Enviar búsqueda
Cargar
シフトレフト戦略と沖縄県
•
1 recomendación
•
927 vistas
Riotaro OKADA
Seguir
2017年3月23日「沖縄サイバーセキュリティネットワークセミナー IoT時代におけるセキュリティビジネスの創出に向けて」における講演
Leer menos
Leer más
Empresariales
Denunciar
Compartir
Denunciar
Compartir
1 de 41
Descargar ahora
Descargar para leer sin conexión
Recomendados
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 Japanese
Hiroaki Kuramochi
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
Yukiya Hayashi
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya
Web API Next Challenge
Web API Next Challenge
uchimanajet7
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
Recomendados
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 Japanese
Hiroaki Kuramochi
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
Yukiya Hayashi
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya
Web API Next Challenge
Web API Next Challenge
uchimanajet7
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
OWASP Top 10 - 2013 を起点にして
OWASP Top 10 - 2013 を起点にして
Chia-Lung Hsieh
現場から始めるアジャイルの技術プラクティス
現場から始めるアジャイルの技術プラクティス
Takuya Okamoto
Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016
Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016
Yusuke Suzuki
アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016
アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016
Yusuke Suzuki
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
oshiro_seiya
JAWS-UG開催情報 20170125-8th初心者支部
JAWS-UG開催情報 20170125-8th初心者支部
由佳 青木
Akkaで実現するステートフルでスケーラブルなアーキテクチャ
Akkaで実現するステートフルでスケーラブルなアーキテクチャ
TIS Inc.
20150425 JAWS-UG Okinawa
20150425 JAWS-UG Okinawa
Toshiyuki Konparu
Security issue201312
Security issue201312
Riotaro OKADA
JavaOne感想&技術トレンド紹介 - JavaOne2015報告会
JavaOne感想&技術トレンド紹介 - JavaOne2015報告会
Yusuke Suzuki
「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」
「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」
OWASP Kansai
20190412 About the future of the atrophic world -Security-
20190412 About the future of the atrophic world -Security-
Typhon 666
20210712 X-Tech JAWS Main
20210712 X-Tech JAWS Main
Typhon 666
SPICE活用のメリット
SPICE活用のメリット
マルツエレック株式会社 marutsuelec
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
JavaOne 2016総括 #jjug
JavaOne 2016総括 #jjug
Yusuke Suzuki
2013.10.26 イノベーションエッグ クラウドセッション
2013.10.26 イノベーションエッグ クラウドセッション
Toshiyuki Konparu
ISACAってなんですか?
ISACAってなんですか?
Noriyuki Yamaguchi
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
Typhon 666
ウォーターフォールとアジャイルを考える #ita_ws
ウォーターフォールとアジャイルを考える #ita_ws
Yusuke Suzuki
Kaoru N
Kaoru N
Kaoru Nakazato
Hyperledger Projectの概要
Hyperledger Projectの概要
Hyperleger Tokyo Meetup
Más contenido relacionado
La actualidad más candente
OWASP Top 10 - 2013 を起点にして
OWASP Top 10 - 2013 を起点にして
Chia-Lung Hsieh
現場から始めるアジャイルの技術プラクティス
現場から始めるアジャイルの技術プラクティス
Takuya Okamoto
Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016
Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016
Yusuke Suzuki
アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016
アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016
Yusuke Suzuki
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
oshiro_seiya
JAWS-UG開催情報 20170125-8th初心者支部
JAWS-UG開催情報 20170125-8th初心者支部
由佳 青木
Akkaで実現するステートフルでスケーラブルなアーキテクチャ
Akkaで実現するステートフルでスケーラブルなアーキテクチャ
TIS Inc.
