SlideShare a Scribd company logo

シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~

Riotaro OKADA
Riotaro OKADA

"Shift Left" - the security vision that supports executive decision making 2018/3/9、Security Days 2018 Springでの講演資料です。 https://reg.f2ff.jp/public/session/view/5959

Leadership & Management
1 of 37
Enabling Security with "シフトレフト"© Asterisk Research, Inc.1 https://www.nisc.go.jp/security-site/month/h29/column/20180307.html
岡田良太郎 アスタリスク・リサーチ 代表取締役 シフトレフト エヴァンジェリスト OWASP JAPAN 代表 @okdt
OWASP
Enabling Security with "シフトレフト"© Asterisk Research, Inc.4
CSIRT数は増加 http://itpro.nikkeibp.co.jp/atclact/active/16/092700102/092700001/ 2017年、243
Security is…? 6 Enabling Security with "シフトレフト"© Asterisk Research, Inc. https://www.itoen.co.jp/news/detail/id=23284
Enabling Security©Asterisk Research, Inc.7http://www.lefigaro.fr/secteur/high-tech/2017/01/30/32001-20170130ARTFIG00169-un-virus-informatique-paralyse-un-hotel-de-luxe-en-autriche.php
Security is 8 Enabling Security with "シフトレフト"© Asterisk Research, Inc. Fairy Tales for children - Three Little Pigs and the Big Bad Wolf https://www.youtube.com/watch?v=WWFYuPkQHY4
拡大
アプリケーション プレゼンテーション セッション トランスポート ネットワーク データリンク 物理層
アプリ バックエンド Web service Apple / Google / Amazon
ソフトウェア ソフトウェア ソフトウェア ソフトウェア ソフトウェア ソフトウェア ソフトウェア
問題はどこで起きているのか
ソフトウェア
サイバー攻撃の本当の動向 Enabling Security with "シフトレフト"© Asterisk Research, Inc.16 スナイパー + 絨毯爆撃 業界・関連企業・企業団体 地域・類似システム・ユーザデータ
ENISA脅威トレンド Top15 (2018/1発表) 1. マルウェア 2. ウェブブラウザベースの攻撃 3. ウェブアプリケーションへの攻撃 4. フィッシング 5. スパム 6. DoS 7. ランサムウェア 8. ボットネット 9. 内部脅威 10. 物理的な操作/損害/盗難/紛失 11. データ漏洩 12. Id盗難 13. 情報漏洩 14. エクスプロイトキット 15. サイバースパイ
マッチ? ミスマッチ? 18 Enabling Security with "シフトレフト"© Asterisk Research, Inc. 出典:NIST, Gartner, OWASP vs 8% 脆弱性の発生箇所 アプリケーション層 92% 10% セキュリティ投資の割合 プラットフォームに対する支出 90%
1425% 19 Enabling Security with "シフトレフト"© Asterisk Research, Inc.
攻撃の サプライチェーン 20 Enabling Security with "シフトレフト"© Asterisk Research, Inc.
攻撃側のサプライチェーン 対象の発見 エンドユーザー 攻撃ツール エンドユーザー エンドユーザー ハッキングサービス/ハッカー 情報ブローカー 国家 組織 弱者情報 21
DDoS as a service vDOSでは攻撃の持続時間に応じて 月額20~200ドルのパッケージサービスを提供。 サイバー犯罪フォーラムでは… 「反応が早くて親切な顧客サービス」 http://www.itmedia.co.jp/enterprise/articles/1609/13/news056.html 22 Enabling Security with "シフトレフト"© Asterisk Research, Inc.
従来型の侵入攻撃 × 企業内 攻撃者 いまや、外から内側にアクセスできない。 23 従来の攻撃 Enabling Security with "シフトレフト"© Asterisk Research, Inc.
メール・ブラウザによるアクセス誘発 企業内攻撃者 内側から外にアクセスしてきたところを待ち受ける ○ 24 添付なしメール 組織の メール Enabling Security with "シフトレフト"© Asterisk Research, Inc. メール、ブラウザで感染 “水飲み場” RAT ○ ○ http://いつものサイト.com/ 「しめしめ」 RAT 開封 許可されている
あやしいメールは、どれほど見分けられるのか 明らかにプロフェッショナル、経営者を狙うもの 「ICT-ISACの名前を騙り、「マルウェアに感染しているの で、除去ツールをダウンロードし、マルウェアを除去するよ う促すメール」が配信されている」 他にも通常のメールが続々 • クレジットカードの利用速報(楽天、SMBC) • 宅配便の配達予定通知 (ヤマト) • 注文書、請求書の差し替え (JALで被害) • 就職応募、訃報 誘導方式 • 従来手法:添付ファイル:ZIP、JavaScript • 最近増加:リンク 25 Enabling Security with "シフトレフト"© Asterisk Research, Inc.
防御施策として 何を守れば良いのかを間違えてはいけない 攻撃の着弾点となる の保護 被害拡大の要因となる の保護 資産として を保護 Enabling Security with "シフトレフト"© Asterisk Research, Inc.26
Security is •事前対策、リスクを下げる •脆弱性対策 •ヒヤリハットレベルから •迅速かつ的確なレスポンス •リスク高い業務プロセス •被害時の影響・コスト •データ・システム棚卸し •脅威シナリオ •業界の視点 脅威 情報 リスク 把握 影響 軽減 被害 対応 Enabling Security with "シフトレフト"© Asterisk Research, Inc.27
Security is Enabling Security with "シフトレフト"© Asterisk Research, Inc.28
98% or 68% Enabling Security©Asterisk Research, Inc.29
Enabling Security©Asterisk Research, Inc.30 青森県の平均寿命は、男女ともに全国最下位です がんによる死亡率が高いことが、平均寿命に大きく 影響しています。 http://gan-info.pref.aomori.jp/public/index.php/ct05/a51.html
改 善 率 → 死亡率→
Enabling Security©Asterisk Research, Inc.32 ・向き合うキャンペーン ・がん検診 ・がん登録 ・がん対策推進企業連携 協定の締結企業 ・診療連携
1. 攻撃コストを上げる
2. 論理的境界線
3. セキュリティは全員参加
3/13 セキュリティブリーフィング https://www.asteriskresearch.com/
安全なネット社会のため お力をお貸しください。 Enabling Security with "シフトレフト"© Asterisk Research, Inc.37 アスタリスク・リサーチ

