御成門プログラマーの日記

Microsoft AzureやAngularなどの技術情報を発信します

Developers Summit 2020 セッション参加メモ「アプリケーションやシステムが悪い奴らに攻撃されたらどうなる?」

今年もDevelopers Summit 2020に参加してきたので参加したセッションのメモを備忘録的に残しておこうと思います。 event.shoeisha.jp

講演資料など全体的な情報はここでまとめてくれています。 codezine.jp

サイバーインシデントはなぜ起きる

  • セキュリティ品質の問題が厳しくいわれるようになってきた

    • ビジネスに直結するようになってきた
  • ビジネスバロメーター2019

    • この3ねんかんでサイバーインシデントが脅威だと世界中の
  • インシデントが発生する原因は2つだが、理由にかかわらずサイバーインシデントはさけなければいけないもの

    • 悪い奴がなにかやらかす
    • 事故的なもの
  • コード量が増えてくればリスクは増える

    • いかにして封じ込めれるのかが会社の課題
    • 車のリコール数は年々増えてきている→リコールの理由はソフトウェア関連がほとんど

市場の変化

  • 大体の新しい技術はソフトウェア部分

  • ソフトウェア開発の課題が増え続けている

    • コード量
    • 複雑度
      • いろんなものがつながって、複雑なシステムができてきている。どっかが止まったら、全体のシステムが止まる恐れがある
    • 開発速度
      • いかに短い期間で作れるかが課題になっている →でも品質はあげなくてはいけない
    • リスク
  • ソフトウェアの脆弱性は急速に増価している

よりセキュアなアプリケーションの開発

解決すべき課題を明確にする

  • 解決すべき課題がどこにあって、どう解決するかを考える

脆弱性は常に増え続ける

  • 当たり前のようにCWEを確認してみる

脅威モデルを考える

  • どういう脅威が起こりうるかを脅威モデルを使って想定する

    • システムの外側、内側の両面から脅威を考える →内部の悪意あるものによる脅威多いため
  • 脅威となる「人」を想定する  
    それぞれの要素に対してこの人が何らかのちょっかいをだす

  • セキュリティ「管理策」を構成する

  • Mitre ATT&CKフレームワーク
    https://attack.mitre.org/
    MITRE(マイター)社が開発している攻撃者の攻撃手法、戦術を分析して作成されたセキュリティのフレームワーク・ナレッジベース。ただし全部英語