Riotaro OKADA Riotaro OKADA Executive Researcher CISA, MBA CYDER (IPA) JICA, 2015

Similar documents

SAAJ public.pptx

制御システムセキュリティアセスメントサービス

CS1987_ReducingITCosts_WP_0212_JPN.indd

大学論集第42号本文.indb

  医 事 法        山口大法医 藤宮龍也

Microsoft 365 & 最新デバイスで 進める職場デジタル化と管理  ~体裁や制度で終わらせない働き方改革の入り口~

Zurich, CH Brussels, BE Wrocław, PO Toronto, CA Ottawa, CA Herzliya, IL Almaden, US Detroit, US Tokyo, JP Boulder, US TJ Watson, US Tokyo, JP Atlanta,

Microsoft PowerPoint - バルネラアセッサーご紹介 [互換モード]

untitled

untitled

The Local Leader of Global Security Community 岡田良太郎 / Riotaro OKADA The Organizer of Expert Compe99on Hardening Business Security risk researcher htps

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

Vol. 48 No. 3 Mar PM PM PMBOK PM PM PM PM PM A Proposal and Its Demonstration of Developing System for Project Managers through University-Indus

CIA+

Microsoft Word - SANS_ASPL-J.doc

2

CAUA シンポジウム 2014 RSA 事業について 2014 年 11 月 14 日 ( 金 ) EMC ジャパン株式会社 RSA 事業本部マーケティング部部長水村明博 Copyright 2014 EMC Corporation. All rights reserved. 1

COPYRIGHT (C) 2016 SQIP ソフトウェア品質保証部長の会 ALL RIGHTS RESERVED 謝辞 以下の方々にご協力をいただきました この場を借りてお礼申し上げます アンケートに協力頂いた 部長の会の皆様 セキュリティ品質の確保 についてご講演いただいた 株式会社神戸デジタ

スライド 1

平成27年度「OWASP Application Security Verification Standard v3 および Cheat Sheet シリーズの翻訳」に関する入札のご案内

2016 Institute of Statistical Research

...1 GRC...2 GRC...6 SAP GRC...8 SAP GRC Risk Management... 9 SAP GRC Process Control SAP GRC Access Control iii Insights on governa

内部監査で検討すべき10のIT項目

ISMSクラウドセキュリティ認証の概要


CCM (Cloud Control Matrix) の役割と使い方


untitled

脆弱性の種類を分類するための「CWE」

1. サイバーセキュリティの定義は確立されていない サイバーセキュリティ基本法案など 都道府県警察 警視庁ホームページなど サイバーセキュリティ サイバー犯罪 サイバー攻撃 外部からの脅威サイバー空間の話高度なハッキング技術明確な犯意 etc なんとなくのイメージ サイバーテロ 防衛省ホームページな

+福島裕子.indd


プリント

Zurich, CH Brussels, BE Wrocław, PO Toronto, CA Ottawa, CA Herzliya, IL Almaden, US Boulder, US Detroit, US TJ Watson, US Tokyo, JP Tokyo, JP Atlanta,

参考資料 1 既存のセキュリティ 要求基準について ISO/IEC 27017:2015 ( クラウドサービスのための情報セキュリティ管理策の実践の規範 )

APU win-win

124

EM10gR3記者発表


TOP

マルウェアレポート 2017年9月度版

日本語教育紀要8/pdf用表紙

1986 NHK NTT NTT CONTENTS SNS School of Information and Communi

30

講演者自己紹介 中野学 ( なかのまなぶ ) 所属 : 製品セキュリティセンター製品セキュリティグローバル戦略室 略歴 : 2006 年横浜国立大学博士課程修了 ( 情報学博士 ) 2006 年 ~2016 年 : ( 独 ) 情報処理推進機構においてセキュリティ調査 普及啓発活動に従事 担当は家電

LG International 2

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

サイバー空間をめぐる 脅威の情勢について

untitled

02

ログを活用したActive Directoryに対する攻撃の検知と対策

A study OF “A” Business- Kei tsukamoto

国際会館ICC冊子2013.indd

IBM Rational Software Delivery Platform v7.0 What's

, ,377 5,378 4,916 21,000 21, , ,447 1,596,376 1,744,103 9,346 8,471 52,372 51,685 1,709 1,

ライフサイクルが終了した Windows Server 2003 オペレーティングシステムの保護 サポート終了後の Windows Server 2003 システムでリスクを軽減するためのガイド データシート : セキュリティ管理 サポートが終了してもビジネスは継続するソフトウェアベンダーが製品のラ

