JNSAメールマガジン 第84号 2016.4.15☆★☆

こんにちは
JNSAメールマガジン 第84号 をお届けします。

今日は暖かな春らしい陽気ですね。
JNSA新年度の活動も新たに始まっています。
各部会・WGではメンバー募集を行っていますので、興味ある活動がありましたらぜひ御参加下さい。また、新規メンバー募集を検討中のWGの方もぜひ事務局までお問合せ下さい。

また、4月23日(土)に東京大学 本郷キャンパスにて「JNSAインターンシップ交流会」を開催します。
インターンシップ受け入れ予定のJNSA会員企業と情報セキュリティ業界に興味をもっている学生が対象です。ぜひお知り合いの学生の方にもご案内ください。スケジュール詳細、お申込みはこちらです。
http://www.jnsa.org/internship/

さて、今回のリレーコラムは、OWASP Japan 岡田良太郎様に「OWASP Proactive Controls」についてご寄稿いただきました。


【連載リレーコラム】
「脆弱性対策を前向きに行う特効薬はあるか:OWASP Proactive Controlsのご紹介」

(OWASP Japan  岡田良太郎)

こんにちは、OWASP Japanの岡田良太郎です。OWASPとは、「Open Web Application Security Project」の略で、ソフトウェアセキュリティに特化した、世界で最も知られたオープン・コミュニティです。日本では、2011年から、のべ4000名近いソフトウェアのセキュリティに関わる方々とミーティングを開催してきました。

2, 3ヶ月に一度、全国でミーティングを開催しています。また、自主的なプロジェクトも数々行っています。以後、ぜひ関心を持っていただけますようお願い致します。

さて、本日ご紹介するのは、「OWASP Proactive Controls」というドキュメントです。最近、日本のボランティアによるチームで翻訳後、レビューを通し、2月にリリースしました。

ソフトウェアの開発ライフサイクルにおいて、セキュリティ確保の重要性はもはや開発だけの問題ではなく、ビジネス課題になっています。ウェブアプリケーションにせよ、モバイル・アプリケーションにせよ、出荷前にセキュリティ脆弱性(ぜいじゃくせい)のテストを行い、可能な限り問題を最小化してから出荷することは、ここ日本でも普及してきました。

攻撃されやすい、深刻な影響を及ぼす「脆弱性」に関する知見を普及させるドキュメントとして、「OWASP Top 10」として知られています。おなじみ「インジェクション」「クロスサイトスクリプティング」など主要な脆弱性を解説しています。このガイドラインは、脆弱性に関する知識を広く普及させることに一定の成果を収めてきました。

SANS Instituteによる2015年の発表によると、70%近いソフトウェア開発企業がこのOWASP Top 10を標準あるいはモデルとして活用しています。この割合はISO/IEC27034やNIST 800-53/64、またSANS CWE Top25をなど権威ある他のガイドラインの参照率を3倍以上も上回っています。

しかし、ソフトウェア開発における脆弱性発生にまつわる問題においては、出荷前の検査によって発見できた問題を修正することの繰り返しでは、とうてい解決に至りません。なぜでしょうか。それは、端的に言うと、事後的な対応だからです。健康管理を怠り、病気になりやすい体質を放置していれば、病気になりやすいのは当然です。毎度毎度、病気になってから治療するという方法はコストもかかり時間も失われます。全く得策ではありません。むしろ伝染病のように影響が大きな問題が想定されるのであれば、予防にあたる努力を払うことでしょう。

同じように、ソフトウェアの構築プロセスにおいて、セキュリティを考慮にいれることに効果のある手法を知ることはソフトウェア構築においては全世界の共通課題でしょう。

そこで、この「OWASP Proactive(事前に)Controls (セキュリティ制御する手法)」を集約するプロジェクトがガイドラインの形でまとめたというわけです。2013年から活動しているこのプロジェクトは、世界中からの多くのフィードバックを反映し2016年に2回目のリリースを発表しました。

https://www.owasp.org/index.php/OWASP_Proactive_Controls

OWASP Top 10 Proactive Controls 2016は、「OWASP Top 10」の方式にのっとり、10の重要なアクティビティを定義し、解説しています。ここで列挙しているセキュリティ概念は、すべてのソフトウェア開発プロジェクトで考慮しなければならない原則を示しており、それぞれの項目の解説とともに、参照すべき様々なガイドラインやツールへのリンクが含められています。

    1.早期に、繰り返しセキュリティを検証する
    2.クエリーのパラメータ化
    3.データのエンコーディング
    4.すべての入力値を検証する
    5.アイデンティティと認証管理の実装
    6.適切なアクセス制御の実装
    7.データの保護
    8.ロギングと侵入検知の実装
    9.セキュリティフレームワークやライブラリの活用
    10.エラー処理と例外処理

プロジェクトリーダーのJim Manicoは、最初のドラフトをリリースした際、「このドキュメントは、前向きな言葉を用いたい。全ての設計者と開発者が100%、とにかくすべてのプロジェクトで検討すべきトップ・コントロールを記述するからだ」と述べました。

興味深いのは、このTop 10 Proactive Controlsの各項目と、OWASP Top 10の示す各脆弱性との関連を示す表が記載されていることです。ひとつのコントロールが、どの脆弱性を発生させない、いわゆる事前の対策として有効なのかを示しているのです。中には、1つで複数の脆弱性対策に有効なものもあります。確かに、こうした基本に忠実な開発プロセスを身につけると、セキュリティについても前向きなソフトウェア開発ができます。同時に、出荷前の工程で行う脆弱性テストの位置づけも、一層明確にすることができます。

開発者のみならず、発注や、また教育に関わる方々も、ぜひ、この機会にOWASP Top 10 Proactive Controls 2016をご活用ください。新しいソフトウェアを開発することなしに、新しいIT社会はあり得ません。ソフトウェアに関わるすべての皆さんが、前向きにセキュア開発に関わる助けになりますように。

皆さんのご感想、ご質問、ご意見を歓迎しております。
どうぞ、お気軽にお寄せください。
岡田良太郎


#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】
★JNSAソリューションガイド特集検索に「マイナンバー技術的対応製品・ サービス検索」機能を追加しました。
  JNSAソリューションガイド
 http://www.jnsa.org/JNSASolutionGuide/
  製品・サービスの登録は随時行っていただけますので、会員のみなさまのPRにぜひご活用下さい。

★JNSA会員交流部会では、新規にJNSA会員になられた企業さまを対象に、JNSAの活動に関する説明会を開催いたします。

 日時:4月26日(火)15:00-16:00
 場所:JNSA事務局 会議室(西新橋)
 参加をご希望の方は、JNSA事務局までお問い合せ下さい。

★西日本支部/中小企業向け情報セキュリティポリシーサンプル作成WGでは、多くのご要望にお応えして、この度、ポリシーサンプル改版(1.0版)を公開しました。ぜひご活用ください。
「情報セキュリティポリシーサンプル改版(1.0版)」
 http://www.jnsa.org/result/2016/policy/


★以下の部会・WGでは新メンバーを募集中です。ぜひご参加ください!
 「マーケティング部会」
 「経営課題検討WG」
 メンバー募集要項は事務局までお問合せください。


【事務局からの連絡、お知らせ】

★2016年度年会費ご請求書とJNSA会員登録情報確認票を会員企業各社のご連絡担当者様にお送りしました。
 ご登録情報に変更がありましたら、事務局までご連絡をお願いします。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第84号
発信日:2016年4月15日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.