Soumettre la recherche
Mettre en ligne
Owasp evening : Privacy x Design with OWASP
•
1 j'aime
•
552 vues
Riotaro OKADA
Suivre
Privacy x Design with OWASP
Lire moins
Lire la suite
Technologie
Signaler
Partager
Signaler
Partager
1 sur 28
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
Recommandé
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
MinoDriven
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例
Elasticsearch
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
TokujiAkamine
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
CODE BLUE
IoTの魅力
IoTの魅力
Eiji Yokota
OWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろう
Yuichi Hattori
Contenu connexe
Tendances
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
MinoDriven
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例
Elasticsearch
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
Tendances
(18)
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
クラウドワークス プロダクトの持続的開発のためのリファクタリング実践アプローチ
Owasp Project を使ってみた
Owasp Project を使ってみた
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
Similaire à Owasp evening : Privacy x Design with OWASP
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
TokujiAkamine
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
CODE BLUE
IoTの魅力
IoTの魅力
Eiji Yokota
OWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろう
Yuichi Hattori
オープンクラウドカンファレンス2017 | クラウドネイティブなIoT通信プラットフォームと その活用事例
オープンクラウドカンファレンス2017 | クラウドネイティブなIoT通信プラットフォームと その活用事例
SORACOM,INC
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
NISSHO USA
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
オラクルエンジニア通信
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
VirtualTech Japan Inc.
AWSによるサーバーレスアーキテクチャ
AWSによるサーバーレスアーキテクチャ
真吾 吉田
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
Yasuo Ohgaki
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...
Google Cloud Platform - Japan
クロスプラットフォーム開発を可能にするMonaca
クロスプラットフォーム開発を可能にするMonaca
Monaca
W3C Recent Activities 2014 Q4 : W3C最新活動 2014 Q4
W3C Recent Activities 2014 Q4 : W3C最新活動 2014 Q4
W3C
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
NetApp Japan
04 citynet awsセミナー_クラウドでビックデータのスモールスタート
04 citynet awsセミナー_クラウドでビックデータのスモールスタート
充博 大崎
クラウドでビックデータのスモールスタート
クラウドでビックデータのスモールスタート
Yukihito Kataoka
IoTタグで遊んでみよう
IoTタグで遊んでみよう
Yukimitsu Izawa
SORACOM Technology Camp 2018 ベーシックトラック3 | 今日から始めるセンサーデータの可視化
SORACOM Technology Camp 2018 ベーシックトラック3 | 今日から始めるセンサーデータの可視化
SORACOM,INC
webエンジニアがIoTにハマるわけ
webエンジニアがIoTにハマるわけ
Eiji Yokota
【Interop tokyo 2014】 Internet of Everything / SDN と シスコ技術者認定
【Interop tokyo 2014】 Internet of Everything / SDN と シスコ技術者認定
シスコシステムズ合同会社
Similaire à Owasp evening : Privacy x Design with OWASP
(20)
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
IoTの魅力
IoTの魅力
OWASPのドキュメントやツールを知ろう
OWASPのドキュメントやツールを知ろう
オープンクラウドカンファレンス2017 | クラウドネイティブなIoT通信プラットフォームと その活用事例
オープンクラウドカンファレンス2017 | クラウドネイティブなIoT通信プラットフォームと その活用事例
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
AWSによるサーバーレスアーキテクチャ
AWSによるサーバーレスアーキテクチャ
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...
