーザー管理やログ収集の仕組みはない)。 Amazonは、サーバーをプロビジョニングしたり、管理しなくてもコードを実行できるコンピューティングサービス「AWS Lambda」を発表、サーバーレスコンピューティングという新しい技術パラダイムを切り開く野心をみせた。Amazonにおけるサーバーレスコンピューティングには「VM」「コンテナ」「サーバーレス」という3つのアプローチがある。EC2、ECS、AWS Lambdaに対応するそれぞれのアプローチは「スケーリング単位としてのマシン/ハードウェアの抽象化」 「スケーリング単位としてのアプリ/OSの抽象化」 「スケーリング単位としての機能/言語ランタイムの抽象化」という用途に応じて切り分けられる。 PaaSなどのクラウド環境で構築されるアプリケーション開発のトレンドが「Docker」という小さなスタートアップをきっかけに大きく変わろうとしている。 https://www.businessinsider.jp/post-173