Upload
riotaro-okada
View
547
Download
4
Embed Size (px)
Citation preview
岡田良太郎
• 神戸出身 – 1995年1月17日5時46分
• Linuxカーネルコンパイル中でした
• ソフトウェア開発やってきました – Fortran, Pascal, C, Cobol, C++, Lisp, Tcl/Tk, Java, JavaScript, Visual Basic(ASP), JavaScript, Python, PHP, Ruby, Python, Java(再), SwiU <-‐いまここ
– OWASP Japan Chapter Leader • 翻訳などこまごましたこともやっています。
仕事
• TechStyle Co. since 2002 – 有限会社テューンビズからはじめ、いろんな技術者と仕事してきました
– PDF関連エンジン PDFlib • 長いことやってていろいろ勉強になります
• Asterisk Research, Inc. since 2006 – パートタイムCTOとかでDevOps 支援 – セキュリティ・トレーニング 日本とかマレーシアとか – 使えるツールを売っています
• ディベロッパーの「スペルチェッカー」 Eclipse/Visual Studio用コードスキャナ Cigital Secureassist ← いまここ
• 動作しているサーバの内側から動的解析 Contrast ← これもやる
ぜひご一緒に -‐> [email protected]
コミュニティ コンテキスト
• オープンソースコミュニティ • 古くは日本Linux協会とか日本
PHPユーザ会とか
• WASForum Hardening Project – ECサイト堅牢化競技会
8耐レース
• ニコニコ学会β – めっちゃ面白いです。
• OWASP Japan Chapter Leader – オーガナイザー – 翻訳などこまごましたことも
やっています。
• 「ITx災害」会議、 減災ソフトウェア会議 – ファシリテータ
3000 people / 2 years attended OWASP Night Interest in Security in Japan is increasing greatly
©2015 Asterisk Research, Inc. 9
OWASP TOP 10 Most Critical Risks
OWASP Top 10 リスク https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
A1 Injection A2 Broken Authentication and Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards
©2015 Asterisk Research, Inc. 10
OWASP TOP 10 Proactive Control
OWASP Top 10 事前にできる10のキホン対策 1: Parameterize Queries 2: Encode Data 3: Validate All Inputs 4: Implement Appropriate Access Controls 5: Establish Idenety and Authenecaeon Controls 6: Protect Data and Privacy 7: Implement Logging, Error Handling and Intrusion Deteceon 8: Leverage Security Features of Frameworks and Security Libraries 9: Include Security-‐Specific Requirements 10: Design and Architect Security In
©2015 Asterisk Research, Inc. 11
災害xクラウド
「クラウド技術として利用した」 25%、 技術部品として「貢献した」は 17.7%だった。 • 提供はありがたく、使いはじめやすい
– ミラーサイト、変更先サーバ等 – 「クラウドを利用することで、無停止で多数のアクセスを捌いた。」 – 「初めて知った場合に仲間と協力してスキルアップ」
• 課題
– 使い方。 • リスタートしたらデータがとんだ(※ 仕様) • 構築にも活用にもネット環境が必須なのに、回線が不安定(※ 環境)
– 撤収・移行方法
ITでの災害対応のKSF • 技術
– 使い慣れた技術 – 早く作り上げられる技術
• 情報源となるデータ – 活用可能であること – “そこそこ”信頼できること – 時系列で更新されること
• プラットフォーム – ごく少人数で取り扱い可能 – コラボレーションしやすい – コスト (自己負担が多い)
• チーム – すでに知り合い – 技術者100%〜50% – Issue 共有のうまさ – スキルばらつきは課題
• アプリケーション構築 – 状況の変化のインプット – 利用者負担が低い
• 入れっぱなしでもいけるなど
– 目的特化型
BCP コンセプトの進化
逐次対応 Adhoc Response
神ワザ・人海戦術 “Act of God”
軽減/備え Mitigation Preparedness 堅牢性 “Robustness”
冗長性“Redundancy”
有事に強い Disaster Resilience
臨機性 “Resourcefulness”
敏捷性 “Rapidity”
19xx’s 2000’s 2010’s
参考:自治体調査2012の時点まとめ
• ITガバナンス:ベンダーまかせかベンダーロックインからの解放か – CIO形骸化、職員スキル不足、業務理解不足に関する問題は根が深い – DMMなど業務分析ツールが打開策を持っている例がまたもや – オープンな標準の採用によるロックイン解放への動きは拡大
• パッケージ、「クラウド」はコスト軽減とBCPのキラーソリューションか? まだまだそう認識されてはいない – サービス調達がもたらす新たな「ベンダーロックイン」 – システム間連携、拠点間連携のデータ整合性の問題 – 情報の置き場所に関する方針の問題 – 業務の実装、レスポンスタイム、ネットワークコストの問題などアーキテク
チャーとコストの問題でもまだまだ選択の余地がある状態とは言えない
28