Contenu connexe
Similaire à Owasp evening : Privacy x Design with OWASP (20)
Plus de Riotaro OKADA (12)
Owasp evening : Privacy x Design with OWASP
- 3. ここ最近のアプリケーション
セキュリティ関連ニュース
• チケット販売サイト「Pea$x」利⽤者リスト ネットで取り引き(2020/11/20)
NHK
• 総連HPにウイルス疑い 警視庁、韓国籍の元学⽣書類送検(2020/12/16)⽇経
• EXILEサイトで流出か、4万件以上のカード情報(2020/12/8)⽇経
• 「PayPay」不正アクセス受ける 最⼤2007万件余の可能性(2020/12/7)NHK
• 福島医⼤病院でランサム被害 17年夏、公表せず(2020/12/2)⽇経
• クレカ番号など漏洩か フリー、設定ミスで2898件(2021/2/10)⽇経
• NTTデータも被害、広がるGitHub上のコード流出問題(2021/2/1)⽇経❗
• コード⼀部流出、情報漏洩はなし 三井住友銀(2021/1/30)⽇経❗
• サーバーが不正アクセス被害|共英製鋼株式会社(2021/2/19)CyberSecurity.com
• 男性向けファッション通販サイトに不正アクセス(2021/2/18)Security NEXT
• 新潟市と飯⽥市の緊急通報システム「Net119」へ不正アクセス、登録者情報が参照
された可能性(2021/2/18)ScanNetSecurity
• マイナビ転職で不正ログインでウェブ履歴書約21万件流出の可能性(2021/2/18)
CyberSecurity.com
• サーバに不正アクセス、原因や影響を調査 - 伯東株式会社(2021/2/17)Security
NEXT
• ⻄条市の健診予約システムが不正アクセスでサービス⼀時閉鎖へ(2021/2/16)
CyberSecurity.com
• 2市の健診サイトに不正アクセス 個⼈情報流失か 奈良(2021/2/12)朝⽇新聞
• 「サイバーパンク2077」開発元にサイバー攻撃 データ奪われ脅迫される
(2021/2/12)ITMedia
• バンダイグループお客様相談センターに不正アクセス、クラウド型営業管理システ
ムのセキュリティ設定不備を突く(2021/2/1)ScanNetSecurity
(c) Riotaro OKADA 6
• アプリケーション脆弱性
• 実装ミス・設計ミス
• コンポーネントの脆弱性
• クラウドサービス側の問題
• クラウド設定のミス
• 意図的なバックドア
- 6. プライバシを強化したシステムって?
• 機能⾯の要求
• Privacy by Default か
• 詳細な認可機能の必要?
• 実装⾯の要求
• 脆弱性の影響をうけないこと
• データアクセスの安全
• 運⽤管理⾯の要求
• ユーザの許諾範囲の遵守
• インシデント発⽣時の対応
• 管理⾯の要求
• 誰がどのように管理するか
• 他サービスとのデータ連携…
- 13. OWASP Projects - Flagship
• OWASP Amass
• OWASP Application Security Verificationa Standard
• OWASP Cheat Sheet Series
• CSRFGuard
• OWASP Defectdojo
• OWASP Dependency-Check
• OWASP Dependency-Track
• OWASP Juice Shop
• OWASP Mobile Security Testing Guide
• OWASP ModSecurity Core Rule Set
• OWASP OWTF
• OWASP SAMM
• OWASP Security Knowledge Framework
• OWASP Security Shepherd
• OWASP Top Ten
• OWASP Web Security Testing Guide
• OWASP ZAP
- 14. OWASP Projects - Labs
• OWASP AntiSamy
• OWASP API Security Project
• OWASP Attack Surface Detector
• OWASP Automated Threats to Web Applications
• OWASP Benchmark
• OWASP Code Pulse
• OWASP Cornucopia
• OWASP Enterprise Security API (ESAPI)
• OWASP Find Security Bugs
• OWASP Internet of Things
• OWASP Java HTML Sanitizer
• OWASP mobile security
• OWASP Mobile Top 10
• OWASP Proactive Controls
• OWASP Secure Coding Dojo
• OWASP Security Pins