クロスプラットフォーム開発を可能にするMonaca
クロスプラットフォーム開発を可能にするMonaca
W3C Recent Activities 2014 Q4 : W3C最新活動 2014 Q4
W3C Recent Activities 2014 Q4 : W3C最新活動 2014 Q4
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
04 citynet awsセミナー_クラウドでビックデータのスモールスタート
04 citynet awsセミナー_クラウドでビックデータのスモールスタート
クラウドでビックデータのスモールスタート
クラウドでビックデータのスモールスタート
IoTタグで遊んでみよう
IoTタグで遊んでみよう
SORACOM Technology Camp 2018 ベーシックトラック3 | 今日から始めるセンサーデータの可視化
SORACOM Technology Camp 2018 ベーシックトラック3 | 今日から始めるセンサーデータの可視化
webエンジニアがIoTにハマるわけ
webエンジニアがIoTにハマるわけ
【Interop tokyo 2014】 Internet of Everything / SDN と シスコ技術者認定
【Interop tokyo 2014】 Internet of Everything / SDN と シスコ技術者認定
Plus de Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Riotaro OKADA
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
もしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたなら
Riotaro OKADA
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
Riotaro OKADA
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
Riotaro OKADA
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Riotaro OKADA
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
Riotaro OKADA
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Riotaro OKADA
Security issue201312
Security issue201312
Riotaro OKADA
iSPP 仙台シンポジウム
iSPP 仙台シンポジウム
Riotaro OKADA
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYO
Riotaro OKADA
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickup
Riotaro OKADA
Plus de Riotaro OKADA
(12)
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
もしあなたが「何歳まで生きたい?」と聞かれたなら
もしあなたが「何歳まで生きたい?」と聞かれたなら
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Security issue201312
Security issue201312
iSPP 仙台シンポジウム
iSPP 仙台シンポジウム
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYO
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickup
Dernier
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
sugiuralab
Dernier
(9)
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
Owasp evening : Privacy x Design with OWASP
1.
Privacy by Design
x OWASP 岡田 良太郎 OWASP Japan riotaro@owasp.org 株式会社アスタリスク・リサーチ
2.
privacy issue (c) Riotaro
OKADA 5
3.
ここ最近のアプリケーション セキュリティ関連ニュース • チケット販売サイト「Pea$x」利⽤者リスト ネットで取り引き(2020/11/20) NHK •
総連HPにウイルス疑い 警視庁、韓国籍の元学⽣書類送検(2020/12/16)⽇経 • EXILEサイトで流出か、4万件以上のカード情報(2020/12/8)⽇経 • 「PayPay」不正アクセス受ける 最⼤2007万件余の可能性(2020/12/7)NHK • 福島医⼤病院でランサム被害 17年夏、公表せず(2020/12/2)⽇経 • クレカ番号など漏洩か フリー、設定ミスで2898件(2021/2/10)⽇経 • NTTデータも被害、広がるGitHub上のコード流出問題(2021/2/1)⽇経❗ • コード⼀部流出、情報漏洩はなし 三井住友銀(2021/1/30)⽇経❗ • サーバーが不正アクセス被害|共英製鋼株式会社(2021/2/19)CyberSecurity.com • 男性向けファッション通販サイトに不正アクセス(2021/2/18)Security NEXT • 新潟市と飯⽥市の緊急通報システム「Net119」へ不正アクセス、登録者情報が参照 された可能性(2021/2/18)ScanNetSecurity • マイナビ転職で不正ログインでウェブ履歴書約21万件流出の可能性(2021/2/18) CyberSecurity.com • サーバに不正アクセス、原因や影響を調査 - 伯東株式会社(2021/2/17)Security NEXT • ⻄条市の健診予約システムが不正アクセスでサービス⼀時閉鎖へ(2021/2/16) CyberSecurity.com • 2市の健診サイトに不正アクセス 個⼈情報流失か 奈良(2021/2/12)朝⽇新聞 • 「サイバーパンク2077」開発元にサイバー攻撃 データ奪われ脅迫される (2021/2/12)ITMedia • バンダイグループお客様相談センターに不正アクセス、クラウド型営業管理システ ムのセキュリティ設定不備を突く(2021/2/1)ScanNetSecurity (c) Riotaro OKADA 6 • アプリケーション脆弱性 • 実装ミス・設計ミス • コンポーネントの脆弱性 • クラウドサービス側の問題 • クラウド設定のミス • 意図的なバックドア
4.
例:「カード情報漏洩事件が起きて えらい問題になった」 ⼤命令: 「システム状況と原因を調べよ!」 • 原因1:よく調べたらクラウドのDB機能の管理機能がざるだった →
アクセス制限を強化する仕組みの設計 • 原因2:よく調べたら脆弱性検査でわんさとXSSやSQLiが出た → 実装担当のやりかたを⾒直す必要 • 原因3:よく調べたら、実装担当にコードレビューの仕組みがない • 原因4:さらによく調べたら、チーム全体にセキュリティ情報が不⾜ • 原因5:エンジニアスキルの確保⽅策は脆弱だった
5.
コンプライアンス
6.
