アプリケーションのシフトレフトを実践するには
•
5 likes•905 views
GitLab DevOps Webinar シリーズ: アプリケーションセキュリティのシフトレフト 株式会社アスタリスク・リサーチ 岡田良太郎 Youtube Live Recording: https://www.youtube.com/watch?v=H3JRkhJl3i0&t=164s
Report
Share
アプリケーションのシフトレフトを実践するには
- 1. SHIFT LEFT PATH 岡田 良太郎 アスタリスク・リサーチ
- 3. © Asterisk Research, Inc. 3
- 4. SHIFT LEFT why: 必要な背景・理由 where: どこを変⾰するか 1st step: 何から⼿をつけるか (c) Riotaro OKADA 4
- 5. why: 必要な理由 (c) Riotaro OKADA 5
- 6. Audience:あなたについてお聞きします 1. ソフトウェア設計・開発担当 2. 品質保証・テスト・セキュリティ検査担当 3. ⽣産技術・ガバナンス担当 4. プロダクト・企画担当 5. その他
- 7. © Asterisk Research, Inc. 7 1. マルウェア 2. ウェブの仕組みを利⽤した攻撃 3. フィッシング 4. ウェブアプリケーションへの攻撃 5. スパム 6. DDoS 7. id盗難 8. データ漏洩 9. 内部脅威 10. ボットネット 11. 物理的な操作/損害/盗難/紛失 12. 情報漏洩 13. ランサムウェア 14. サイバースパイ 15. クリプトジャッキング
- 8. IPA 発表 情報セキュリティ10大脅威 順位 組織 1位 ランサムウェアによる被害 2位 標的型攻撃による機密情報の窃取 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 4位 サプライチェーンの弱点を悪用した攻撃 5位 ビジネスメール詐欺による金銭被害 6位 内部不正による情報漏えい 7位 予期せぬIT基盤の障害に伴う業務停止 8位 インターネット上のサービスへの不正ログイン 9位 不注意による情報漏えい等の被害 10位 脆弱性対策情報の公開に伴う悪用増加 情報セキュリティ10⼤脅威 2021 (情報処理推進機構発表)
- 9. 弱点はフル活用されてしまう 攻撃者の準備と実⾏に関わる⼿段の部分 を構造化して⾒られるフレームワーク • どこを⾒るのか • どんなツール・⼿法を使うのか • どんな⼿法で⾏うのか • 最終⽬的 Enabling Security with "シフトレフト" © Asterisk Research, Inc. 9 MITRE Att&ck https://mitre-attack.github.io/attack-navigator/enterprise/ * ⾚いのは、OWASP Top 10に関連する脆弱性
- 10. ここ最近のアプリケーション セキュリティ関連ニュース • チケット販売サイト「Pea$x」利⽤者リスト ネットで取り引き(2020/11/20) NHK • 総連HPにウイルス疑い 警視庁、韓国籍の元学⽣書類送検(2020/12/16)⽇経 • EXILEサイトで流出か、4万件以上のカード情報(2020/12/8)⽇経 • 「PayPay」不正アクセス受ける 最⼤2007万件余の可能性(2020/12/7)NHK • 福島医⼤病院でランサム被害 17年夏、公表せず(2020/12/2)⽇経 • クレカ番号など漏洩か フリー、設定ミスで2898件(2021/2/10)⽇経 • NTTデータも被害、広がるGitHub上のコード流出問題(2021/2/1)⽇経❗ • コード⼀部流出、情報漏洩はなし 三井住友銀(2021/1/30)⽇経❗ • サーバーが不正アクセス被害|共英製鋼株式会社(2021/2/19)CyberSecurity.com • 男性向けファッション通販サイトに不正アクセス(2021/2/18)Security NEXT • 新潟市と飯⽥市の緊急通報システム「Net119」へ不正アクセス、登録者情報が参照 された可能性(2021/2/18)ScanNetSecurity • マイナビ転職で不正ログインでウェブ履歴書約21万件流出の可能性(2021/2/18) CyberSecurity.com • サーバに不正アクセス、原因や影響を調査 - 伯東株式会社(2021/2/17)Security NEXT • ⻄条市の健診予約システムが不正アクセスでサービス⼀時閉鎖へ(2021/2/16) CyberSecurity.com • 2市の健診サイトに不正アクセス 個⼈情報流失か 奈良(2021/2/12)朝⽇新聞 • 「サイバーパンク2077」開発元にサイバー攻撃 データ奪われ脅迫される (2021/2/12)ITMedia • バンダイグループお客様相談センターに不正アクセス、クラウド型営業管理システ ムのセキュリティ設定不備を突く(2021/2/1)ScanNetSecurity (c) Riotaro OKADA 10 • アプリケーション脆弱性 • 実装ミス・設計ミス • コンポーネントの脆弱性 • クラウドサービス側の問題 • クラウド設定のミス • 意図的なバックドア
