ただのにっき

■ OWASP AppSec APAC 2014に参加 (3日目)

さて、カンファレンスDayの初日。そういえば学生時代は毎日通っていた御茶ノ水もずいぶん久しぶりで、今回の会場であるsola cityができたのも知らなかった。昨日は春一番ですさまじいビル風だったけど、今日は穏やか。日英の講演が2～3トラックという体裁だけど、同時通訳がつくのでいろいろ安心。

Deploying information security management for proper data life-cycle (山口英)

山口さんは大好きなのでこのイベントの目的はほぼこれといっても過言ではない(ので足を悪くされているとのことで心配)。しゃべりはあいかわらずだった……いや、ちょっとおとなしめ? 守るべきはシステムではなくデータだという指摘は、(ビッグデータ云々のご時世を抜きにしても)常に意識していないといけないポイントだなぁ。やたらとhttpsをdisっていたのが気になったけど、質問してくれた人がいたので納得。特にクライアント認証をもっと使おうという点は、とっくに限界にきているパスワード認証に代わる何かとして選択肢に入れておかないとなぁ。

Inside Story of the first SaaS type WAF Service (金床)

金床さんが開発・運用しているWAF、Scutumの話。AVTOKYO2013.5で聴いたのはそのアルゴリズムであるベイジアンネットワークの話だったけど、こっちは運用の話。全体としては「WAF機能の付いたreverse proxy」という理解でOKなので、あとは普通のWebサービス運用という解釈でよさそう。ただ、reverse proxyということで顧客に渡るアクセスがすべてWAF経由のものになるため、いろいろ問題が出そう──IPアドレスが同一になってアクセス解析や犯罪捜査で困るんじゃとか、セッション管理に癖のあるサービスが動かなそう──という疑問が湧いたが質問するチャンスがなく。

その後、展示スペースで質問したら、IPアドレスは別のヘッダでわたっているのでそれを使ってログを取ってもらうようにしているとか、セッション管理がまずいサービスは最初からお断りしているとか教えてもらった(まぁそりゃそうだ)。手軽で空気のように存在を気にしないで済むWAFというのはいいね。

Get Ready for the Next Big Wave of Attacks (Helen Bravo, Sanjay Agnani)

(主にWordpressの)プラグインの脆弱性を狙った攻撃が増えている中、さまざまなCMSのプラグインの対応についてのサーベイ報告。多くのプラグインに脆弱性があること、有料より無料の方に脆弱性が多いこと、報告しても直らないことなど、まぁいろいろつらい感じのデータが出ていた。しかしどうしようもないよなぁ、このあたり。

とはいえ会場にいたタイ人の開発者と名乗る人物から「さっきからDrupalが有料だつってるけど無料だし」みたいなツッコミが入ると「いや本体は無料だけど有料プラグインが多いし……(しどろもどろ)」みたいな対応をしていたので、報告じたいもちょっと割り引いてみる必要があるかもね(笑)。

OWASP AppSecは日本では初の開催、参加者は400人くらいということでそこそこ大きなイベントなのに、けっこう滞りなく運営されていてすばらしい(WiFiだけはちっともつながらなかったけど)。

昨日の印象にあるようにターゲットはセキュリティの専門家というよりメインストリームにいる開発・運用の人なんじゃないかとは思うけど、その層にちゃんと届いているのかはよくわからない(あまり届いてない気はする)。ただ他のセキュリティ関連イベント(OWASP local chapterとかOWASP Night含む)では見ないような人もおおぜいいたので(数年ぶりに会った旧知の人なんかもいた)、それなりに広い範囲にアピールできてはいるんだろう。