iSPP 仙台シンポジウム

2013/11/24  iSPP  「ICTによる防災と震災復興シンポジウム」

支援のためのウェブサイト調査の結果より、将来のソフトウェアを見据えて

岡田良太郎

riotaro.okada@owasp.org

52%が72時間以内にリリースした。

IPA  「災害支援サイト調査」サマリー

n  東日本大震災発生後、様々な支援を目的としたWebサイトやWebサービスを自発的に立ち上げた、事前にリスティングしたものを含めた250のウェブサイトの運営者と構築にあたった技術者を対象にアンケート調査（ウェブアンケート、電子ファイル）、またその中から選定した20ほどのサイトに個別のインタビューを行った。

–  アンケート回答数：１８５ （母数２５３＋オープン回答24）６２％

–  決意、立ち上げ、運営、クローズまでの各フェーズでの実態と課題について定性情報を収集

「IPA 支援サイト 調査」で検索

プロジェクトのプライオリティ  70%が、「とにかくスピード」を重視し、結果として52%が72時間以内にリリースした。

「とにかく早く公開することを目指した」 70.5%

調査で浮かび上がった、サイト／アプリ構築チームと運営プロジェクト像

n  地理情報をあつかったものが44%、メールアドレス、人名それぞれ42%がつづいたn  52%が、起案から本番稼働まで、72時間以内。n  70%が「とにかく早く立ち上げることを目指した」n  最大数の年齢層は30代n  チームの半数以上が3名かそれ以下。人数が多いところでは、イシュートラッキングのうまいプロジェクトがチームマネジメントの鍵。

n  許可の取得、自由な利用できると確信できるデータがないことに問題を感じた：47%

–  Twitterがデータ取得正当化手段に。（これはこれでいいのか？）n  アクセス過多や利用者への対応作業の激増、団体間連携の取り組みの対応に苦心

n  セキュリティ、プライバシデータに問題を意識したのはエンジニアの9.7%

実際には、インターネットのリスクは高かった災害に便乗した罠（わな）  ／標的型メール／攻撃

不正プログラムの検知件数推移 http://www.ipa.go.jp/security/txt/2011/05outline.html

災害対応サイトの調査を通して

n  良いこと：お手軽なアプリケーション構築の手段が先行している。 –  情報の仲介者(intermediary)へのニーズにより多様なサービスに需要 –  システム動作基盤は、安価に調達／実現することが容易になっている。 –  オープンな技術環境は、選択可能な手段が豊富になっている。

n  問題：緊急対応、不慣れであることなどによる品質が犠牲に –  多様な集団でのコラボレーションの面では、スピード・品質・役割分担

などでレベル感の違いや共通言語不在の構築の問題が顕在化 –  ウェブサイトが取り扱うデータの取得と活用にあたっては課題。

一次情報保有者のオープン化、オープンな情報を二次利用可能へ –  アプリケーションのセキュリティやデータのプライバシー保護など、品

質面や安全面での配慮に手薄感

誰が品質にコミットしているのか？ 標的型攻撃、データ改ざん、サービス停止リスクは？

普段からやっていないことは、非常時にはできない。

n  情報収集手段 –  政府や自治体、公的企業などからの、二次利用が可能なデータ公開

に期待（回答者全体の48%）。 –  被災地、支援側からの個別情報の集約手段については、災害時限り

ではなく、いつでも動かせる仕組みであることが必要

n  セキュリティ・プライバシデータの取り扱い –  個別情報のポジショニング：正確さ・スピード・寿命 –  プライバシデータの取り扱いに関する常識 –  悪意に強く安全なソフトウェア構築ができるためのノウハウ・ドゥハウ

の充実

n  個々の行動者 –  オープンな環境でイニシアチブをとる経験 –  内発的動機付けによる自己犠牲的な行動経験 –  組織的取り組みを可能にする人々の関係構築。

「ITx災害」会議！

リジリエントなITの実現コンセプトは変化している。

逐次対応  Adhoc Response

神ワザ・人海戦術 “Act  of  God”

軽減/備え  Mitigation Preparedness 堅牢性 “Robustness”

冗長性“Redundancy”

有事に強い  Disaster Resilience

臨機性 “Resourcefulness”

敏捷性 “Rapidity”

19xx’s 2000’s 2010’s

ソフトウェア構築の実現手段選択と運営の問題

n  目標：目的にかなった構築手段の採用が必要 –  生活インフラ情報 –  プライバシ –  緊急情報 –  金銭、物資 –  人材 –  治安関連情報

n  問題：不十分なソフトウェア構築で稼働させざるを得ない事情 –  ウェブサイトに脆弱性があり、保有データのリスクが存在する。 –  アプリケーションが悪用されることがある。 –  需要が高まると性能面での問題によりサービスが維持できない問題。

「ITx災害」会議  2013/10/6  数多くの団体での経験・知見を持ち寄る

A 佐竹・小瀬木 B 江渡・竹村 C 村上・野田 D 川崎・林 E 富樫さん

1 被災者自身と情報

地図地理情報

行政と民間連携

IT弱者 プロジェクト 立ち上げ

2 ツールをどうするか

プライバシー

オーブンデータ

ITベテランの役割

復興事業の立ち上げ

3 プロジェクト継続

団体間連携

記録アーカイブ

IT教育・若者

http://itxsaigai.org/

「減災ソフトウェア開発に関する一日会議」2013/10/26  情報通信・ソフトウェア関係者・研究者など40名が集結。大きく２ラウンドで計１４のテーマを深堀りした。

A B C 1 通信の未来

（瀬川）

コミュニケーション (及川・斎藤)

オープンデータ (平本)

2 記録の未来 (仙道)

パネルディスカッション

3 ノンジャンル・ ディスカッション (瀬川)

ソフトウェアのPDCA (及川・山寺)

プロモーション (川崎・小林)

ラップアップ

http://gensai.itxsaigai.org/

技術視点での解決への取り組み取り組み 具体的な取り組み 検索

OWASP Meeting (OWASP) 2011/12 より３ヶ月に一度ペースで会議開催。2013/11までにのべ2000名が集合。 •  仙台でもリモートで開催した。

コーディングガイド 簡易な検査ツール レビューガイド オープンソースソフトウェアとの連携 運営関連のノウハウのシェア → KNOW HOW

OWASP JAPAN で検索！ owasp.org/….