- 12. 例:「カード情報漏洩事件が起きて えらい問題になった」 ⼤命令: 「システム状況と原因を調べよ!」 • 原因1:よく調べたらクラウドのDB機能の管理機能がざるだった → アクセス制限を強化する仕組みの設計 • 原因2:よく調べたら脆弱性検査でわんさとXSSやSQLiが出た → 実装担当のやりかたを⾒直す必要 • 原因3:よく調べたら、実装担当にコードレビューの仕組みがない • 原因4:さらによく調べたら、チーム全体にセキュリティ情報が不⾜ • 原因5:エンジニアスキルの確保⽅策は脆弱だった
- 13. シフトレフトの類語 • フロントローディング • レトロスペクティブ • カイゼン • Why 5回
- 15. セキュリティのためだけではない。 多様な開発が必要 • サイズの違い/期間、予算、分解可能な単位の違い • アーキテクチャやプラットフォームの違い • 業界ごとにリスクの違いも⼤きい • ビジネスリスク • ユーザのリスク • 業界のリスク • コンプライアンス (c) Riotaro OKADA 15
- 17. where: (c) Riotaro OKADA 17
- 18. アプリケーションセキュリティの シフトレフトとは • WHERE 問題は何かよりも、どこで⽣じたか • WHEN 可能な限り迅速に • WHO 関係者全員に • WHAT 不⾜している情報を迅速に提供すること • バグ、脆弱性、ヒューマンエラー • 開発セキュリティの実践的なノウハウ • 使えるコンポーネント(OSS、アプライアンス)の情報 • コンプライアンス、脅威トレンド、過去の痛み…
- 19. アプリケーション構築フロー 企画 • ビジネス⽬標 • 問題解決 • コンプライアンス 要件 • リスクプロファイル • 脅威トレンド • 運⽤課題 設計 • 機能・⾮機能要件 • 脅威対応機能 開発 • 実装⽅針 • コンポーネント • 権限マトリックス 検証 • コード検証 • ビルド検証 • セキュリティ検証 運⽤ • デプロイ設定 • 基盤の設定 • アラート対応 © Asterisk Research, Inc. 19
- 20. SANS調査(2015): 「セキュリティ重点フェーズはどの段階ですか」 要件定義 設計 実装 ビルド リリース前 その他 53.40% 16.50% 14.60% 4.90% 8.70% 1.90%
- 24. IdP 認証基盤 ・・・・ Mobile App Browser ・・・・ イネーブラ: SaaS, IaaS x IdP, API, WebHook… MicroService x DX時代 メール配信 サービス ストレージ サービス No code/Low code サービス 決済代行 サービス SaaS オンライン会議 サービス コミュニケーション チャットサービス WebHook App+API センサー UI 重大な脆弱性? 攻撃面? 狙いは? An
- 25. ウォーターフォール(1970 s) 要件 設計 実装 検証 リリース • 基本的に不可逆 • 要件の段階ですべて予知している必要がある • 実装から検証までの時間は⻑い • 脆弱性の半分は設計問題、半分は実装問題 • 結果、リリース時の品質は… • やり直しは想定していない • 「時間とコスト」の政治⼒が⼀番⼤きい
- 26. 開発手法の変革 (1990 s) 要件 設計 実装 検証 リリース • 基本的に段階的な完成 • もっとも重要な機能から作っていく (Minimum Viable Product) • だんだん成熟する • 実装から検証までの時間は皆無か短い • 設計、実装、検証、リリースは1チーム • 短期間で検証する • 結果、リリース時の品質は… • 成熟している 繰り返し、確実なゴールを踏む 要件 設計 実装 検証 リリース 要件 設計 実装 検証 リリース 要件 設計 実装 検証 リリース
- 27. ガバナンス:生産の問題は、生産技術の問題 プレス 溶接 塗装 組⽴ 検査 製品企画 開発 ⽣産技術 ⽣産 © Asterisk Research, Inc. 27 ⽬的→実施→検査→改善 ⽬的→実施→検査→改善 ⽬的→実施→検査→改善 ⽬的→実施→検査→改善 最終的な確認
- 32. OODA, Agile, DevOps → CI/CD • 出典:CISOハンドブック 第8章