プライバシを強化したシステムって? • 機能⾯の要求 • Privacy
by Default か • 詳細な認可機能の必要? • 実装⾯の要求 • 脆弱性の影響をうけないこと • データアクセスの安全 • 運⽤管理⾯の要求 • ユーザの許諾範囲の遵守 • インシデント発⽣時の対応 • 管理⾯の要求 • 誰がどのように管理するか • 他サービスとのデータ連携…
7.
IdP 認証基盤 ・・・・ Mobile App Browser ・・・・ イネーブラ: SaaS, IaaS x
IdP, API, WebHook… MicroService x DX時代 メール配信 サービス ストレージ サービス No code/Low code サービス 決済代行 サービス SaaS オンライン会議 サービス コミュニケーション チャットサービス WebHook App+API センサー UI 重大な脆弱性? 攻撃面? 狙いは? An
8.
Who can help? (c)
Riotaro OKADA 11
9.
The OWASP Foundation https://owasp.org/ “OWASP
Foundation is the source for developers and technologists to secure the web.” 「OWASP Foundationは、開発者と技術者が ウェブを安全にするための情報源である」
10.
13 OWASP
11.
各段階における実践と連携のプラクティス OWASP SAMM 2.0 Governance ガバナンス Design 設計 Implementation 実装 Verification 検証 Operations 運⽤ Strategy
and Metrics 戦略と指標 Threat Assessment 脅威評価 Secure Build セキュアな構築 Architecture Assessment アーキテクチャ評価 Incident Management インシデント管理 Policy and Compliance ポリシーとコンプライ アンス Security Requirements セキュリティ要件 Secure Deployment セキュアなデプロイ Requirements-driven Testing 要件駆動型のテスト Environment Management 稼働環境の管理 Education and Guidance 教育と指導 Security Architecture セキュリティアーキテ クチャ Defect Management 不具合管理 Security Testing セキュリティテスト Operational Management 運⽤管理
12.
OWASP Projects OWASP プロジェクトは、オープン ソースであり、ボランティアのコ ミュニティ、つまりあなたのよう な⼈々によって構築さ れていま す。 現在、
212の活動中のプロジェク トがあり、300ほどのチャプター があります。 誰が OWASP プロジェクトを始めるべきか? • アプリケーション開発者 • ソフトウェア・アーキテクト • 情報セキュリティの⽴案者 • アイデアを開発したりテストしたりするために、世界的な 専⾨家コミュニティの⽀援を受けたい⼈。
13.
OWASP Projects -
Flagship • OWASP Amass • OWASP Application Security Verificationa Standard • OWASP Cheat Sheet Series • CSRFGuard • OWASP Defectdojo • OWASP Dependency-Check • OWASP Dependency-Track • OWASP Juice Shop • OWASP Mobile Security Testing Guide • OWASP ModSecurity Core Rule Set • OWASP OWTF • OWASP SAMM • OWASP Security Knowledge Framework • OWASP Security Shepherd • OWASP Top Ten • OWASP Web Security Testing Guide • OWASP ZAP
14.
OWASP Projects -
Labs • OWASP AntiSamy • OWASP API Security Project • OWASP Attack Surface Detector • OWASP Automated Threats to Web Applications • OWASP Benchmark • OWASP Code Pulse • OWASP Cornucopia • OWASP Enterprise Security API (ESAPI) • OWASP Find Security Bugs • OWASP Internet of Things • OWASP Java HTML Sanitizer • OWASP mobile security • OWASP Mobile Top 10 • OWASP Proactive Controls • OWASP Secure Coding Dojo • OWASP Security Pins • OWASP Snakes And Ladders • OWASP Top 10 Privacy Risks • OWASP TorBot • OWASP Vulnerable Web Applications Directory • OWASP WebGoat
15.
