第11回 まっちゃ445勉強会 (まっちゃ445勉強会)(情報元のブックマーク数)
ということで、SDLな話をMSの人に話していただきました。調整で色々高橋さんとかにお世話になりました。本当にありがとうございました。
また、会場をお借りするのにOracleの方にも本当に本当にお世話になりありがとうございました!!!
個人的に参加できなかった(当日愛媛情報セキュリティ勉強会)のが残念でした。(まぁ、愛媛も面白すぎましたが!w)
Session1: 「Security Development Lifecycle」
第11回 まっちゃ445勉強会 - まっちゃ445勉強会
マイクロソフト株式会社
オンラインサービス・セキュリティ・コンプライアンス部
シニアセキュリティプログラムマネージャー
ジョン ルー 氏
参加者のBlogとか
ぶっちゃけいうと、あえて英語と言わなかったんですよねw
でも参加者の印象は悪くはなかったと聞いています。
第11回まっちゃ445勉強会 - こずみっくきゅーぶ。本編(1)「SDLについて」Microsoft/ジョン・ルー氏
事前情報無しなフル英語セッションだったんで色々危惧してたんですが、かなり聞き取りやすい英語と適度にはしょった通訳のおかげでいい感じに集中して聞いている感じでした。
SDLはフレームワークとして流して当たり前の結果が出せるようになるべきものという印象。
開発の現場からするとここまできっちりできるのはうらめやましい…
いや、規模が全然違うし、ここまで英語だけど情報を出してるところを恨むのは筋違いなんですが。
C#は悪くない言語なんだけどねぇ(謎
kinshachiさんの秀逸まとめ。
そうそう、PROACTIVEとPASSIVEと両方の面があるんですよね。常に両輪が一緒に動いているから動くんですよね。
障害が発生した場合の、原因分析と横展開ですね。
・セキュリティ対策
- PASSIVE モード → 報告を受けたら修正
- PROACTIVE モード → 報告を受ける前に脆弱性を潰していく
→ どうやって実現するか?
http://kinshachi.ddo.jp/blog/comp/archives/000843.html
→ Security Development Lifecycle (SDL)
ソフトウェア開発ライフサイクルが元になっている。
SDLは、ソフトウェア開発ライフサイクルの各ステージにセキュリティを追加していく。
新しいステージを追加するのではない。痛い目を見ないとお金は出ない。辛いところだが、こういうSDLな活動はもっと日本で広く話がされてもよいと思うなぁ
MSはトップダウンでセキュリティを強制されている。
http://kinshachi.ddo.jp/blog/comp/archives/000843.html
マネージメントに理解してもらう事は大事。
数字で説得することが必要な場合もある。
導入にはコストが掛かるが、一度始まると徐々にコストが掛からなくなる。
MSがSDLを導入したのは2002年から。
最初の製品は Windows XP の SP2。
最初に製品全体を通して適用した製品は Windows Vista。
MSは過去の失敗に学んだ。インシデントがあると予算を付けやすいが・・・。
t_iwanoさんの素晴らしいまとめ。これでだいぶ心が落ち着いた(聞けなかったのに)
Session1:「Security Development Lifecycle(MS ジョン・ルー氏)」
(matcha445)まっちゃ445勉強会#11 - Garbage Script on Goo BLOG
MSにおけるSDLの考え方については、ココを参照。
英語Onlyですが、ココも参照されると良いでしょう。
・各種S/W、特にWebAppについてはオンラインという特性上、常に悪意ある攻撃に対する危機に晒されていると言える。
・しかも攻撃のルート・方法は多岐に渡る。
・例え内部でしかアクセスできないモノであっても、様々なルートから攻撃が来る以上、対策する必要がある。
・セキュリティ対応は「パッシブ」と「プロアクティブ」の2種類がある。
・パッシブは従来型の対応、基本何かあったら都度対応(パッチとかパッチとかパッチとか(笑))。
・対してプロアクティブは、先に対応してしまおうという方法、ベストプラクティスを普及し、それに従い開発等を行い、脆弱性の芽を潰すという考えである。
・SDLとは言え、基本はソフトウェア開発ライフサイクルの延長線上でしかない……各段階でセキュリティの事を考慮するというエッセンスを加えているに過ぎない。
・例えはトレーニング段階では、通常のトレーニングに加え、セキュリティのトレーニングを加えると言った感じ。
・従来のソフトウェア開発ライフサイクルでは機能を重視していたが、SDLの場合、更にセキュリティの三要素(CIA)を考慮する必要がある。
・MSでは実現するために、体制を組んでいる。セキュリティアドバイザはセキュリティに関する技術・知識を伝達する事が役目で、1〜数名存在する。各チームにセキュリティチャンピオンと呼ばれている人が存在し、チーム内のプロダクトに関するチェックを行っている。
・プロジェクト開始時……全員セキュリティトレーニングを実施する。
・勿論その際、上層部に対してこれらの対策を施すには十分なリソースが必要である事を申し送る事も重要である。
・設計段階では、採用するモジュールのメリット・デメリットを十分に検討する。
・今回はトレーニング、脅威モデル、Verificationについて説明を進める。
・セキュリティチャンピオンはプロジェクトの各段階において、チェックシートに対して必要事項を入力し、可否を確認しながら作業を進めている。MSでは全チェックがクリアになるまでリリースできない規定になっているとの事。
