SlideShare una empresa de Scribd logo

SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

Asterisk Research, Inc.
Asterisk Research, Inc.

SecureAssist - IDE Plugin and Enterprise Portal Introduction. SDLCにおいて、最もインパクトがあるのは開発段階です。しかし、事前教育と、後工程の検査による品質確保では、ソフトウェアそのもののリスクは減りません。100項目以上のチェックを開発者の手元で改善できる方法があります。 https://www.asteriskresearch.com/

Software
1 de 13
Descargar para leer sin conexión
    アプリケーション・セキュリティを   実現するベストプラクティスとは SecureAssist  IDE  Plugin  and  Enterprise  Portal    Introduc6on       ASTERISK  RESEARCH,  INC.   株式会社アスタリスク・リサーチ   Cigital社チャネルパートナー   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 1 2015/9/3
SDLCにおける開発段階のインパクト |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 2 Planning  &   Requirements Design  &   Architecture Development TesPng ProducPon Maintenance SAST  静的解析 DAST  動的解析 リスクの   80%以上   はこの段階に 起因   コーディング   レビュー MOINTORING ライフサイクル設計・教育 施策 開発品質阻害要因   •  スケジュール圧力   •  コスト圧力   •  スキルのばらつき   対策が後手になるほど
 リスク対策・時間・コスト は高額に フェーズ
What  is  SecureAssist |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 3 プラグイン レビュー対象のファイル・タイプ IDE(統合開発環境) Java   JEE  /  JSP  /  XML  /  FTL  /  ProperPes       PHP Eclipse   RAD   MyEclips   SpringSource  Tool  SuiteTM  IDE   IntelliJ  (coming  soon) .NET     C#  /  VB.NET  /  ASPX Microso  Visual  Studio                                            は、IDE  Visual  Studio、Eclipseのプラグイン方式を採用。   開発者は、いつでも、自分自身のコードを  ”レビュー”   これにより、リスクの高い、脆弱性のもとになるプログラムコードをコミット する前、ビルドする前に見つけ、修正することができます。   安全なコードの書き方も身につき、安全なコーディングも身につきます。     一流のプログラミングセキュリティ・コーチを開発者ひとりひとりに配置す るような、効率、コストパフォーマンスの高いソリューションです。
|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 4 What  is  SecureAssist   リアルタイムコードレビュー・リスク指摘・修正ガイダンスツール 解説・ガイダンスや   サンプルコード   脆弱性とコードの対応による   リスクレベルの可視化   IDEプラグインによる   リアルタイムな   コードレビュー  
SecureAssist  Enterprise  Portalで統合します   チーム全体のセキュアコーディング状況を集約する機能 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 5 IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE ・Deliver  Review  RuleSet,  Code  Guideline    独自ルールセット・ガイドドキュメントの配布   ・Ac6onable  intelligence    利活用可能なプロジェクトごとの統計情報   ・Manage  user  ac6vi6es  and  licenses    ユーザーの管理     プロジェクト  A プロジェクト  B 品質管理 運用・企画・マネージメント ※  SecureAssistシステムは、スキャンなどの機微情報を製品提供元には送りません!  
|  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 6 入力値バリデーションならびに   出力値のエンコードを徹底 セキュアでないデータの取り扱いによる問 題を回避 正しいコーディング手法の   導入・徹底 Cross-­‐Site  ScripPng*   >  Output  Sent  to  Browser   >  Output  Data  in  Web  Page   >  DOM  Object   >  HTTP  Header  ManipulaPon   >  GET  Requests   >  HTML  Comments  in  JSP  or  PHP  File   >  Hidden  Field   >  Data  Usage  from  HTTP  Request   >  Output  Encoding  Set  to  False     SQL  InjecPon*   >  Dangerous  Method  Calls   >  Database  Query  ManipulaPon   >  Untrusted  Data  Source  for  Query   >  Dynamic  Database  Query     Path  ManipulaPon*   >  UnsaniPzed  Data  Usage   >  Directory  Call  with  Dynamic  Inputs     Denial  of  Service  Aeack   >  Hanging  JRE   >  Dynamic  Web  Page  Content   >  Processing  SensiPve  Data   >  Race  CondiPon   >  Struts  Config   >  XML  Aeacks     File  Input/Output   >  Exposed  Buffers   >  Temporary  Files  in  Shared  Directories     Other  Unvalidated  User  Input*   >  LDAP  InjecPon*   >  Xpath  InjecPon*   >  Command  InjecPon*   >  Remote  Code  ExecuPon   >  Javax  Persistence  Security Insecure  Data  Storage   >  Insecure  File  Modes   >  No  Access  Control*   >  User  CredenPals  Stored*   >  Hardcoded  Password*   >  Access  to  Cache   >  HTTP  Auth  CredenPals  Stored*     SensiPve  InformaPon  Leakage   >  Dynamic  Web  Page  Content   >  System  InformaPon  Leak   >  Exposure  of  AuthenPcaPon  Objects   >  Use  of  printStack  Trace   >  ExcepPon  Handling   >  Autocomplete  Seing   >  External  Storage  Used   >  Screen  View  Captured   >  Web  Page  Saved  to  Device   >  HTML  Form  Data   >  Insecure  ConfiguraPon  in  Manifest     Weak  Cryptography*   >  Security  Features   >  Weak  Cryptographic  Hash   >  Weak  EncrypPon   >  Outdated  Cipher   >  Weak  Algorithm   >  Secure  Number  RandomizaPon   >  Insufficient  Key  Size   >  Inadequate  RSA  Padding     Trust  Boundary  ViolaPons   >  User  Supplied  Data  to  Beans   >  Calls  AffecPng  CURL  Requests   >  Untrusted  Data  Source   >  UnsaniPzed  String   >  InjecPon  in  Email   >  Points  of  Interest   >  Entry  Point  ViolaPon   >  Socket  ConnecPon  Timeout   >  Socket  Stream  