Recommended

The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftRiotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 

Recommended

The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftRiotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021Riotaro OKADA
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -Cybozucommunity
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略Riotaro OKADA
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスクRiotaro OKADA
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other MeasuresTyphon 666
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-Typhon 666
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについてTyphon 666
 
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkHiroaki Kuramochi
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...Typhon 666
 
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...Typhon 666
 
Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例 Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例 Elasticsearch
 
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for BeginersTyphon 666
 
OSC2016.Enterprise OpenStack & Cloud Native Applications
OSC2016.Enterprise OpenStack & Cloud Native ApplicationsOSC2016.Enterprise OpenStack & Cloud Native Applications
OSC2016.Enterprise OpenStack & Cloud Native Applicationsirix_jp
 
Open stack概要 lpi-opcelサミット(当日用)
Open stack概要 lpi-opcelサミット(当日用)Open stack概要 lpi-opcelサミット(当日用)
Open stack概要 lpi-opcelサミット(当日用)shintaro mizuno
 

More Related Content

What's hot

セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021Riotaro OKADA
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -Cybozucommunity
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略Riotaro OKADA
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスクRiotaro OKADA
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other MeasuresTyphon 666
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-Typhon 666
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについてTyphon 666
 
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkHiroaki Kuramochi
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...Typhon 666
 
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...Typhon 666
 
Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例 Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例 Elasticsearch
 
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for BeginersTyphon 666
 

What's hot (20)

セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみた
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
 
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
 
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
 
Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例 Elastic Cloudを利用したセキュリティ監視の事例
Elastic Cloudを利用したセキュリティ監視の事例
 
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
 

Similar to シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~

OSC2016.Enterprise OpenStack & Cloud Native Applications
OSC2016.Enterprise OpenStack & Cloud Native ApplicationsOSC2016.Enterprise OpenStack & Cloud Native Applications
OSC2016.Enterprise OpenStack & Cloud Native Applicationsirix_jp
 
Open stack概要 lpi-opcelサミット(当日用)
Open stack概要 lpi-opcelサミット(当日用)Open stack概要 lpi-opcelサミット(当日用)
Open stack概要 lpi-opcelサミット(当日用)shintaro mizuno
 
Open stack概要とよくある議論
Open stack概要とよくある議論Open stack概要とよくある議論
Open stack概要とよくある議論shintaro mizuno
 
OpenStack Summit Sydney OpenStackの運用や安定性に関する動向
OpenStack Summit Sydney OpenStackの運用や安定性に関する動向OpenStack Summit Sydney OpenStackの運用や安定性に関する動向
OpenStack Summit Sydney OpenStackの運用や安定性に関する動向kimura50
 
最強のセキュリティでIoTを実装する方法
最強のセキュリティでIoTを実装する方法最強のセキュリティでIoTを実装する方法
最強のセキュリティでIoTを実装する方法Shinji Saito
 
OpenStack Summit Vancouver 出張報告 ベアメタルプロビジョニング編
OpenStack Summit Vancouver 出張報告 ベアメタルプロビジョニング編OpenStack Summit Vancouver 出張報告 ベアメタルプロビジョニング編
OpenStack Summit Vancouver 出張報告 ベアメタルプロビジョニング編VirtualTech Japan Inc.
 