• OWASP Snakes And Ladders
• OWASP Top 10 Privacy Risks
• OWASP TorBot
• OWASP Vulnerable Web Applications Directory
• OWASP WebGoat
- 15. OWASP Projects- Labs
• OWASP .Net
• OWASP Android Security Inspector
Toolkit
• OWASP APICheck
• OWASP Application Gateway
• OWASP Appsec Pipeline
• OWASP Big Data Security Verification
Standard
• OWASP Bug Logging Tool
• OWASP Cloud-Native Security Project
• OWASP Core Business Application
Security
• OWASP CSRFProtector Project
• OWASP Cyber Controls Matrix (OCCM)
• OWASP Cyber Defense Framework
• OWASP Cyber Defense Matrix
• OWASP Cyber Scavenger Hunt
• OWASP D4N155
• OWASP Devsecops Maturity Model
• OWASP Patton
• OWASP purpleteam
• OWASP Pygoat
• OWASP pytm
• OWASP Risk Assessment
Framework
• OWASP SamuraiWTF
• OWASP Sectudo
• OWASP Secure Headers Project
• OWASP Secure Logging Benchmark
• OWASP secureCodeBox
• OWASP SecureFlag Open Platform
• OWASP SecureTea Project
• OWASP Security Qualitative Metrics
• OWASP SecurityRAT
• OWASP Serverless Top 10
• OWASP SideKEK
• OWASP DevSlop
• OWASP Docker Top 10
• OWASP DPD (DDOS
Prevention using DPI)
• OWASP Go Secure Coding
Practices Guide
• OWASP Honeypot
• OWASP Information Security
Metrics Bank
• OWASP Integration
Standards
• OWASP Maryam
• OWASP Mobile Audit
• OWASP Nettacker
• OWASP Node.js Goat
• OWASP O-Saft
• OWASP Ontology Driven
Threat Modeling Framework
• OWASP Software Component
Verification Standard
• OWASP Single Sign-On
• OWASP Threat and Safeguard
Matrix (TaSM)
• OWASP Threat Dragon
• OWASP Threat Model Cookbook
• OWASP TimeGap Theory
• OWASP Top 10 Card Game
• OWASP Top 10 Client-Side Security
Risks
• OWASP Vulnerability Management
Guide
• OWASP VulnerableApp
• OWASP Web Application Firewall
Evaluation Criteria Project (WAFEC)
• OWASP Web Mapper
• OWASP Web Testing Environment
- 18. OWASP User Privacy Protection Cheat Sheet
ユーザープライバシー保護に関するチートシート
• 強⼒な暗号化 Strong Cryptography
• ストレージ、認証、通信路、プロトコル 、認証
• パニックモードの設置 Panic Mode
• アクセス制限/セッション期限 Remote Session Invalidation
• 匿名ネットワーク対応 Allow Connections from Anonymity
Networks
• IPアドレス漏洩を防ぐ Prevent IP Address Leakage
• ユーザに対する誠実さと透明性:Honesty & Transparency
https://cheatsheetseries.owasp.org/cheatsheets/User_Privacy_Protection_Cheat_Sheet.html
- 19. OWASP Privacy Risk Top 10 Project
