Embed Size (px)
Citation preview
Developer summit 2015 Panel discussion
災害xクラウド
Riotaro OKADA Asterisk Research, Inc.
岡田良太郎
• 神戸出身 – 1995年1月17日5時46分
• Linuxカーネルコンパイル中でした
• ソフトウェア開発やってきました – Fortran, Pascal, C, Cobol, C++, Lisp, Tcl/Tk, Java, JavaScript, Visual Basic(ASP), JavaScript, Python, PHP, Ruby, Python, Java(再), SwiU <-‐いまここ
– OWASP Japan Chapter Leader • 翻訳などこまごましたこともやっています。
仕事
• TechStyle Co. since 2002 – 有限会社テューンビズからはじめ、いろんな技術者と仕事してきました
– PDF関連エンジン PDFlib • 長いことやってていろいろ勉強になります
• Asterisk Research, Inc. since 2006 – パートタイムCTOとかでDevOps 支援 – セキュリティ・トレーニング 日本とかマレーシアとか – 使えるツールを売っています
• ディベロッパーの「スペルチェッカー」 Eclipse/Visual Studio用コードスキャナ Cigital Secureassist ← いまここ
• 動作しているサーバの内側から動的解析 Contrast ← これもやる
ぜひご一緒に -‐> [email protected]
• IPA 非常勤研究員 (2006-‐2013) – 国際標準推進センター
• 2011より被災地をまわったりしつつ 災害対応プロジェクトチーム担当 2011
コミュニティ コンテキスト
• オープンソースコミュニティ • 古くは日本Linux協会とか日本
PHPユーザ会とか
• WASForum Hardening Project – ECサイト堅牢化競技会
8耐レース
• ニコニコ学会β – めっちゃ面白いです。
• OWASP Japan Chapter Leader – オーガナイザー – 翻訳などこまごましたことも
やっています。
• 「ITx災害」会議、 減災ソフトウェア会議 – ファシリテータ
こんなの担当しました
自治体調査でヒアリングもしました
オワスプやってます
3000 people / 2 years attended OWASP Night Interest in Security in Japan is increasing greatly
©2015 Asterisk Research, Inc. 9
OWASP TOP 10 Most Critical Risks
OWASP Top 10 リスク https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
A1 Injection A2 Broken Authentication and Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards
©2015 Asterisk Research, Inc. 10
OWASP TOP 10 Proactive Control
OWASP Top 10 事前にできる10のキホン対策 1: Parameterize Queries 2: Encode Data 3: Validate All Inputs 4: Implement Appropriate Access Controls 5: Establish Idenety and Authenecaeon Controls 6: Protect Data and Privacy 7: Implement Logging, Error Handling and Intrusion Deteceon 8: Leverage Security Features of Frameworks and Security Libraries 9: Include Security-‐Specific Requirements 10: Design and Architect Security In
©2015 Asterisk Research, Inc. 11
開発者に関して岡田良太郎 の目的だと思われるもの
Empower Professionals
「考える人、作る人、動かす人の 連携による価値の最大化」
3.12 10:08PM
3.13 2:29PM
3.13 4:26PM
3.13 4:32PM
BCP=resilienceの向上
ダメージ
復旧時間 平時(100%)
有事
72時間? 死の72時間か 黄金の72時間
震災後復旧、復興活動を行ったITコミュニティ活動に対する調査 震災後稼働した約250の支援サイトの調査 (2012/6〜7)
70%が「とにかく早く公開」
プラットフォーム選択の状況
災害xクラウド
「クラウド技術として利用した」 25%、 技術部品として「貢献した」は 17.7%だった。 • 提供はありがたく、使いはじめやすい
– ミラーサイト、変更先サーバ等 – 「クラウドを利用することで、無停止で多数のアクセスを捌いた。」 – 「初めて知った場合に仲間と協力してスキルアップ」
• 課題
– 使い方。 • リスタートしたらデータがとんだ(※ 仕様) • 構築にも活用にもネット環境が必須なのに、回線が不安定(※ 環境)
– 撤収・移行方法
ITでの災害対応のKSF • 技術
– 使い慣れた技術 – 早く作り上げられる技術
• 情報源となるデータ – 活用可能であること – “そこそこ”信頼できること – 時系列で更新されること
• プラットフォーム – ごく少人数で取り扱い可能 – コラボレーションしやすい – コスト (自己負担が多い)
• チーム – すでに知り合い – 技術者100%〜50% – Issue 共有のうまさ – スキルばらつきは課題
• アプリケーション構築 – 状況の変化のインプット – 利用者負担が低い
• 入れっぱなしでもいけるなど
– 目的特化型
BCP コンセプトの進化
逐次対応 Adhoc Response
神ワザ・人海戦術 “Act of God”
軽減/備え Mitigation Preparedness 堅牢性 “Robustness”
冗長性“Redundancy”
有事に強い Disaster Resilience
臨機性 “Resourcefulness”
敏捷性 “Rapidity”
19xx’s 2000’s 2010’s
リジリエント・デザインを実装する 3つの戦略
自律 分散 協調
参考:支援サイト運営課題ベスト15
参考:自治体調査2012の時点まとめ
• ITガバナンス:ベンダーまかせかベンダーロックインからの解放か – CIO形骸化、職員スキル不足、業務理解不足に関する問題は根が深い – DMMなど業務分析ツールが打開策を持っている例がまたもや – オープンな標準の採用によるロックイン解放への動きは拡大
• パッケージ、「クラウド」はコスト軽減とBCPのキラーソリューションか? まだまだそう認識されてはいない – サービス調達がもたらす新たな「ベンダーロックイン」 – システム間連携、拠点間連携のデータ整合性の問題 – 情報の置き場所に関する方針の問題 – 業務の実装、レスポンスタイム、ネットワークコストの問題などアーキテク
チャーとコストの問題でもまだまだ選択の余地がある状態とは言えない
28
参考:自治体調査2012の時点まとめ
• 欲しいものは、情報、人材育成の道筋 – 人材育成はしたいけれど方向性が見定まらない傾向 – 他の自治体での実装例、アプローチの情報が欲しい – データ標準、文字情報基盤への期待
• 震災の経験から – 「業務のためのシステムのイニシアチブを自治体から外に任せては
いけない」 – 応援部隊を含めたチームワークと意志決定の実行 – すぐに使える被災対応システムのあり方への期待
29
![DevSumi 2014[14-C-5]](https://img.pdfslide.tips/doc/110x75/54b4bebb4a79596f718b4631/devsumi-201414-c-5.jpg)