Microsoft PowerPoint - A7_松岡(プレゼン用)jnsa-総会-IoTWG-2015.pptx

29 jjencode JavaScript

中小企業向け サイバーセキュリティ対策の極意

初級公務員通学講座パンフ++.pdf

PSCHG000.PS

内閣官房情報セキュリティセンター(NISC)

Core Ethics Vol. a

PowerPoint Presentation

年報経営ディスクロージャー研究 2016 年 3 月第 15 号 30,000 25,000 20,000 被害者数 ( 人 ) 15,000 10,000 5,000 0 死者 不明者の合計 行方不明

untitled

スライド 1

H /大学教育開発センターニュース(23).indd

TITLE SLIDE

05_藤田先生_責

ICT-ISACにおけるIoTセキュリティの取組について

<4D F736F F F696E74202D20496F54835A834C A B CC8A F8CF6955C94C A2E >

OJT Planned Happenstance

1 基本的考え方

乳酸菌と発酵 Kin's Vol.7

QA

WINET情報

こどもの救急ガイドブック.indd

28 Docker Design and Implementation of Program Evaluation System Using Docker Virtualized Environment

光学基金報告会資料 最終版.ppt

COBIT 5 for Assurance 日本語版正誤表 P 該当箇所 現行 修正後 36 図表 15 EDM01 ガバナンスフレームワークの設定と維持の保証 EDM01 ガバナンスフレームワークの設定と維持の確保 36 図表 15 EDM02 効果提供の保証 EDM02 効果提供の確保 36 図

CSA SDP PD V1.0

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

21 e-learning Development of Real-time Learner Detection System for e-learning


untitled

東海道新幹線でDS


JA2008


世界最高レベルの情報セキュリティトレーニング & 認定資格 SEC401 6 日間コース 年 7 月 13 日 ~15 日 20 日 ~22 日 < 満員御礼 > 年 11 月 14 日 ~19 日 年 2 月 6 日 ~8 日 15 日 ~17 日 SEC

プリント


好きですまえばし


<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

KAIST

PowerPoint Presentation

untitled

Transcription:

Application Security Briefing & Discussion 2016 Asterisk Research, Inc Riotaro OKADA Enabling Security 2016 Asterisk Research, Inc.

Riotaro OKADA Riotaro OKADA Executive Researcher CISA, MBA https://jp.linkedin.com/ in/riotaro @okdt CYDER (IPA) JICA, 2015

If you can t measure it, you can t manage it W. Edwards Deming Enabling Security 2016 Asterisk Research, Inc.

Let s go visible 100 100 80 60 40 20 0 1 6.5 15 Enabling Security 2016 Asterisk Research, Inc.

QCD Enabling Security 2016 Asterisk Research, Inc.

Drivers for AppSec Programs ROI TCO Couching security as a direct enablement for new applications Other Response Percent 71.5% 69.6% 39.9% 36.7% 33.5% 30.4% 1.3% SANS Institute (2015) Enabling Security Asterisk Research, Inc.

It is wrong to suppose that if you can t measure it, you can t manage it W. Edwards Deming Enabling Security 2016 Asterisk Research, Inc.

Enabling Security x Asterisk Research Assessment Scoring BSIMM, OpenSAMM, CIS Critical Controls (DD,, ) Secure Development : SecureAssist QA 3D Security Testing SONY Secure Coding Checker Governance, Risk, Compliance MetricSteram GRC IT Training & Education CodeZine Academy E AspectSecurity E-Learning Cigital CodiScope CBT BBT Security Initiative Training Enabling Security 2016 Asterisk Research, Inc.

1 2 44.4% 33.1% 3 4 5 27.5% 25.7% 23.5% IT-BCP Enabling Security 2016 Asterisk Research, Inc.

Enabling Security 2016 http://googlejapan.blogspot.jp/2016/02/blog-post.html Asterisk Research, Inc. vs (: 7%) 42% 35% ( : 2%)

https://asteriskresearch.com/7-cybersecurity-skills/ 7 2/24 >> http://cybersecurity-skills01.peatix.com/ Enabling Security 2016 Asterisk Research, Inc.