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!Takayuki Ushida
 
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月VirtualTech Japan Inc.
 
(2017.8.27) Elasticsearchと科学技術ビッグデータが切り拓く日本の知の俯瞰と発見
(2017.8.27) Elasticsearchと科学技術ビッグデータが切り拓く日本の知の俯瞰と発見(2017.8.27) Elasticsearchと科学技術ビッグデータが切り拓く日本の知の俯瞰と発見
(2017.8.27) Elasticsearchと科学技術ビッグデータが切り拓く日本の知の俯瞰と発見Mitsutoshi Kiuchi
 
OSC@Kyoto2014 OpenStack概要
OSC@Kyoto2014 OpenStack概要OSC@Kyoto2014 OpenStack概要
OSC@Kyoto2014 OpenStack概要irix_jp
 
Azureを活用した未来型無人化店舗(AI STORE LAB)への挑戦
Azureを活用した未来型無人化店舗(AI STORE LAB)への挑戦Azureを活用した未来型無人化店舗(AI STORE LAB)への挑戦
Azureを活用した未来型無人化店舗(AI STORE LAB)への挑戦IoTビジネス共創ラボ
 
kintone をフル活用したIoT プロジェクトの話
kintone をフル活用したIoT プロジェクトの話kintone をフル活用したIoT プロジェクトの話
kintone をフル活用したIoT プロジェクトの話Cybozucommunity
 
Elasticsearch workshop 23_sql
Elasticsearch workshop 23_sqlElasticsearch workshop 23_sql
Elasticsearch workshop 23_sqlshinhiguchi
 
アラート、カスタムダッシュボード、タイムラインを運用現場で活用する
アラート、カスタムダッシュボード、タイムラインを運用現場で活用するアラート、カスタムダッシュボード、タイムラインを運用現場で活用する
アラート、カスタムダッシュボード、タイムラインを運用現場で活用するElasticsearch
 

Similar to シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~ (20)

OSC2016.Enterprise OpenStack & Cloud Native Applications
OSC2016.Enterprise OpenStack & Cloud Native ApplicationsOSC2016.Enterprise OpenStack & Cloud Native Applications
OSC2016.Enterprise OpenStack & Cloud Native Applications
 
Open stack概要 lpi-opcelサミット(当日用)
Open stack概要 lpi-opcelサミット(当日用)Open stack概要 lpi-opcelサミット(当日用)
Open stack概要 lpi-opcelサミット(当日用)
 
Open stack概要とよくある議論
Open stack概要とよくある議論Open stack概要とよくある議論
Open stack概要とよくある議論
 
OpenStack Summit Sydney OpenStackの運用や安定性に関する動向
OpenStack Summit Sydney OpenStackの運用や安定性に関する動向OpenStack Summit Sydney OpenStackの運用や安定性に関する動向
OpenStack Summit Sydney OpenStackの運用や安定性に関する動向
 
最強のセキュリティでIoTを実装する方法
最強のセキュリティでIoTを実装する方法最強のセキュリティでIoTを実装する方法
最強のセキュリティでIoTを実装する方法
 
OpenStack Summit Vancouver 出張報告 ベアメタルプロビジョニング編
OpenStack Summit Vancouver 出張報告 ベアメタルプロビジョニング編OpenStack Summit Vancouver 出張報告 ベアメタルプロビジョニング編
OpenStack Summit Vancouver 出張報告 ベアメタルプロビジョニング編
 
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
 
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門
 
(2017.8.27) Elasticsearchと科学技術ビッグデータが切り拓く日本の知の俯瞰と発見
(2017.8.27) Elasticsearchと科学技術ビッグデータが切り拓く日本の知の俯瞰と発見(2017.8.27) Elasticsearchと科学技術ビッグデータが切り拓く日本の知の俯瞰と発見
(2017.8.27) Elasticsearchと科学技術ビッグデータが切り拓く日本の知の俯瞰と発見
 
Swift losf
Swift losfSwift losf
Swift losf
 
OSC@Kyoto2014 OpenStack概要
OSC@Kyoto2014 OpenStack概要OSC@Kyoto2014 OpenStack概要
OSC@Kyoto2014 OpenStack概要
 
