「OWASP Japan ― 情報セキュリティとのうまい付き合い方 ―」参加レポート #jtf2015

スライド

speakerdeck.com

自己紹介

  • 石切山 開
  • セキュリティの関わりが学生の頃

OWASP

  • Open Web Application Security Projectの略
  • セキュリティ向上やセキュアなWebサービスの展開を目的として設立された
  • ツイッターアカウントは@owasp

OWASP Japan

  • ドキュメントのローカライズ
  • 日本独特な文化にどうセキュリティを結びつけるのか
  • 最近、関西や九州に支部を設立した
  • ツイッターは@OwaspJapan
  • ブログも始めた

情報セキュリティとのうまい付き合い方

  • 難しい
  • 何されているかわからないから怖い

突然ですが

  • 夏風邪が流行っているらしいです
  • どんなことをしますか?
    • 予備知識
    • 手洗い・うがい
    • 健康診断・人間ドック
    • 市販薬
    • 普段からの体力づくり
    • 生活習慣の見直し
  • 普段通りに健康に生きていく→予防する→それでもダウンする

情報セキュリティでも同じ

  • 普段通りに運用を継続する、普段通りサービスを提供する→予防する→それでもダウンする
  • でもセキュリティはよくわからないし…
  • 風邪については対策を当たり前にやっていますよね?

  • セキュリティの世界では

    • 作る人
    • 攻める人
    • 守る人

攻める人

  • 用意周到
  • 緻密な準備
  • 巧妙な手口
  • かけている時間と熱意がすごい

作る人・守る人

  • 運用でカバー
  • ドキュメントなんてものはない(ソースを読んでくれ)
  • とりあえず動くもの
  • かけている時間と熱意があまり無い

当たり前にすれば良い

  • 予備知識→OWASP Top10
    • 最も注意すべき脆弱性Top10とそれに対する対処法を説明
    • 影響度・深刻度を示している
    • 3年に1度リリース
  • 手洗い・うがい→OWASP Cheat Sheets
  • 健康診断・人間ドック→OWASP XAP
    • 脆弱性の診断を行うツール
    • 実行ボタン1つで簡易な診断が可能
    • 無料で利用でき、日本語にも対応
  • 通院治療・お医者さんに相談→イベント
    • オワスプナイトを実施
      • プレゼンやLTを踏まえたカジュアルな勉強会
  • 生活習慣の見直し→OWASP Dependency-Check
  • 詳しくはメーリングリスト

まとめ

  • 健康は1日にしてならず
  • 運用の苦労は皆さんの方がご存知
  • 当たり前って大事
  • 誰もが安心して使えるWebの世界を目指して

緊急告知

  • 明後日、オワスプナイトがあります
  • 現在キャンセル待ちですが、特別招待券が10枚あります
  • 会場にてご相談を

感想

  • 夏風邪を使った表現が分かりやすかったです
  • Jenkinsのプラグインなど、当たり前にしていく試みは是非とも取り入れてみたいと感じました

JTF2015講演まとめ

nihonbuson.hatenadiary.jp