OWASP Projects- Labs •
OWASP .Net • OWASP Android Security Inspector Toolkit • OWASP APICheck • OWASP Application Gateway • OWASP Appsec Pipeline • OWASP Big Data Security Verification Standard • OWASP Bug Logging Tool • OWASP Cloud-Native Security Project • OWASP Core Business Application Security • OWASP CSRFProtector Project • OWASP Cyber Controls Matrix (OCCM) • OWASP Cyber Defense Framework • OWASP Cyber Defense Matrix • OWASP Cyber Scavenger Hunt • OWASP D4N155 • OWASP Devsecops Maturity Model • OWASP Patton • OWASP purpleteam • OWASP Pygoat • OWASP pytm • OWASP Risk Assessment Framework • OWASP SamuraiWTF • OWASP Sectudo • OWASP Secure Headers Project • OWASP Secure Logging Benchmark • OWASP secureCodeBox • OWASP SecureFlag Open Platform • OWASP SecureTea Project • OWASP Security Qualitative Metrics • OWASP SecurityRAT • OWASP Serverless Top 10 • OWASP SideKEK • OWASP DevSlop • OWASP Docker Top 10 • OWASP DPD (DDOS Prevention using DPI) • OWASP Go Secure Coding Practices Guide • OWASP Honeypot • OWASP Information Security Metrics Bank • OWASP Integration Standards • OWASP Maryam • OWASP Mobile Audit • OWASP Nettacker • OWASP Node.js Goat • OWASP O-Saft • OWASP Ontology Driven Threat Modeling Framework • OWASP Software Component Verification Standard • OWASP Single Sign-On • OWASP Threat and Safeguard Matrix (TaSM) • OWASP Threat Dragon • OWASP Threat Model Cookbook • OWASP TimeGap Theory • OWASP Top 10 Card Game • OWASP Top 10 Client-Side Security Risks • OWASP Vulnerability Management Guide • OWASP VulnerableApp • OWASP Web Application Firewall Evaluation Criteria Project (WAFEC) • OWASP Web Mapper • OWASP Web Testing Environment
16.
privacy by design w/
OWASP? (c) Riotaro OKADA 20
17.
18.
OWASP User Privacy
Protection Cheat Sheet ユーザープライバシー保護に関するチートシート • 強⼒な暗号化 Strong Cryptography • ストレージ、認証、通信路、プロトコル 、認証 • パニックモードの設置 Panic Mode • アクセス制限/セッション期限 Remote Session Invalidation • 匿名ネットワーク対応 Allow Connections from Anonymity Networks • IPアドレス漏洩を防ぐ Prevent IP Address Leakage • ユーザに対する誠実さと透明性:Honesty & Transparency https://cheatsheetseries.owasp.org/cheatsheets/User_Privacy_Protection_Cheat_Sheet.html
19.
OWASP Privacy Risk
Top 10 Project No Title Frequency Impact Risk Ranking 2014 P1 Web Application Vulnerabilities 2 2.8 5.60 1 P2 Operator-sided Data Leakage 1.92 2.8 5.38 2 P3 Insufficient Data Breach Response 2.24 2.4 5.38 3 P4 Consent on Everything / Problems with getting Consent 2.37 2 4.74 New / 17 P5 Non-transparent Policies, Agreements, Terms and Conditions 2.32 2 4.64 5 P6 Insufficient Deletion of User Data 2.27 2 4.54 4 P7 Insufficient Data Quality 1.89 2.4 4.54 New P8 Missing or Insufficient Session Expiration 1.88 2.4 4.51 9 P9 Inability of users to access and modify data 2.02 2.2 4.44 13 2021(beta2) https://owasp.org/www-project-top-10-privacy-risks/
20.
OWASP Privacy Risks
Top 10 (1/2) # タイトル 頻度 影響 説明 P1 Webアプリケーションの 脆弱性 ⾼い ⾮常に⾼い 脆弱性は、機密性の⾼い個⼈データを保護または操作する上でシステムの重⼤ な問題です。アプリケーションの適切な設計と実装、問題の検出、または修正 (パッチ)の迅速な適⽤を怠ると、プライバシーが侵害される可能性がありま す。このリスクには、Webアプリケーションの脆弱性のOWASPトップ10リス トとそれらに起因するリスクも含まれます。 P2 オペレーター側の データ漏えい ⾼い ⾮常に⾼い 個⼈データを含むまたは個⼈データに関連する情報が許可されていない第三者 に漏洩し、データの機密性が失われます。意図的な悪意のある違反または意図 しないミスのいずれかが原因で引き起こされました。たとえば、不⼗分なアク セス管理制御、安全でないストレージ、データの重複、または認識の⽋如が原 因です。 P3 不⼗分なデータ侵害対応 ⾼い ⾮常に⾼い 意図的または意図的でないイベントのいずれかが原因で発⽣する侵害または データ漏洩について、影響を受ける⼈(データ主体)に通知しないこと。原因 を修正することによって状況を改善することに失敗すること。漏洩を制限する ことを怠ることです。 P4 すべてに同意する ⾮常に⾼い ⾼い 処理を正当化するための同意を集約する、または同意を不適切に使⽤すること です。同意の対象は「すべて」であり、⽬的ごとに収集していません(たとえ ば、Webサイトの使⽤や広告のプロファイリング)。 P5 不透明なポリシー、 利⽤規約 ⾮常に⾼い ⾼い データの収集、保存、処理など、データの処理⽅法を説明するための⼗分な情 報が提供されていません。例えば弁護⼠以外の⼈でも簡単に理解できるように しなければなりません。 https://owasp.org/www-project-top-10-privacy-risks/
21.
