デブサミ2013に、
昨日(2月15日)行ってきた。その内容をメモメモ。
■セキュリティ要求仕様モデルプランの説明
(以下モデルプランと略します)
LASDECのサイトで公開
モデルプランの概要
・Webアプリケーションに脆弱性対策の要件に特化した仕様書
(特記仕様書)
・どういう基準で選ぶか
(A)実際に攻撃で使われている手法
(B)将来悪用される脆弱性
さらに:わからない全弱製
・モデルプラン
脆弱性
セキュリティ機能
・セキュリティ要件の提示方法
・対策すべき脅威を明示
・検査方法っを明示
・実装方法を指摘
・対策すべき脆弱性を明示→○これにする
・なぜ作成したか
・ウェブ健康診断
・診断内容
クローラへの体制
(以降、ひみちゅ)
・
地方公共団体における脆弱性対策に対する課題
:
:
(IPAがだしている。いろいろ)
どうしたらよいか
導入時に行う:要求仕様例を作成する
地方公共団体および一般へ情報公開
→地方公共団体向けなので、一般には、カスタマイズいるかも?
モデルプランのポイント
・セキュリティ保障期間という期間を設け
脆弱性リストで示した脆弱性に限定して対処
・追加費用なし
モデルプランの採用が進むと
・脆弱性を作りこまない開発体制
まとめ
・基本的にユーザー視点で、地方公共団体向け
・脆弱性
セキュリティは文化
地方でセキュリティは難しい
・地方のセキュリティレベルが上がれば・・・
■主要論点
論点1:脆弱生命の列記ではあいまい
論点2:モデルプランで目指すべきレベル間
論点3:セキュリティ保障期間に関する論議
論点4:地方公共団体職員の検収能力に関する課題
意義
・安全なWebアプリ発注できる
・責任分担を明確にする
・「セキュリティ保障期間」
・競争原理
提案者の意義
・何をどこまでやれば
・対応範囲の明確化
・提案の土俵を統一
脆弱性が指摘された後改修したか?
→55%受注者の仕様負担
サポートライフサイクル
・マイクロソフト
最新バージョンだと7年間保証される
・レッドハット10年
脆弱性がでているもの
・IPA
・CWE
・モデルプラン
脆弱性リスト/セキュリティリスト
(書ききれなかったので省略)
例えばJavaとかで、セキュリティが5年持たない場合は?
重要事項説明
Javaの古いバージョンを許さない
4月から調査する官庁も(総務省だけど)
スマホとかは
・はじめにどの端末にするか決める
5年は?企業にとって負担では?
・やろうとしたら、割高になってしまう
・うそつく企業は→淘汰されるだろう
・開発規約を抜粋で出す
・脆弱性診断のログもだす
Javaの旧バージョン
・消してねとはいう
・クライアントのバージョン管理はうまくかかれてない
ぶらうざのバーションは書いてある
海外のサーバーに移された場合、そのサービスは?
・ASP,SaaSにモデルプランは対応していない
そもそも、その海外サーバー1社に直接発注するのは、
よろしくないよね。
ひとこと
・関心、Twitterでご意見
・自治体を助けてください。ほんとに困ってます。
議論の土台に
昨日(2月15日)行ってきた。その内容をメモメモ。
■セキュリティ要求仕様モデルプランの説明
(以下モデルプランと略します)
LASDECのサイトで公開
モデルプランの概要
・Webアプリケーションに脆弱性対策の要件に特化した仕様書
(特記仕様書)
・どういう基準で選ぶか
(A)実際に攻撃で使われている手法
(B)将来悪用される脆弱性
さらに:わからない全弱製
・モデルプラン
脆弱性
セキュリティ機能
・セキュリティ要件の提示方法
・対策すべき脅威を明示
・検査方法っを明示
・実装方法を指摘
・対策すべき脆弱性を明示→○これにする
・なぜ作成したか
・ウェブ健康診断
・診断内容
クローラへの体制
(以降、ひみちゅ)
・
地方公共団体における脆弱性対策に対する課題
:
:
(IPAがだしている。いろいろ)
どうしたらよいか
導入時に行う:要求仕様例を作成する
地方公共団体および一般へ情報公開
→地方公共団体向けなので、一般には、カスタマイズいるかも?
モデルプランのポイント
・セキュリティ保障期間という期間を設け
脆弱性リストで示した脆弱性に限定して対処
・追加費用なし
モデルプランの採用が進むと
・脆弱性を作りこまない開発体制
まとめ
・基本的にユーザー視点で、地方公共団体向け
・脆弱性
セキュリティは文化
地方でセキュリティは難しい
・地方のセキュリティレベルが上がれば・・・
■主要論点
論点1:脆弱生命の列記ではあいまい
論点2:モデルプランで目指すべきレベル間
論点3:セキュリティ保障期間に関する論議
論点4:地方公共団体職員の検収能力に関する課題
意義
・安全なWebアプリ発注できる
・責任分担を明確にする
・「セキュリティ保障期間」
・競争原理
提案者の意義
・何をどこまでやれば
・対応範囲の明確化
・提案の土俵を統一
脆弱性が指摘された後改修したか?
→55%受注者の仕様負担
サポートライフサイクル
・マイクロソフト
最新バージョンだと7年間保証される
・レッドハット10年
脆弱性がでているもの
・IPA
・CWE
・モデルプラン
脆弱性リスト/セキュリティリスト
(書ききれなかったので省略)
例えばJavaとかで、セキュリティが5年持たない場合は?
重要事項説明
Javaの古いバージョンを許さない
4月から調査する官庁も(総務省だけど)
スマホとかは
・はじめにどの端末にするか決める
5年は?企業にとって負担では?
・やろうとしたら、割高になってしまう
・うそつく企業は→淘汰されるだろう
・開発規約を抜粋で出す
・脆弱性診断のログもだす
Javaの旧バージョン
・消してねとはいう
・クライアントのバージョン管理はうまくかかれてない
ぶらうざのバーションは書いてある
海外のサーバーに移された場合、そのサービスは?
・ASP,SaaSにモデルプランは対応していない
そもそも、その海外サーバー1社に直接発注するのは、
よろしくないよね。
ひとこと
・関心、Twitterでご意見
・自治体を助けてください。ほんとに困ってます。
議論の土台に
アクセス
トータル
ランキング