Hardening Project　（WASForum） 2012/4, 2012/10, 2013/7

１チーム５、６名で８チーム公募。８時間でどれほど堅牢化できるかを競い、得たノウハウを公開共有する。チームを組む際のプロジェクトのやり方を承継する。 → チーム形成、DO HOW視点

HARDENING PROJECT wasforum.jp

「ITx災害」会議 (iSPPほか多団体・個人で合同) 2013/10/6

企画者、需要者、システム構築者などの複数の観点での会話の促進。 アンカンファレンス方式のコンセンサス形成という副産物も。 → 問題認識の共有、KNOW WHO視点

ITx災害 itxsaigai.org

減災ソフトウェア開発に関する一日会議 (都市の脆弱性が引き起こす激甚災害の軽減化プロジェクト) 2013/10/26

共通言語の構築、ソフトウェアのPDCA、最新の通信技術、プロモーション、システム連携などの具体的な施策の要件を検討 →ノウハウ、ドゥハウをふまえた FUTURE VISION

上記サイトからリンク gensai.itxsaigai.org

The  OWASP  FoundationOWASP - The Open Web Application Security Project ウェブアプリケーションセキュリティをとりまく課題を解決することを目的とする、国際的なオープン・コミュニティです。 •  企業や国境の壁を超えた、あらゆる専門知識と経験を持ったスペシャリスト、ならびにユーザとのコラ

ボレーションにより、自由に参加できるオープンな活動を展開しています。

•  同組織は、2001年に設立され、2004年4月21日よりアメリカ合衆国にて政府認定NPOとして組織運営しています。現在、全世界に120以上の個別テーマのプロジェクト、さらに、日本(2012年より)を含め200拠点にチャプター（支部）があります。OWASPは、企業会員制度、スポンサーシップ、個人会員制度による寄付などによって成り立っています。

•  OWASPの成果物として数多く公開されているセキュリティ関連ガイドラン、ツールなどは、現在のOWASP Japanのコアメンバーを含む、ボランティアたちによる日本語版の公開により、日本での政府関連機関のガイドラインやIT事業者、またセキュリティ専門事業者からも参照され、活用されてきました。

•  現在、セキュリティ専門やIT専門事業者のみならず、サービス事業者、金融関連企業、また製造業、製薬・医療関連メーカーなどがこの組織の成果を活用しています。また、最大シェアでのウェブサーバApacheのセキュリティ機能にOWASPの成果が組み込まれているなど、間接的活用も広がっています。

OWASP  ProjectsOWASPのフラグシップ・プロジェクトは、日本でも多くの技術者が活用しています。 さらに、プロジェクト立案・参画においても進展しており、今後の知見の共有が期待されます。

コード・プロジェクト

•  OWASP ModSecurity Core Rule Set Project (一般のLinuxサーバにはある) •  OWASP AntiSamy Project () •  OWASP Enterprise Security API (ESAPI 企業のシステム連携) •  OWASP CSRFGuard Project

ツール

•  OWASP Zed Attack Proxy (脆弱性検査ツール、日本語解説あり) •  OWASP Web Testing Environment Project (テスト環境関連) •  OWASP WebGoat Project (教育ツール)

ドキュメンテーション

•  OWASP Top Ten Project (リスクの高い問題１０個。2013改訂。日本語あり) •  OWASP Application Security Verification Standard Project (セキュリティ実装のあり方標準化)

•  OWASP Code Review Guide Project (レビューガイド) •  OWASP Development Guide Project (開発ガイド) •  OWASP Secure Coding Practices - Quick Reference Guide (安全な作り方) •  OWASP Software Assurance Maturity Model (SAMM) （ソフトウェア評価方法） •  OWASP Testing Guide Project (テストガイド)

OWASPの活動に情報を提供する企業・プロジェクト

安全なソフトウェアを教育に活かす大学・研究機関 日本でもソフトウェア・セキュリティを学べる機会を増やす必要がある

OWASP  Japanの活動 “強くしなやかなインターネット社会の構築の担い手がもっと必要です。” 構築、レビュー、運営、ガバナンスの視点で、オープンなセキュリティ技術の啓蒙と知見のグローバルな共有を促進するため、2011年にOWASP Japanが発足。 2012年以降、3ヶ月に一度の定期的なミーティングやイベントの参画により、2013年11月までに、のべ2,000名もの人材が参加し、開発者、研究者、企業の情報ガバナンス担当者、マーケティング関係者などウェブ

に関係する幅広い人々がいます。 国内外からこぞって講師が来日し、ボランタリで参加しています。また、ご賛同いただける企業から会場提供等のご支援を頂いています。

“OWASP Night” Meeting

OWASP Japan Local Chapter

OWASP Japan Local Chapter Meetings 2012

1st

3rd

2nd

4th

Year End Party

Consistent meeting attendance since 1st year of activities…

OWASP Nights (Japan Local Chapter Meetings) 2013

6th 5th

7th

8th

OWASP Japan Speakers

24

2014/3/17-20, 国際カンファレンスを 東京にて開催。

http://appsecapac/2014/

自律・分散・協調システムが求める３つのコンセプト

 オープン

リスク

バーチャル