<前の日記(2008年06月14日) 次の日記(2008年06月21日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 598   昨日: 2967

2008年06月20日

WASForum Conference 2008、7月4日と5日に開催

4年前から活動して来たWeb Application Security Forum (WASForum)ですが、今年も講演会を開催します。今年は、「CIO/CTO DAY」「Developers DAY」と銘打って二日間にわたって開催、会場も別々です。

7月4日金曜日の「CIO/CTO DAY」では、株式会社カカクコム取締役COOの安田様と株式会社サウンドハウス代表取締役社長中島様のご講演があります。つまり、理想的なあるべき取り組みについてうかがうだけでなく、事故が発生してしまった事例をお伺いして、背景にある問題について深く議論ができればと考えています。ご講演の後にパネル討論の時間を設けており、門林先生と私が議論に加わります。サウンドハウスの中島社長は、一昨日にも別の講演会でお話しされたようで、INTERNET Watchの記事「「被害を隠すな」サウンドハウス社長が不正アクセス体験語る」にレポートされています。WASForumでも同様のお話をうかがえると思いますが、私としてはつっこみたいことがたくさんあります*1。私の理解では、おそらく中島社長は活発な議論を引き起こすネタになればとこうした行動をとっておられるのだと思いますので、ただ静かにお話を伺うのではなく、忌憚なく意見をぶつけることこそが期待されているのだと思っています。会場からも鋭い指摘が続出することを楽しみにしています。

悩ましいのは、このようなイベントを企画しても、肝心な方々の耳には届かないということです。必要なのは、「Webアプリケーションの脆弱性」という概念の存在さえご存じない経営者の耳に届けることなのですが、いつもイベントにご参加いただけるのは、既に問題認識のある方ばかりという傾向があります。そこで今回は、対象を「CIO/CTO」と「Developers」に分けて二日間にわたる開催としたものです。CIOという役職のあるきちんとした企業というよりは、CIOという役職がないような企業で、実質的にそんな仕事をやっている「デファクトCIO/CTO」を自認する方々のご参加を期待しています。既に認識のある現場の方は、二日目の「Developers DAY」にお越し下さい。「現場は理解しているが経営が理解してくれない」という不満をお持ちの方は、デファクトCIOにこのイベントに出るよう唆してください。

一方、7月5日土曜日の「Developers DAY」では、現場の技術者向けのテーマを集めました。私が司会を務めます午前のセッションでは、EV SSL、SQLインジェクション対策、携帯電話向けWeb、OpenIDについて4名の方々にご講演いただきます。

EV SSLについては、日本電子認証協議会の秋山さんにご講演をお願いしました。EV SSLは、CA/Browser Forumが策定した厳格なSSLサーバ証明書の発行指針で、日本電子認証協議会は、CA/Browser Forumの日本向けの活動を目的とした団体です。今のところ認証ベンダを中心とした会員構成ですが、CA/Browser Forumのように、ブラウザベンダも参加したらいいのに(日本には独自にブラウザ作ってる会社がけっこうあるよね)と個人的には思っています。それはともかく、代表理事の秋山さんには、EV SSLとは何であって従来のSSLとは何が違うのか、なぜ必要とされたのか、どのような効果が期待されているかについて、また、EV SSLが日本市場において現在抱える課題についてお話しいただきます。

SQLインジェクション対策については、HASHコンサルティングの徳丸さんにお願いしました。今やSQLインジェクションの対策方法は広く理解されているはずのようにも思えますが、どうもそうでもないようです。いまだに「サニタイズ」的な対策を挙げる検査業者、コンサル業者がいるようで、しばしば、そういった業者がはてなブックマークで血祭りにあげられている事例も散見されるところです。blogで「SQLのエスケープ再考」といったエントリを書かれている徳丸さんに、このあたりのことについて結論を出していただきます。

携帯電話向けWeb(ケータイWeb)については、グリーの藤本さんにお願いしました。ケータイWebのセキュリティのことは、なぜかあまり表立って語られることがありません。たしかに、キャリアの課金システムについては守秘義務があって話せないんだろうとは思いますが、これからは勝手サイトが主流になっていくご時世です。キャリアはもう責任をとってくれなくなるのですから、いつまでも秘密主義のままでいたらケータイWebのセキュリティはボロカスになってしまいかねません。藤本さんには、ケータイWebセキュリティの実態をご紹介いただき、通常のWebとは異なる注意点を実例を交えてご解説いただきます。

最後に、OpenIDのセキュリティについてサイボウズ・ラボの山口さんにご講演いただきます。OpenIDがいよいよ普及するかも?という情勢ですが、そのセキュリティ、プライバシーへの影響はあまり知られていないと思われます。山口さんは、blog「Yet Another Hackadelic」(のOpenIDタグ)にて最近、OpenIDのセキュリティについてよく書かれています。私としては個人的に、OP (OpenID Provider) のログイン画面に対するphishingの問題については、ログインにHTTP Mutual Access Authenticationを使ったらいいのにと(手前味噌ですが)思ったりするのですが、それで解決するのがどこまでで、何が解決しないのかに興味を持っているところです。それはともかく、山口さんには、OpenIDにまつわるセキュリティ、プライバシー上の留意点について網羅的にご紹介いただけるのではないかと思っています。

また、午後には、マイクロソフトの高橋正和さんによる進行のセッションと、門林、岡田によるネタセッションが予定されています。詳しくはプログラムに書かれています。

*1 たとえば、INTERNET Watchの記事によれば、「金銭的被害者の大半は、サウンドハウスのパスワードとその他のパスワードを同一にしていた人」「日本では、多くのユーザーがどこでも同じパスワードを使っている」「銀行系やカード系のパスワードは、他と同じものを使ってはいけない」というお話があったようですが、それはおそらく、盗まれたDBデータにはユーザのパスワードが生で保存されていたということなのでしょうが、そのようなシステム設計は「技術的非常識」である(脆弱性とまでは通常言われないが)ことは言わねばなりません。技術的非常識というものが存在すること自体を経営者が知らないことが問題の根源であり、どうすればそれが解決するかがパネル討論のひとつの論点となると思います。

本日のTrackBacks(全100件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20080620]

高木浩光@自宅の日記に共感できる内容があった
(自分もネットを安全に使うための話をすることがあるので)

・セキュリティ向上のイベン..

既に色々な方が紹介いただいていますが、、WASForum Conference 2008の7/5 Developers DAY - 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティスにて、「SQLインジェクション対策再考」のタイトルで講演させていただくことになりました。7月5日..

 少し前の話になりますがWASForum Conference 2008に初参加。
 以前から高木さんの日記は時々読んでいたりはしたものの、セキュリティについては全...

検索

<前の日記(2008年06月14日) 次の日記(2008年06月21日)> 最新 編集

最近のタイトル

2024年03月23日

2024年03月19日

2024年03月16日

2024年03月13日

2024年03月11日

2023年03月27日

2022年12月30日

2022年12月25日

2022年06月09日

2022年04月01日

2022年01月19日

2021年12月26日

2021年10月06日

2021年08月23日

2021年07月12日

2020年09月14日

2020年08月01日

2019年10月05日

2019年08月03日

2019年07月08日

2019年06月25日

2019年06月09日

2019年05月19日

2019年05月12日

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|06|07|08|10|
2020|08|09|
2021|07|08|10|12|
2022|01|04|06|12|
2023|03|
2024|03|
<前の日記(2008年06月14日) 次の日記(2008年06月21日)> 最新 編集