市販のソフトウェアがこれほど脆弱な理由 (それをどのように解決するか).

Slides:

Advertisements

Similar presentations

1 EASE プロジェクトにおける EPM （ Empirical Project Monitor) を用いたプロジェクト管理デモ奈良先端科学技術大学院大学産学官連携研究員松村知子 2005 年 9 月 30 日 JISA 経営者セミナー.

Advertisements

MediaWiki 開発者コミュニティに参加するには Ryan Lane Wikimedia Foundation Inc.

「図書管理」のための Webアプリケーション開発－Apache/Tomcat/MySQL/Java on Windows XP－

インターネットショップを開設するための要件

　　IronKey セキュアデバイスWEBサイト　

プログラミング言語ADP 大藤雄久.

プログラマのレベルアップ.

Webアプリケーション開発の基本的なポイント

トピック3 システムとその複雑さが患者管理にもたらす影響を理解する

コンピュータウィルスと脆弱性メディアコミュニケーション論Ⅲ 7/18/08.

リアルタイムシステムに上流設計ツールは有効か？

OJT研修「テスト実施、テスト設計の技術習得」日時：　８月２２日（月）　場所：　本社５階.

Brittany Jonson†, Yoonki Song†, Emerson Murphy-Hill†, Robert Bowdidge‡

応用情報処理V(2002) もっとプログラミングをしたい人のために

実証分析の手順経済データ解析　2011年度.

【１−１．開発計画 – 設計・開発計画】システム開発計画にはシステム開発を効率的、効果的に実行する根拠（人員と経験、開発手順、開発・導入するシステム・アプリケーション・サービス等）を記述すること。システム開発の開始から終了までの全体スケジュールを記載すること。アプリケーション機能配置、ソフトウェア、インフラ構成、ネットワーク構成について概要を示すこと。

東京経営短期大学経営総合学科准教授玉田和恵

このPowerPointファイルは、情報処理演習用に作ったフィクションです。

Handel-Cによる　　　　　　エアホッケー.

垂直統合システム / Converged System

ソースコード品質概論なぜソースの品質を追求するのか

Phenixサーバクラックまとめ.

健康・医療の知識とメディア　　　　　　　　　　　　　　　　　林　剛生.

生涯最高の失敗～ノーベル賞につながった開発プロジェクト～

ARM 株式会社アプライド・マーケティング大越章司

独自３次元ツール　３D-Master SEA創研.

PHP Framework Update symfony 編株式会社ディノ月宮紀柳.

オブジェクト指向を使った設計：ソフトウェア開発プロセス

付属書I.4 故障の木解析（FTA）.

SS2009 形式手法の適用ワーキンググループの報告

初年次セミナー第２回　文字の出力.

　データベースによる並列処理情報論理工学研究室　三宅健太.

初心者のためのセキュリティ/プライバシー講座

～企画～ＧＯ，桑田，ヒルズ.

2016年度秋期成果発表会 2016年11月25日大阪開発センター　技術一部畑中　龍樹.

概要 Boxed Economy Simulation Platform（BESP）とその基本構造 BESPの設計・実装におけるポイント！

ソフトウェア工学第五回知能情報学部新田直也.

東京経営短期大学経営総合学科准教授玉田和恵

第2回 SQL インジェクションその攻撃と対処 NECラーニング山崎明子.

情報セキュリティ - IT時代の危機管理入門 -

SpectreとMeltdown ITソリューション塾・第28期 2018年5月30日株式会社アプライド・マーケティング大越章司

Q q 情報セキュリティ第３回：２００５年４月２２日（金） q q.

関数の変更履歴と呼出し関係に基づいた開発履歴理解支援システムの実現

学校から持ち出す時ワークシート② ☞研修例＝各自記入５分＋グループ協議７分＋全体共有７分（１シート約20分）

XP Extreme Programming.