20150425 JAWS-UG Okinawa
20150425 JAWS-UG Okinawa
Toshiyuki Konparu
Security issue201312
Security issue201312
Riotaro OKADA
JavaOne感想&技術トレンド紹介 - JavaOne2015報告会
JavaOne感想&技術トレンド紹介 - JavaOne2015報告会
Yusuke Suzuki
「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」
「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」
OWASP Kansai
20190412 About the future of the atrophic world -Security-
20190412 About the future of the atrophic world -Security-
Typhon 666
20210712 X-Tech JAWS Main
20210712 X-Tech JAWS Main
Typhon 666
SPICE活用のメリット
SPICE活用のメリット
マルツエレック株式会社 marutsuelec
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
JavaOne 2016総括 #jjug
JavaOne 2016総括 #jjug
Yusuke Suzuki
2013.10.26 イノベーションエッグ クラウドセッション
2013.10.26 イノベーションエッグ クラウドセッション
Toshiyuki Konparu
ISACAってなんですか?
ISACAってなんですか?
Noriyuki Yamaguchi
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
Typhon 666
ウォーターフォールとアジャイルを考える #ita_ws
ウォーターフォールとアジャイルを考える #ita_ws
Yusuke Suzuki
La actualidad más candente
(20)
OWASP Top 10 - 2013 を起点にして
OWASP Top 10 - 2013 を起点にして
現場から始めるアジャイルの技術プラクティス
現場から始めるアジャイルの技術プラクティス
Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016
Javaエンジニアのための"クラウド時代の過ごし方" Java Day Tokyo 2016
アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016
アジャイルと言わないエンタープライズアジャイル導入 - Agile Japan 2016
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
JAWS-UG開催情報 20170125-8th初心者支部
JAWS-UG開催情報 20170125-8th初心者支部
Akkaで実現するステートフルでスケーラブルなアーキテクチャ
Akkaで実現するステートフルでスケーラブルなアーキテクチャ
20150425 JAWS-UG Okinawa
20150425 JAWS-UG Okinawa
Security issue201312
Security issue201312
JavaOne感想&技術トレンド紹介 - JavaOne2015報告会
JavaOne感想&技術トレンド紹介 - JavaOne2015報告会
「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」
「ど素人の非セキュ女がOWASPや日本のセキュリティ団体の活動やイベントを調べてみた」
20190412 About the future of the atrophic world -Security-
20190412 About the future of the atrophic world -Security-
20210712 X-Tech JAWS Main
20210712 X-Tech JAWS Main
SPICE活用のメリット
SPICE活用のメリット
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
JavaOne 2016総括 #jjug
JavaOne 2016総括 #jjug
2013.10.26 イノベーションエッグ クラウドセッション
2013.10.26 イノベーションエッグ クラウドセッション
ISACAってなんですか?
ISACAってなんですか?
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
ウォーターフォールとアジャイルを考える #ita_ws
ウォーターフォールとアジャイルを考える #ita_ws
Destacado
Kaoru N
Kaoru N
Kaoru Nakazato
Hyperledger Projectの概要
Hyperledger Projectの概要
Hyperleger Tokyo Meetup
データベース屋がHyperledger Fabricを検証してみた
データベース屋がHyperledger Fabricを検証してみた
Hyperleger Tokyo Meetup
Random forest の解説
Random forest の解説
KCS Keio Computer Society
とある診断員とAWS
とある診断員とAWS
zaki4649
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
Daiki Ichinose
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
何もないところから数を作る
何もないところから数を作る
Taketo Sano
Pythonの処理系はどのように実装され,どのように動いているのか? 我々はその実態を調査すべくアマゾンへと飛んだ.
Pythonの処理系はどのように実装され,どのように動いているのか? 我々はその実態を調査すべくアマゾンへと飛んだ.
kiki utagawa
Destacado
(9)
Kaoru N
Kaoru N
Hyperledger Projectの概要
Hyperledger Projectの概要
データベース屋がHyperledger Fabricを検証してみた
データベース屋がHyperledger Fabricを検証してみた
Random forest の解説
Random forest の解説
とある診断員とAWS
とある診断員とAWS
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
何もないところから数を作る
何もないところから数を作る
Pythonの処理系はどのように実装され,どのように動いているのか? 我々はその実態を調査すべくアマゾンへと飛んだ.
Pythonの処理系はどのように実装され,どのように動いているのか? 我々はその実態を調査すべくアマゾンへと飛んだ.