- 33. Audience: あなたの問題場所は? 1. 運⽤が改善すべき問題を分析できていない 2. 検証が開発プロセスにマッチしていない 3. 実装がセキュリティの作り⽅の情報が不⾜ 4. 設計がセキュリティ計画を意識できていない 5. 要件が⽬標とするセキュリティを決められない
- 34. 1st step: (c) Riotaro OKADA 34
- 35. 35 OWASP
- 36. DevOpsに成熟が必要なプラクティス OWASP SAMM 2.0 Governance ガバナンス Design 設計 Implementation 実装 Verification 検証 Operations 運⽤ Strategy and Metrics 戦略と指標 Threat Assessment 脅威評価 Secure Build セキュアな構築 Architecture Assessment アーキテクチャ評価 Incident Management インシデント管理 Policy and Compliance ポリシーとコンプライ アンス Security Requirements セキュリティ要件 Secure Deployment セキュアなデプロイ Requirements-driven Testing 要件駆動型のテスト Environment Management 稼働環境の管理 Education and Guidance 教育と指導 Security Architecture セキュリティアーキテ クチャ Defect Management 不具合管理 Security Testing セキュリティテスト Operational Management 運⽤管理
- 37. DevOpsに成熟が必要なプラクティス OWASP SAMM 2.0 Governance ガバナンス Design 設計 Implementation 実装 Verification 検証 Operations 運⽤ Strategy and Metrics 戦略と指標 Threat Assessment 脅威評価 Secure Build セキュアな構築 Architecture Assessment アーキテクチャ評価 Incident Management インシデント管理 Policy and Compliance ポリシーとコンプライ アンス Security Requirements セキュリティ要件 Secure Deployment セキュアなデプロイ Requirements-driven Testing 要件駆動型のテスト Environment Management 稼働環境の管理 Education and Guidance 教育と指導 Security Architecture セキュリティアーキテ クチャ Defect Management 不具合管理 Security Testing セキュリティテスト Operational Management 運⽤管理 CI/CD
- 38. 主戦場はCI/CDの現場
- 39. エコシステムのモニタリング
- 41. 認証と認可を⾒直せ
- 42. 生産技術:開発セキュリティ標準の ベンチマークを見直してみる • 業界・⽬的特化 • FISC標準 • BIMCO • PCI DSS • ISO 21434 • 3省3ガイドライン • サイバーセキュリティ経営ガイド ライン • 共通領域 • NIST 800 series • OWASP SAMM / Top 10 / Proactive controls / ASVS / Cheatsheets • CIS Security Benchmark • IPA (c) Riotaro OKADA 42
- 43. As is… 43 © Asterisk Research, Inc.
- 44. Step by step 44 © Asterisk Research, Inc.
- 45. Audience: シフトレフト、 早速なにからやってみたいですか 1. DevOps チームのたてわりをやめ、コミュニケーション してみる 2. CI 開発と検証をワンセットで使えるようにしてみる 3. CD 改善頻度の⾼いシステムを迅速にリリースする 4. Agile ステップバイステップで⼩さな改善を繰り返す 5. Leadership シフトレフトする組織の⽅向性を推進する
- 46. セキュリティ版 家庭の医学 • 「もはや経験のあるベテランの勘で経営 判断できる状況ではなく、持てる限りの データを活⽤し、迅速に判断し、アク ションを取らなければなりません」 • 「⼀⽅で、未成熟な技術に⽢んじなけれ ばならない側⾯もあります」 • 「そこで、DXを進める上での前提は」 主軸を成す鍵を示す13の章と21のコラム さらに理解を深める8つの付章 全400ページ、11名の執筆陣による、2018年刊に次ぐ大幅改訂新版。