Azureを活用した未来型無人化店舗(AI STORE LAB)への挑戦
Azureを活用した未来型無人化店舗(AI STORE LAB)への挑戦Azureを活用した未来型無人化店舗(AI STORE LAB)への挑戦
Azureを活用した未来型無人化店舗(AI STORE LAB)への挑戦
 
kintone をフル活用したIoT プロジェクトの話
kintone をフル活用したIoT プロジェクトの話kintone をフル活用したIoT プロジェクトの話
kintone をフル活用したIoT プロジェクトの話
 
PR資料.pptx
PR資料.pptxPR資料.pptx
PR資料.pptx
 
Elasticsearch workshop 23_sql
Elasticsearch workshop 23_sqlElasticsearch workshop 23_sql
Elasticsearch workshop 23_sql
 
Osashimi
OsashimiOsashimi
Osashimi
 
アラート、カスタムダッシュボード、タイムラインを運用現場で活用する
アラート、カスタムダッシュボード、タイムラインを運用現場で活用するアラート、カスタムダッシュボード、タイムラインを運用現場で活用する
アラート、カスタムダッシュボード、タイムラインを運用現場で活用する
 
OpenStack Swift紹介
OpenStack Swift紹介OpenStack Swift紹介
OpenStack Swift紹介
 
OpenStack環境の継続的インテグレーション
OpenStack環境の継続的インテグレーションOpenStack環境の継続的インテグレーション
OpenStack環境の継続的インテグレーション
 

More from Riotaro OKADA

CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントRiotaro OKADA
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
 
もしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたならもしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたならRiotaro OKADA
 
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?Riotaro OKADA
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - Riotaro OKADA
 
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県Riotaro OKADA
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトRiotaro OKADA
 
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Riotaro OKADA
 
Security issue201312
Security issue201312Security issue201312
Security issue201312Riotaro OKADA
 
iSPP 仙台シンポジウム
iSPP 仙台シンポジウムiSPP 仙台シンポジウム
iSPP 仙台シンポジウムRiotaro OKADA
 
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYOIntroducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYORiotaro OKADA
 
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickupCrowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickupRiotaro OKADA
 

More from Riotaro OKADA (12)

CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
 
もしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたならもしあなたが 「何歳まで生きたい?」と聞かれたなら
もしあなたが 「何歳まで生きたい?」と聞かれたなら
 
2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?2021年に来るカイハツトレンド予測、だと?
2021年に来るカイハツトレンド予測、だと?
 
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト - OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
 
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
 
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
 
Security issue201312
Security issue201312Security issue201312
Security issue201312
 
iSPP 仙台シンポジウム
iSPP 仙台シンポジウムiSPP 仙台シンポジウム
iSPP 仙台シンポジウム
 
Introducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYOIntroducing AppSec APAC 2014 in TOKYO
Introducing AppSec APAC 2014 in TOKYO
 
Crowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickupCrowdsourcing basic20090515-pickup
Crowdsourcing basic20090515-pickup
 

シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~

Editor's Notes

  1. Total Count is 93 (as of 1/18/2017) - Matt Tesauro 13 Flagships 5 Tool Projects 3 Code Projects 5 Documentation Projects 37 Labs 17 Tool Projects 4 Code Projects 16 Documentation Projects 43 Incubators 19 Tool Projects 8 Code Projects 16 Documentation Projects From Johana’s 2015 report as of March. Current Active Projects: 126 Incubator - 97 Labs - 26 Flagship - 3 Projects by Type: 19 Code projects 40 Documentation Projects 53 Tool Projects
  2. 促進ではなく阻害要因だと思われている めんどうなことを言うと、うるさがられる(視野の狭窄) よくわからない(知識の不足) 金がかかる 水と安全のコストについての感覚(経済感覚)」 認識が異なる 「滅多に起きない問題だ」(リスクの過小評価、絶対安全神話) 「起きても大した問題にならない」(脅威の過小評価)
  3. もしあなたが、ヨーロッパオーストリアの4スターのホテルマネージャだったら… ・真夏のこと、満室のホテルの電子錠システムがやられる。 「ランサム型攻撃」で電子錠を無効にされた。 ・1500ユーロの支払いで復元を約束。 ・4回目の試み1/28土曜、最新のセキュリティ 基準で再構築していたので防御できた。 (100年前の、アナログ鍵方式に戻そう・・・) 1500ユーロ=18万円 1272GBP SNSでデマも横行。閉じ込められたというデマが流れた。
  4. ガンの75歳未満の年齢調整死亡率