Más de Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Riotaro OKADA
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
もしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたなら
Riotaro OKADA
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
Riotaro OKADA
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
Riotaro OKADA
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
Más de Riotaro OKADA
(20)
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
もしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたなら
Privacy by Design with OWASP
Privacy by Design with OWASP
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
The Shift Left Path and OWASP
The Shift Left Path and OWASP
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Último
JAPAN WEB3.0 AWARD 2023 ブロックチェーン(NFT)技術を活用したアイディア 優秀賞作品 遺3.0相続
JAPAN WEB3.0 AWARD 2023 ブロックチェーン(NFT)技術を活用したアイディア 優秀賞作品 遺3.0相続
Yusuke Katsuma
株式会社ベクトル総研会社概要 Vector Research Institute (VRI) Corporate Profile
株式会社ベクトル総研会社概要 Vector Research Institute (VRI) Corporate Profile
vrihomepage
株式会社AllAdsと申します。サービス紹介資料で御座いますので、是非ご覧くださいませ。
株式会社AllAdsと申します。サービス紹介資料で御座いますので、是非ご覧くださいませ。
takuyamatsumoto29
株式会社フィジオ会社説明資料|採用の際の福利厚生やカルチャーなどを紹介しています
株式会社フィジオ会社説明資料|採用の際の福利厚生やカルチャーなどを紹介しています
chizurumurakami
第15回販促コンペ 審査員個人賞(林 知幸 氏) アルカナ? アディダスジャパン
第15回販促コンペ 審査員個人賞(林 知幸 氏) アルカナ? アディダスジャパン
Yusuke Katsuma
HCCソフト株式会社 2025年新卒採用向け 会社紹介・採用情報資料------
HCCソフト株式会社 2025年新卒採用向け 会社紹介・採用情報資料------
ssusercbaf23
エンジニア採用のミスマッチを防ぐコーディング試験サービス『HireRoo(ハイヤールー)』
エンジニア採用のミスマッチを防ぐコーディング試験サービス『HireRoo(ハイヤールー)』
Kousuke Kuzuoka
令和5年度_サステナブルツーリズムセミナー_ビジュアルレポート(公開用).pdf
令和5年度_サステナブルツーリズムセミナー_ビジュアルレポート(公開用).pdf
jun_suto
ROMS_recruting_deck_for_website_20240322.pdf
ROMS_recruting_deck_for_website_20240322.pdf
hirokisawa3
chouhou_obuse_reiwa6nenn_4_2404slide.pdf
chouhou_obuse_reiwa6nenn_4_2404slide.pdf
ssuser31dbd1
Japan IT Week 2024 Brochure by 47Billion
Japan IT Week 2024 Brochure by 47Billion
Data Analytics Company - 47Billion Inc.
HRMOS(ハーモス)タレントマネジメント_ご紹介資料_Saleshub掲載用
HRMOS(ハーモス)タレントマネジメント_ご紹介資料_Saleshub掲載用
wataruhonda3
Último
(12)
JAPAN WEB3.0 AWARD 2023 ブロックチェーン(NFT)技術を活用したアイディア 優秀賞作品 遺3.0相続
JAPAN WEB3.0 AWARD 2023 ブロックチェーン(NFT)技術を活用したアイディア 優秀賞作品 遺3.0相続
株式会社ベクトル総研会社概要 Vector Research Institute (VRI) Corporate Profile
株式会社ベクトル総研会社概要 Vector Research Institute (VRI) Corporate Profile
株式会社AllAdsと申します。サービス紹介資料で御座いますので、是非ご覧くださいませ。
株式会社AllAdsと申します。サービス紹介資料で御座いますので、是非ご覧くださいませ。
株式会社フィジオ会社説明資料|採用の際の福利厚生やカルチャーなどを紹介しています
株式会社フィジオ会社説明資料|採用の際の福利厚生やカルチャーなどを紹介しています
第15回販促コンペ 審査員個人賞(林 知幸 氏) アルカナ? アディダスジャパン
第15回販促コンペ 審査員個人賞(林 知幸 氏) アルカナ? アディダスジャパン
HCCソフト株式会社 2025年新卒採用向け 会社紹介・採用情報資料------
HCCソフト株式会社 2025年新卒採用向け 会社紹介・採用情報資料------
エンジニア採用のミスマッチを防ぐコーディング試験サービス『HireRoo(ハイヤールー)』
エンジニア採用のミスマッチを防ぐコーディング試験サービス『HireRoo(ハイヤールー)』
令和5年度_サステナブルツーリズムセミナー_ビジュアルレポート(公開用).pdf
令和5年度_サステナブルツーリズムセミナー_ビジュアルレポート(公開用).pdf
ROMS_recruting_deck_for_website_20240322.pdf
ROMS_recruting_deck_for_website_20240322.pdf
chouhou_obuse_reiwa6nenn_4_2404slide.pdf
chouhou_obuse_reiwa6nenn_4_2404slide.pdf
Japan IT Week 2024 Brochure by 47Billion
Japan IT Week 2024 Brochure by 47Billion
HRMOS(ハーモス)タレントマネジメント_ご紹介資料_Saleshub掲載用
HRMOS(ハーモス)タレントマネジメント_ご紹介資料_Saleshub掲載用
シフトレフト戦略と沖縄県
1.