No Title Frequency Impact Risk Ranking 2014
P1 Web Application Vulnerabilities 2 2.8 5.60 1
P2 Operator-sided Data Leakage 1.92 2.8 5.38 2
P3 Insufficient Data Breach Response 2.24 2.4 5.38 3
P4 Consent on Everything / Problems with getting Consent 2.37 2 4.74 New / 17
P5
Non-transparent Policies, Agreements, Terms and
Conditions
2.32 2 4.64 5
P6 Insufficient Deletion of User Data 2.27 2 4.54 4
P7 Insufficient Data Quality 1.89 2.4 4.54 New
P8 Missing or Insufficient Session Expiration 1.88 2.4 4.51 9
P9 Inability of users to access and modify data 2.02 2.2 4.44 13
2021(beta2)
https://owasp.org/www-project-top-10-privacy-risks/
- 20. OWASP Privacy Risks Top 10 (1/2)
# タイトル 頻度 影響 説明
P1
Webアプリケーションの
脆弱性
⾼い ⾮常に⾼い
脆弱性は、機密性の⾼い個⼈データを保護または操作する上でシステムの重⼤
な問題です。アプリケーションの適切な設計と実装、問題の検出、または修正
(パッチ)の迅速な適⽤を怠ると、プライバシーが侵害される可能性がありま
す。このリスクには、Webアプリケーションの脆弱性のOWASPトップ10リス
トとそれらに起因するリスクも含まれます。
P2
オペレーター側の
データ漏えい
⾼い ⾮常に⾼い
個⼈データを含むまたは個⼈データに関連する情報が許可されていない第三者
に漏洩し、データの機密性が失われます。意図的な悪意のある違反または意図
しないミスのいずれかが原因で引き起こされました。たとえば、不⼗分なアク
セス管理制御、安全でないストレージ、データの重複、または認識の⽋如が原
因です。
P3 不⼗分なデータ侵害対応 ⾼い ⾮常に⾼い
意図的または意図的でないイベントのいずれかが原因で発⽣する侵害または
データ漏洩について、影響を受ける⼈(データ主体)に通知しないこと。原因
を修正することによって状況を改善することに失敗すること。漏洩を制限する
ことを怠ることです。
P4 すべてに同意する ⾮常に⾼い ⾼い
処理を正当化するための同意を集約する、または同意を不適切に使⽤すること
です。同意の対象は「すべて」であり、⽬的ごとに収集していません(たとえ
ば、Webサイトの使⽤や広告のプロファイリング)。
P5
不透明なポリシー、
利⽤規約
⾮常に⾼い ⾼い
データの収集、保存、処理など、データの処理⽅法を説明するための⼗分な情
報が提供されていません。例えば弁護⼠以外の⼈でも簡単に理解できるように
しなければなりません。
https://owasp.org/www-project-top-10-privacy-risks/
- 21. OWASP Privacy Risks Top 10 (2/2)
# タイトル 頻度 影響 説明
P6 個⼈データの削除が不⼗分 ⾼い ⾼い
指定された⽬的の終了後または要求に応じて、個⼈データを効果的および/ま
たはタイムリーに削除しないことです。
P7 不⼗分なデータ品質 中 ⾮常に⾼い
古い、正しくない、または偽の個⼈データを使⽤すること、または、データの
更新または修正の誤りがあることです。
P8
セッションの有効期限が
ないか不⼗分
中 ⾮常に⾼い
セッションの終了が確実ではないことによって、ユーザーの同意または認識な
しに、追加の個⼈データが収集される可能性があります。
P9
ユーザーがデータに
アクセスして変更できない
⾼い ⾼い
ユーザーが⾃分に関連するデータにアクセス、変更、または削除することがで
きません。
P1
0
ユーザーの同意を得た
⽬的と異なるデータの収集
⾼い ⾼い
システムの⽬的に関係のない、分析データ、統計データ、またはその他の個⼈
の関連データの収集することや、ユーザーが同意しなかったデータを収集する
ことです。
https://owasp.org/www-project-top-10-privacy-risks/
- 27. まとめ - Next Action
• プライバシーに関する社会の要請について、エンジニアの理解の解像
度を上げる必要がある。
• 個々のシステムへのプライバシーリスクを分解し、対策・対応を実現
する⼿⽴てについて理解する必要がある。
• 阻害要因として存在する「分断」を解消する必要がある。
• デマンドとサプライ、要件と設計、運⽤と実装、セキュリティと開発、
• セキュリティ設計や検証の主要な役割期待にインパクトがある。