OWASP Privacy Risks
Top 10 (2/2) # タイトル 頻度 影響 説明 P6 個⼈データの削除が不⼗分 ⾼い ⾼い 指定された⽬的の終了後または要求に応じて、個⼈データを効果的および/ま たはタイムリーに削除しないことです。 P7 不⼗分なデータ品質 中 ⾮常に⾼い 古い、正しくない、または偽の個⼈データを使⽤すること、または、データの 更新または修正の誤りがあることです。 P8 セッションの有効期限が ないか不⼗分 中 ⾮常に⾼い セッションの終了が確実ではないことによって、ユーザーの同意または認識な しに、追加の個⼈データが収集される可能性があります。 P9 ユーザーがデータに アクセスして変更できない ⾼い ⾼い ユーザーが⾃分に関連するデータにアクセス、変更、または削除することがで きません。 P1 0 ユーザーの同意を得た ⽬的と異なるデータの収集 ⾼い ⾼い システムの⽬的に関係のない、分析データ、統計データ、またはその他の個⼈ の関連データの収集することや、ユーザーが同意しなかったデータを収集する ことです。 https://owasp.org/www-project-top-10-privacy-risks/
22.
Q. アプリケーション構築フローのどこを強化したら、 プライバシーを守れるシステムになるんだろうか。 企画 • ビジネス⽬標 •
問題解決 • コンプライアンス 要件 • リスクプロファイル • 脅威トレンド • 運⽤課題 設計 • 機能・⾮機能要件 • 脅威対応機能 開発 • 実装⽅針 • コンポーネント • 権限マトリックス 検証 • コード検証 • ビルド検証 • セキュリティ検証 運⽤ • デプロイ設定 • 基盤の設定 • アラート対応 © Asterisk Research, Inc. 26
23.
プライバシー要件 • コンプライアンス • 実現機能 •
データ保管場所 • 管理体制 • 既存システムの課題 → Δ(デルタ) SLO⽬標 要件 設計 実装 検証 リリース
24.
プライバシー設計 • 認証認可/信頼メカニズム • データ保護/管理メカニズム •
連携サービス/外部コンポーネント • アクター・ロール • 運⽤・監視・保護の仕組み 要件 設計 実装 検証 リリース
25.
プライバシー開発実装 • データと制御の分離 • 認証なしの認可の禁⽌ •
暗号化の正しい実装 • コードのレビュー・検証・保護 • OSSなどサードパーティのリスク • 連携サービスのリスク 要件 設計 実装 検証 リリース
26.
プライバシー運用 • インフラ・クラウド設定 • 管理機構の稼働 •
データストレージの監視 • 認証認可の監視 • エラーログの監視と分析 → 次の設 計 • 管理者監視/SRE作業と記録 • モニタリングと分析 → 次の要件 要件 設計 実装 検証 リリース 要件 設計 実装 検証 リリース
27.
まとめ - Next
Action • プライバシーに関する社会の要請について、エンジニアの理解の解像 度を上げる必要がある。 • 個々のシステムへのプライバシーリスクを分解し、対策・対応を実現 する⼿⽴てについて理解する必要がある。 • 阻害要因として存在する「分断」を解消する必要がある。 • デマンドとサプライ、要件と設計、運⽤と実装、セキュリティと開発、 • セキュリティ設計や検証の主要な役割期待にインパクトがある。
28.
Thanks riotaro@owasp.org (c) Riotaro OKADA
32
Télécharger maintenant