シフトレフト戦略と沖縄県 OWASP Japan Lead Hardening
Project オーガナイザ 株式会社アスタリスク・リサーチ 岡田良太郎 riotaro@owasp.org Enabling Security ©Asterisk Research, Inc. 1
2.
Enabling Security ©Asterisk Research, Inc. 2 産経新聞
平成29年3月14日 生活面 2週間で5千ダウンロード超と、このジャ ンルの本としては記録的な数字を示した。 検索:NO MORE 情報漏えい
3.
OWASP Japan Chapter Lead mission: ソフトウェアセキュリティについて 意思決定をする人のために役立つ十分な情報を提供すること
4.
5.
• OWASP NAGOYA
2017 設立予定 • OWASP FUKUSHIMA 2016 金子正人・山寺純 • OWASP OKINAWA 淵上真一・又吉伸穂 • OWASP SENDAI 2015 小笠貴晴・佐藤ようすけ • OWASP KYUSHU 2015 服部 祐一・花田智洋 • OWASP KANSAI 2014 長谷川陽介・斉藤太一・三木剛 • OWASP JAPAN 2011 岡田良太郎・上野宣 ⽇本のチャプター (地域の集まり)
6.
OWASP Top 10
グローバルで⼤⼈気 ©2016 Asterisk Research, Inc. 6 出典:SANS Institute (2015)
7.
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project • アタックサーフィスの概説 • 脅威エージェント •
攻撃の経路(アタックベクター) • セキュリティの弱点 • 技術面のインパクト • ビジネス面のインパクト • 脆弱性の例 • 攻撃の例 • この問題を避けるガイダンス • OWASP、他のリソース・参照情報 • 製造者、開発者、消費者それぞれ が考慮すべきことのリスト I1 安全でないウェブインターフェース I2 欠陥のある認証・認可機構 I3 安全でないネットワークサービス I4 通信路の暗号化の欠如 I5 プライバシー I6 安全でないクラウドインターフェース I7 弱いモバイルインターフェース I8 設定の不備 I9 ソフトウェア・ファームウェアの問題 I10 物理的な問題 OWASP Internet of Things Project
8.
OWASP OpenSAMM 77項⽬で開発運⽤チームの強度を調べる ©2015 Asterisk Research, Inc.8 ソフトウェア開発 ガバナンス 構築
検証 デプロイ 戦略&指標 ポリシー&コンプライアンス 教育&指導 脅威の査定 セキュリティー要件 セキュアなアーキテクチャ 設計レビュー コードレビュー セキュリティテスト 脆弱性管理 環境の堅牢化 運用体制の セキュリティ対応 ep s
9.
Before Enabling Security ©Asterisk Research, Inc. 9
10.
After Enabling Security ©2015 Asterisk Research, Inc. 10
11.
脅威 vs 対策 %
of Attacks 90% データ侵害の原因 95% 5% 報告されたセキュリ ティ侵害の原因の 95%はアプリケー ション層 検査した95%以上 のサイトは深刻な脆 弱性を抱えている NIST アプリケーションの セキュリティ確保に 気を配っていない。 セキュリティ関連支出 の大半がネットワーク に費やされている。 Network Applications % of Dollars セキュリティ支出 10% 90%
12.