ソフトウェアを取り巻く環境の変化がメトリクスに及ぼす影響について

設計方法について、当社では「そうなっていない事」が多いように思った。この講習会を通して改善されればもっと良い製品作りができると思う。

前回質問の多かった項目マイクロソフトセキュリティ情報 MS について

トレーニングプレゼンテーションのタイトル

～新たなソフトウェア開発の手法～発表土屋俊介

Q q 情報セキュリティ第１１回：２００４年６月１８日（金） q q.

ARM 株式会社アプライド・マーケティング大越章司

Q q 情報セキュリティ第４回：２００５年５月１２日（金） q q.

コード片に共通した特性を自動抽出するソースコード閲覧ツールの試作

企業システム戦略を成功させる！ドキュメント・レビュー実践法企業システム戦略家　青島弘幸.

GSTOS コマンド計画検証ソフトウェアの開発

欠陥検出を目的とした類似コード検索法吉田則裕，石尾隆，松下誠，井上克郎大阪大学大学院情報科学研究科

情報処理Ⅱ ２００７年１２月３日（月）その１.

ARM 株式会社アプライド・マーケティング大越章司

データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ

知的CAIの基本構成 ① 専門知識・・・学習の対象となる分野の知識。 ② 学習者モデル・・・学習者の理解状態や過程などを表現。

なんでしなくちゃいけないの？情報セキュリティ

3.1 シューティングゲームの当たり判定当たったら死亡.

株式会社エーアイネット・テクノロジ川村廉平

オブジェクト指向メトリクスを用いた開発支援に関する研究 --- VC++とMFCを用いた開発を対象として ---

ベイジアンネットワークとクラスタリング手法を用いたWeb障害検知システムの開発

アジャイル開発プロセス森口朋広.

ETロボコン2009 コード品質評価プロジェクト～高品質プログラミングのススメ～九州地区特別プロジェクト 2009/6/13

Presentation transcript:

市販のソフトウェアがこれほど脆弱な理由 (それをどのように解決するか)

今日の状況市販のソフトウェアに多くの脆弱性ほとんどのベンダーは毎年数十個の修正プログラムをリリースこの状況が改善されている兆候はなし

脆弱性の種類設計上の欠陥実装上の欠陥

設計上の欠陥ソフトウェアがセキュリティ要件や原則についての正しい配慮なしに計画され、仕様が定められた場合に発生例: クリアテキストのパスワード脆弱または独自の暗号

設計上の欠陥なぜ設計上の欠陥が起こるのか? 幸運にもソフトウェアの設計は向上している! エンジニアが時間に追われているセキュリティの要件や原則に対する無知幸運にもソフトウェアの設計は向上している!

設計上の欠陥設計上の欠陥が見つかると、その後のリリースで修正されるしかし. . . これらは非常に根深い、構造上の問題である業界は望ましい方向に向かっている設計上の欠陥はさまざまなセキュリティバグの中では少数派

実装上の欠陥ソフトウェア開発者がソフトウェアをコーディングする際に間違いを犯した場合に発生 (他のバグと似ているが、場合によってはセキュリティへの深刻な影響あり!) 実装上の欠陥は、設計とは独立した問題

実装上の欠陥例: バッファオーバーフロー整数オーバーフロー/アンダーフロー SQLインジェクション書式文字列

実装上の欠陥なぜ実装上の欠陥が起こるのか? 人的エラー人的エラーをなくすことはできないが、最小限に抑えるためにもっとできることがある最も深刻なセキュリティバグは、こうした不注意によるミスが原因で起こる

どのように改善するか? 教育 Oracleでは、Webベースのオンデマンドセキュアコーディングトレーニングクラスを提供し、成功している開発者全員がセキュリティの専門家とは限らない各開発者がセキュリティの基本を理解しなければならない Oracleでは、Webベースのオンデマンドセキュアコーディングトレーニングクラスを提供し、成功している

どのように改善するか? 個人レベルの責任教育は責任感を育てる! 開発者に高品質なコードを書く責任を持たせる自動化ツール消費者の力

終質問はありますか?