・トレーニング段階では、全員が受けるモノ、開発者が追加で受けるモノ、テスターが追加で受けるものがある。全員で受けるモノはセキュリティに関する基礎を、開発者追加版はコーディング時における危険性と対策を学ぶ事になる(例えば各種脆弱性を作りこまないようにするにはどうすればよいかというベストプラクティスを学ぶ事になる)。テスター追加版は、如何に脆弱性を見つけ、開発者に報告するかについて学ぶ。
・脅威モデルについては、この辺が参考になるかも。
[Web アプリケーションの脅威モデル - MSDNライブラリ]
http://msdn.microsoft.com/ja-jp/library/ms978516.aspx
・評価にはSTRIDE脅威モデルを用いる(ココ参照)。
・これらを設計段階で十分に検討する事になる。その際、単純に技術的に検討するのではなく、そのアプリの目的・特性も考慮する事になる。それによって、特に注意するポイントも見えてくる。
・注意するポイントを特定したら、次に対策を検討する。検討では作用・副作用両方と、アプリの目的・特性を考慮した上でどの対策を採用するか検討する事になる。
・結局リスクアセスメント・マネジメントを人力で地道に行う事で実現できている。
・実施はデータフローを用いてブレインストーミング形式で行う。勿論技術的な話だけでなく、コストも考慮する必要がある。
・マネジメントを説得する場合、攻撃を受けた場合の予測被害額と、それに対する対策にかかる金額を示す事で行っている。
・イニシャルコストは確かにかかるが、繰り返しが効くので、結果としてペイ可能との事。
・また既に外部事業者からのチェックを活用している場合でも、SDLを導入した方が良い。
d:id:koba04:detailさんとt_iwanoさんのところである程度理解できました。本当にレポートありがとうございました!
Session1:「Security Development Lifecycle」 ジョン ルー 氏
第11回 まっちゃ445勉強会 - 車輪を再発明 / koba04の日記
- マイクロソフトがどのようにセキュリティに取り組んでいるのか、とても興味深い内容で楽しみにしていました。
- 今回はオンラインアプリケーションを対象にしたお話でした。
- セキュリティについては、事後に対応する方が当然費用もかかるし、信用などマイナスとなることが多いので、設計の段階から脅威を割り出し、開発に関わる全ての人に教育を行うことが必要。そうする方が結果的にはコストがかからない。確かにその通りだなと思いました。
- マイクロソフト社で実施されている教育の内容ってどんなものかなとすごい気になりました。
- セキュリティに関するknowlegdeベースの蓄積は自分単位でもチーム、会社単位でも出来ることだと思うので取り入れたいなぁと思いました。(みんなの頭の中でではなく、文章など誰でも参照出来るかたちで)
- 脅威としてSTRIDEの説明もありました。確か少し前にどこかでSTRIDEについて見た記憶があって、それがどこだったのか思い出したかったのですが結局思い出せず。。
- S poofing of user indentity - なりすまし
- T ampering - 改ざん
- R epudiation - 否認防止
- I nformation disclosure - 情報漏洩
- D enial of service(D.O.S) - サービス妨害
- E levation of privilege - 特権昇格
- セキュリティって多くの人にとっては、退屈で難しそうで失敗も許されない。そんな風に考えられているところがあるのかなと思っており、組織やチームが「セキュリティについて考えよう!」となることはなかなか難しいのかなと思っています。なのでSDLを適用させようとすると、今回話されていたとおりトップダウンで実施していかないとなかなか難しいのではないかなと感じました。
- またセキュリティは、ネットワークやシステム運用が「動いて(繋がって)当たり前」と思われるように、「脆弱性がなくて当たり前」と認識されているように思います。ですので、この辺のセキュリティ関連の取り組みについて、どう評価として反映しているのかも気になりました。
- 楽天さんがやられているセキュリティ教育〜テストの仕組みはとても素晴らしいと受けたいなぁと思いました。(自社内開発やりたい。。)
こう言ってもらえると本当にうれしい。こちらこそ参加いただきありがとうございました!
まとめ
第11回 まっちゃ445勉強会 - 車輪を再発明 / koba04の日記
- はじめてのまっちゃ勉強会でしたが、参加してよかったなと思いました。わからない部分も多くもっと勉強しようと思えたこと、様々な人に出会えたことなど、得るものがたくさんありました。
- 関係者の皆様、ありがとうございました。
うわぁー面白そうだなぁ。。。英語版だけでも資料があるのは素晴らしい、SDL Blogとかもあるしね。
まっちゃ445勉強会の日 - Hebikuzure’s Tech DiarySDL
話自体は大変為になりました。
実際にどこまでできるのか、トップダウンで進められるのかなど難しい点も多いだけに、参考となる情報がもっと分かりやすく提供されていても良いなあ。英語版ならかなりあるけど、日本語版が無いと提案するのに苦労するかも。
いかがでしたか???>勉強会。
オラクルのビルに入るのなんて初めてだ〜 オラクルのセミナー受ければ入れるんだろうけど。
2010-03-05 - Otachi gonna change your world.
