Application Security Briefing & Discussion 2016 Asterisk Research, Inc Riotaro OKADA Enabling Security 2016 Asterisk Research, Inc.
Riotaro OKADA Riotaro OKADA Executive Researcher CISA, MBA https://jp.linkedin.com/ in/riotaro @okdt CYDER (IPA) JICA, 2015
If you can t measure it, you can t manage it W. Edwards Deming Enabling Security 2016 Asterisk Research, Inc.
Let s go visible 100 100 80 60 40 20 0 1 6.5 15 Enabling Security 2016 Asterisk Research, Inc.
QCD Enabling Security 2016 Asterisk Research, Inc.
Drivers for AppSec Programs ROI TCO Couching security as a direct enablement for new applications Other Response Percent 71.5% 69.6% 39.9% 36.7% 33.5% 30.4% 1.3% SANS Institute (2015) Enabling Security Asterisk Research, Inc.
It is wrong to suppose that if you can t measure it, you can t manage it W. Edwards Deming Enabling Security 2016 Asterisk Research, Inc.
Enabling Security x Asterisk Research Assessment Scoring BSIMM, OpenSAMM, CIS Critical Controls (DD,, ) Secure Development : SecureAssist QA 3D Security Testing SONY Secure Coding Checker Governance, Risk, Compliance MetricSteram GRC IT Training & Education CodeZine Academy E AspectSecurity E-Learning Cigital CodiScope CBT BBT Security Initiative Training Enabling Security 2016 Asterisk Research, Inc.
1 2 44.4% 33.1% 3 4 5 27.5% 25.7% 23.5% IT-BCP Enabling Security 2016 Asterisk Research, Inc.
Enabling Security 2016 http://googlejapan.blogspot.jp/2016/02/blog-post.html Asterisk Research, Inc. vs (: 7%) 42% 35% ( : 2%)
https://asteriskresearch.com/7-cybersecurity-skills/ 7 2/24 >> http://cybersecurity-skills01.peatix.com/ Enabling Security 2016 Asterisk Research, Inc.
必要なのは セキュリティ関係者じゃない人が サイバーセキュリティ スキル を身につけることではないか UNIT SKILLS 1 サイバースペースで起きていることを把握する Cyberspaceとは何か サイバーリスクとは何か 業界特有の問題 サイバー犯罪 サイバー事件 キーパーソン 2 個人へのダメージを受けない力を身につける 経済的ダメージ 社会的ダメージ 自分の職責へのダ メージ 99%のビジネスパーソンが知らなかった秘策 3 ビジネスへの影響の実態と対策を把握し 協力する 企業 団体にとってのサイバー攻撃の影響 企業のビジネス保護のためのセキュリティ20施策 4 セキュリテイ原則と それに対する攻撃者の視点や動機がわかる CIAトライアドと攻撃と ダメージ軽減の対策と対応の 関係 5 サービスづくり 調達のポイントを見極める ビルト イン セキュリティ: ウェブ アプリ クラウ ドそしてIoT 6 情報化社会を支える仕組みと役割 コンプライアンスの ポイントをつかむ サイバーセキュリティに関する法律 ガイドライン 業界 地域 目的別の連携活動 国際的な取り組み 企業 担当者 コミュニティの連携 7 ビジネスイネーブラーとして セキュリティ スキル を活用する ビジネスイネーブラーのセキュリティ セキュリティイニシアティブが サイバーセキュリ ティ スキル を着々とアップデートしていく方法 Enabling Security 2016 Asterisk Research, Inc. 12
, JPCERT/CC, http://itpro.nikkeibp.co.jp/atcl/interview/14/262522/090700192/?st=management&p=4 Enabling Security 2016 Asterisk Research, Inc.
Quality, Cost, Delivery? (SAST) (DAST) SANS Institute (2015) Q. Top Challenges for Builders and Defenders
Other Percent 53.4% 16.5% 14.6% 4.9% 8.7% 1.9% SANS Institute (2015) Enabling Security Asterisk Research, Inc.
OWASP Top 10 SANS Institute (2015) Enabling Security 2016 Asterisk Research, Inc.
OWASP Top 10 x A1 A2 A3 (XSS) A4 A5 A6 A7 A8 (CSRF) A9 A10 Enabling Security 2016 Asterisk Research, Inc.
OWASP Proactive Controls 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 2015 Asterisk Research, Inc.
OWASP Proactive Controls 2016 2016 1 1. Verify for Security Early and Often 2. Parameterize Queries 3. Encode Data 4. Validate All Inputs 5. Implement Identity and Authentication Controls 6. Implement Appropriate Access Controls 7. Protect Data 8. Implement Logging and Intrusion Detection 9. Leverage Security Frameworks and Libraries 10. Error and Exception Handling 2015 Asterisk Research, Inc.
正しい設計とコーディング 脆弱性 OWASP Top 10 1: 2: 3: 4: Proactive Controls 5: 6: 7: 8: 9: 10: 1: 2: 3: 4: 5: 6: 7: 8: 9: 10: 2015 Asterisk Research, Inc.
Build Security In 2016 Asterisk Research, Inc. vulnerability
SANS Institute (2015) Enabling Security 2016 Asterisk Research, Inc.
Built-In Security Boot Camp (CodeZine Academy Edition) http://event.shoeisha.jp/cza/20160307 CodeZine Academy Built-In Security Boot Camp 3/7, 8 http://event.shoeisha.jp/cza/20160307 Enabling Security 2016 Asterisk Research, Inc.
Built-In Security Boot Camp (CodeZine Academy Edition) DAY1 脆弱性とその対応 脆弱性のあるコードとその修正 DAY2 プロアクティブな手法 脆弱性の発生を防ぐコーディングとプロセス UNIT SKILLS 1 サイバーセキュリティ情勢とビルトイン セキュリティの意義 (PCI DSS要件) 2 ソフトウェアの脆弱性 脅威と対策 - OWASP Top 10/CWE/SANS TOP 25 より 3 脆弱性修正ハンズオン サンプルコードによる実習 4 ワークショップ: ソフトウェアセキュリティ問題の情報収集とアクション 5 脆弱性の発生を防ぐ設計 コーディング (Proactive Controls) 6 脆弱性の発生を防ぐプロセス ガイドライン (PCI DSS ASVS SDL) 7 ワークショップ セキュア設計 開発のチームへの導入 8 ソフトウェア開発ライフサイクルにかかわる情報収集とアクション BSIMM OpenSAMM 3/7, 8開講分 絶賛受講申込受付中 Enabling Security http://event.shoeisha.jp/cza/20160307 2016 Asterisk Research, Inc. 27
Enabling Security