脆弱性テスト 直す 隠す無視・ あきらめ 出典:SANS Institute (2015) Q. “Top Challenges for Builders and Defenders ” アプリケーションセキュリティ? 「出荷前のテストはやっています」
13.
69% Enabling Security ©Asterisk Research, Inc. 13
14.
32⽇ Enabling Security ©Asterisk Research, Inc. 14
15.
5000万円 〜3億円 Enabling Security ©Asterisk Research, Inc. 15
16.
“Internet of Things”
17.
⼩さなデバイス 細かなネットワーク 多くのAPI 積もるデータ
18.
98% or 68% Enabling Security
©Asterisk Research, Inc. 18
19.
Enabling Security ©Asterisk Research, Inc. 19 「全国最下位です」 http://gan-info.pref.aomori.jp/public/index.php/ct05/a51.html
20.
Enabling Security ©Asterisk Research, Inc. 20 ・向き合うキャンペーン ・がん検診 ・がん登録 ・がん対策推進企業連携 協定の締結企業 ・診療連携
21.
シフトレフト! 0 20 40 60 80 100 設計 構築 検証
運用 1 6.5 15 対応コスト 100 ©Asterisk Research, Inc. 21 SHIFT LEFT 原因85
22.
事前の策:OWASP Proactive Controls Enabling Security
©2016 Asterisk Research, Inc. 22 OWASP Top 10 Proactive Controls 2016 1: 早期に、繰り返しセキュリティを検証する 2: クエリーのパラメータ化 3: データのエンコーディング 4: すべての⼊⼒値を検証する 5: アイデンティティと認証管理の実装 6: 適切なアクセス制御の実装 7: データの保護 8: ロギングと侵⼊検知の実装 9: セキュリティフレームワークやライブラリの活⽤ 10: エラー処理と例外処理 ⽇本語もあります https://www.owasp.org/images/a/a8/OWASPTop10ProactiveControls2016-Japanese.pdf
23.
1000:1
24.
システムコードの90%
25.
• WordPress: 423,759 • PHP:
3,617,916 • Apache: 1,832,007 • Linux: 18,963,973
26.
2017年「いかにアプリを構築し、実装するか、 新たな議論が巻き起こる」 • 11 things we think will happen in business technology in 2017 • “A new debate in how to build and ship applications.” Business Insider誌, Jan. 2, 2017
27.
DevSecOps = 開発
x セキュリティ x 運⽤ ビジネス要件 カイハツ 運用 セキュリティ ウォーター フォール アジャイル DevOps DevSecOps !
28.
予防的開発 x 繰り返し検証
x 連携運⽤ Ops Sec Dev Enabling Security ©Asterisk Research, Inc. 28 1. 予防的開発: リスクとポリシー ガイドラインと教育 適した材料選び 2. 繰り返し検証: ⾃動ツールの活⽤ 最短時間で問題認識 検証結果の統合と共有 3. デプロイ・運⽤: 確実なアップデート 正常と異常の⾒極め 開発へのフィードバック
29.
SUMMARY
30.
1. ハイブリッド
31.
2. セキュリティバイデザイン
32.
3. セキュリティは総⼒戦
33.
売上 Enabling Security ©Asterisk Research, Inc. 33
34.
成⻑ Enabling Security ©Asterisk Research, Inc. 34
35.
成⻑ >売上 Enabling Security ©Asterisk Research, Inc.
35
36.
5〜8万円/⼈ Enabling Security ©Asterisk Research, Inc. 36
37.
Enabling Security ©Asterisk Research, Inc. 37 IT=
I x T
38.
重点分野
39.
39 Hardening Project 2015/10 動画サイトで閲覧可能: http://www.nikkei.com/article/DGXMZO92573760X01C15A0000000/ 次は6⽉23,24⽇ http://wasforum/jp
40.
40 琉球朝日放送で密着取材: ハッカーから情報守るハードニングプロジェクトとは http://www.qab.co.jp/news/2016110484925.html 2016年11月4日 18時45分放送 次は6⽉23,24⽇ http://wasforum/jp
41.
SHIFT LEFT 着実なものづくりで ITイニシアチブを
Descargar ahora