最近ろくに勉強していないんで、そろそろたたき直していかないと。いくら春の情報処理受けないとは言ってもねぇ。
ぅぉぉぉーーーーーっ!!!充実してもらえてよかったーーー!
まっちゃ445勉強会&懇親会より帰宅。まる一日アドレナリン全開で、年寄りにはキツイ一日でしたが、充実して楽しい勉強会でした。 ヴァルカンさんはじめ事務局の皆さん、本当にありがとうございました。
フラッシュ(とろけてる) on Twitter: "まっちゃ445勉強会&懇親会より帰宅。まる一日アドレナリン全開で、年寄りにはキツイ一日でしたが、充実して楽しい勉強会でした。 ヴァルカンさんはじめ事務局の皆さん、本当にありがとうございました。"
Try
まっちゃ445の感想を後で書くメソッド。
mincemaker (@mincemaker) | Twittercatch
Blogに書く。
電設部とまっちゃ445だったので、学生が取られた感じでしょうかね・・・
宣伝とか講師とかって、色々難しいので、考えないと。
この日は至る所で勉強会などが行われていたらしく、全体的に人数は少なめでした。
Xeno's Labo | Just another WordPress.com site
有名人を招いて宣伝しないと人が集まらないのかなぁとえムナウさんが心配していました。
通訳さんって・・・・あの有名な高橋晶子(http://blogs.itmedia.co.jp/akikot/)さんですよ!!!
単語はなんとか聞き取れるんですが文として頭の中で理解できないので、単語に反応するのが精一杯でした>TOYOTAとかね
第11回 まっちゃ445勉強会レポート風味: Stressful Angel
通訳さん頼りでしたが、内容的には興味深かったです結構面白い内容だったようだ。今度高橋さんに細かく聞いておこう(涙
「実はジョン・ウーは私の親戚です…………嘘です」という心温まる掴みではじまったMicrosoftのジョン・ルー氏のSDL(Security Development Lifecycle)話
第11回 まっちゃ445勉強会レポート風味: Stressful Angel
同じMSが昔提唱していたSimple DirectMedia Layerとは違うんです
各プロセスと分離した別のプロセスとしてセキュリティを配置するのではなく、各プロセスに内包させるといったアプローチといえばいいんでしょうか
ボクは開発者じゃないんでそんなに奇異に思わなかったけど、今までってそんな感じだったんでしょうか?とむしろ聞いてみたくもあったり
参加前のBlogとか
CMMIとかの話だったかな???
昔、IBMからCMMIベースでの開発プロセスの話を聞いたことがあるが、それとまた異なる視点の話なので、そこが楽しみだったりする。無論、大域的に観れば、CMMI的なプロセスが絡む訳だから、そういう部分で、どのような事を行っているのかの概略がわかれば、個人的にはOK。
http://d.hatena.ne.jp/mokuden/20100301#1267417061
ってことで、残念でしたが、また是非次回!
あれれ、まっちゃ445は、キャンセルしたはずなのに、参加になってるぞ…
hshinji on Twitter: "あれれ、まっちゃ445は、キャンセルしたはずなのに、参加になってるぞ…"
catch待ちwwwwwwwww(とか言うw
まっちゃ445 今申し込みました。当日までに空きできているといいなあ。
mincemaker (@mincemaker) | Twitterまっちゃ445、70番で滑り込み参加できました。ありがとうございます。今週末は皆様宜しくお願い致します。
mincemaker (@mincemaker) | Twitter
M現象でしたっけ?見たかったです・・・
まっちゃ445勉強会の目ざまし勉強会でLT立候補しました。NTFSのレジデントファイルがらみのネタですが、誰得な内容過ぎてほぼ封印状態にあったものです。半年ぶりに日の目を見ることにw http://bit.ly/aQhoe3
Takashi Matsumoto on Twitter: "まっちゃ445勉強会の目ざまし勉強会でLT立候補しました。NTFSのレジデントファイルがらみのネタですが、誰得な内容過ぎてほぼ封印状態にあったものです。半年ぶりに日の目を見ることにw http://bit.ly/aQhoe3"
今回は結構長めでしたね。数日は持った感じなのは、年度末進行ってことかな。
ぉ?まっちゃ445の枠が埋まったっぽい。学生枠が一つ残ってるけど。 *Tw*
ヴァルカン on Twitter: "ぉ?まっちゃ445の枠が埋まったっぽい。学生枠が一つ残ってるけど。 *Tw*"