4年前から活動して来たWeb Application Security Forum (WASForum)ですが、今年も講演会を開催します。今年は、「CIO/CTO DAY」「Developers DAY」と銘打って二日間にわたって開催、会場も別々です。
7月4日金曜日の「CIO/CTO DAY」では、株式会社カカクコム取締役COOの安田様と株式会社サウンドハウス代表取締役社長中島様のご講演があります。つまり、理想的なあるべき取り組みについてうかがうだけでなく、事故が発生してしまった事例をお伺いして、背景にある問題について深く議論ができればと考えています。ご講演の後にパネル討論の時間を設けており、門林先生と私が議論に加わります。サウンドハウスの中島社長は、一昨日にも別の講演会でお話しされたようで、INTERNET Watchの記事「「被害を隠すな」サウンドハウス社長が不正アクセス体験語る」にレポートされています。WASForumでも同様のお話をうかがえると思いますが、私としてはつっこみたいことがたくさんあります*1。私の理解では、おそらく中島社長は活発な議論を引き起こすネタになればとこうした行動をとっておられるのだと思いますので、ただ静かにお話を伺うのではなく、忌憚なく意見をぶつけることこそが期待されているのだと思っています。会場からも鋭い指摘が続出することを楽しみにしています。
悩ましいのは、このようなイベントを企画しても、肝心な方々の耳には届かないということです。必要なのは、「Webアプリケーションの脆弱性」という概念の存在さえご存じない経営者の耳に届けることなのですが、いつもイベントにご参加いただけるのは、既に問題認識のある方ばかりという傾向があります。そこで今回は、対象を「CIO/CTO」と「Developers」に分けて二日間にわたる開催としたものです。CIOという役職のあるきちんとした企業というよりは、CIOという役職がないような企業で、実質的にそんな仕事をやっている「デファクトCIO/CTO」を自認する方々のご参加を期待しています。既に認識のある現場の方は、二日目の「Developers DAY」にお越し下さい。「現場は理解しているが経営が理解してくれない」という不満をお持ちの方は、デファクトCIOにこのイベントに出るよう唆してください。
一方、7月5日土曜日の「Developers DAY」では、現場の技術者向けのテーマを集めました。私が司会を務めます午前のセッションでは、EV SSL、SQLインジェクション対策、携帯電話向けWeb、OpenIDについて4名の方々にご講演いただきます。
EV SSLについては、日本電子認証協議会の秋山さんにご講演をお願いしました。EV SSLは、CA/Browser Forumが策定した厳格なSSLサーバ証明書の発行指針で、日本電子認証協議会は、CA/Browser Forumの日本向けの活動を目的とした団体です。今のところ認証ベンダを中心とした会員構成ですが、CA/Browser Forumのように、ブラウザベンダも参加したらいいのに(日本には独自にブラウザ作ってる会社がけっこうあるよね)と個人的には思っています。それはともかく、代表理事の秋山さんには、EV SSLとは何であって従来のSSLとは何が違うのか、なぜ必要とされたのか、どのような効果が期待されているかについて、また、EV SSLが日本市場において現在抱える課題についてお話しいただきます。
SQLインジェクション対策については、HASHコンサルティングの徳丸さんにお願いしました。今やSQLインジェクションの対策方法は広く理解されているはずのようにも思えますが、どうもそうでもないようです。いまだに「サニタイズ」的な対策を挙げる検査業者、コンサル業者がいるようで、しばしば、そういった業者がはてなブックマークで血祭りにあげられている事例も散見されるところです。blogで「SQLのエスケープ再考」といったエントリを書かれている徳丸さんに、このあたりのことについて結論を出していただきます。
携帯電話向けWeb(ケータイWeb)については、グリーの藤本さんにお願いしました。ケータイWebのセキュリティのことは、なぜかあまり表立って語られることがありません。たしかに、キャリアの課金システムについては守秘義務があって話せないんだろうとは思いますが、これからは勝手サイトが主流になっていくご時世です。キャリアはもう責任をとってくれなくなるのですから、いつまでも秘密主義のままでいたらケータイWebのセキュリティはボロカスになってしまいかねません。藤本さんには、ケータイWebセキュリティの実態をご紹介いただき、通常のWebとは異なる注意点を実例を交えてご解説いただきます。
最後に、OpenIDのセキュリティについてサイボウズ・ラボの山口さんにご講演いただきます。OpenIDがいよいよ普及するかも?という情勢ですが、そのセキュリティ、プライバシーへの影響はあまり知られていないと思われます。山口さんは、blog「Yet Another Hackadelic」(のOpenIDタグ)にて最近、OpenIDのセキュリティについてよく書かれています。私としては個人的に、OP (OpenID Provider) のログイン画面に対するphishingの問題については、ログインにHTTP Mutual Access Authenticationを使ったらいいのにと(手前味噌ですが)思ったりするのですが、それで解決するのがどこまでで、何が解決しないのかに興味を持っているところです。それはともかく、山口さんには、OpenIDにまつわるセキュリティ、プライバシー上の留意点について網羅的にご紹介いただけるのではないかと思っています。
また、午後には、マイクロソフトの高橋正和さんによる進行のセッションと、門林、岡田によるネタセッションが予定されています。詳しくはプログラムに書かれています。
*1 たとえば、INTERNET Watchの記事によれば、「金銭的被害者の大半は、サウンドハウスのパスワードとその他のパスワードを同一にしていた人」「日本では、多くのユーザーがどこでも同じパスワードを使っている」「銀行系やカード系のパスワードは、他と同じものを使ってはいけない」というお話があったようですが、それはおそらく、盗まれたDBデータにはユーザのパスワードが生で保存されていたということなのでしょうが、そのようなシステム設計は「技術的非常識」である(脆弱性とまでは通常言われないが)ことは言わねばなりません。技術的非常識というものが存在すること自体を経営者が知らないことが問題の根源であり、どうすればそれが解決するかがパネル討論のひとつの論点となると思います。
高木浩光@自宅の日記に共感できる内容があった
(自分もネットを安全に使うための話をすることがあるので)
・セキュリティ向上のイベン..
既に色々な方が紹介いただいていますが、、WASForum Conference 2008の7/5 Developers DAY - 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティスにて、「SQLインジェクション対策再考」のタイトルで講演させていただくことになりました。7月5日..
少し前の話になりますがWASForum Conference 2008に初参加。
以前から高木さんの日記は時々読んでいたりはしたものの、セキュリティについては全...