開発プロジェクトの現状を把握する OWASP SAMM

OWASP SAMMとは

概要

OWASP Software Assurance Maturity Model

  • 開発サイクルをよりセキュアにすること
  • 要件定義から運用保守まで使える

  • より成熟したセキュア開発を行うことを支援するドキュメント

特徴

  • 開発プロジェクトのセキュリティ成熟度を定量化・可視化し現状を把握できる
  • A=f(p,s,e)
  • 継続改善を前提としたツール

中身

  • QUICK START GUID
  • HOW TO GUIDE
  • CORE MODEL ★
    • よく読みこむ必要がある
  • TOOL BOX

プロジェクトメンバー

  • Developers
  • Architects
  • Managers
  • QA Testers
  • Security Auditors
  • Business Owners
  • Support/Operators

ビジネス機能

  • ガバナンス
  • 構築(設計・開発)
  • 検証
  • 運用

セキュリティ対策を組み立たせる3つのもの

  • 期待結果
  • コスト
  • 定期的な指標の例

アセスメント

  • Tool-box
    • ヒアリング計画を立てることが重要
    • プロジェクト体制を把握し、ヒアリング項目・対象を決める
  • 以下の人にヒアリングが集まる
    • manager
    • architecters
    • security auditor
    • bussiness owners

目標設定

  • 3段階の目標設定ができる
  • 組織として合意された基準に達するまで改善を繰り返す

12のセキュリティ対策とOWASP成果物

戦略・指標(SM)

  • 組織内でセキュリティ保証プログラムを確立できる
  • SAMMを使えばできる

ポリシー・コンプライアンス(PC)

教育・指導(EG)

  • ソフトウェアライフサイクルに携わる人材を育成する
  • OWASP Education Project

脅威の査定(TA)

  • ソフトウェアの機能と特性に基づきプロジェクトのリスクを把握
  • Application Thread Modeling

セキュリティ要件(SR)

  • ソフトウェアのセキュリティ要件を策定する
  • OWASP ASVS

セキュアなアーキテクチャ(SA)

  • プロアクティブに安全なソフトウェアを構築するための仕組み
  • OWASP Proactive Control

デザインレビュー(DR)

  • セキュリティ問題に対するソフトウェアとアーキテクチャの評価
  • Application Security Architechture Cheet Sheet

実装レビュー(IR)

  • ソフトウェアのセキュリティをソースコードと構成レビューで検査
  • 基準を先にきめておく
  • OWASP Code Review Project
  • Secure Coding Cheet Sheet

セキュリティテスト(ST)

  • ランタイム開発におけるソフトウェアのセキュリティテスト
  • 脆弱性診断師スキルマッププロジェクト

課題管理(IM)

  • インシデント報告や対応に関する組織内のプロセス
  • OWASP Incident Response Project

環境の堅牢化(RH)

  • ソフトウェアが稼働する運用基盤をセキュアに構築する
  • OWASP Dependency Check
  • OWASP Security Operation Center

運用体制のセキュリティ対策(OE)

  • ソフトウェアのセキュリティ情報を収集し情報発信する

ロードマップテンプレート

  • 業種別にロードマップ策定用のテンプレートが存在
    • ソフトウェアベンダー
    • 金融サービス
    • サービスプロパイダ
    • 政府組織

まとめ

ソフトウェアセキュリティ保証成熟度モデル

  • 成熟したセキュア開発行うことを支援
  • 7つのプロジェクトと関係者を定義
  • 4つのビジネス機能、12のセキュリティ対策で構成

活用事例

  • プロジェクトへの情報提供
  • 開発プロジェクトの定量