Timeout     Unvalidated  Redirects  &  Forwards   >  URL  RedirecPon*   >  User  RedirecPon*   Thread  APIs   >  Call  to  NoPfy()   >  InvocaPon  of  Thread.stop()   >  InvocaPon  of  Thread.run()     Struts  MisconfiguraPon   >  XML  InjecPon   >  XML  DTD  Aeack   >  Missing/Duplicate  Form  Bean*   >  Missing  Forward  Name  Aeribute*   >  Missing  Path/Type  Aeribute*   >  Unnecessary  Aeribute   >  Required  Input  Aeribute   >  Invalid  ExcepPon  Scope   >  Missing  Form-­‐Property  Type   >  Dangerous  RelaPve  Path   >  AcPon  Not  Validated     ConfiguraPon   >  ASP.NET  ConfiguraPon*   >  PHP  ConfiguraPon*   >  Environment  Variable  Value   >  Session  Timeout  ConfiguraPon*   >  Session  InacPve  Interval*   >  ImplementaPon  Time  Logic  Flaws   >  Call  to  ReadLine   >  Race  CondiPon   >  Hidden  Field     Improper  Error  Handling   >  Unspecified  Error  Page   >  JSP  Defines  Error  Page   >  JSONRPC  Security     Log  Handling   >  UnsaniPzed  Data  Wrieen  to  Logs   >  Private  User  Data  Logged     Cookie  Security*   >Overly  Broad  Paths   >  Insufficient  Transport  Layer  ProtecPon   >  Session  Management     Resource  Handling   >  File  Input  Output   >  Hibernate  Security   >  Resource  Not  Closed  in  Finally  Block   *2013  OWASP  Top  10の関連項目 テストケースカバレッジ:OWASP  Top  10,  CWE  Top  25に対応。PCI  DSSにも効果的。
開発成果物の価値が効率良く向上するサイクル   見つけるだけではなく、修正し、改善していく |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 7 1.  Find  risky  coding  and  vulnerabiliPes  earlier    セキュリティ問題を潜在を早期発見     2.  Fix  &  Prevent  them     リスクのあるコーディングを修正・未然に防ぐ   3.  Improved  educa6on  and  quality                  throughout  SDLC    開発ライフサイクルを通してソフトウェア品質向上
  関連サービスのコストイメージ # Item Cost ツール SecureAssist     ケース:スターターパック     最小構成: 20  ID      Rulepack  Configurator          Enterprise  Portal        ※  ID  数により単価は安くなります。     ケース-­‐1.  サブスクリプション購入   700k  JPY     (スターターパック/年)   ケース-­‐2.  パーペチュアル購入   1350k  JPY     (スターターパック/保守:350k/年) ベーシック   サポートオプション   初期導入支援(オンライン)   ユーザーセミナー(2h程度)   管理者セミナー(2h程度)   アクティベーション支援   300k  JPYより アドバンスド   サポートオプション (ベーシックサポートオプションを含む)   ルール・ガイド・コンフィギュレーション支援   ユーザフォロー支援   システムアップデート支援   500k  JPYより SDLCトレーニング   ・オンライン   ・オンサイト チーム全員向け:セキュリティ対策セット   セキュリティリーダー育成セット   セキュア設計・開発、モバイル開発   PCI  DSS準拠トレーニング ご相談 テストサービス Test  As  A  Service  (3D  Unlimited)   ご相談 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 8
SecureAssist  開発元   米Cigital社のご紹介 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 9   •  1992年に創業・世界最大級の、ソフトウェアセキュリティに特化したコンサルティング・サービ ス提供会社。   •  世界で最初の、静的コード解析の商用ツールを開発、主要な静的解析エンジンに採用。   •  OWASP  Global  Supporter                     Applica6on   Security  Tes6ng Penetra6on   Tes6ng SoPware  Security   Strategy Architecture   Analysis Secure   Development Training •  Fortune  500も含む大手企業270社以上 •  金融機関の上位10社の内9社 •  米国銀行の上位20銀行の内16銀行 •  ソフトウェアセキュリティ会社の上位3社 •  保険会社の上位3社 •  米国最大のゲーム会社 •  テクノロジー会社の上位10社の内5社
Cigital社 CTO  Gary  McGraw氏 Gary  McGraw,  Ph.D.(ゲイリー・マグロー)   -­‐  Cigital,  Inc. CTO   •  セキュアな開発の方法論の第一人者 •  “Building  Secure  SoPware  and  SoPware  Security”   (邦題:Building  Secure  Sowareーソフトウェアセキュリティについて開発者が知っているべ きこと)などの著者   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 10 「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー としてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現す る市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに 長い期間目指してきたものです。」 -­‐  Gary  McGraw,  Cigital,  Inc.  CTO  
Cigitalとアスタリスク・リサーチのパートナーシップを発表 (2015/4/30) |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 11
“Enabling  Security  for  Developers”   の実現に向けて 「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー としてCigitalを選択してくれたことをうれしく思います。優れたソフトウェアセキュリティを実現する 市場を開発することは実社会においてまさに望まれていることであり、私たち両社がともに長い 期間目指してきたものです」             |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 12 Chief  Technology  Officer   Gary  McGraw(ゲイリー・マグロー) 代表取締役     岡田 良太郎 「この提携により、当社がこれまでお客様に提供してきたコンサルティングならびにトレーニング のサービス・ラインアップに、Cigital社のソリューションを加わることとなり、さらにより多くの開発 チームに貢献できるようになります。これにより、当社のセキュリティ事業分野のミッションである   “enabling  security  for  developers”を実現し、ひいては安全かつ安定的に持続可能なインター ネット社会の実現に貢献できればと考えています」  
Thanks   •  導入のご相談、試用期間  30日のフル機能検証は無料です。   USAGE:   –  サービス提供者様、開発会社様へのご提供   –  コンサルティング、教育プログラムとのコラボレーション   –  エンジニア評価、プロジェクト・プロダクト品質の可視化   –  開発・品質管理・運用チームの、共通指標の導入と推進   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 13 Cigital社チャネルパートナー   アスタリスク・リサーチ   heps://www.asteriskresearch.com/download/

Recomendados

SecureAssist Introduction
SecureAssist IntroductionSecureAssist Introduction
SecureAssist IntroductionAsterisk Research, Inc.
 
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect![SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!de:code 2017
 
ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編Takashi Yahata
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014Nov Matake
 
認証サービスへのWebAuthnの導入
認証サービスへのWebAuthnの導入認証サービスへのWebAuthnの導入
認証サービスへのWebAuthnの導入TakashiTsukamoto4
 
Η εικόνα του παρελθόντος. Το Εθνικό Αρχαιολογικό Μουσείο και οι προκλήσεις τη...
Η εικόνα του παρελθόντος. Το Εθνικό Αρχαιολογικό Μουσείο και οι προκλήσεις τη...Η εικόνα του παρελθόντος. Το Εθνικό Αρχαιολογικό Μουσείο και οι προκλήσεις τη...
Η εικόνα του παρελθόντος. Το Εθνικό Αρχαιολογικό Μουσείο και οι προκλήσεις τη...marylagogianni
 
INSTALLING AND CONFIGURING WIN 7 CLIENT 1 (6292)
INSTALLING AND CONFIGURING WIN 7 CLIENT 1 (6292)INSTALLING AND CONFIGURING WIN 7 CLIENT 1 (6292)
INSTALLING AND CONFIGURING WIN 7 CLIENT 1 (6292)Mohamed Essa
 

Recomendados

SecureAssist Introduction
SecureAssist IntroductionSecureAssist Introduction
SecureAssist IntroductionAsterisk Research, Inc.
 
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect![SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!de:code 2017
 
ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編Takashi Yahata
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014Nov Matake
 
認証サービスへのWebAuthnの導入
認証サービスへのWebAuthnの導入認証サービスへのWebAuthnの導入
認証サービスへのWebAuthnの導入TakashiTsukamoto4
 
Η εικόνα του παρελθόντος. Το Εθνικό Αρχαιολογικό Μουσείο και οι προκλήσεις τη...
Η εικόνα του παρελθόντος. Το Εθνικό Αρχαιολογικό Μουσείο και οι προκλήσεις τη...Η εικόνα του παρελθόντος. Το Εθνικό Αρχαιολογικό Μουσείο και οι προκλήσεις τη...
Η εικόνα του παρελθόντος. Το Εθνικό Αρχαιολογικό Μουσείο και οι προκλήσεις τη...marylagogianni
 
INSTALLING AND CONFIGURING WIN 7 CLIENT 1 (6292)
INSTALLING AND CONFIGURING WIN 7 CLIENT 1 (6292)INSTALLING AND CONFIGURING WIN 7 CLIENT 1 (6292)
INSTALLING AND CONFIGURING WIN 7 CLIENT 1 (6292)Mohamed Essa
 
Impulsem la robòtica
Impulsem la robòticaImpulsem la robòtica
Impulsem la robòticaFrancesc Maldonado
 
Zomercafe - presentatie Charles Vaneker (Klapper Communicatie B.V.)
Zomercafe - presentatie Charles Vaneker (Klapper Communicatie B.V.)Zomercafe - presentatie Charles Vaneker (Klapper Communicatie B.V.)
Zomercafe - presentatie Charles Vaneker (Klapper Communicatie B.V.)Media Perspectives
 
Medici firma institutional research
Medici firma institutional researchMedici firma institutional research
Medici firma institutional researchMedici Firma
 
SEMED MANAUS EDUC. INFANTIL
SEMED MANAUS EDUC. INFANTILSEMED MANAUS EDUC. INFANTIL
SEMED MANAUS EDUC. INFANTILJosivanja Silva
 
Amistad
AmistadAmistad
Amistadkategome
 
Визначте порушення
Визначте порушенняВизначте порушення
Визначте порушенняkalishnatalka
 
Spring Security 5.0 解剖速報
Spring Security 5.0 解剖速報Spring Security 5.0 解剖速報
Spring Security 5.0 解剖速報Takuya Iwatsuka
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーYasuo Ohgaki
 
20211209 lt runtime_field
20211209 lt runtime_field20211209 lt runtime_field
20211209 lt runtime_fieldNomura Yuta
 
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化シスコシステムズ合同会社
 
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...David Buck
 
クラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccampクラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccampMasahiro NAKAYAMA
 
APIMeetup 20170329_ichimura
APIMeetup 20170329_ichimuraAPIMeetup 20170329_ichimura
APIMeetup 20170329_ichimuraTomohiro Ichimura
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)JPCERT Coordination Center
 
Data APIの基本
Data APIの基本Data APIの基本
Data APIの基本Hajime Fujimoto
 
Web アプリケーションにおけるクライアントサイドのデータハンドリングと可視化の実現
Web アプリケーションにおけるクライアントサイドのデータハンドリングと可視化の実現Web アプリケーションにおけるクライアントサイドのデータハンドリングと可視化の実現
Web アプリケーションにおけるクライアントサイドのデータハンドリングと可視化の実現インフラジスティックス・ジャパン株式会社
 
Use JWT access-token on Grails REST API
Use JWT access-token on Grails REST APIUse JWT access-token on Grails REST API
Use JWT access-token on Grails REST APIUehara Junji
 
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナーNGINX, Inc.
 
Azure Container Services and Microservices design pattern
Azure Container Services and Microservices design patternAzure Container Services and Microservices design pattern
Azure Container Services and Microservices design patternYoshio Terada
 
遠隔デバイスとの信頼を築くための技術とその標準(TEEP RATS)
遠隔デバイスとの信頼を築くための技術とその標準(TEEP RATS)遠隔デバイスとの信頼を築くための技術とその標準(TEEP RATS)
遠隔デバイスとの信頼を築くための技術とその標準(TEEP RATS)Kuniyasu Suzaki
 
Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法Takeshi Fukuhara
 

Más contenido relacionado

Destacado

Zomercafe - presentatie Charles Vaneker (Klapper Communicatie B.V.)
Zomercafe - presentatie Charles Vaneker (Klapper Communicatie B.V.)Zomercafe - presentatie Charles Vaneker (Klapper Communicatie B.V.)
Zomercafe - presentatie Charles Vaneker (Klapper Communicatie B.V.)Media Perspectives
 
Medici firma institutional research
Medici firma institutional researchMedici firma institutional research
Medici firma institutional researchMedici Firma
 
SEMED MANAUS EDUC. INFANTIL
SEMED MANAUS EDUC. INFANTILSEMED MANAUS EDUC. INFANTIL
SEMED MANAUS EDUC. INFANTILJosivanja Silva
 
Визначте порушення
Визначте порушенняВизначте порушення
Визначте порушенняkalishnatalka
 

Destacado (6)

Impulsem la robòtica
Impulsem la robòticaImpulsem la robòtica
Impulsem la robòtica
 
Zomercafe - presentatie Charles Vaneker (Klapper Communicatie B.V.)
Zomercafe - presentatie Charles Vaneker (Klapper Communicatie B.V.)Zomercafe - presentatie Charles Vaneker (Klapper Communicatie B.V.)
Zomercafe - presentatie Charles Vaneker (Klapper Communicatie B.V.)
 
Medici firma institutional research
Medici firma institutional researchMedici firma institutional research
Medici firma institutional research
 
SEMED MANAUS EDUC. INFANTIL
SEMED MANAUS EDUC. INFANTILSEMED MANAUS EDUC. INFANTIL
SEMED MANAUS EDUC. INFANTIL
 
Amistad
AmistadAmistad
Amistad
 
Визначте порушення
Визначте порушенняВизначте порушення
Визначте порушення
 

Similar a SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

Spring Security 5.0 解剖速報
Spring Security 5.0 解剖速報Spring Security 5.0 解剖速報
Spring Security 5.0 解剖速報Takuya Iwatsuka
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーYasuo Ohgaki
 
20211209 lt runtime_field
20211209 lt runtime_field20211209 lt runtime_field
20211209 lt runtime_fieldNomura Yuta
 
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化シスコシステムズ合同会社
 
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...David Buck
 
クラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccampクラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccampMasahiro NAKAYAMA
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)JPCERT Coordination Center
 
Web アプリケーションにおけるクライアントサイドのデータハンドリングと可視化の実現
Web アプリケーションにおけるクライアントサイドのデータハンドリングと可視化の実現Web アプリケーションにおけるクライアントサイドのデータハンドリングと可視化の実現
Web アプリケーションにおけるクライアントサイドのデータハンドリングと可視化の実現インフラジスティックス・ジャパン株式会社
 
Use JWT access-token on Grails REST API
Use JWT access-token on Grails REST APIUse JWT access-token on Grails REST API
Use JWT access-token on Grails REST APIUehara Junji
 
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナーNGINX, Inc.
 
Azure Container Services and Microservices design pattern
Azure Container Services and Microservices design patternAzure Container Services and Microservices design pattern
Azure Container Services and Microservices design patternYoshio Terada
 
遠隔デバイスとの信頼を築くための技術とその標準(TEEP RATS)
遠隔デバイスとの信頼を築くための技術とその標準(TEEP RATS)遠隔デバイスとの信頼を築くための技術とその標準(TEEP RATS)
遠隔デバイスとの信頼を築くための技術とその標準(TEEP RATS)Kuniyasu Suzaki
 
Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法Takeshi Fukuhara
 
システムのモダナイズ 落ちても良いアプリの作り方
システムのモダナイズ 落ちても良いアプリの作り方システムのモダナイズ 落ちても良いアプリの作り方
システムのモダナイズ 落ちても良いアプリの作り方Chihiro Ito
 
アドテク×Scala×パフォーマンスチューニング
アドテク×Scala×パフォーマンスチューニングアドテク×Scala×パフォーマンスチューニング
アドテク×Scala×パフォーマンスチューニングYosuke Mizutani
 
リアルFacebookガジェットを作った(ロングバージョン)
リアルFacebookガジェットを作った(ロングバージョン)リアルFacebookガジェットを作った(ロングバージョン)
リアルFacebookガジェットを作った(ロングバージョン)Mariko Goda
 
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜Citrix Systems Japan
 

Similar a SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは (20)

Spring Security 5.0 解剖速報
Spring Security 5.0 解剖速報Spring Security 5.0 解剖速報
Spring Security 5.0 解剖速報
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャー
 
20211209 lt runtime_field
20211209 lt runtime_field20211209 lt runtime_field
20211209 lt runtime_field
 
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
 
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
JDK Mission Control: Where We Are, Where We Are Going [Groundbreakers APAC 20...
 
クラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccampクラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccamp
 
APIMeetup 20170329_ichimura
APIMeetup 20170329_ichimuraAPIMeetup 20170329_ichimura
APIMeetup 20170329_ichimura
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
 
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
 
Data APIの基本
Data APIの基本Data APIの基本
Data APIの基本
 
Web アプリケーションにおけるクライアントサイドのデータハンドリングと可視化の実現
Web アプリケーションにおけるクライアントサイドのデータハンドリングと可視化の実現Web アプリケーションにおけるクライアントサイドのデータハンドリングと可視化の実現
Web アプリケーションにおけるクライアントサイドのデータハンドリングと可視化の実現
 
Use JWT access-token on Grails REST API
Use JWT access-token on Grails REST APIUse JWT access-token on Grails REST API
Use JWT access-token on Grails REST API
 
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
 
Azure Container Services and Microservices design pattern
Azure Container Services and Microservices design patternAzure Container Services and Microservices design pattern
Azure Container Services and Microservices design pattern
 
遠隔デバイスとの信頼を築くための技術とその標準(TEEP RATS)
遠隔デバイスとの信頼を築くための技術とその標準(TEEP RATS)遠隔デバイスとの信頼を築くための技術とその標準(TEEP RATS)
遠隔デバイスとの信頼を築くための技術とその標準(TEEP RATS)
 
Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法
 
システムのモダナイズ 落ちても良いアプリの作り方
システムのモダナイズ 落ちても良いアプリの作り方システムのモダナイズ 落ちても良いアプリの作り方
システムのモダナイズ 落ちても良いアプリの作り方
 
アドテク×Scala×パフォーマンスチューニング
アドテク×Scala×パフォーマンスチューニングアドテク×Scala×パフォーマンスチューニング
アドテク×Scala×パフォーマンスチューニング
 
リアルFacebookガジェットを作った(ロングバージョン)
リアルFacebookガジェットを作った(ロングバージョン)リアルFacebookガジェットを作った(ロングバージョン)
リアルFacebookガジェットを作った(ロングバージョン)
 
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
 

Más de Asterisk Research, Inc.

SecureAssist Enterprise Portal アップグレードガイド
SecureAssist Enterprise Portal アップグレードガイドSecureAssist Enterprise Portal アップグレードガイド
SecureAssist Enterprise Portal アップグレードガイドAsterisk Research, Inc.
 
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)Asterisk Research, Inc.
 
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)Asterisk Research, Inc.
 
SecureAssist Rulepack Configurator 利用ガイド
SecureAssist Rulepack Configurator 利用ガイドSecureAssist Rulepack Configurator 利用ガイド
SecureAssist Rulepack Configurator 利用ガイドAsterisk Research, Inc.
 
SecureAssist Enterprise Portal APIガイド
SecureAssist Enterprise Portal APIガイドSecureAssist Enterprise Portal APIガイド
SecureAssist Enterprise Portal APIガイドAsterisk Research, Inc.
 
SecureAssist IntelliJ Plug-in 導入ガイド
SecureAssist IntelliJ Plug-in 導入ガイドSecureAssist IntelliJ Plug-in 導入ガイド
SecureAssist IntelliJ Plug-in 導入ガイドAsterisk Research, Inc.
 
SecureAssist Enterprise Portal 導入ガイド
SecureAssist Enterprise Portal 導入ガイドSecureAssist Enterprise Portal 導入ガイド
SecureAssist Enterprise Portal 導入ガイドAsterisk Research, Inc.
 
SecureAssist Visual Studio Package 導入ガイド
SecureAssist Visual Studio Package 導入ガイドSecureAssist Visual Studio Package 導入ガイド
SecureAssist Visual Studio Package 導入ガイドAsterisk Research, Inc.
 
SecureAssist Eclipse Plug-in 導入ガイド
SecureAssist Eclipse Plug-in 導入ガイドSecureAssist Eclipse Plug-in 導入ガイド
SecureAssist Eclipse Plug-in 導入ガイドAsterisk Research, Inc.
 

Más de Asterisk Research, Inc. (10)

SecureAssist Enterprise Portal アップグレードガイド
SecureAssist Enterprise Portal アップグレードガイドSecureAssist Enterprise Portal アップグレードガイド
SecureAssist Enterprise Portal アップグレードガイド
 
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
Hackademy for English Presentations 英語プレゼンテーション速習コース(サンプル資料)
 
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
SecureAssist Enterprise Portal アップグレードガイド(3.0から3.0.1へのアップグレード)
 
SecureAssist Rulepack Configurator 利用ガイド
SecureAssist Rulepack Configurator 利用ガイドSecureAssist Rulepack Configurator 利用ガイド
SecureAssist Rulepack Configurator 利用ガイド
 
Cigital 3D Security Testing
Cigital 3D Security TestingCigital 3D Security Testing
Cigital 3D Security Testing
 
SecureAssist Enterprise Portal APIガイド
SecureAssist Enterprise Portal APIガイドSecureAssist Enterprise Portal APIガイド
SecureAssist Enterprise Portal APIガイド
 
SecureAssist IntelliJ Plug-in 導入ガイド
SecureAssist IntelliJ Plug-in 導入ガイドSecureAssist IntelliJ Plug-in 導入ガイド
SecureAssist IntelliJ Plug-in 導入ガイド
 
SecureAssist Enterprise Portal 導入ガイド
SecureAssist Enterprise Portal 導入ガイドSecureAssist Enterprise Portal 導入ガイド
SecureAssist Enterprise Portal 導入ガイド
 
SecureAssist Visual Studio Package 導入ガイド
SecureAssist Visual Studio Package 導入ガイドSecureAssist Visual Studio Package 導入ガイド
SecureAssist Visual Studio Package 導入ガイド
 
SecureAssist Eclipse Plug-in 導入ガイド
SecureAssist Eclipse Plug-in 導入ガイドSecureAssist Eclipse Plug-in 導入ガイド
SecureAssist Eclipse Plug-in 導入ガイド
 

SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは

  • 1.     アプリケーション・セキュリティを   実現するベストプラクティスとは SecureAssist  IDE  Plugin  and  Enterprise  Portal    Introduc6on       ASTERISK  RESEARCH,  INC.   株式会社アスタリスク・リサーチ   Cigital社チャネルパートナー   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 1 2015/9/3
  • 2. SDLCにおける開発段階のインパクト |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 2 Planning  &   Requirements Design  &   Architecture Development TesPng ProducPon Maintenance SAST  静的解析 DAST  動的解析 リスクの   80%以上   はこの段階に 起因   コーディング   レビュー MOINTORING ライフサイクル設計・教育 施策 開発品質阻害要因   •  スケジュール圧力   •  コスト圧力   •  スキルのばらつき   対策が後手になるほど
 リスク対策・時間・コスト は高額に フェーズ
  • 3. What  is  SecureAssist |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 3 プラグイン レビュー対象のファイル・タイプ IDE(統合開発環境) Java   JEE  /  JSP  /  XML  /  FTL  /  ProperPes       PHP Eclipse   RAD   MyEclips   SpringSource  Tool  SuiteTM  IDE   IntelliJ  (coming  soon) .NET     C#  /  VB.NET  /  ASPX Microso  Visual  Studio                                            は、IDE  Visual  Studio、Eclipseのプラグイン方式を採用。   開発者は、いつでも、自分自身のコードを  ”レビュー”   これにより、リスクの高い、脆弱性のもとになるプログラムコードをコミット する前、ビルドする前に見つけ、修正することができます。   安全なコードの書き方も身につき、安全なコーディングも身につきます。     一流のプログラミングセキュリティ・コーチを開発者ひとりひとりに配置す るような、効率、コストパフォーマンスの高いソリューションです。
  • 4. |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 4 What  is  SecureAssist   リアルタイムコードレビュー・リスク指摘・修正ガイダンスツール 解説・ガイダンスや   サンプルコード   脆弱性とコードの対応による   リスクレベルの可視化   IDEプラグインによる   リアルタイムな   コードレビュー  
  • 5. SecureAssist  Enterprise  Portalで統合します   チーム全体のセキュアコーディング状況を集約する機能 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 5 IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE IDE ・Deliver  Review  RuleSet,  Code  Guideline    独自ルールセット・ガイドドキュメントの配布   ・Ac6onable  intelligence    利活用可能なプロジェクトごとの統計情報   ・Manage  user  ac6vi6es  and  licenses    ユーザーの管理     プロジェクト  A プロジェクト  B 品質管理 運用・企画・マネージメント ※  SecureAssistシステムは、スキャンなどの機微情報を製品提供元には送りません!  
  • 6. |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 6 入力値バリデーションならびに   出力値のエンコードを徹底 セキュアでないデータの取り扱いによる問 題を回避 正しいコーディング手法の   導入・徹底 Cross-­‐Site  ScripPng*   >  Output  Sent  to  Browser   >  Output  Data  in  Web  Page   >  DOM  Object   >  HTTP  Header  ManipulaPon   >  GET  Requests   >  HTML  Comments  in  JSP  or  PHP  File   >  Hidden  Field   >  Data  Usage  from  HTTP  Request   >  Output  Encoding  Set  to  False     SQL  InjecPon*   >  Dangerous  Method  Calls   >  Database  Query  ManipulaPon   >  Untrusted  Data  Source  for  Query   >  Dynamic  Database  Query     Path  ManipulaPon*   >  UnsaniPzed  Data  Usage   >  Directory  Call  with  Dynamic  Inputs     Denial  of  Service  Aeack   >  Hanging  JRE   >  Dynamic  Web  Page  Content   >  Processing  SensiPve  Data   >  Race  CondiPon   >  Struts  Config   >  XML  Aeacks     File  Input/Output   >  Exposed  Buffers   >  Temporary  Files  in  Shared  Directories     Other  Unvalidated  User  Input*   >  LDAP  InjecPon*   >  Xpath  InjecPon*   >  Command  InjecPon*   >  Remote  Code  ExecuPon   >  Javax  Persistence  Security Insecure  Data  Storage   >  Insecure  File  Modes   >  No  Access  Control*   >  User  CredenPals  Stored*   >  Hardcoded  Password*   >  Access  to  Cache   >  HTTP  Auth  CredenPals  Stored*     SensiPve  InformaPon  Leakage   >  Dynamic  Web  Page  Content   >  System  InformaPon  Leak   >  Exposure  of  AuthenPcaPon  Objects   >  Use  of  printStack  Trace   >  ExcepPon  Handling   >  Autocomplete  Seing   >  External  Storage  Used   >  Screen  View  Captured   >  Web  Page  Saved  to  Device   >  HTML  Form  Data   >  Insecure  ConfiguraPon  in  Manifest     Weak  Cryptography*   >  Security  Features   >  Weak  Cryptographic  Hash   >  Weak  EncrypPon   >  Outdated  Cipher   >  Weak  Algorithm   >  Secure  Number  RandomizaPon   >  Insufficient  Key  Size   >  Inadequate  RSA  Padding     Trust  Boundary  ViolaPons   >  User  Supplied  Data  to  Beans   >  Calls  AffecPng  CURL  Requests   >  Untrusted  Data  Source   >  UnsaniPzed  String   >  InjecPon  in  Email   >  Points  of  Interest   >  Entry  Point  ViolaPon   >  Socket  ConnecPon  Timeout   >  Socket  Stream  Timeout     Unvalidated  Redirects  &  Forwards   >  URL  RedirecPon*   >  User  RedirecPon*   Thread  APIs   >  Call  to  NoPfy()   >  InvocaPon  of  Thread.stop()   >  InvocaPon  of  Thread.run()     Struts  MisconfiguraPon   >  XML  InjecPon   >  XML  DTD  Aeack   >  Missing/Duplicate  Form  Bean*   >  Missing  Forward  Name  Aeribute*   >  Missing  Path/Type  Aeribute*   >  Unnecessary  Aeribute   >  Required  Input  Aeribute   >  Invalid  ExcepPon  Scope   >  Missing  Form-­‐Property  Type   >  Dangerous  RelaPve  Path   >  AcPon  Not  Validated     ConfiguraPon   >  ASP.NET  ConfiguraPon*   >  PHP  ConfiguraPon*   >  Environment  Variable  Value   >  Session  Timeout  ConfiguraPon*   >  Session  InacPve  Interval*   >  ImplementaPon  Time  Logic  Flaws   >  Call  to  ReadLine   >  Race  CondiPon   >  Hidden  Field     Improper  Error  Handling   >  Unspecified  Error  Page   >  JSP  Defines  Error  Page   >  JSONRPC  Security     Log  Handling   >  UnsaniPzed  Data  Wrieen  to  Logs   >  Private  User  Data  Logged     Cookie  Security*   >Overly  Broad  Paths   >  Insufficient  Transport  Layer  ProtecPon   >  Session  Management     Resource  Handling   >  File  Input  Output   >  Hibernate  Security   >  Resource  Not  Closed  in  Finally  Block   *2013  OWASP  Top  10の関連項目 テストケースカバレッジ:OWASP  Top  10,  CWE  Top  25に対応。PCI  DSSにも効果的。
  • 7. 開発成果物の価値が効率良く向上するサイクル   見つけるだけではなく、修正し、改善していく |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 7 1.  Find  risky  coding  and  vulnerabiliPes  earlier    セキュリティ問題を潜在を早期発見     2.  Fix  &  Prevent  them     リスクのあるコーディングを修正・未然に防ぐ   3.  Improved  educa6on  and  quality                  throughout  SDLC    開発ライフサイクルを通してソフトウェア品質向上
  • 8.   関連サービスのコストイメージ # Item Cost ツール SecureAssist     ケース:スターターパック     最小構成: 20  ID      Rulepack  Configurator          Enterprise  Portal        ※  ID  数により単価は安くなります。     ケース-­‐1.  サブスクリプション購入   700k  JPY     (スターターパック/年)   ケース-­‐2.  パーペチュアル購入   1350k  JPY     (スターターパック/保守:350k/年) ベーシック   サポートオプション   初期導入支援(オンライン)   ユーザーセミナー(2h程度)   管理者セミナー(2h程度)   アクティベーション支援   300k  JPYより アドバンスド   サポートオプション (ベーシックサポートオプションを含む)   ルール・ガイド・コンフィギュレーション支援   ユーザフォロー支援   システムアップデート支援   500k  JPYより SDLCトレーニング   ・オンライン   ・オンサイト チーム全員向け:セキュリティ対策セット   セキュリティリーダー育成セット   セキュア設計・開発、モバイル開発   PCI  DSS準拠トレーニング ご相談 テストサービス Test  As  A  Service  (3D  Unlimited)   ご相談 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 8
  • 9. SecureAssist  開発元   米Cigital社のご紹介 |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 9   •  1992年に創業・世界最大級の、ソフトウェアセキュリティに特化したコンサルティング・サービ ス提供会社。   •  世界で最初の、静的コード解析の商用ツールを開発、主要な静的解析エンジンに採用。   •  OWASP  Global  Supporter                     Applica6on   Security  Tes6ng Penetra6on   Tes6ng SoPware  Security   Strategy Architecture   Analysis Secure   Development Training •  Fortune  500も含む大手企業270社以上 •  金融機関の上位10社の内9社 •  米国銀行の上位20銀行の内16銀行 •  ソフトウェアセキュリティ会社の上位3社 •  保険会社の上位3社 •  米国最大のゲーム会社 •  テクノロジー会社の上位10社の内5社
  • 10. Cigital社 CTO  Gary  McGraw氏 Gary  McGraw,  Ph.D.(ゲイリー・マグロー)   -­‐  Cigital,  Inc. CTO   •  セキュアな開発の方法論の第一人者 •  “Building  Secure  SoPware  and  SoPware  Security”   (邦題:Building  Secure  Sowareーソフトウェアセキュリティについて開発者が知っているべ きこと)などの著者   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 10 「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー としてCigitalを選択してくれたことをうれしく思います。すぐれたソフトウェアセキュリティを実現す る市場を開発することは、実社会において、まさに望まれていることであり、私たち両者がともに 長い期間目指してきたものです。」 -­‐  Gary  McGraw,  Cigital,  Inc.  CTO  
  • 12. “Enabling  Security  for  Developers”   の実現に向けて 「アスタリスク・リサーチがソフトウェアセキュリティにおけるソリューションを提供するパートナー としてCigitalを選択してくれたことをうれしく思います。優れたソフトウェアセキュリティを実現する 市場を開発することは実社会においてまさに望まれていることであり、私たち両社がともに長い 期間目指してきたものです」             |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 12 Chief  Technology  Officer   Gary  McGraw(ゲイリー・マグロー) 代表取締役     岡田 良太郎 「この提携により、当社がこれまでお客様に提供してきたコンサルティングならびにトレーニング のサービス・ラインアップに、Cigital社のソリューションを加わることとなり、さらにより多くの開発 チームに貢献できるようになります。これにより、当社のセキュリティ事業分野のミッションである   “enabling  security  for  developers”を実現し、ひいては安全かつ安定的に持続可能なインター ネット社会の実現に貢献できればと考えています」  
  • 13. Thanks   •  導入のご相談、試用期間  30日のフル機能検証は無料です。   USAGE:   –  サービス提供者様、開発会社様へのご提供   –  コンサルティング、教育プログラムとのコラボレーション   –  エンジニア評価、プロジェクト・プロダクト品質の可視化   –  開発・品質管理・運用チームの、共通指標の導入と推進   |  Enabling  Security  for  Developers  |   ©2015  Asterisk  Research,  Inc. 13 Cigital社チャネルパートナー   アスタリスク・リサーチ   heps://www.asteriskresearch.com/download/