デブサミ2015 ホールE最終枠の「災害xクラウド」の岡田担当分の資料です。

1. Developer
summit
2015
Panel
discussion
災害xクラウド
Riotaro
OKADA
Asterisk
Research,
Inc.

2. 岡田良太郎
• 神戸出身
– 1995年1月17日5時46分
• Linuxカーネルコンパイル中でした
• ソフトウェア開発やってきました
– Fortran,
Pascal,
C,
Cobol,
C++,
Lisp,
Tcl/Tk,
Java,
JavaScript,
Visual
Basic(ASP),
JavaScript,
Python,
PHP,
Ruby,
Python,
Java(再),
SwiU
<-­‐いまここ
– OWASP
Japan
Chapter
Leader
• 翻訳などこまごましたこともやっています。

3. 仕事
• TechStyle
Co.
since
2002
– 有限会社テューンビズからはじめ、いろんな技術者と仕事してきました
– PDF関連エンジン PDFlib
• 長いことやってていろいろ勉強になります
• Asterisk
Research,
Inc.
since
2006
– パートタイムCTOとかでDevOps 支援
– セキュリティ・トレーニング 日本とかマレーシアとか
– 使えるツールを売っています
• ディベロッパーの「スペルチェッカー」
Eclipse/Visual
Studio用コードスキャナ Cigital
Secureassist
←
いまここ
• 動作しているサーバの内側から動的解析 Contrast
←
これもやる
ぜひご一緒に
-­‐>
riotaro@rsrch.jp

4. • IPA 非常勤研究員
(2006-­‐2013)
– 国際標準推進センター
• 2011より被災地をまわったりしつつ
災害対応プロジェクトチーム担当 2011

5. コミュニティ コンテキスト
• オープンソースコミュニティ
• 古くは日本Linux協会とか日本
PHPユーザ会とか
• WASForum
Hardening
Project
– ECサイト堅牢化競技会
８耐レース
• ニコニコ学会β
– めっちゃ面白いです。
• OWASP
Japan
Chapter
Leader
– オーガナイザー
– 翻訳などこまごましたことも
やっています。
• 「ITx災害」会議、
減災ソフトウェア会議
– ファシリテータ

6. こんなの担当しました

7. 自治体調査でヒアリングもしました

8. オワスプやってます

9. 3000 people / 2 years attended OWASP Night
Interest in Security in Japan is increasing greatly
©2015
Asterisk
Research,
Inc.
9

10. OWASP TOP 10 Most Critical Risks
OWASP Top 10 リスク
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
A1 Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)
A4 Insecure Direct Object References
A5 Security Misconfiguration
A6 Sensitive Data Exposure
A7 Missing Function Level Access Control
A8 Cross-Site Request Forgery (CSRF)
A9 Using Components with Known Vulnerabilities
A10 Unvalidated Redirects and Forwards
©2015
Asterisk
Research,
Inc.
10

11. OWASP TOP 10 Proactive Control
OWASP Top 10 事前にできる１０のキホン対策
1:
Parameterize
Queries
2:
Encode
Data
3:
Validate
All
Inputs
4:
Implement
Appropriate
Access
Controls
5:
Establish
Idenety
and
Authenecaeon
Controls
6:
Protect
Data
and
Privacy
7:
Implement
Logging,
Error
Handling
and
Intrusion
Deteceon
8:
Leverage
Security
Features
of
Frameworks
and
Security
Libraries
9:
Include
Security-­‐Specific
Requirements
10:
Design
and
Architect
Security
In
©2015
Asterisk
Research,
Inc.
11

12. 開発者に関して岡田良太郎
の目的だと思われるもの
Empower
Professionals
「考える人、作る人、動かす人の
連携による価値の最大化」

13. 3.12 10:08PM

14. 3.13 2:29PM

15. 3.13 4:26PM

16. 3.13 4:32PM

18. BCP=resilienceの向上
ダメージ
復旧時間
平時(100%)
有事
72時間?
死の72時間か
黄金の72時間

19. 震災後復旧、復興活動を行ったITコミュニティ活動に対する調査
震災後稼働した約250の支援サイトの調査 (2012/6〜7)

20. 70%が「とにかく早く公開」

22. プラットフォーム選択の状況

23. 災害xクラウド
「クラウド技術として利用した」 25%、
技術部品として「貢献した」は 17.7%だった。
• 提供はありがたく、使いはじめやすい
– ミラーサイト、変更先サーバ等
– 「クラウドを利用することで、無停止で多数のアクセスを捌いた。」
– 「初めて知った場合に仲間と協力してスキルアップ」
• 課題
– 使い方。
• リスタートしたらデータがとんだ(※ 仕様)
• 構築にも活用にもネット環境が必須なのに、回線が不安定(※
環境)
– 撤収・移行方法

24. ITでの災害対応のKSF
• 技術
– 使い慣れた技術
– 早く作り上げられる技術
• 情報源となるデータ
– 活用可能であること
– “そこそこ”信頼できること
– 時系列で更新されること
• プラットフォーム
– ごく少人数で取り扱い可能
– コラボレーションしやすい
– コスト (自己負担が多い)
• チーム
– すでに知り合い
– 技術者100%〜50%
– Issue
共有のうまさ
– スキルばらつきは課題
• アプリケーション構築
– 状況の変化のインプット
– 利用者負担が低い
• 入れっぱなしでもいけるなど
– 目的特化型

25. BCP コンセプトの進化
逐次対応 Adhoc Response
神ワザ・人海戦術 “Act
of
God”
軽減/備え Mitigation Preparedness
堅牢性 “Robustness”
冗長性“Redundancy”
有事に強い Disaster Resilience
臨機性 “Resourcefulness”
敏捷性 “Rapidity”
19xx’s
2000’s
2010’s

26. リジリエント・デザインを実装する 3つの戦略
自律 分散 協調

27. 参考:支援サイト運営課題ベスト15

28. 参考：自治体調査2012の時点まとめ
• ITガバナンス：ベンダーまかせかベンダーロックインからの解放か
– CIO形骸化、職員スキル不足、業務理解不足に関する問題は根が深い
– DMMなど業務分析ツールが打開策を持っている例がまたもや
– オープンな標準の採用によるロックイン解放への動きは拡大
• パッケージ、「クラウド」はコスト軽減とBCPのキラーソリューションか？
まだまだそう認識されてはいない
– サービス調達がもたらす新たな「ベンダーロックイン」
– システム間連携、拠点間連携のデータ整合性の問題
– 情報の置き場所に関する方針の問題
– 業務の実装、レスポンスタイム、ネットワークコストの問題などアーキテク
チャーとコストの問題でもまだまだ選択の余地がある状態とは言えない
28

29. 参考:自治体調査2012の時点まとめ
• 欲しいものは、情報、人材育成の道筋
– 人材育成はしたいけれど方向性が見定まらない傾向
– 他の自治体での実装例、アプローチの情報が欲しい
– データ標準、文字情報基盤への期待
• 震災の経験から
– 「業務のためのシステムのイニシアチブを自治体から外に任せては
いけない」
– 応援部隊を含めたチームワークと意志決定の実行
– すぐに使える被災対応システムのあり方への期待
29