市販のソフトウェアが これほど脆弱な理由 (それをどのように解決するか).

Slides:



Advertisements
Similar presentations
1 EASE プロジェクトにおける EPM ( Empirical Project Monitor) を用いたプロジェクト管理デモ 奈良先端科学技術大学院大学 産学官連携研究員 松村 知子 2005 年 9 月 30 日 JISA 経営者セミナー.
Advertisements

MediaWiki 開発者コミュニ ティに参加するには Ryan Lane Wikimedia Foundation Inc.
「図書管理」のための Webアプリケーション開発 -Apache/Tomcat/MySQL/Java on Windows XP-
インターネット ショップを開設するための要件
  IronKey セキュアデバイスWEBサイト 
プログラミング言語ADP 大藤雄久.
プログラマのレベルアップ.
Webアプリケーション開発の 基本的なポイント
トピック3 システムとその複雑さが患者管 理にもたらす影響を理解する
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
リアルタイムシステムに 上流設計ツールは有効か?
OJT研修 「テスト実施、テスト設計の技術習得」 日時: 8月22日(月)  場所: 本社5階.
Brittany Jonson†, Yoonki Song†, Emerson Murphy-Hill†, Robert Bowdidge‡
応用情報処理V(2002) もっとプログラミングをしたい人のために
実証分析の手順 経済データ解析 2011年度.
【1−1.開発計画 – 設計・開発計画】 システム開発計画にはシステム開発を効率的、効果的に実行する根拠(人員と経験、開発手順、開発・導入するシステム・アプリケーション・サービス等)を記述すること。 システム開発の開始から終了までの全体スケジュールを記載すること。 アプリケーション機能配置、ソフトウェア、インフラ構成、ネットワーク構成について概要を示すこと。
東京経営短期大学 経営総合学科 准教授 玉田 和恵
このPowerPointファイルは、 情報処理演習用に作った フィクションです。
Handel-Cによる       エアホッケー.
垂直統合システム / Converged System
ソースコード品質概論 なぜソースの品質を追求するのか
Phenixサーバ クラックまとめ.
健康・医療の知識とメディア                  林 剛生.
生涯最高の失敗 ~ノーベル賞につながった開発プロジェクト~
ARM 株式会社アプライド・マーケティング 大越 章司
独自3次元ツール 3D-Master SEA創研.
PHP Framework Update symfony 編 株式会社ディノ 月宮紀柳.
オブジェクト指向を使った設計: ソフトウェア開発プロセス
付属書I.4 故障の木解析 (FTA).
SS2009 形式手法の適用ワーキング グループの報告
初年次セミナー 第2回 文字の出力.
 データベースによる並列処理 情報論理工学研究室  三宅健太.
初心者のためのセキュリティ/プライバシー講座
~企画~ GO,桑田,ヒルズ.
2016年度秋期 成果発表会 2016年11月25日 大阪開発センター 技術一部 畑中 龍樹.
概要 Boxed Economy Simulation Platform(BESP)とその基本構造 BESPの設計・実装におけるポイント!
ソフトウェア工学 第五回 知能情報学部 新田直也.
東京経営短期大学 経営総合学科 准教授 玉田 和恵
第2回 SQL インジェクション その攻撃と対処 NECラーニング 山崎 明子.
情報セキュリティ - IT時代の危機管理入門 -
SpectreとMeltdown ITソリューション塾・第28期 2018年5月30日 株式会社アプライド・マーケティング 大越 章司
Q q 情報セキュリティ 第3回:2005年4月22日(金) q q.
関数の変更履歴と呼出し関係に基づいた開発履歴理解支援システムの実現
学校から持ち出す時 ワークシート② ☞研修例=各自記入5分+グループ協議7分+全体共有7分(1シート約20分)
XP Extreme Programming.
ソフトウェアを取り巻く環境の変化がメトリクスに及ぼす影響について
設計方法について、当社では「そうなっていない事」が多いように思った。この講習会を通して改善されればもっと良い製品作りができると思う。
前回質問の多かった項目 マイクロソフト セキュリティ情報 MS について
トレーニング プレゼンテーションのタイトル
~新たなソフトウェア開発の手法~ 発表 土屋俊介
Q q 情報セキュリティ 第11回:2004年6月18日(金) q q.
ARM 株式会社アプライド・マーケティング 大越 章司
ARM.
Q q 情報セキュリティ 第4回:2005年5月12日(金) q q.
コード片に共通した特性を自動抽出する ソースコード閲覧ツールの試作
ARM.
企業システム戦略を成功させる! ドキュメント・レビュー実践法 企業システム戦略家 青島 弘幸.
GSTOS コマンド計画検証ソフトウェアの開発
欠陥検出を目的とした類似コード検索法 吉田則裕,石尾隆,松下誠,井上克郎 大阪大学 大学院情報科学研究科
情報処理Ⅱ 2007年12月3日(月) その1.
ARM 株式会社アプライド・マーケティング 大越 章司
データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ
知的CAIの基本構成 ① 専門知識 ・・・ 学習の対象となる分野の知識。 ② 学習者モデル ・・・ 学習者の理解状態や過程など を表現。
なんでしなくちゃいけないの? 情報セキュリティ
3.1 シューティングゲームの当たり判定 当たったら死亡.
株式会社 エーアイネット・テクノロジ 川村廉平
オブジェクト指向メトリクスを用いた 開発支援に関する研究 --- VC++とMFCを用いた開発を対象として ---
ベイジアンネットワークと クラスタリング手法を用いたWeb障害検知システムの開発
アジャイル開発プロセス 森口朋広.
ETロボコン2009 コード品質評価プロジェクト ~高品質プログラミングのススメ~ 九州地区 特別プロジェクト 2009/6/13
Presentation transcript:

市販のソフトウェアが これほど脆弱な理由 (それをどのように解決するか)

今日の状況 市販のソフトウェアに多くの脆弱性 ほとんどのベンダーは毎年数十個の修正プログラムをリリース この状況が改善されている兆候はなし

脆弱性の種類 設計上の欠陥 実装上の欠陥

設計上の欠陥 ソフトウェアがセキュリティ要件や原則についての正しい配慮なしに計画され、仕様が定められた場合に発生 例: クリアテキストのパスワード 脆弱または独自の暗号

設計上の欠陥 なぜ設計上の欠陥が起こるのか? 幸運にもソフトウェアの設計は向上している! エンジニアが時間に追われている セキュリティの要件や原則に対する無知 幸運にもソフトウェアの設計は向上している!

設計上の欠陥 設計上の欠陥が見つかると、その後のリリースで修正される しかし. . . これらは非常に根深い、構造上の問題である 業界は望ましい方向に向かっている 設計上の欠陥はさまざまなセキュリティバグの中では少数派

実装上の欠陥 ソフトウェア開発者がソフトウェアをコーディングする際に間違いを犯した場合に発生 (他のバグと似ているが、場合によってはセキュリティへの深刻な影響あり!) 実装上の欠陥は、設計とは独立した問題

実装上の欠陥 例: バッファオーバーフロー 整数オーバーフロー/アンダーフロー SQLインジェクション 書式文字列

実装上の欠陥 なぜ実装上の欠陥が起こるのか? 人的エラー 人的エラーをなくすことはできないが、最小限に抑えるためにもっとできることがある 最も深刻なセキュリティバグは、こうした不注意によるミスが原因で起こる

どのように改善するか? 教育 Oracleでは、Webベースのオンデマンドセキュアコーディングトレーニングクラスを提供し、成功している 開発者全員がセキュリティの専門家とは限らない 各開発者がセキュリティの基本を理解しなければならない Oracleでは、Webベースのオンデマンドセキュアコーディングトレーニングクラスを提供し、成功している

どのように改善するか? 個人レベルの責任 教育は責任感を育てる! 開発者に高品質なコードを書く責任を持たせる 自動化ツール 消費者の力

終 質問はありますか?