必要なのは セキュリティ関係者じゃない人が サイバーセキュリティ スキル を身につけることではないか UNIT SKILLS 1 サイバースペースで起きていることを把握する Cyberspaceとは何か サイバーリスクとは何か 業界特有の問題 サイバー犯罪 サイバー事件 キーパーソン 2 個人へのダメージを受けない力を身につける 経済的ダメージ 社会的ダメージ 自分の職責へのダ メージ 99%のビジネスパーソンが知らなかった秘策 3 ビジネスへの影響の実態と対策を把握し 協力する 企業 団体にとってのサイバー攻撃の影響 企業のビジネス保護のためのセキュリティ20施策 4 セキュリテイ原則と それに対する攻撃者の視点や動機がわかる CIAトライアドと攻撃と ダメージ軽減の対策と対応の 関係 5 サービスづくり 調達のポイントを見極める ビルト イン セキュリティ: ウェブ アプリ クラウ ドそしてIoT 6 情報化社会を支える仕組みと役割 コンプライアンスの ポイントをつかむ サイバーセキュリティに関する法律 ガイドライン 業界 地域 目的別の連携活動 国際的な取り組み 企業 担当者 コミュニティの連携 7 ビジネスイネーブラーとして セキュリティ スキル を活用する ビジネスイネーブラーのセキュリティ セキュリティイニシアティブが サイバーセキュリ ティ スキル を着々とアップデートしていく方法 Enabling Security 2016 Asterisk Research, Inc. 12

, JPCERT/CC, http://itpro.nikkeibp.co.jp/atcl/interview/14/262522/090700192/?st=management&p=4 Enabling Security 2016 Asterisk Research, Inc.

Quality, Cost, Delivery? (SAST) (DAST) SANS Institute (2015) Q. Top Challenges for Builders and Defenders

Other Percent 53.4% 16.5% 14.6% 4.9% 8.7% 1.9% SANS Institute (2015) Enabling Security Asterisk Research, Inc.

OWASP Top 10 SANS Institute (2015) Enabling Security 2016 Asterisk Research, Inc.

OWASP Top 10 x A1 A2 A3 (XSS) A4 A5 A6 A7 A8 (CSRF) A9 A10 Enabling Security 2016 Asterisk Research, Inc.

OWASP Proactive Controls 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 2015 Asterisk Research, Inc.

OWASP Proactive Controls 2016 2016 1 1. Verify for Security Early and Often 2. Parameterize Queries 3. Encode Data 4. Validate All Inputs 5. Implement Identity and Authentication Controls 6. Implement Appropriate Access Controls 7. Protect Data 8. Implement Logging and Intrusion Detection 9. Leverage Security Frameworks and Libraries 10. Error and Exception Handling 2015 Asterisk Research, Inc.

正しい設計とコーディング 脆弱性 OWASP Top 10 1: 2: 3: 4: Proactive Controls 5: 6: 7: 8: 9: 10: 1: 2: 3: 4: 5: 6: 7: 8: 9: 10: 2015 Asterisk Research, Inc.

Build Security In 2016 Asterisk Research, Inc. vulnerability

SANS Institute (2015) Enabling Security 2016 Asterisk Research, Inc.

Built-In Security Boot Camp (CodeZine Academy Edition) http://event.shoeisha.jp/cza/20160307 CodeZine Academy Built-In Security Boot Camp 3/7, 8 http://event.shoeisha.jp/cza/20160307 Enabling Security 2016 Asterisk Research, Inc.

Built-In Security Boot Camp (CodeZine Academy Edition) DAY1 脆弱性とその対応 脆弱性のあるコードとその修正 DAY2 プロアクティブな手法 脆弱性の発生を防ぐコーディングとプロセス UNIT SKILLS 1 サイバーセキュリティ情勢とビルトイン セキュリティの意義 (PCI DSS要件) 2 ソフトウェアの脆弱性 脅威と対策 - OWASP Top 10/CWE/SANS TOP 25 より 3 脆弱性修正ハンズオン サンプルコードによる実習 4 ワークショップ: ソフトウェアセキュリティ問題の情報収集とアクション 5 脆弱性の発生を防ぐ設計 コーディング (Proactive Controls) 6 脆弱性の発生を防ぐプロセス ガイドライン (PCI DSS ASVS SDL) 7 ワークショップ セキュア設計 開発のチームへの導入 8 ソフトウェア開発ライフサイクルにかかわる情報収集とアクション BSIMM OpenSAMM 3/7, 8開講分 絶賛受講申込受付中 Enabling Security http://event.shoeisha.jp/cza/20160307 2016 Asterisk Research, Inc. 27

Enabling Security

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック